Moin.

Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2) um mein
iCloud-Konto bei Apple damit abzusichern.
<https://support.apple.com/de-de/102637>

Der Sicherheitsschlüssel "Titan" von Google erlaubt die Speicherung
von 250 Passkeys und kostet 35€.

<https://store.google.com/de/product/titan_security_key>

Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Danke für euren Rat.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta <borumat@gmx.de> wrote:
> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
Schlüsselbund wie ein weiterer Schlüssel.

Ob die mit USB-C auch so gut sind weiß ich nicht, aber die mit USB-A
sind für mich das Beispiel wie jede Computerhardware sein sollte, vom
phyischen her.

/ralph

Ralph Aichinger, 2024-05-08 13:24:

> Andreas Borutta <borumat@gmx.de> wrote:
>> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
>> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?
>
> Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
> liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
> Schlüsselbund wie ein weiterer Schlüssel.

Dafür muss man halt immer den Schlüsselbund an den Computer stecken ;-)

--
Arno Welzel
https://arnowelzel.de

Ralph Aichinger:

> Andreas Borutta <borumat@gmx.de> wrote:
>> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
>> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?
>
> Ich habe welche von Yubikey, mit USB-A Anschluß. Was ich an diesen
> liebe: Sie sind hardwaremäßig quasi unkaputtbar. Und verschwinden am
> Schlüsselbund wie ein weiterer Schlüssel.
>
> Ob die mit USB-C auch so gut sind weiß ich nicht, aber die mit USB-A
> sind für mich das Beispiel wie jede Computerhardware sein sollte, vom
> phyischen her.

Mir selber ist die physische Robustheit nicht besonders wichtig, da
ich nicht vorhabe, den Stick (am Schlüsselbund) dabeizuhaben. *

Ich benötige ihn ausschließlich für ein Login im Apple-iCloud-Konto.
Und das ist sehr selten nötig. Vor allem, wenn man ein neues Gerät
einrichtet.

Andere Logins werde ich, wo es möglich ist, per Passkeys absichern.
Als Schlüsselverwalter dient dann mein Smartphone bzw. mein Notebook.

Weil alle Schlüssel über den "Schlüsselbund" in iCloud synchronisiert
werden, ist auch beim gleichzeitigen Verlust/Diebstahl aller Geräte
(Smartphone und Notebook) gewährleistet, dass ich an den
"Schlüsselbund" drankomme.

Neues Gerät kaufen, per FIDO2-Stick einrichten, "Schlüsselbund"
syncen.

Einen der beiden FIDO2-Sticks würde ich, wie schon jetzt eine
Festplatte mit einem Backup, an einem anderen Ort (außerhalb der
Wohnung) lagern.

Das ist bisher mein Plan.

Andreas

Für den Stick "Titan", der eigentlich "Zink" heißen müsste, wird als
Material Polycarbonat und Zink angegeben. Ich vermute, dass er
physisch robust ist.
Und ich vermute, dass USB-C noch robust als USB-A ist ist, aber sicher
bin ich mir nicht. Allein geometrisch sollte ein ovaler Querschnitt
robuster sein als rechteckiger
--
http://fahrradzukunft.de

Arno Welzel <usenet@arnowelzel.de> wrote:
> Dafür muss man halt immer den Schlüsselbund an den Computer stecken ;-)

It's not a bug, it's a feature. So vergißt man das Ding nicht.

/ralph

Andreas Borutta <borumat@gmx.de> wrote:
> Mir selber ist die physische Robustheit nicht besonders wichtig, da
> ich nicht vorhabe, den Stick (am Schlüsselbund) dabeizuhaben. *

Klar. Nicht jeder nutzt solche Dinge auf die gleiche Weise. Für mich ist
halt das Verstauen am Schlüsselbund praktisch. Aber ich fange nächste
Woche eine neue Arbeit an, wer weiß was die mir dann für Dingens
aushändigen, ab einer gewissen Größe wird das dann vermutlich irgendwo
andershin ausgelagert.

