Forum>Netzwerke>Was haltet ihr von FIDO2?

Was haltet ihr von FIDO2?

piik
piik23.08.1917:54
Laut c't macht Apple da nicht mit und will sein eigenes Süppchen kochen.
Der c-T-Artikel ist hier

Ich persönlich finde das interessant, würde es aber nur in Verbindung mit einem PW nutzen wollen, denn ich will ja keinen Generalschlüssel zu all einen Daten und Konten offen rumliegen haben.
Neben diversen anderen kritischen Aspekten kommt für mich hinzu, dass der USB-Standard sich so schnell ändert, dass ich nicht wüsste, welches Token ich mir zulegen sollte. BT vielleicht? und wenn grade die Knopfzelle alle ist? Die Welt ist wieder mal kompliziert

Hier die Meinung zu Apples Verhalten
„Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...“
+2

Kommentare

piik
piik23.08.1920:41
Oh, echt kein Thema?
„Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...“
0
tk69
tk6923.08.1921:07
So n Ding am Schlüsselbund... ich weiß nicht. Aber wer weiß, wie es noch besser technisch umgesetzt wird. So jedenfalls ziehe den Finger oder das Gesicht. bei der „Passwort“-Entsperrung noch vor.
+3
marcel15124.08.1904:16
Die Sache ist ja, dass FIDO2 das Passwort ersetzt. Bei Apple wird ja nur mit Finger oder Gesicht das eigentliche Passwort "freigegeben". Finde das ein interessantes Thema, wird aber leider noch dauern bis es Flächendeckend überall eingesetzt werden kann. Werde mir aber denke mal so einen Schlüssel besorgen.
+1
Igor Detlev24.08.1909:21
Wie verknüpft man FIDO2 mit den eigenen Geräten?
0
maculi
maculi24.08.1910:22
piik Falls du ausschließlich in der Apple-Welt unterwegs bist stellt sich momentan die Frage nach dem USB-Standard eh nicht, da die Unterstützung fehlt.
Bei anderen Geräten bietet sich USB-C an (falls bereits vorhanden). An der Mechanik des Anschlusses wird sich so schnell nicht wieder was ändern. In der Vergangenheit war es so, das neuere USB-Geräte abwärtskompatibel waren, also besteht eine gewisse Chance, das ein heute gekaufter USB-C-Stick auch in 5 Jahren noch mit neuen Geräten läuft. Davon abgesehen scheinen die nicht viel zu kosten, ein neuer ist daher eine überschaubare Investition.
Es soll auch einen Stick geben , (ab Minute 24) der auf der einen Seite USB-C und auf der anderen Seite Lightning hat, den kannst du dann (wenn Apple mal soweit ist) sowohl am Mac als auch im iOS-Gerät benutzen.

Auf jeden Fall ein spannendes Thema, denn das der Ansatz über Benutzername und Kennwort nicht wirklich sinnvoll ist, dafür gibt es mehr als genug schiefgegangene Beispiele.
Wenn dann das ganze so gemacht wird, das per Touch- oder Face-ID erst der Stick freigegeben wird, und der dann den fraglichen Dienst aktiviert, dann ist auch das verlieren des Sticks halb so wild.
-1
Bozol
Bozol24.08.1914:00
maculi
Es soll auch einen Stick geben , (ab Minute 24) der auf der einen Seite USB-C und auf der anderen Seite Lightning hat, den kannst du dann (wenn Apple mal soweit ist) sowohl am Mac als auch im iOS-Gerät benutzen.
Ich vermute dass da bald etwas Entsprechendes kommt, denn ich kann mir nicht vorstellen das der Hersteller ohne etwas Genaueres zu wissen einfach Hardware auf den Markt wirft.
Die Lightning-Version des YubiKey kostet 70 Dollar und ist ab sofort erhältlich, international ausgeliefert werden soll er im September.
Zumal ja der Stick bereits gekauft werden kann.
Quelle:
0
ThorsProvoni
ThorsProvoni24.08.1918:54
Ob Apple „da nicht mitmacht“ kann ich nicht beurteilen, jedenfalls findet sich in den Safari 13 Beta 6 Release Notes folgendes:
Added support for FIDO2-compliant USB security keys with the Web Authentication standard in Safari on macOS.

