Laut c't macht Apple da nicht mit und will sein eigenes Süppchen kochen.
Der c-T-Artikel ist hier

Ich persönlich finde das interessant, würde es aber nur in Verbindung mit einem PW nutzen wollen, denn ich will ja keinen Generalschlüssel zu all einen Daten und Konten offen rumliegen haben.
Neben diversen anderen kritischen Aspekten kommt für mich hinzu, dass der USB-Standard sich so schnell ändert, dass ich nicht wüsste, welches Token ich mir zulegen sollte. BT vielleicht? und wenn grade die Knopfzelle alle ist? Die Welt ist wieder mal kompliziert

Hier die Meinung zu Apples Verhalten

Oh, echt kein Thema?

So n Ding am Schlüsselbund... ich weiß nicht. Aber wer weiß, wie es noch besser technisch umgesetzt wird. So jedenfalls ziehe den Finger oder das Gesicht. bei der „Passwort“-Entsperrung noch vor.

Die Sache ist ja, dass FIDO2 das Passwort ersetzt. Bei Apple wird ja nur mit Finger oder Gesicht das eigentliche Passwort "freigegeben". Finde das ein interessantes Thema, wird aber leider noch dauern bis es Flächendeckend überall eingesetzt werden kann. Werde mir aber denke mal so einen Schlüssel besorgen.

Wie verknüpft man FIDO2 mit den eigenen Geräten?

piik Falls du ausschließlich in der Apple-Welt unterwegs bist stellt sich momentan die Frage nach dem USB-Standard eh nicht, da die Unterstützung fehlt.
Bei anderen Geräten bietet sich USB-C an (falls bereits vorhanden). An der Mechanik des Anschlusses wird sich so schnell nicht wieder was ändern. In der Vergangenheit war es so, das neuere USB-Geräte abwärtskompatibel waren, also besteht eine gewisse Chance, das ein heute gekaufter USB-C-Stick auch in 5 Jahren noch mit neuen Geräten läuft. Davon abgesehen scheinen die nicht viel zu kosten, ein neuer ist daher eine überschaubare Investition.
Es soll auch einen Stick geben , (ab Minute 24) der auf der einen Seite USB-C und auf der anderen Seite Lightning hat, den kannst du dann (wenn Apple mal soweit ist) sowohl am Mac als auch im iOS-Gerät benutzen.

Auf jeden Fall ein spannendes Thema, denn das der Ansatz über Benutzername und Kennwort nicht wirklich sinnvoll ist, dafür gibt es mehr als genug schiefgegangene Beispiele.
Wenn dann das ganze so gemacht wird, das per Touch- oder Face-ID erst der Stick freigegeben wird, und der dann den fraglichen Dienst aktiviert, dann ist auch das verlieren des Sticks halb so wild.

Ich vermute dass da bald etwas Entsprechendes kommt, denn ich kann mir nicht vorstellen das der Hersteller ohne etwas Genaueres zu wissen einfach Hardware auf den Markt wirft.Zumal ja der Stick bereits gekauft werden kann.
Quelle:

Ob Apple „da nicht mitmacht“ kann ich nicht beurteilen, jedenfalls findet sich in den Safari 13 Beta 6 Release Notes folgendes:
Added support for FIDO2-compliant USB security keys with the Web Authentication standard in Safari on macOS.

Klingt für mich eher danach, dass Apple daran arbeitet und zumindest für macOS demnächst zur Verfügung stellt.

Hoffe ich auch mal. Wenn ja, kauf ich mir so einen Stick.

Wie geht man damit um, wenn so ein Stick defekt ist? Oder verloren geht?

Muss man sich um ein regelmäßiges Backup kümmern und kann dann einen Ersatz-Stick aus einem solchen Backup wiederherstellen?

Gute Frage!

Ich verstehe das Lamentieren nicht. Ich komme über die Keychain, 1PW o. Ä. bequem in meine Accounts, ohne daß Dritte davon erfahren. Meine Geheimnisse liegen auf meinem Rechner und sind dort durch Anmeldepasswort oder Biometrie geschützt.