> Einen der beiden FIDO2-Sticks würde ich, wie schon jetzt eine
> Festplatte mit einem Backup, an einem anderen Ort (außerhalb der
> Wohnung) lagern.
>
> Das ist bisher mein Plan.

Hört sich nach einem guten Plan an.

> Und ich vermute, dass USB-C noch robust als USB-A ist ist, aber sicher
> bin ich mir nicht. Allein geometrisch sollte ein ovaler Querschnitt
> robuster sein als rechteckiger

Beim USB-A-Yubikey ist Gehäuse und der isolierende Teil des Steckers
eine Einheit, ich vermute glasfaserverstärkter Kunststoff. Er ist
vermutlich der einzige USB-Stecker mit dem man Kapseln öffnen könnte.

Aber klar, für "meistens in der Lade/im Safe" völlig irrelevant.

/ralph

On 2024-05-08, Andreas Borutta <borumat@gmx.de> wrote:

> Der Sicherheitsschlüssel "Titan" von Google erlaubt die Speicherung
> von 250 Passkeys und kostet 35€.
>
> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Nicht wirklich.

Heise.de hat kürzlich darauf aufmerksam gemacht, dass es bei diesem
Modell nicht möglich ist, einzelne Passkeys zu entfernen, sondern
dass man nur alle auf einmal löschen kann.
https://www.heise.de/news/Google-Titan-Sicherheitsschluessel-Keine-Passkey-Verwaltung-9684858.html

Ein Modell mit Platz für 300 Passkeys, die einzeln verwaltet werden
können, ist der T2F2-Pin+ Release2 von Token2:
https://www.heise.de/news/Passkeys-FIDO2-Sicherheitsschluessel-mit-Platz-fuer-300-Passkeys-9701794.html

Und gerade heute gibts die Meldung, dass Yubikeys mit der jetzt
angekündigten Firmware 5.7 statt bisher 25 nunmehr 100 Passkeys
verwalten werden können:
https://www.heise.de/news/Yubikey-FIDO2-Sicherheitsschluessel-kuenftig-mit-Platz-fuer-100-Passkeys-9712346.html

--
Christian "naddy" Weisgerber naddy@mips.inka.de

Christian Weisgerber:

> On 2024-05-08, Andreas Borutta <borumat@gmx.de> wrote:
>
>> Der Sicherheitsschlüssel "Titan" von Google erlaubt die Speicherung
>> von 250 Passkeys und kostet 35€.
>>
>> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
>> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?
>
> Nicht wirklich.
>
> Heise.de hat kürzlich darauf aufmerksam gemacht, dass es bei diesem
> Modell nicht möglich ist, einzelne Passkeys zu entfernen, sondern
> dass man nur alle auf einmal löschen kann.
> https://www.heise.de/news/Google-Titan-Sicherheitsschluessel-Keine-Passkey-Verwaltung-9684858.html

Was ist denn eure Praxis?
Verwendet ihr einen Stick für eure diversen Konten, die sich mit
Passkey absichern lassen, oder verwendet ihr (wie ich es angedacht
habe) euer Mobilgerät stattdessen?
> Ein Modell mit Platz für 300 Passkeys, die einzeln verwaltet werden
> können, ist der T2F2-Pin+ Release2 von Token2:
> https://www.heise.de/news/Passkeys-FIDO2-Sicherheitsschluessel-mit-Platz-fuer-300-Passkeys-9701794.html

Sehr günstig. Spricht etwas dagegen?

> Und gerade heute gibts die Meldung, dass Yubikeys mit der jetzt
> angekündigten Firmware 5.7 statt bisher 25 nunmehr 100 Passkeys
> verwalten werden können:
> https://www.heise.de/news/Yubikey-FIDO2-Sicherheitsschluessel-kuenftig-mit-Platz-fuer-100-Passkeys-9712346.html

Las ich heute auch, danke.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?

Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
muss?

Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
"Hardware Security Tokens", dass es ohne jede weitere Authentifikation
funktioniert.