Klingt für mich eher danach, dass Apple daran arbeitet und zumindest für macOS demnächst zur Verfügung stellt.
+1
piik
piik24.08.1921:39
ThorsProvoni
Ob Apple „da nicht mitmacht“ kann ich nicht beurteilen, jedenfalls findet sich in den Safari 13 Beta 6 Release Notes folgendes:
Added support for FIDO2-compliant USB security keys with the Web Authentication standard in Safari on macOS.

Klingt für mich eher danach, dass Apple daran arbeitet und zumindest für macOS demnächst zur Verfügung stellt.
Hoffe ich auch mal. Wenn ja, kauf ich mir so einen Stick.
„Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...“
0
Marcel_75@work
Marcel_75@work26.08.1908:01
Wie geht man damit um, wenn so ein Stick defekt ist? Oder verloren geht?

Muss man sich um ein regelmäßiges Backup kümmern und kann dann einen Ersatz-Stick aus einem solchen Backup wiederherstellen?
+2
piik
piik26.08.1910:21
Marcel_75@work
Wie geht man damit um, wenn so ein Stick defekt ist? Oder verloren geht?

Muss man sich um ein regelmäßiges Backup kümmern und kann dann einen Ersatz-Stick aus einem solchen Backup wiederherstellen?
Gute Frage!
„Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...“
0
Wiesi
Wiesi26.08.1911:01
Ich verstehe das Lamentieren nicht. Ich komme über die Keychain, 1PW o. Ä. bequem in meine Accounts, ohne daß Dritte davon erfahren. Meine Geheimnisse liegen auf meinem Rechner und sind dort durch Anmeldepasswort oder Biometrie geschützt.

Bei FIDO2 ist das Geheimnis ein Privater Schlüssel pro Account. Der liegt ebenfalls auf dem Rechner oder auf dem Speicher eines Dongles. Beides ist ebenfalls (nur) durch die Anmeldung geschützt. Durch die Verschlüsselung mit dem zugehörigen öffentlichen Schlüssel lassen sich die Daten für jeden Account individuell verschlüsseln. In der Keychain ist nur das Passwort geschützt. Das ist der Hauptunterschied.

Durch die unsymmetrische Verschlüsselung ist der Austausch der Legitimationsdaten gegen einen Angriff per "man in middle" geschützt. Das ist ein riesen Vorteil bei ungeschützten Internet-Verbindungen. Die sind allerdings selten geworden. Die Schwachstelle des Geheimnisses, der private Schlüssel, ist aber nach wie vor nur über die Anmeldung geschützt. Hier wäre eine "two factor authentification" angebracht. Dann habe ich aber zusätzlich ein weiteres Geheimnis einzugeben.

Apple will FIDO2 z.Zt. nur auf dem MAC und dort per Dongle unterstützen
„Everything should be as simple as possible, but not simpler“
+2
MikeMuc26.08.1911:22
Sehe ich das richtig, das es sich bei FIO2 lediglich um die Anmeldungen "bei Webseiten" handelt? Denn meines Wissens unterstützt Apple doch bereits seit Jahren bei der Anmeldung am Rechner diverse Hardwaretoken. Und mit den aktuelleren Safariversionen die automatisch "sichere" Passwörter generieren und dann im Schlüsselbund des jeweiligen Benutzers speichern ist das hier doch eigentlich gar nicht mehr so wichtig ob Fido2 nun unterstützt wird oder nicht. Außer, das man für die Benutzeranmeldung das gleiche Token wie für Fido2 nutzen können sollte.
0
liGhun
liGhun26.08.1919:42
Generell empfehle ich bei Interesse an dem Thema den Kauf der aktuellen c‘t dort steht es recht gut geschrieben

Ein wesentlicher Vorteil ist, dass es nicht ein public/private Schlüsselpaar gibt, sondern diese pro Domain erstellt werden. Das Beispiel im Artikel ist dann, dass der Angreifer paypa1.com registriert und Dich dort hinlockt.

Mit klassischem Passwort gibst Du es dort ein, der Angreifer nimmt es dankend und verwendet es bei Paypal.com

Mit Fido2 hingegen kriegt der Angreifer einen public key für paypa1.com, der ihm auf Paypal.com nichts hilft.

