Moin.

Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.

<https://support.apple.com/de-de/102637>

Was ist dafür nötig?

"At least two FIDO Certified security keys that work with the Apple
devices that you use on a regular basis."

Hat das jemand von euch schonmal durchgeführt und möchte berichten?

Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?

Danke.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
> werden?

Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).

Das wurde mir bestätigt.

Das Motiv von Apple ist mir ein Rätsel.

Solange man einen Fido-Key nicht als ersten Faktor einrichten kann,
ist für mich ein Fido-Key für die Anmeldung mit der Apple-ID aus dem
Spiel. Schade.

Feedback auf https://www.apple.com/feedback/ habe ich dazu bereits
hinterlassen.

Ingrid
--
http://fahrradzukunft.de

Andreas Borutta schrieb am 10/5/2024 09:15:

> Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
>
> <https://support.apple.com/de-de/102637>
>
> Was ist dafür nötig?
>
> "At least two FIDO Certified security keys that work with the Apple
> devices that you use on a regular basis."
>
> Hat das jemand von euch schonmal durchgeführt und möchte berichten?

Ja. Was möchtest du denn wissen?

> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
> werden?

Das Passwort bleibt, aber das kann eh jeder bessere Brauser sich merken.
Der Einmalcode auf anderem Gerät fällt weg.
Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
der Hand hat ;-) Ich habe den allerdings aus anderem Grund gekauft,
nicht für die eiKlaud.

Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel. Die österr. Finanz ist anderer Meinung, da komme
ich mit dem YubiKey rein.

--
Gerald

Andreas Borutta schrieb am 10/5/2024 14:38:

> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
> (also den Ersatz des Passwortes).
>
> Das wurde mir bestätigt.
>
> Das Motiv von Apple ist mir ein Rätsel.

Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
dann der zweite Faktor sein?

--
Gerald

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 14:38:
>
>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>> (also den Ersatz des Passwortes).
>>
>> Das wurde mir bestätigt.
>>
>> Das Motiv von Apple ist mir ein Rätsel.
>
> Wo kann man einen FIDO Key als ersten Faktor verwenden?

Beispiel:
Microsoft Azure
<https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>

> Und was soll
> dann der zweite Faktor sein?

Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
den Stick gesetzt wird.

Andreas
--
http://fahrradzukunft.de

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 09:15:
>
>> Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
>>
>> <https://support.apple.com/de-de/102637>
>>
>> Was ist dafür nötig?
>>
>> "At least two FIDO Certified security keys that work with the Apple
>> devices that you use on a regular basis."
>>
>> Hat das jemand von euch schonmal durchgeführt und möchte berichten?
>
> Ja. Was möchtest du denn wissen?

>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>> werden?

Aber das konnte ich ja bereits beim Apple-Support klären.

>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>> werden?
>
> Das Passwort bleibt,

Leuchtet Dir ein, warum?

Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
eine andere Authentifikation zu ersetzen.
Ich verstehe bisher nicht, warum nicht jeder Dienst, der FIDO2-Sticks
unterstützt, diesen dann als 1. Faktor statt des Passwortes einsetzt.

> Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
> der Hand hat ;-)

Mein Plan war, dass man nur die Apple-ID (icloud.com) mit einem
FIDO2-Stick sichert und alle anderen Dienste per Passkeys, wo das
iPhone als Passkey-Gerät eingesetzt wird.

Warum diese Aufteilung?
Weil man sich ziemlich selten bei iCloud einloggen muss. Und für diese
seltenen Male hängt das Ding halt am Schlüsselbund oder wo auch immer,
einigermaßen flott zugänglich.

> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
> Sicherheizschlüssel.

Geht wohl, was ich gelesen habe, nur mit Safari.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta schrieb am 10/5/2024 23:23:

> Gerald E¡scher:
>
>> Andreas Borutta schrieb am 10/5/2024 14:38:
>>
>>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>>> (also den Ersatz des Passwortes).
>>>
>>> Das wurde mir bestätigt.
>>>
>>> Das Motiv von Apple ist mir ein Rätsel.
>>
>> Wo kann man einen FIDO Key als ersten Faktor verwenden?
>
> Beispiel:
> Microsoft Azure
> <https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>

Ich sehe dort keinen zweiten Faktor.

>> Und was soll
>> dann der zweite Faktor sein?
>
> Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
> den Stick gesetzt wird.

Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
kein zweiter Faktor.