Beispiel Nitrokey:

<https://docs.nitrokey.com/de/fido2/windows/>

"Nun müssen Sie eine PIN für Ihren Nitrokey FIDO2 festlegen."

Andreas
--
http://fahrradzukunft.de

On 2024-05-09 19:25, Andreas Borutta <borumat@gmx.de> wrote:
> Andreas Borutta:
>> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
>> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?
>
> Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
> muss?
>
> Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
> "Hardware Security Tokens", dass es ohne jede weitere Authentifikation
> funktioniert.

Das kommt darauf an, ob das Token als ein Faktor in einer
Authentifikation eingesetzt werden soll oder als zwei Faktoren.

Als single Factor ("something you have") kann er jeden anderen Faktor
(z.B. ein Passwort) ersetzen. Wenn man einen Faktor als ausreichend
erachtet, ist man damit fertig. Oder man kann ihn mit einem anderen
Faktor kombinieren und hat damit two factor authentication.

Dieser andere Faktor kann eine PIN sein ("something you know"), und
damit hat man two factor authentication in einem Gerät.

hp

Peter J. Holzer:

> On 2024-05-09 19:25, Andreas Borutta <borumat@gmx.de> wrote:
>> Andreas Borutta:
>>> Sprechen relevante Gründe gegen einen Kauf und für den Kauf anderer
>>> Sicherheitsschlüssel (FIDO2) von einem anderen Hersteller?
>>
>> Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
>> muss?
>>
>> Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
>> "Hardware Security Tokens", dass es ohne jede weitere Authentifikation
>> funktioniert.
>
> Das kommt darauf an, ob das Token als ein Faktor in einer
> Authentifikation eingesetzt werden soll oder als zwei Faktoren.
>
> Als single Factor ("something you have") kann er jeden anderen Faktor
> (z.B. ein Passwort) ersetzen. Wenn man einen Faktor als ausreichend
> erachtet, ist man damit fertig. Oder man kann ihn mit einem anderen
> Faktor kombinieren und hat damit two factor authentication.
>
> Dieser andere Faktor kann eine PIN sein ("something you know"), und
> damit hat man two factor authentication in einem Gerät.

Danke!

Andreas
--
http://fahrradzukunft.de

On 2024-05-09, Andreas Borutta <borumat@gmx.de> wrote:

> Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
> muss?

Ja... jein.

Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
Führend ist die PIN (eigentlich ein Passwort, "Wissen").

Ein alternativer zweiter Faktor ist ein biometrisches Merkmal. Es
gibt FIDO2-Authentikatoren mit eingebautem Fingerabdruckleser.
Mindestens die relativ teuren YubiKey-Bio-Modelle. Aber auch diese
verlangen nach Einrichtung einer PIN, auf die zurückgegriffen wird,
wenn's mit dem Fingerabdruck nicht klappt.

Wenn das Smartphone als FIDO2-Authentikator fungiert ("Passkeys"),
dann ist das genauso: Ein Faktor ist der geheime Schlüssel in der
Sicherheitsenklave, der zweite Faktor ist die Entsperrung des Geräts,
ob durch PIN, Fingerabdruck oder Gesichtserkennung.

> Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
> "Hardware Security Tokens", dass es ohne jede weitere Authentifikation
> funktioniert.

Das ist schlecht, wenn man dir das Token aus der Tasche nimmt und
sich dann allein dadurch als dich ausgeben kann.

FIDO hat als das technisch schlanke Google U2F-Verfahren angefangen,
das, wie der Name schon sagt, nur ein zweiter Faktor ist: Man loggt
sich normal ein, typisch mit Username/Passwort, und zusätzlich wird
das U2F-Token abgefragt.

Als das außerhalb von Google wenig Anklang gefunden hat, wurde das
Verfahren dann so aufgeblasen, dass man sich allein mit dem
Authentifikatior einloggen können soll, wozu die Passwortprüfung
oder biometrische Alternative zum Authentifikator hin verlagert
wurde. Dieses komplexere Verfahren heißt jetzt FIDO2, und U2F hat
man rückwirkend in FIDO1 umbenannt.