Generell auch zur Frage bei Verlust: einen Plan B haben, also z. B. einen zweiten registrierten Key oder sogenannte Backup-Codes, die man typischerweise bei der Registrierung bekommt und dann sicher speichern sollte.
+2
MikeMuc26.08.1920:01
Also mein Safari schlägt mir bei paypa1.com nix vor. Und da ich das Passwort eh nicht selber kenne sondern nur mein Schlüsselbund und Archiv, passiert mir da auch nix. Wer natürlich überall gleich, ohne mit der Brille genau zu schauen, seine Daten eingibt, der macht das dann halt und muß dafür büßen
+1
Weia
Weia26.08.1920:17
MikeMuc
Und mit den aktuelleren Safariversionen die automatisch "sichere" Passwörter generieren und dann im Schlüsselbund des jeweiligen Benutzers speichern
Das tun sie aber nur, wenn Du den iCloud-Schlüsselbund aktivierst. Und das ist aus meiner Sicht ein totales No-Go.
-1
Wiesi
Wiesi26.08.1922:40
Weia

M.W. mußt Du Deinen Schlüsselbund nicht in der Cloud speichern, sondern kannst das auch auf jedem Gerät extra. Die Synchronisierung mußt Du dann selbst übernehmen. Automatisch generierte Passworte mag ich nicht und brauche ich auch nicht. Den paar Accounts, die meine Zahlungsdaten haben, (allen voran natürlich die Apple ID) habe ich starke Passworte gegeben, die ich mir trotzdem merken kann. Bei datenhungrigen Accounts melde ich mich nicht an.
„Everything should be as simple as possible, but not simpler“
+1
tranquillity
tranquillity27.08.1900:03
weia: Was ist am iCloud-Schlüsselbund so verwerflich? Das ist doch überaus praktisch. Man kann endlich sichere Passwörter nutzen ohne dass man sich diese merken muss.
+1
Weia
Weia27.08.1900:26
Wiesi
M.W. mußt Du Deinen Schlüsselbund nicht in der Cloud speichern, sondern kannst das auch auf jedem Gerät extra. Die Synchronisierung mußt Du dann selbst übernehmen. Automatisch generierte Passworte mag ich nicht und brauche ich auch nicht.
Meine Bemerkung bezog sich explizit aber lediglich auf automatisch generierte Passwörter.

Natürlich kann ich auf jedem Gerät den Schlüsselbund als solchen verwenden, das stand doch gar nicht zur Debatte.
0
Weia
Weia27.08.1900:30
tranquillity
weia: Was ist am iCloud-Schlüsselbund so verwerflich?
Meinst Du die Frage ernst? Du legst alle Deine Passwörter, gesammelt in einer einzigen Datei, in einer fremden Cloud ab, über die Du keinerlei Kontrolle hast?
Das ist doch überaus praktisch. Man kann endlich sichere Passwörter nutzen ohne dass man sich diese merken muss.
Das kannst Du auch, ohne den Schlüsselbund in einer Cloud abzulegen.

Wenn Dir der kleine Komfortgewinn, nur einen Schlüsselbund für mehrere Geräte zu nutzen, mehr wert ist als die Sicherheit, dass Deine geheimsten Daten nicht im Internet unter fremder Kontrolle liegen, dann fällt mir dazu nichts mehr ein.
+1
Marcel_75@work
Marcel_75@work29.08.1908:50
Weia
Meine Bemerkung bezog sich explizit aber lediglich auf automatisch generierte Passwörter.

Stimmt aber trotzdem nicht was Du hier behauptest: Verwalte hunderte Geräte per MDM und iCloud ist dort überall komplett gesperrt (sprich: verboten), zusätzlich sogar in den Firewalls unterbunden.

Die neueren Versionen von Safari können Dir trotzdem sichere Kennwörter generieren, also völlig unabhängig von der iCloud oder auch von der Schlüsselbund-Synchronisierung.
+1
Weia
Weia29.08.1911:09
Marcel_75@work
Weia
Meine Bemerkung bezog sich explizit aber lediglich auf automatisch generierte Passwörter.
Stimmt aber trotzdem nicht was Du hier behauptest: Verwalte hunderte Geräte per MDM
Ich verwalte aber keine hunderte Geräte per MDM, weil ich so viele Macs gar nicht habe. Und insofern stimmt es eben leider sehr wohl.
Die neueren Versionen von Safari können Dir trotzdem sichere Kennwörter generieren, also völlig unabhängig von der iCloud oder auch von der Schlüsselbund-Synchronisierung.
Nein, ohne solch (für Einzelanwender) exotische Spezialsituationen wie MDM eben nicht.