Bei FIDO2 ist das Geheimnis ein Privater Schlüssel pro Account. Der liegt ebenfalls auf dem Rechner oder auf dem Speicher eines Dongles. Beides ist ebenfalls (nur) durch die Anmeldung geschützt. Durch die Verschlüsselung mit dem zugehörigen öffentlichen Schlüssel lassen sich die Daten für jeden Account individuell verschlüsseln. In der Keychain ist nur das Passwort geschützt. Das ist der Hauptunterschied.

Durch die unsymmetrische Verschlüsselung ist der Austausch der Legitimationsdaten gegen einen Angriff per "man in middle" geschützt. Das ist ein riesen Vorteil bei ungeschützten Internet-Verbindungen. Die sind allerdings selten geworden. Die Schwachstelle des Geheimnisses, der private Schlüssel, ist aber nach wie vor nur über die Anmeldung geschützt. Hier wäre eine "two factor authentification" angebracht. Dann habe ich aber zusätzlich ein weiteres Geheimnis einzugeben.

Apple will FIDO2 z.Zt. nur auf dem MAC und dort per Dongle unterstützen

Sehe ich das richtig, das es sich bei FIO2 lediglich um die Anmeldungen "bei Webseiten" handelt? Denn meines Wissens unterstützt Apple doch bereits seit Jahren bei der Anmeldung am Rechner diverse Hardwaretoken. Und mit den aktuelleren Safariversionen die automatisch "sichere" Passwörter generieren und dann im Schlüsselbund des jeweiligen Benutzers speichern ist das hier doch eigentlich gar nicht mehr so wichtig ob Fido2 nun unterstützt wird oder nicht. Außer, das man für die Benutzeranmeldung das gleiche Token wie für Fido2 nutzen können sollte.

Generell empfehle ich bei Interesse an dem Thema den Kauf der aktuellen c‘t dort steht es recht gut geschrieben

Ein wesentlicher Vorteil ist, dass es nicht ein public/private Schlüsselpaar gibt, sondern diese pro Domain erstellt werden. Das Beispiel im Artikel ist dann, dass der Angreifer paypa1.com registriert und Dich dort hinlockt.

Mit klassischem Passwort gibst Du es dort ein, der Angreifer nimmt es dankend und verwendet es bei Paypal.com

Mit Fido2 hingegen kriegt der Angreifer einen public key für paypa1.com, der ihm auf Paypal.com nichts hilft.

Generell auch zur Frage bei Verlust: einen Plan B haben, also z. B. einen zweiten registrierten Key oder sogenannte Backup-Codes, die man typischerweise bei der Registrierung bekommt und dann sicher speichern sollte.

Also mein Safari schlägt mir bei paypa1.com nix vor. Und da ich das Passwort eh nicht selber kenne sondern nur mein Schlüsselbund und Archiv, passiert mir da auch nix. Wer natürlich überall gleich, ohne mit der Brille genau zu schauen, seine Daten eingibt, der macht das dann halt und muß dafür büßen

Das tun sie aber nur, wenn Du den iCloud-Schlüsselbund aktivierst. Und das ist aus meiner Sicht ein totales No-Go.

Weia

M.W. mußt Du Deinen Schlüsselbund nicht in der Cloud speichern, sondern kannst das auch auf jedem Gerät extra. Die Synchronisierung mußt Du dann selbst übernehmen. Automatisch generierte Passworte mag ich nicht und brauche ich auch nicht. Den paar Accounts, die meine Zahlungsdaten haben, (allen voran natürlich die Apple ID) habe ich starke Passworte gegeben, die ich mir trotzdem merken kann. Bei datenhungrigen Accounts melde ich mich nicht an.

weia: Was ist am iCloud-Schlüsselbund so verwerflich? Das ist doch überaus praktisch. Man kann endlich sichere Passwörter nutzen ohne dass man sich diese merken muss.

Meine Bemerkung bezog sich explizit aber lediglich auf automatisch generierte Passwörter.

Natürlich kann ich auf jedem Gerät den Schlüsselbund als solchen verwenden, das stand doch gar nicht zur Debatte.

Meinst Du die Frage ernst? Du legst alle Deine Passwörter, gesammelt in einer einzigen Datei, in einer fremden Cloud ab, über die Du keinerlei Kontrolle hast?
Das kannst Du auch, ohne den Schlüsselbund in einer Cloud abzulegen.

