Was mit veraltetem FIDO2-Stick machen?

[linuxnutzer]

Mein Stick:

Device type: Security Key NFC
Firmware version: 5.4.3
Form factor: Keychain (USB-A)
Enabled USB interfaces: FIDO
NFC transport is enabled

Ich verstehe das dort erwähnte Problem nicht, wenn ich sowieso den Stick physisch habe und das User und PW weiß.

https://www.yubico.com/support/security-advisories/ysa-2024-03/

Not Affected Products
Security Key Series versions 5.7.0 and newer

https://www.yubico.com/support/security-advisories/ysa-2024-03/
The attacker would need physical possession of the YubiKey, Security Key, or YubiHSM, knowledge of the accounts they want to target, and specialized equipment to perform the necessary attack. Depending on the use case, the attacker may also require additional knowledge including username, PIN, account password, or authentication key.

Wofür könnte man den alten Stick noch verwenden?

 

[andy_0]

Nutzt du denn ECDSA Private Keys mit deinem Yubikey? Ist das Angriffsszenario "komplex, Vorwissen erforderlich, Accountdaten müssen bekannt sein, physischer Zugriff notwendig" für dich ein Problem?

 

[madmax2010]

Mein Stick:

Du hast vergessen den Stick zu nennen.

Ich verstehe das dort erwähnte Problem nicht,

Man kann den Private Key extrahieren.
User und Passwort haben damit nichts zu tun.
Laut den von dir zitierten Textstellen bist du nicht betroffen

 

[Renegade334]

Naja betroffen ist der Stick schon, aber für die meisten dürfte das irrelevant sein.
Aus dem Kontext ist klar erkenntlich, dass es um einen Yubikey 5 NFC mit Firmware 5.4.3 geht.

Es wäre theoretisch möglich generierte FIDO Credentials zu exportieren, wobei meines Wissens nach zumindest die PIN benötigt wird. Normal sind die Credentials nicht exportierbar, damit niemand deinen Stick klonen kann.
Daten zum Account sind normal nur nötig, um den servicespezifischen Schlüssel zu generieren. Die würde ich aber als "bekannt" bzw. nicht als Sicherheitsfeature ansehen.

Wenn du Zertifikate nutzt, ist zumindest RSA nicht betroffen. Wobei deine Firmware leider noch keine 4k Schlüssel unterstützt.

Ärgerlich finde ich, dass selbst für Firmen die direkt bei Yubico bestellen noch alte Firmware Versionen ausgeliefert werden. Kaufmännisch ist das verständlich, da sich die Firmware gegen Änderungen gesperrt ist, aber wer als Kunde keine besonderen Sicherheitsanforderungen anmeldet ist quasi Kunde 2. Klasse.

 

[linuxnutzer]

Du hast vergessen den Stick zu nennen.

Steht eigentlich zu Beginn.

Yubico Sicherheitsschlüssel NFC – Schwarz – Zwei-Faktor-Authentifizierung (2FA) Sicherheitsschlüssel, Verbindung über USB-A oder NFC, FIDO U2F/FIDO2 Zertifiziert

dass es um einen Yubikey 5 NFC

Nein, keine 5er Serie.

Gekauft wurde der im Januar als Backup-Stick für die ID-Austria, aber nie verwendet.

Und nun wird nach einer nicht so kritischen Verwendung gesucht.



Eventuell ist eine Verwendung in Verbindung mit LUKS-Partitionen denkbar.

 

[Renegade334]

Stimmt, war ein freundscher Fehler, weil ich grad meinen 5er mit 5.4.3 vor mir liegen hatte.
Security Key Series hat kein PIV, aber zumindest die Aussagen zu FIDO bleiben.

//Edit:
Wobei die Nutzung für ID Austria eigentlich kein Problem ist. Außer du hast Bedenken, dass jemand mit Zugriff auf deinen Stick und der PIN eine Kopie anfertigt.

 

[linuxnutzer]

Was ist PIV bzw. wofür wird es verwendet?

Ergänzung (21. Dezember 2024)

Fraglich ist ja auch, ob man da nach fast 1 Jahr, gekauft im Jan., noch reklamieren kann? Der Bug wurde ca. im September veröffentlicht. Versprochen wurde ja ID-Austria, habe allerdings keinen Screenshot und damals hatte den A-Trust auch noch als kompatibel gelistet.

 

[madmax2010]

Yubico Sicherheitsschlüssel NFC –

ohh, also der ganz einfache ohne alles mit nur NFC und FIDO

Hast du denn Sicherheitsluecken die den betreffen auf dem Schirm?

PIV

-> https://en.wikipedia.org/wiki/FIPS_201
Signaturen, Smartcards usw

 

[Renegade334]

PIV steht für Personal Identity Verification. Damit kannst du z.B. Zertifikate für digitale Unterschriften, Mail und Dokumentensignatur oder Anmeldungen speichern. Das sind teils Funktionen, die auch einmal für den Personalausweis gedacht waren, aber gestrichen wurden. Soweit ich weiß auch in Österreich.

Einfach gesagt ersetzt das klassische Smartcards + Lesegeräte.