Die Frage ist dabei nicht, ob Safari es kann. Natürlich könnte es das. Es weigert sich aber, solange der iCloud-Schlüsselbund nicht aktiviert ist, weil, so Apples Logik, diese schwierig zu merkenden Passwörter dann ja nicht auf allen Geräten automatisch zur Verfügung stünden. Dass man das möglicherweise gar nicht will, kommt in Apples Denke nicht vor.
0
Marcel_75@work
Marcel_75@work29.08.1912:01
Weia: Noch einmal, das ist nicht korrekt, was Du hier erzählst.

Ich habe noch nie das iCloud-Schlüsselbund aktiviert, trotzdem werden mir in Safari Kennwörter vorgeschlagen (auch wenn ich es letztlich nicht nutze, sondern 1Password sowie KeePassXC).

Um das zu prüfen, habe ich zusätzlich gerade einen Test-Account angelegt (auf einem nicht verwalteten Mac, also ohne MDM), der überhaupt keine Apple ID oder iCloud-Anmeldung hat – auch hier: sichere Kennwörter werden innerhalb von Safari generiert/vorgeschlagen und dann auch entsprechend gespeichert wenn man das wünscht.

Scheinbar missverstehen wir uns und reden aneinander vorbei?
+1
Weia
Weia29.08.1912:31
Marcel_75@work
Ich habe noch nie das iCloud-Schlüsselbund aktiviert, trotzdem werden mir in Safari Kennwörter vorgeschlagen
Das freut mich ja aufrichtig für Dich. Bei mir ist es leider nicht so:

0
maculi
maculi29.08.1912:46
ich muss Marcel_75@work recht geben. Auch hier ist der icloud-Schlüsselbund nicht aktiviert, und dennoch ist Safari in der Lage, sichere Passwörter vorzuschlagen. Gespeichert werden die dann zwangsläufig nur lokal, was für mich ok ist.

Weia
in deinem screenshot ist das entscheidende Detail das Wörtchen und. Safari kann ein sicheres PW vorschlagen und auf allen Geräten synchronisieren. Warum das bei dir so angezeigt wird bliebe zu klären. Vielleicht gehts du dem mal nach?
+2
Weia
Weia29.08.1913:14
maculi
Weia
in deinem screenshot ist das entscheidende Detail das Wörtchen und. Safari kann ein sicheres PW vorschlagen und auf allen Geräten synchronisieren.
Nein, kann es nicht (bzw. eben nur, wie der Text ganz klar sagt, Bei aktivem iCloud-Schlüsselbund). Wo siehst Du die Möglichkeit dazu auf dem Screenshot? Ich kann das Info-Kästchen wegklicken, und das war es dann. Das Passwort muss ich mir selbst ausdenken.

Wenn der iCloud-Schlüsselbund hingegen aktiviert wäre, wäre rechts in dem Passwort-Textfeld ein kleiner schwarzer Dropdown-Pfeil, der das Generieren eines Passworts anbieten würde.
Warum das bei dir so angezeigt wird bliebe zu klären. Vielleicht gehts du dem mal nach?
Das bin ich längst. Apples Antwort (sprich, die Antwort des zuständigen Safari-Ingenieurs) war wie oben zitiert:
weil […] diese schwierig zu merkenden Passwörter dann ja nicht auf allen Geräten automatisch zur Verfügung stünden.
0
maculi
maculi29.08.1914:01
Liegt das unterschiedliche Verhalten eventuell am System? Bei mir läuft HS mit aktuellem Safari, was ist bei euch (Marcel_75@work und Weia) im Einsatz?
0
Weia
Weia29.08.1914:04
maculi
Liegt das unterschiedliche Verhalten eventuell am System? Bei mir läuft HS mit aktuellem Safari, was ist bei euch (Marcel_75@work und Weia) im Einsatz?
Alles zwischen 10.9 und 10.14.
0
Marcel_75@work
Marcel_75@work29.08.1915:21
maculi
Liegt das unterschiedliche Verhalten eventuell am System? Bei mir läuft HS mit aktuellem Safari, was ist bei euch (Marcel_75@work und Weia) im Einsatz?