Wenn Dir der kleine Komfortgewinn, nur einen Schlüsselbund für mehrere Geräte zu nutzen, mehr wert ist als die Sicherheit, dass Deine geheimsten Daten nicht im Internet unter fremder Kontrolle liegen, dann fällt mir dazu nichts mehr ein.

Stimmt aber trotzdem nicht was Du hier behauptest: Verwalte hunderte Geräte per MDM und iCloud ist dort überall komplett gesperrt (sprich: verboten), zusätzlich sogar in den Firewalls unterbunden.

Die neueren Versionen von Safari können Dir trotzdem sichere Kennwörter generieren, also völlig unabhängig von der iCloud oder auch von der Schlüsselbund-Synchronisierung.

Ich verwalte aber keine hunderte Geräte per MDM, weil ich so viele Macs gar nicht habe. Und insofern stimmt es eben leider sehr wohl.
Nein, ohne solch (für Einzelanwender) exotische Spezialsituationen wie MDM eben nicht.

Die Frage ist dabei nicht, ob Safari es kann. Natürlich könnte es das. Es weigert sich aber, solange der iCloud-Schlüsselbund nicht aktiviert ist, weil, so Apples Logik, diese schwierig zu merkenden Passwörter dann ja nicht auf allen Geräten automatisch zur Verfügung stünden. Dass man das möglicherweise gar nicht will, kommt in Apples Denke nicht vor.

Weia: Noch einmal, das ist nicht korrekt, was Du hier erzählst.

Ich habe noch nie das iCloud-Schlüsselbund aktiviert, trotzdem werden mir in Safari Kennwörter vorgeschlagen (auch wenn ich es letztlich nicht nutze, sondern 1Password sowie KeePassXC).

Um das zu prüfen, habe ich zusätzlich gerade einen Test-Account angelegt (auf einem nicht verwalteten Mac, also ohne MDM), der überhaupt keine Apple ID oder iCloud-Anmeldung hat – auch hier: sichere Kennwörter werden innerhalb von Safari generiert/vorgeschlagen und dann auch entsprechend gespeichert wenn man das wünscht.

Scheinbar missverstehen wir uns und reden aneinander vorbei?

Das freut mich ja aufrichtig für Dich. Bei mir ist es leider nicht so:

ich muss Marcel_75@work recht geben. Auch hier ist der icloud-Schlüsselbund nicht aktiviert, und dennoch ist Safari in der Lage, sichere Passwörter vorzuschlagen. Gespeichert werden die dann zwangsläufig nur lokal, was für mich ok ist.

Weia
in deinem screenshot ist das entscheidende Detail das Wörtchen und. Safari kann ein sicheres PW vorschlagen und auf allen Geräten synchronisieren. Warum das bei dir so angezeigt wird bliebe zu klären. Vielleicht gehts du dem mal nach?

Nein, kann es nicht (bzw. eben nur, wie der Text ganz klar sagt, Bei aktivem iCloud-Schlüsselbund). Wo siehst Du die Möglichkeit dazu auf dem Screenshot? Ich kann das Info-Kästchen wegklicken, und das war es dann. Das Passwort muss ich mir selbst ausdenken.

Wenn der iCloud-Schlüsselbund hingegen aktiviert wäre, wäre rechts in dem Passwort-Textfeld ein kleiner schwarzer Dropdown-Pfeil, der das Generieren eines Passworts anbieten würde.
Das bin ich längst. Apples Antwort (sprich, die Antwort des zuständigen Safari-Ingenieurs) war wie oben zitiert:

Liegt das unterschiedliche Verhalten eventuell am System? Bei mir läuft HS mit aktuellem Safari, was ist bei euch (Marcel_75@work und Weia) im Einsatz?

Alles zwischen 10.9 und 10.14.

10.12.6, 10.13.6 und 10.14.6 – mit "frischen" User getestet unter 10.14.6 … keine Ahnung, was Weia da bei sich eingestellt hat, auf alle Fälle ist das nicht das Standard-Verhalten in Safari, sondern nur bei ihm so.