 

[linuxnutzer]

Wobei die Nutzung für ID Austria eigentlich kein Problem ist. Außer du hast Bedenken, dass jemand mit Zugriff auf deinen Stick und der PIN eine Kopie anfertigt.

Das schreibt A-Trust auch, aber sperrt ihn trotzdem. Wie schon geschrieben, war als Backup-Stick gedacht.

 

[Renegade334]

Ok das ändert natürlich die Lage.
Wenn der Anbieter das Modell ausließt und sperrt, kannst du den natürlich nicht mehr nutzen, egal wie du selbst die Gefahr einschätzt...

Für Zugang zu anderen Diensten kann man den aber normal immer noch registrieren.
Und wenn es nur als "Backup" Stick ist, falls der neue kaputt oder verloren geht.
Ein Zweitstick wird (bei nicht durch einen Admin verwalteten Diensten) eh gerne als Backup empfohlen, damit man nicht auf Mail oder Telefon als Rücksetzmethode ausweichen muss.

 

[linuxnutzer]

Für Zugang zu anderen Diensten kann man den aber normal immer noch registrieren.

Deswegen eigentlich der Thread, mir fällt nichts ein, wo ich den sinnvoll nutzen könnte. Für Emails, dass ich von Computerbase ein Mail erhalten habe, ist das wohl übertriebene Sicherheit. Da ich selber einen Mailserver betreibe, stehe ich da sowieso an.

Und wenn es nur als "Backup" Stick ist, falls der neue kaputt oder verloren geht.

Wie soll das gehen? War ja so gedacht, dass der verlinkt wird. Siehe Screenshot oben.

So sollte es aussehen:



Das war ein "einfacher" Yubico-Stick mit 5.7.1

Es wird alles noch komplizierter, da beruflich und privat getrennt wird, da brauche ich dann 2 Sticks als Backup.

 

[Renegade334]

Ja Mail wäre sonst einer meiner Vorschläge gewesen, da dort meist auch für alle anderen Dienste die Kennwortrücksetzmails ankommen.
Auf Anhieb fallen mir Cloud Anbieter (auch selbstgehosted) ein, Dienste wie PayPal oder auch Amazon unterstützen FIDO. Wenn man durchschaut was man alles nutzt, findet man einige Dienste die FIDO als 2. Faktor oder alternativen Login anbieten. Die meisten Social Media Anbieter unterstützen das auch, was z.B. interessant ist, sobald man sich bei anderen Diensten mit "Anmeldung über Facebook/Google/..." anmeldet.

Die Frage ist nur, wo man es wirklich nutzen möchte. Ich will z.B. auch nicht für den Zugriff auf ein Forum einen Hardwaretoken nutzen müssen.

Um einen Stick als Backup zu hinterlegen, muss man bei einem Dienst mehrere Sticks hinterlegen. Da man, abgesehen von dieser Sicherheitslücke, ja den Key nicht exportieren und auf einen weiteren Stick ablegen kann, ist das die einzige Methode.

 

[linuxnutzer]

Ja Mail wäre sonst einer meiner Vorschläge gewesen,

Die Situation hier ist eine spezielle. Es geht um ein Haus mit mehreren Familienmitgliedern. Die Mails holt ein Server ab, ordnet sie Usern zu und stellt sie als lokalen IMAP-Server (dovecot) zur Verfügung.

Da ist also nichts mit Fido2-Stick, Google braucht App-PW und M$-Mails brauchen eine Sonderbehandlung.

Dienste wie PayPal

Interessanter Hinweis. Ist aber auch nicht unproblematisch. Passiert ab und zu, dass jemand wegen einem PIN für Paypal anruft, weil Handy zu Hause zum Laden und anderes Handy verwendet wird. Da wird dann Double Ratchet verschlüsselt per Messenger versendet.

Verzichtet dann Paypal auf die SMS? Ich muss noch über die Anwendung nachdenken, wird nicht einfach, wenn ein Familienmitglied was vom Paypal-Konto bezahlen soll und der Fido-Stick ist nicht da. Bei befristeten Angeboten kauft oft ein anderes Familienmitglied zu Hause ein.

enn man durchschaut was man alles nutzt, findet man einige Dienste die FIDO als 2. Faktor oder alternativen Login anbieten. Die meisten Social Media Anbieter unterstützen das auch

Ich denke intensiv darüber nach, mir fällt nichts ein. Problematik sind zu Hause mehrere PCs, dann läuft man erst mal durch das Haus den Fido-Stick holen / suchen.

Innerhalb der Familie haben wir aufgehört User + PW zu benutzen, es gibt besseres (simplex chat), aber nicht jedermann beizubrigen.

Um einen Stick als Backup zu hinterlegen, muss man bei einem Dienst mehrere Sticks hinterlegen

Ja eben, also neuen Fido2-Stick kaufen und der alte liegt rum.

Auch als LUKS-Passwort-Ersatz ist das so eine Sache. Wenn ich die Backups per Luks und Fido-Key schütze, ist es die Frage, ob man da mehrere Sticks verknüpfen kann, PW ist ja möglich. Wäre ja blöd, Unfall mit Todesfolge und die Erben kommen nicht an das Backup.