10.12.6, 10.13.6 und 10.14.6 – mit "frischen" User getestet unter 10.14.6 … keine Ahnung, was Weia da bei sich eingestellt hat, auf alle Fälle ist das nicht das Standard-Verhalten in Safari, sondern nur bei ihm so.
+2
ApfelHandy4
ApfelHandy429.08.1916:09
Weia
tranquillity
weia: Was ist am iCloud-Schlüsselbund so verwerflich?
Meinst Du die Frage ernst? Du legst alle Deine Passwörter, gesammelt in einer einzigen Datei, in einer fremden Cloud ab, über die Du keinerlei Kontrolle hast?
Das ist doch überaus praktisch. Man kann endlich sichere Passwörter nutzen ohne dass man sich diese merken muss.
Das kannst Du auch, ohne den Schlüsselbund in einer Cloud abzulegen.

Wenn Dir der kleine Komfortgewinn, nur einen Schlüsselbund für mehrere Geräte zu nutzen, mehr wert ist als die Sicherheit, dass Deine geheimsten Daten nicht im Internet unter fremder Kontrolle liegen, dann fällt mir dazu nichts mehr ein.

Die Daten in der Cloud sind ohne das Master-Passwort (in diesem Fall das Passwort meiner Apple ID) völlig wertlos, da 256-bit AES verschlüsselt UND zusätzlich durch Zwei-Faktor-Auth. geschützt. Ich mache das auch so. Der 1Password-Tresor ist ebenfalls in der iCloud.

Mein Aluhut ist allerdings auch gerade in der Reinigung ...

Ergänzend:
https://www.eetimes.com/document.asp?doc_id=1279619#
If you assume:


Every person on the planet owns 10 computers.
There are 7 billion people on the planet.
Each of these computers can test 1 billion key combinations per second.
On average, you can crack the key after testing 50% of the possibilities.


Then the earth's population can crack one encryption key in 77,000,000,000,000,000,000,000,000 years!
https://www.eetimes.com/document.asp?doc_id=1279619#
The bottom line is that if AES could be compromised, the world would come to a standstill. The difference between cracking the AES-128 algorithm and AES-256 algorithm is considered minimal. Whatever breakthrough might crack 128-bit will probably also crack 256-bit.

In the end, AES has never been cracked yet and is safe against any brute force attacks contrary to belief and arguments. However, the key size used for encryption should always be large enough that it could not be cracked by modern computers despite considering advancements in processor speeds based on Moore's law.
+1
Weia
Weia29.08.1917:00
ApfelHandy4
Die Daten in der Cloud sind ohne das Master-Passwort (in diesem Fall das Passwort meiner Apple ID) völlig wertlos
Mit Master-Passwort aber nicht. Und Dein Apple-ID-Passwort zu bekommen, dürfte für Apple ggf. kein Problem sein (und vielleicht auch für andere …)
Mein Aluhut ist allerdings auch gerade in der Reinigung ...
Diese billige Polemik macht Deine Argumente nicht besser. Du argumentierst rein technisch (AES has never been cracked yet), während die Probleme natürlich im sozialen und sozialpsychologischen Bereich liegen.
0
Weia
Weia29.08.1917:02
Marcel_75@work
keine Ahnung, was Weia da bei sich eingestellt hat
Da ich Safari nur selten benutze, habe ich an den Default-Einstellungen meiner Erinnerung nach nichts groß verändert.