Die Daten in der Cloud sind ohne das Master-Passwort (in diesem Fall das Passwort meiner Apple ID) völlig wertlos, da 256-bit AES verschlüsselt UND zusätzlich durch Zwei-Faktor-Auth. geschützt. Ich mache das auch so. Der 1Password-Tresor ist ebenfalls in der iCloud.

Mein Aluhut ist allerdings auch gerade in der Reinigung ...

Ergänzend:

Mit Master-Passwort aber nicht. Und Dein Apple-ID-Passwort zu bekommen, dürfte für Apple ggf. kein Problem sein (und vielleicht auch für andere …)
Diese billige Polemik macht Deine Argumente nicht besser. Du argumentierst rein technisch (AES has never been cracked yet), während die Probleme natürlich im sozialen und sozialpsychologischen Bereich liegen.

Da ich Safari nur selten benutze, habe ich an den Default-Einstellungen meiner Erinnerung nach nichts groß verändert.

Außerm weiß ich, dass ich definitiv nicht der Einzige bin, der sich mit diesem Problem herumärgert.

Na wenn Apple tatsächlich in der Lage ist, mein Apple ID-Passwort abzufragen (wofür ich gerne erstmal Beweise hätte), dann sind sie sicher auch in der Lage, sich damit via Dateifreigabe auf meinen Mac zu schalten und dort die lokalen Volumes nach dem Schlüsselbund zu durchsuchen.

Ich argumentiere rein technisch, da es ein rein technisches Thema (siehe oben) ist. Sollte aufgrund meiner sozialen Beziehungen Jemand an mein Passwort (welches nirgendwo gespeichert oder niedergeschrieben ist, außer in meinem Kopf) kommen, dann hat diese Person sicher auch die Möglichkeit, auf meinen lokalen Rechner zugreifen.

Was brauchst Du da für Beweise? Ich sage ja nicht, dass sie das hier und heute tun, aber dass es für sie ein Leichtes wäre, etwa unter politischem Druck diejenigen ihrer Webseiten, auf denen Deine Apple-ID samt Passwort abgefragt werden, so zu manipulieren, dass sie das könnten, ohne dass Du das merkst, ist doch vollkommen offensichtlich.
Schon, aber letztlich ist Dein lokaler Rechner noch unter Deiner Kontrolle, Du kannst den Netzwerkverkehr analysieren, Firewalls aktivieren etc.

iCloud irgendwo in der großen weiten Welt entzieht sich Deiner Kontrolle vollständig; Du musst Apple diesbezüglich vertrauen.
Ist es nicht; genau das ist der große Irrtum. Wir bauen gesamtgesellschaftlich gesehen gerade riesige zentralistische Strukturen auf, und das kann sehr gefährlich werden, wenn sich die politischen Verhältnisse drastisch ändern sollten (was, wenn Du dich in der Welt so umguckst, ja nun nicht völlig weit hergeholt ist).
Ich rede aber weniger von persönlichen Beziehungen als von der politischen Großwetterlage.

Ist das jetzt nicht etwas weit am Thema vorbei?

Ich fasse mal zusammen:Tue ich.

Aus meiner Perspektive überhaupt nicht.

Für mich ist das der wichtigste Aspekt überhaupt, der gegen die gegenwärtige Cloud-Euphorie spricht.
Ja, das ist dann der zentrale Unterschied zwischen uns.

Wobei ich gar nicht sagen will, dass ich Apple als konkretem Unternehmen nicht vertraue; ich vertraue nicht darauf, dass die politische Situation so stabil bleibt, dass es irgendeine Rolle spielt, was ein einzelnes Unternehmen will oder auch nicht.

Ich finde es ziemlich frappierend, dass läppische 74 Jahre nach der größten Menschheitskatastrophe und der historischen Errungenschaft der Europäischen Union, die innerhalb ihrer Grenzen neue Kriege verhindert hat, nicht nur diese Europäische Union einen schlechten Ruf bekommen hat, sondern viele Menschen offenbar wie selbstverständlich davon ausgehen, dass ausgerechnet ab jetzt der ewige Frieden herrscht und dauerhafte Demokratie.

Ich meine der Bogen wird etwas zu weit gespannt.