 

[Renegade334]

Bei gemeinsamen Konten würde ich das auch nicht nutzen, genau aus den von dir genannten Gründen.
Ich bin da allerdings auch etwas "speziell". Bei mir haben die PCs eine zentrale Anmeldung und es werden für quasi alles pro Person eigene Konten genutzt. Auch für Amazon und PayPal habe ich kein allgemeines Familienkonto.

Man muss den Key dabei haben, wenn eine Bestätigung notwendig ist.
Für meinen Keepass Container nutze ich auch absichtlich noch ein Passwort.

Es gibt halt auch Anwendungen, gerade bei Verschlüsselung, bei denen es nicht vorgesehen ist, mehrere Sticks zu hinterlegen. Bei manchen Systemen gibt es die Möglichkeit mehrere erlaubte Schlüssel zu hinterlegen. Beispielsweise einen "Masterschlüssel" für Admins oder mehrere erlaubte Benutzer bei Dateiverschlüsselung. Oft wird dann auch ein eigentlich zufälliger Schlüssel generiert für jeden erlaubten Nutzer mit dessen öffentlichem Schlüssel hinterlegt. Dann hat man nur den "Schlüssel zum Schlüssel" und nicht den für die Verschlüsselung genutzten.
Wie genau das gelöst wird ist an sich auch egal, aber wichtig ist, dass nicht jede Software mehrere Schlüssel unterstützt.

Notfalls kannst du den Key noch jemand anderem schenken, der Dienste damit absichern möchte
Jetzt auf Biegen und Brechen Anwendungsfälle zu suchen/fabrizieren ist ja auch nicht unbedingt sinnvoll.

Solange die Kennwörter nicht mehrfach genutzt werden und halbwegs sicher sind, ist es für viele kein Problem mit Passwörtern zu arbeiten. Man ist halt anfälliger für Phishing und bei Leaks von Diensten. Wenn deine Logindaten z.B. für CB bekannt würden, sollte das Kennwort nicht auch für dein Mailpostfach aus dem Login passen. Das wäre ein Totalschaden, da man dort normal von fast all deinen Diensten Mails finden und die Kennwörter zurücksetzen kann. Aber auch einfaches durchprobieren der Daten bei anderen beliebten Diensten funktioniert viel zu oft...

 

[linuxnutzer]

und es werden für quasi alles pro Person eigene Konten genutzt

Hier auch. Aber es geht eigentlich nur darum, mehrere Personan an mehreren PCs.

Jetzt auf Biegen und Brechen Anwendungsfälle zu suchen/fabrizieren ist ja auch nicht unbedingt sinnvoll.

Ich denke die Diskussion dazu regt schon an.

Ich bin jetzt am Überlegen, welche SItuation unterwegs sinnvoll sein konnte. Da ist mal grundsätzlich 1 Person an 1 Gerät.

Nur, Internetbanking verwende ich grundsätzlich nicht mit mobilen Geräten. Der Bedarf ist nicht gegeben.

Für Zugriff von einem externen PC zum anderen zu Hause via ssh, sind PW nicht erlaubt, funktioniert über RSA 4096, etc. Da sehe ich auch keinen Einsatzzweck.

Ich verwende grundsätzlich nur das Netz des eigenen Handys und nie ein fremdes WLAN, etc.

Also, wenn wem eine Anwendung für außer Haus mit Fido2-Stick einfällt. dann bitte gerne.

Solange die Kennwörter nicht mehrfach genutzt werden und halbwegs sicher sind, ist es für viele kein Problem mit Passwörtern zu arbeiten.

Sehe ich auch so, Google verschlechtert mit den App-PW meine eigenen PW um Potenzen. 16 Zeichen Kleinbuchstaben, das ist wohl megaschwach.

¢øµþ↓ŧ€¶”æſ€

Einfaches PW, das oft nicht als PW akzeptiert wird, zB Paypal. Ich hoffe es ist klar, dass das auf "computerbase" basiert. Komplizierter und zufällig wird es dann, wenn man diese Zeichen als. 1 Zeichen bei jedem Wort in einem Satz verwendet.

 

[andy_0]

Ich sehe eine Hardware Key im Privatbereich als Backup, falls z.B. das Smartphone verloren geht. Bei Bedarf muss man z.B. irgendwie Zugang zu seinem Passwortmanager, Google Account etc erhalten.

 

[linuxnutzer]

Ich sehe eine Hardware Key im Privatbereich als Backup, falls z.B. das Smartphone verloren geht.

Ich auch und sonst bis jetzt nichts. Es geht aber nun darum, wenn man alte FW hat und damit kein Backup mehr machen kann, was man mit dem Stick macht. FW-Update ist bei Yubico aus Sicherheitsgründen nicht vorgesehen, kann ich akzeptieren. Verlinkung mit dem Stick mit der alten FW wird abgelehnt, also dieser Thread.

 

[andy_0]

Natürlich kannst du den weiterhin als 2FA Backup nutzen.

 

[linuxnutzer]

Natürlich kannst du

Siehe Diskussion oben, inkl. Screenshots. Es geht um ein ID-Austria Backup, falls das nicht klar ist.