Außerm weiß ich, dass ich definitiv nicht der Einzige bin, der sich mit diesem Problem herumärgert.
-1
ApfelHandy4
ApfelHandy429.08.1917:32
Weia
ApfelHandy4
Die Daten in der Cloud sind ohne das Master-Passwort (in diesem Fall das Passwort meiner Apple ID) völlig wertlos
Mit Master-Passwort aber nicht. Und Dein Apple-ID-Passwort zu bekommen, dürfte für Apple ggf. kein Problem sein (und vielleicht auch für andere …)

Na wenn Apple tatsächlich in der Lage ist, mein Apple ID-Passwort abzufragen (wofür ich gerne erstmal Beweise hätte), dann sind sie sicher auch in der Lage, sich damit via Dateifreigabe auf meinen Mac zu schalten und dort die lokalen Volumes nach dem Schlüsselbund zu durchsuchen.
Weia
Mein Aluhut ist allerdings auch gerade in der Reinigung ...
Diese billige Polemik macht Deine Argumente nicht besser. Du argumentierst rein technisch (AES has never been cracked yet), während die Probleme natürlich im sozialen und sozialpsychologischen Bereich liegen.

Ich argumentiere rein technisch, da es ein rein technisches Thema (siehe oben) ist. Sollte aufgrund meiner sozialen Beziehungen Jemand an mein Passwort (welches nirgendwo gespeichert oder niedergeschrieben ist, außer in meinem Kopf) kommen, dann hat diese Person sicher auch die Möglichkeit, auf meinen lokalen Rechner zugreifen.
0
Weia
Weia29.08.1917:47
ApfelHandy4
Na wenn Apple tatsächlich in der Lage ist, mein Apple ID-Passwort abzufragen (wofür ich gerne erstmal Beweise hätte),
Was brauchst Du da für Beweise? Ich sage ja nicht, dass sie das hier und heute tun, aber dass es für sie ein Leichtes wäre, etwa unter politischem Druck diejenigen ihrer Webseiten, auf denen Deine Apple-ID samt Passwort abgefragt werden, so zu manipulieren, dass sie das könnten, ohne dass Du das merkst, ist doch vollkommen offensichtlich.
dann sind sie sicher auch in der Lage, sich damit via Dateifreigabe auf meinen Mac zu schalten
Schon, aber letztlich ist Dein lokaler Rechner noch unter Deiner Kontrolle, Du kannst den Netzwerkverkehr analysieren, Firewalls aktivieren etc.

iCloud irgendwo in der großen weiten Welt entzieht sich Deiner Kontrolle vollständig; Du musst Apple diesbezüglich vertrauen.
Ich argumentiere rein technisch, da es ein rein technisches Thema (siehe oben) ist.
Ist es nicht; genau das ist der große Irrtum. Wir bauen gesamtgesellschaftlich gesehen gerade riesige zentralistische Strukturen auf, und das kann sehr gefährlich werden, wenn sich die politischen Verhältnisse drastisch ändern sollten (was, wenn Du dich in der Welt so umguckst, ja nun nicht völlig weit hergeholt ist).
Sollte aufgrund meiner sozialen Beziehungen Jemand an mein Passwort (welches nirgendwo gespeichert oder niedergeschrieben ist, außer in meinem Kopf) kommen, dann hat diese Person sicher auch die Möglichkeit, auf meinen lokalen Rechner zugreifen.
Ich rede aber weniger von persönlichen Beziehungen als von der politischen Großwetterlage.
-1
ApfelHandy4
ApfelHandy429.08.1917:52
Weia
riesige zentralistische Strukturen
Weia
politischen Großwetterlage
Ist das jetzt nicht etwas weit am Thema vorbei?

Ich fasse mal zusammen:
Weia
Du musst Apple diesbezüglich vertrauen.
Tue ich.
0
Weia
Weia29.08.1918:05
ApfelHandy4
Weia
riesige zentralistische Strukturen
Weia
politischen Großwetterlage
Ist das jetzt nicht etwas weit am Thema vorbei?
Aus meiner Perspektive überhaupt nicht.

Für mich ist das der wichtigste Aspekt überhaupt, der gegen die gegenwärtige Cloud-Euphorie spricht.
Ich fasse mal zusammen:
Weia
Du musst Apple diesbezüglich vertrauen.
Tue ich.
Ja, das ist dann der zentrale Unterschied zwischen uns.

Wobei ich gar nicht sagen will, dass ich Apple als konkretem Unternehmen nicht vertraue; ich vertraue nicht darauf, dass die politische Situation so stabil bleibt, dass es irgendeine Rolle spielt, was ein einzelnes Unternehmen will oder auch nicht.