Die Ausgangsfrage war: Ist der iCloud-Schlüsselbund sicher oder nicht. Für mich ist er das, und es ist ein sehr großer Komfortgewinn auf allen Geräten direkt die Passwörter zu haben. Das führt auch dazu, dass man eben nicht "123456!" als Passwort nimmt, sondern etwas sicheres, ggf. sogar die, die einem vorgeschlagen werden. Im Idealfall muss man dieses PW nämlich nie von Hand eingeben.

Lt. aktueller c't Ausgabe heißt es "Fast alle wichtigen Browser unterstützen FIDO2/U2F bereits. Nur Apple hat offenbar andere Prioritäten". Unterstützung durch Apple:

- WebAuthn API (Definiertes JavaScript-Interface, über das der Webdienst mit dem FIDO2-Modul des Browsers spricht):
-- Safari macOS: in Entwicklung
-- Safari iOS: nicht unterstützt

- U2F (Universal Second Factor; FIDO-Alliance spezifizierte Methode zur Zwei-Faktor-Authentifizierung)
-- Safari macOS: nicht untersützt
-- Safari iOD: nicht unterstützt

Das ist aber nicht die Frage einer subjektiven Meinung, sondern objektiver Fakten. Das wird heute gern verwechselt.

Es unterliegt nicht der Meinungsfreiheit, ob ein Verfahren sicher ist oder nicht. Es ist nicht einmal so absolut mit "ja" oder "nein" zu beantworten (OK, mit "nein" manchmal schon ).

Du kannst höchstens eine Risikoabschätzung basieren auf Deiner persönlichen Nutzung und der Wertigkeit der dort abgelegten Daten vornehmen. "Sicher" ist eine absolute Aussage, und die kannst Du (oder irgendwer) überhaupt nicht fundiert treffen:

• Die beteiligte Software ist nicht quelloffen, weder auf der Client- noch auf der Serverseite
• Selbst wenn sie es wäre, bist Du vermutlich kein Kryptologe, der eine fundierte Aussage zur Sicherheit der Implementierung der Verschlüsselung treffen kann
• Selbst wenn sie es jetzt wäre, ist nicht garantiert, daß sie es morgen auch noch ist (Stichworte: Konzept- und Implementierungsfehler, technischer Fortschritt wie Quantencomputer)
• Die Server, auf denen die Daten liegen, sind vollkommen außerhalb Deiner Kontrollsphäre, und Du kannst nicht sagen, wer welche Art von Zugriff darauf hat
• Der Hersteller der Software und Betreiber der Server unterliegt amerikanischer Jurisdiktion und kann ggf. gezwungen werden, geeignete Voraussetzungen zum Zugriff auf Deine Daten zu schaffen
• Die Integrität der Geräte, von denen aus Du die Daten nutzt, ist nicht gewährleistet (siehe z.B. MTN-News von heute, 09:28)
• Für potentielle Angreifer ist jeglicher Cloud-Dienst, der von Millionen von Kunden genutzt wird, ein außerordentlich attraktives Ziel

Und das ist mit Sicherheit nicht alles. Du wirst schon an der obenstehenden Liste erkennen, daß Du nicht einmal alle Punkte ausschließen kannst, wenn Du keine Cloud-Dienste nutzt, aber durchaus einige davon - und wie gesagt, wir reden nicht von absoluter Sicherheit (weil das nicht realistisch ist), sondern von Wahrscheinlichkeiten.

Kurz zusammengefaßt: Sicher ist anders.

Will ich einem solchen Service kritische Daten anvertrauen? Kontonummern, Zugangsdaten zu Bankkonten, Gesundheitsdaten? Für ein wenig Bequemlichkeit im Gegenzug? Meine Antwort ist definitiv "nein".

Wenn Deine Antwort "ja" ist, dann ist das natürlich Deine Entscheidung ... aber dann mache Dir zumindest klar, daß die von Dir so groß empfundene Sicherheit und das Apple (oder anderen Dienstleistern im Cloud-Geschäft) entgegengebrachte Vertrauen von ziemlichem Optimismus getragen ist.

Peter Eckel

Eigentlich sind „+1“-Beiträge in Zeiten des Bewertungssystems und überhaupt ja zu Recht nicht gern gesehen, aber diesem Beitrag möchte ich doch ausdrücklich zustimmen bzw. ihn dick unterstreichen.