Der Kniff an FIDO2/Passkeys ist, dass die eigentliche Authentisierung
lokal stattfindet und dann über eine kryptografische Ableitungskette
sicher an ferne Gegenstellen weitervermittelt wird.

--
Christian "naddy" Weisgerber naddy@mips.inka.de

Christian Weisgerber:

> On 2024-05-09, Andreas Borutta <borumat@gmx.de> wrote:
>
>> Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
>> muss?
>
> Ja... jein.
>
> Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
> ("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
> Führend ist die PIN (eigentlich ein Passwort, "Wissen").
>
> Ein alternativer zweiter Faktor ist ein biometrisches Merkmal. Es
> gibt FIDO2-Authentikatoren mit eingebautem Fingerabdruckleser.
> Mindestens die relativ teuren YubiKey-Bio-Modelle. Aber auch diese
> verlangen nach Einrichtung einer PIN, auf die zurückgegriffen wird,
> wenn's mit dem Fingerabdruck nicht klappt.

Danke für die Aufklärung. Ich dachte bisher, dass man die
Authentikatoren - auf Wunsch - auch als reine 1-Faktor-Systeme (Besitz
allein genügt) verwenden kann.

Jeder weitere Faktor des Typs "Wissen" erfordert ja zwingend Methoden
bei Vergessen des Wissens-Faktors den Faktor zurücksetzen zu können.

Wofür wiederum eine Authentifizierungsmethode nötig ist.

>> Ich war bisher der Überzeugung, dass es ja gerade der Witz eines
>> "Hardware Security Tokens", dass es ohne jede weitere Authentifikation
>> funktioniert.
>
> Das ist schlecht, wenn man dir das Token aus der Tasche nimmt und
> sich dann allein dadurch als dich ausgeben kann.

Es wäre wie beim physischen Wohnungsschlüssel.

Die Wohnadresse (Pendant: ID) muss bekannt sein. Dann kann der
Besitzer des Faktors Schlüssels rein. Es ist ein 1-Faktor-System.

Aber gut, ich habe das hinzunehmen:
Fido2-Hardware benötigt zwingend einen 2. Faktor.

Unterscheiden sich die Hersteller in den Verfahren, die sie zum
Zurücksetzen des 2. Faktors anbieten?

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)

Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
erscheinendeb Unterscheidungsmerkmalen:

1. Quelloffenheit der Hardware: ja/nein
2. Wasserdicht vergossen: ja/nein
3. USB-C: ja/nein
4. NFC: ja/nein
5. Verwaltung der Passkeys möglich: ja/nein
6. Anzahl der speicherbaren Passkeys
7. Preis
8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren
....

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2) um mein
> iCloud-Konto bei Apple damit abzusichern.
> <https://support.apple.com/de-de/102637>

Gerade erfahre ich vom Apple-Support, dass man den Fido Key nur als
zweiten Faktor (nach der Eingabe des Passwortes) für die Apple-ID,
nicht aber als ersten Faktor (also den Ersatz des Passwortes)
verwenden kann.

Das Motiv von Apple ist mir unverständlich.

IMHO macht ein Fido Key nur Sinn, wenn man ihn als ersten Faktor /als
Ersatz/ für eine Anmeldung mit einem Passwort (als ersten Faktor)
verwenden kann.
Implizit gehört dazu, dass die Einrichtung eines Fido-Keys als erster
Faktor automatisch auch das Passwort als ersten Faktor deaktivieren
sollte.

Wie seht ihr das?

Andreas
--
http://fahrradzukunft.de

On 2024-05-10, Andreas Borutta <borumat@gmx.de> wrote:

> Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
> erscheinendeb Unterscheidungsmerkmalen:

Ich hätte noch eine Kleinigkeit für den Fall, dass man sowas für
eine täglich zweistellige Zahl von Logins benutzt und den Authentikator
entsprechend oft zur Anwesenheitskontrolle berühren muss - das
betrifft deinen Anwendungsfall nicht, aber meinen mit U2F-gestützten
SSH-Schlüsseln:

Wie berührt man den Authentikator genau oder drückt gar einen Knopf
und auf welcher Achse wirkt dann eine Kraft im Vergleich zur
Steckrichtung bzw. Einbaurichtung der USB-Buchse?

Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
die Berührungsfläche drückt, der übt eine Hebelkraft auf die
USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
mechanischen Bruch quittiert.

Anordnungen, wo man den Authentikator von zwei Seiten "zwicken"
kann, so dass keine Nettokräfte auf die Buchse wirken, sind sehr
sinnvoll, hängen aber eben von der Geometrie der Buchsen und des
Authentikators ab. Der Solokey 2 wird, wenn ich die Abbildungen
richtig interpretiere, an den dünnen Seiten berührt, was an einem
Laptop die bessere Lösung ist. Am Desktop bietet sich ohnehin ein
USB-Verlängerungskabel an.

Entweder sind die Leute vorsichtiger als ich glaube, die USB-Buchsen
robuster als ich glaube, oder solche Authentikatoren werden wenig
benutzt...

--
Christian "naddy" Weisgerber naddy@mips.inka.de

Christian Weisgerber <naddy@mips.inka.de> wrote:
> Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
> die Berührungsfläche drückt, der übt eine Hebelkraft auf die
> USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
> mechanischen Bruch quittiert.

Das kann sicher passieren, allerdings ist die "Taste" am Yubikey ein
kapazitiver Sensor, den man ohne jede Kraft betätigen kann. Ich will
natürlich nicht ausschließen, dass der eine oder andere trotzdem
draufhaut wie auf sein IBM-Keyboard aus den 1980ern, aber notwendig ist
es nicht, es reicht leichtes Auflegen des Fingers.

Eher würde ich mir Sorgen machen um die Hebelwirkung eines dranhängenden
Schlüsselbundes, da muss man wirklich aufpassen, auch wegen Verkratzen.

/ralph

On 2024-05-10 07:44, Andreas Borutta <borumat@gmx.de> wrote:
> Andreas Borutta:
>> Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)
>
> Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
> erscheinendeb Unterscheidungsmerkmalen:
>
> 1. Quelloffenheit der Hardware: ja/nein
> 2. Wasserdicht vergossen: ja/nein
> 3. USB-C: ja/nein
> 4. NFC: ja/nein
> 5. Verwaltung der Passkeys möglich: ja/nein
> 6. Anzahl der speicherbaren Passkeys
> 7. Preis
> 8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Für Österreicher kommt dazu:

11. Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der
die technischen Anforderungen erfüllt, funktionieren sollte)

hp

On 2024-05-10 07:44, Andreas Borutta <borumat@gmx.de> wrote:
> Andreas Borutta:
>> Ich erwäge die Anschaffung von 2 Sicherheitsschlüsseln (FIDO2)
>
> Hier eine (unvollständige) Liste mit den mir bisher bekannten relevant
> erscheinendeb Unterscheidungsmerkmalen:
>
> 1. Quelloffenheit der Hardware: ja/nein
> 2. Wasserdicht vergossen: ja/nein
> 3. USB-C: ja/nein
> 4. NFC: ja/nein
> 5. Verwaltung der Passkeys möglich: ja/nein
> 6. Anzahl der speicherbaren Passkeys
> 7. Preis
> 8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Für Österreicher kommt dazu:

11. Für ID Austria verwendbar?
(da sind die Kriterien relativ streng, am besten einen der offiziell
empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
technischen Anforderungen erfüllt, funktionieren sollte)

hp

Peter J. Holzer <hjp-usenet4@hjp.at> wrote:
> 11. Für ID Austria verwendbar?
> (da sind die Kriterien relativ streng, am besten einen der offiziell
> empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
> technischen Anforderungen erfüllt, funktionieren sollte)

Oh ja, ich hab einen Yubikey der leider nicht funkitoniert (Firmware zu
alt) und das dumme ist, dass es sehr schwierig ist vor dem Bestellen
rauszufinden welche Sticks gehen, welche nicht.