Ich finde es ziemlich frappierend, dass läppische 74 Jahre nach der größten Menschheitskatastrophe und der historischen Errungenschaft der Europäischen Union, die innerhalb ihrer Grenzen neue Kriege verhindert hat, nicht nur diese Europäische Union einen schlechten Ruf bekommen hat, sondern viele Menschen offenbar wie selbstverständlich davon ausgehen, dass ausgerechnet ab jetzt der ewige Frieden herrscht und dauerhafte Demokratie.
+1
tranquillity
tranquillity29.08.1918:21
Ich meine der Bogen wird etwas zu weit gespannt.

Die Ausgangsfrage war: Ist der iCloud-Schlüsselbund sicher oder nicht. Für mich ist er das, und es ist ein sehr großer Komfortgewinn auf allen Geräten direkt die Passwörter zu haben. Das führt auch dazu, dass man eben nicht "123456!" als Passwort nimmt, sondern etwas sicheres, ggf. sogar die, die einem vorgeschlagen werden. Im Idealfall muss man dieses PW nämlich nie von Hand eingeben.
0
Garak
Garak29.08.1920:00
piik
ThorsProvoni
Ob Apple „da nicht mitmacht“ kann ich nicht beurteilen, jedenfalls findet sich in den Safari 13 Beta 6 Release Notes folgendes:
Added support for FIDO2-compliant USB security keys with the Web Authentication standard in Safari on macOS.

Klingt für mich eher danach, dass Apple daran arbeitet und zumindest für macOS demnächst zur Verfügung stellt.

Hoffe ich auch mal. Wenn ja, kauf ich mir so einen Stick.

Lt. aktueller c't Ausgabe heißt es "Fast alle wichtigen Browser unterstützen FIDO2/U2F bereits. Nur Apple hat offenbar andere Prioritäten". Unterstützung durch Apple:

- WebAuthn API (Definiertes JavaScript-Interface, über das der Webdienst mit dem FIDO2-Modul des Browsers spricht):
-- Safari macOS: in Entwicklung
-- Safari iOS: nicht unterstützt

- U2F (Universal Second Factor; FIDO-Alliance spezifizierte Methode zur Zwei-Faktor-Authentifizierung)
-- Safari macOS: nicht untersützt
-- Safari iOD: nicht unterstützt
+3
Peter Eckel30.08.1912:17
tranquillity
Für mich ist er das
Das ist aber nicht die Frage einer subjektiven Meinung, sondern objektiver Fakten. Das wird heute gern verwechselt.

Es unterliegt nicht der Meinungsfreiheit, ob ein Verfahren sicher ist oder nicht. Es ist nicht einmal so absolut mit "ja" oder "nein" zu beantworten (OK, mit "nein" manchmal schon ).

Du kannst höchstens eine Risikoabschätzung basieren auf Deiner persönlichen Nutzung und der Wertigkeit der dort abgelegten Daten vornehmen. "Sicher" ist eine absolute Aussage, und die kannst Du (oder irgendwer) überhaupt nicht fundiert treffen:

  • Die beteiligte Software ist nicht quelloffen, weder auf der Client- noch auf der Serverseite
  • Selbst wenn sie es wäre, bist Du vermutlich kein Kryptologe, der eine fundierte Aussage zur Sicherheit der Implementierung der Verschlüsselung treffen kann
  • Selbst wenn sie es jetzt wäre, ist nicht garantiert, daß sie es morgen auch noch ist (Stichworte: Konzept- und Implementierungsfehler, technischer Fortschritt wie Quantencomputer)
  • Die Server, auf denen die Daten liegen, sind vollkommen außerhalb Deiner Kontrollsphäre, und Du kannst nicht sagen, wer welche Art von Zugriff darauf hat
  • Der Hersteller der Software und Betreiber der Server unterliegt amerikanischer Jurisdiktion und kann ggf. gezwungen werden, geeignete Voraussetzungen zum Zugriff auf Deine Daten zu schaffen
  • Die Integrität der Geräte, von denen aus Du die Daten nutzt, ist nicht gewährleistet (siehe z.B. MTN-News von heute, 09:28)
  • Für potentielle Angreifer ist jeglicher Cloud-Dienst, der von Millionen von Kunden genutzt wird, ein außerordentlich attraktives Ziel

Und das ist mit Sicherheit nicht alles. Du wirst schon an der obenstehenden Liste erkennen, daß Du nicht einmal alle Punkte ausschließen kannst, wenn Du keine Cloud-Dienste nutzt, aber durchaus einige davon - und wie gesagt, wir reden nicht von absoluter Sicherheit (weil das nicht realistisch ist), sondern von Wahrscheinlichkeiten.