Ich wollte auch schon was zu diesem unsinnigen für mich sagen, aber weil ich eh viel zu viel schreibe und mir auch gerne Wortklauberei vorgeworfen wird, habe ich es dann gelassen. Umso mehr Danke für Deinen Beitrag!

Und wenn man dann die wechselnden Standards für USB anschaut, sieht es von heute so aus, als wenn ein Stick mit USB C Zukunft hätte. Aber eben keine Gegenwart, denn aktuell habe ich auch noch echtes USB 3.0 oder Lightning.
Könnte man auf Bluetooth setzen, aber echt sowas? Über 10m Luft mitschneidbar?
Bliebe noch NFC, was eine super Sache wäre, wenn denn PCs und Macs damit ausgestattet oder zumindes nachrüstbar wären, was Unterstützung von Windows 10, OS X und Linux voraussetzen würde.
Für mich aktuell nicht entscheidbar - also bleibt schlicht abwarten.

Es gibt Neuigkeiten von Yubico:

Aufgrund der Meldung von Yubico gibts inzwischen von Heise einen neuen Artikel:

Ich war zudem so frei und hab bei Hetzner nachgefragt, ob die Unterstützung für FIDO2 anbieten. Da hieß es lapidar: nichts in Planung
Aber ob das schon deren letztes Wort war, wenn immer mehr Kunden nachfragen?

Im gestern erschienenen Safari 13 ist jetzt auch Unterstützung für FIDO2 drin.

Nein muss man nicht. Zwei-Faktor-Authentifizierung hat meistens einen einen dritten Backup-Faktor. SMS - Codegenerator - Mail - Telefon oder einen Wiederherstellungscode den man ausdrucken kann.

Und knackt ein anderer wie auch immer Dein Passwort kann er sich einloggen. Unabhängig davon, wo und wie sicher Du Deine Passwörter speicherst.Nein. Der geheime Schlüssel ist nicht durch passwort gesichert, sondern technisch unauslesbar. Das Gerät erzeugt auf eine Challenge eine Response aus der die Gegenseite sehen kann, daß sie mit dem korrekten geheimen Schlüssel generiert wurde. Das Minipasswort dient nur zum Schutz, daß ein Dieb nicht einfach den Key benutzen kann

Man kann den Key nicht backupen, da der geheime Schlüssel nicht auslesbar ist. Als Backup sollte man eine weitere Variante (SMS, 2. Key, etc.) einbinden um im Notfall (Verlust des Keys) einen neuen Key einbinden zu können. Das ist ganz wichtig, um den Account nicht komplett zu verlieren.

Was oft übersehen wird. In Zeiten des AlwaysON liegen alle Daten in der "Cloud". Die einen bei professionellen, sicherheitsorientierten Anbietern, wie zb. Apple, die anderen Zuhause, wo sie oft nichtmal durch eine halbwegs vernünftige Firewall vor Angreifern geschützt werden. Solange der eigene Router an ist, sind die Daten genauso in der "Cloud" wie bei professionellen Anbietern. Zuhause sind sie aber in der Regel erheblich schlechter geschützt.

Trotzdem sollte man bei der Cloudspeicherung aber natürlich auf namhafte Anbieter achten und nix bei Billigheimern oder unbekannten Anbietern hochladen. Eure Grundvorsicht kann ich durchaus verstehen.

Das liegt doch aber in der Natur der Sache und ist auch bei FIDO2 nicht anders. Nachdem es ja stets zumindest 1 Person geben soll, die das Geschützte lesen kann, wird es immer möglich sein, an die Daten zu gelangen, wenn man sich in die Position dieser einen Person bringt. Unterschiedlich ist nur, wie schwierig es ist, das zu tun. Unmöglich kann es prinzipiell nicht sein.
Das ist Unsinn. Ein Cloud-Rechner muss aus Prinzip von außen erreichbar sein und kann nur versuchen, den Personenkreis einzuschränken. Mein Rechner zuhause muss von niemandem von außen erreichbar sein; das ermöglicht eine um eine Größenordnung dichtere Absicherung. Dass die nicht 100% ist, ist geschenkt. 100% Sicherheit gibt es nicht.

Abgesehen davon ist ein Mac natürlich meist nicht AlwaysON; das gilt nur für iOS-Geräte.