--
Gerald

Andreas Borutta schrieb am 10/5/2024 23:32:

> Gerald E¡scher:
>
>> Andreas Borutta schrieb am 10/5/2024 09:15:
>>
>>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>>> werden?
>>
>> Das Passwort bleibt,
>
> Leuchtet Dir ein, warum?

Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
alternativer 2. Faktor.
Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
Linux, usw.

> Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
> eine andere Authentifikation zu ersetzen.

Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
mit Fingerabdrucksensor.

>> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
>> Sicherheizschlüssel.
>
> Geht wohl, was ich gelesen habe, nur mit Safari.

Das liegt aber an icloud.com und nicht am Firefox.

--
Gerald

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 23:23:
>
>> Gerald E¡scher:
>>
>>> Andreas Borutta schrieb am 10/5/2024 14:38:
>>>
>>>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>>>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>>>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>>>> (also den Ersatz des Passwortes).
>>>>
>>>> Das wurde mir bestätigt.
>>>>
>>>> Das Motiv von Apple ist mir ein Rätsel.
>>>
>>> Wo kann man einen FIDO Key als ersten Faktor verwenden?
>>
>> Beispiel:
>> Microsoft Azure
>> <https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>
>
> Ich sehe dort keinen zweiten Faktor.

Ich weiß nicht, ob sie einen verlangen und falls ja, auf welche Weise.

>>> Und was soll
>>> dann der zweite Faktor sein?
>>
>> Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
>> den Stick gesetzt wird.
>
> Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
> kein zweiter Faktor.

Christian Weißgerber dazu:

Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von
Google
Date: Thu, 9 May 2024 21:43:42 -0000 (UTC)
Message-ID: <slrnv3qgse.2mih.naddy@lorvorc.mips.inka.de

| > Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
| > muss?
|
| Ja... jein.
|
| Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
| ("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
| Führend ist die PIN (eigentlich ein Passwort, "Wissen").

Mir fehlt noch einiges an Wissen zur Handhabung von Fido2-Sticks.

Unter anderem: Wie handhaben die Hersteller der Sticks das
Zurücksetzen der PIN (falls man sie vergisst)? Wie ist dieses
Verfahren angreifbar, schützbar?

Das ist ja immer wieder eine grundlegende Frage, sobald eine
Authentifikation des Typs "Wissen" eingesetzt wird.

Andreas
--
http://fahrradzukunft.de

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 23:32:
>
>> Gerald E¡scher:
>>
>>> Andreas Borutta schrieb am 10/5/2024 09:15:
>>>
>>>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>>>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>>>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>>>> werden?
>>>
>>> Das Passwort bleibt,
>>
>> Leuchtet Dir ein, warum?
>
> Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
> alternativer 2. Faktor.

Mir leuchtet diese Verwendung eines Fido2-Sticks für iCloud.com nicht
ein.

Ein Passwort als 1. Faktor ist naturgemäß per Phishing und
man-in-the-middle-Aktivität angreifbar.

Anders: Wenn ein Nutzer schon in einen zusätzlichen
Hardware-Authentikator investiert und bereit ist, die
Unbequemlichkeit, die damit einhergeht, zu akzeptieren, dann fände er
es sinnvoll, damit auch den bisherigen 1. Faktor ersetzen zu können.
Apple hat sich anders entschieden. Ist hinzunehmen.

> Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
> gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
> Linux, usw.

Und wenn es allein um den 2. Faktor geht, dann gibt es eben schon
einen hinreichend komfortablen Typ, den Du genannt hast: OTP

Weiter:
Wenn man in der aktuellen Verwendungsweise den Fido2-Stick verwendet,
wird man automatisch zum 3. Faktor "gezwungen".

1. Wissen: Passwort
2. Haben: Fido-Stick
3. Wissen: Passwort (PIN) für Fido

>> Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
>> eine andere Authentifikation zu ersetzen.
>
> Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
> mit Fingerabdrucksensor.
>
>>> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
>>> Sicherheizschlüssel.
>>
>> Geht wohl, was ich gelesen habe, nur mit Safari.
>
> Das liegt aber an icloud.com und nicht am Firefox.

Denke ich auch.

Andreas

--
http://fahrradzukunft.de

Gerald E¡scher schrieb:
> Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
> dann der zweite Faktor sein?

überall wo es eingerichtet wurde.

Und einen "zweiten Faktor" braucht es ja nicht, weil sich der erste
nicht remote klauen lässt.

Doof ist allenfalls, wenn Du ihn verlierst und keine PIN gesetzt hast,
dann kann ihn jeder, der in findet, nutzen, wenn er denn weiß auf welche
Webseiten/Dienste er muss.

--

Gruesse,

Thorolf