Ich hoffe, dass das langsam besser wird mit der Aktualisierung der
Tokens.

/ralph

Peter J. Holzer:

> Für ID Austria verwendbar?
> (da sind die Kriterien relativ streng, am besten einen der offiziell
> empfohlenen Sticks verwenden, auch wenn theoretisch jeder, der die
> technischen Anforderungen erfüllt, funktionieren sollte)

Aus Neugier:

Zum Identitätsnachweis kann in DE der "elektronische Personalausweis
(nPA)"
<https://de.wikipedia.org/wiki/Personalausweis_(Deutschland)#Der_elektronische_Personalausweis_(nPA)>
verwendet werden.

Sind euch Verfahrensketten zur /Authentifikation/ (nicht
Identifizierung) bekannt, wo ein solcher nPA als Hardware-Faktor (als
zweiter Faktor?) eingesetzt werden kann?

Lesen lässt er sich mit einem Smartphone mit Hilfe der kostenlosen App
"Ausweisapp".
<https://de.wikipedia.org/wiki/AusweisApp_(Governikus)>

Ein Vorteil dieses potentiellen Hardware-Authentikators wäre:

Auch dieser Authentikator ist mit einer PIN als zusätzlichem Faktor
gesichert. Zurückgesetzt werden kann diese PIN nur durch einen Gang zu
Behörde.

Andreas
--
http://fahrradzukunft.de

On 2024-05-12 08:56, Andreas Borutta <borumat@gmx.de> wrote:
> Sind euch Verfahrensketten zur /Authentifikation/ (nicht
> Identifizierung) bekannt,

Wo siehst Du den Unterschied zwischen Authentifikation und
Identifizierung? Meiner Meinung nach ist das im IT-Security-Kontext
synonym. Da unterscheidet man zwischen

1) Authentifikation: Ist die Person (allg. Entität) die, die sie
vorgibt, zu sein?
2) Autorisation: Darf die das, was sie tun möchte?

hp

Peter J. Holzer:

> On 2024-05-12 08:56, Andreas Borutta <borumat@gmx.de> wrote:
>> Sind euch Verfahrensketten zur /Authentifikation/ (nicht
>> Identifizierung) bekannt,
>
> Wo siehst Du den Unterschied zwischen Authentifikation und
> Identifizierung?

Mein Verständnis war bisher:

Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
....) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
.... )
= gelungene Authentifikation.

Aber ich lasse mich gerne korrigieren.

Andreas

On 2024-05-12 14:34, Andreas Borutta <borumat@gmx.de> wrote:
> Peter J. Holzer:
>> On 2024-05-12 08:56, Andreas Borutta <borumat@gmx.de> wrote:
>>> Sind euch Verfahrensketten zur /Authentifikation/ (nicht
>>> Identifizierung) bekannt,
>>
>> Wo siehst Du den Unterschied zwischen Authentifikation und
>> Identifizierung?
>
> Mein Verständnis war bisher:
>
> Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
> ...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
> ... )
>= gelungene Authentifikation.

Sehe ich auch so. Aber wie unterscheidet sich das von der
Identifizierung? Auch da brauchst Du einen Identifikator und
Verifikator(en).

hp

On 2024-05-10, Andreas Borutta <borumat@gmx.de> wrote:

> Unterscheiden sich die Hersteller in den Verfahren, die sie zum
> Zurücksetzen des 2. Faktors anbieten?

Wie ich gerade nochmal bei den Spezifikationen der FIDO Alliance
nachgeschlagen habe, ist "Credential Management" erst mit FIDO
CTAP 2.1 dazugekommen, CTAP 2.0 hatte das noch nicht, sondern nur
komplettes Zurücksetzen. Das wird erklären, warum manche Modelle
wie der Titan noch keine Verwaltung anbieten.

Denkbar, dass mancher Anbieter vor CTAP 2.1 seine eigenen
herstellerspezifischen Erweiterungen für die Verwaltung hatte
(Yubico?).

CTAP: Client to Authenticator Protocol

--
Christian "naddy" Weisgerber naddy@mips.inka.de