Kurz zusammengefaßt: Sicher ist anders.

Will ich einem solchen Service kritische Daten anvertrauen? Kontonummern, Zugangsdaten zu Bankkonten, Gesundheitsdaten? Für ein wenig Bequemlichkeit im Gegenzug? Meine Antwort ist definitiv "nein".

Wenn Deine Antwort "ja" ist, dann ist das natürlich Deine Entscheidung ... aber dann mache Dir zumindest klar, daß die von Dir so groß empfundene Sicherheit und das Apple (oder anderen Dienstleistern im Cloud-Geschäft) entgegengebrachte Vertrauen von ziemlichem Optimismus getragen ist.
+4
Weia
Weia30.08.1912:49
Peter Eckel

Eigentlich sind „+1“-Beiträge in Zeiten des Bewertungssystems und überhaupt ja zu Recht nicht gern gesehen, aber diesem Beitrag möchte ich doch ausdrücklich zustimmen bzw. ihn dick unterstreichen.

Ich wollte auch schon was zu diesem unsinnigen für mich sagen, aber weil ich eh viel zu viel schreibe und mir auch gerne Wortklauberei vorgeworfen wird, habe ich es dann gelassen. Umso mehr Danke für Deinen Beitrag!
+2
piik
piik30.08.1914:37
Garak
Lt. aktueller c't Ausgabe heißt es "Fast alle wichtigen Browser unterstützen FIDO2/U2F bereits. Nur Apple hat offenbar andere Prioritäten". Unterstützung durch Apple:

- WebAuthn API (Definiertes JavaScript-Interface, über das der Webdienst mit dem FIDO2-Modul des Browsers spricht):
-- Safari macOS: in Entwicklung
-- Safari iOS: nicht unterstützt

- U2F (Universal Second Factor; FIDO-Alliance spezifizierte Methode zur Zwei-Faktor-Authentifizierung)
-- Safari macOS: nicht untersützt
-- Safari iOD: nicht unterstützt
Und wenn man dann die wechselnden Standards für USB anschaut, sieht es von heute so aus, als wenn ein Stick mit USB C Zukunft hätte. Aber eben keine Gegenwart, denn aktuell habe ich auch noch echtes USB 3.0 oder Lightning.
Könnte man auf Bluetooth setzen, aber echt sowas? Über 10m Luft mitschneidbar?
Bliebe noch NFC, was eine super Sache wäre, wenn denn PCs und Macs damit ausgestattet oder zumindes nachrüstbar wären, was Unterstützung von Windows 10, OS X und Linux voraussetzen würde.
Für mich aktuell nicht entscheidbar - also bleibt schlicht abwarten.
„Hardware ist seltener schlecht drauf - Software macht schon häufiger Mucken...“
0
Bozol
Bozol14.09.1911:53
Es gibt Neuigkeiten von Yubico:
Yubico.com
[…] we are happy to announce a sneak preview of YubiKey 5C NFC, our upcoming USB-C security key enabled with NFC. This key will provide yet another authentication option for all environments supporting iOS, Android, Windows, MacOS, and more, all on one key.
0
maculi
maculi17.09.1920:01
Aufgrund der Meldung von Yubico gibts inzwischen von Heise einen neuen Artikel:

Ich war zudem so frei und hab bei Hetzner nachgefragt, ob die Unterstützung für FIDO2 anbieten. Da hieß es lapidar: nichts in Planung
Aber ob das schon deren letztes Wort war, wenn immer mehr Kunden nachfragen?
+1

Kommentieren

Sie müssen sich einloggen, um sich an einer Diskussion beteiligen zu können.

OK MacTechNews.de verwendet Cookies unter anderem für personalisierte Inhalte, Seitenanalyse und bei der Auslieferung von Google-Anzeigen. Dies war zwar schon immer so, auf Wunsch der EU muss nun jedoch explizit darauf hingewiesen werden. Durch Nutzung der Website erklären Sie sich damit einverstanden. Weitere Informationen