Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

Don't get stuck in a closet -- wear yourself out.


rocksolid / de.comp.sys.mac.misc / iCloud-Konto mit FIDO2-Sticks absichern

SubjectAuthor
* iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta
+* Re: iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta
|`* Re: iCloud-Konto mit FIDO2-Sticks absichernGerald E¡scher
| +* Re: iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta
| |`* Re: iCloud-Konto mit FIDO2-Sticks absichernGerald E¡scher
| | `- Re: iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta
| `- Re: iCloud-Konto mit FIDO2-Sticks absichernT.
`* Re: iCloud-Konto mit FIDO2-Sticks absichernGerald E¡scher
 `* Re: iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta
  `* Re: iCloud-Konto mit FIDO2-Sticks absichernGerald E¡scher
   `- Re: iCloud-Konto mit FIDO2-Sticks absichernAndreas Borutta

1
Subject: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Fri, 10 May 2024 07:15 UTC
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: iCloud-Konto mit FIDO2-Sticks absichern
Date: Fri, 10 May 2024 09:15:29 +0200
Organization: A noiseless patient Spider
Lines: 24
Message-ID: <16jhp7s9sj4nq.dlg@borumat.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 10 May 2024 09:15:29 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="05e2f49db195c25770742821ca1cad4e";
logging-data="1297967"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1+QJMLIsCind+dwB8YVfCawDRnNeRDArpQ="
User-Agent: 40tude_Dialog/2.0.15.41de (a4d3d578.106.397)
Cancel-Lock: sha1:D29TyaRCTy29p6bKq5kMffXzzZ8=
View all headers

Moin.

Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.

<https://support.apple.com/de-de/102637>

Was ist dafür nötig?

"At least two FIDO Certified security keys that work with the Apple
devices that you use on a regular basis."

Hat das jemand von euch schonmal durchgeführt und möchte berichten?

Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?

Danke.

Andreas
--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Fri, 10 May 2024 12:38 UTC
References: 1
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Fri, 10 May 2024 14:38:18 +0200
Organization: A noiseless patient Spider
Lines: 26
Message-ID: <1t5xtt82g5nt$.dlg@borumat.de>
References: <16jhp7s9sj4nq.dlg@borumat.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 10 May 2024 14:38:18 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="1464e30ded3d79d0ca03e129598b1072";
logging-data="1434503"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX18SyijClcd+YRRvxTrTX7VDzluUL3+PvNY="
User-Agent: 40tude_Dialog/2.0.15.41de (8db3baa4.100.507)
Cancel-Lock: sha1:qRmOJQR0j5XrypLvjTgCJQITdIw=
View all headers

Andreas Borutta:

> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
> werden?

Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).

Das wurde mir bestätigt.

Das Motiv von Apple ist mir ein Rätsel.

Solange man einen Fido-Key nicht als ersten Faktor einrichten kann,
ist für mich ein Fido-Key für die Anmeldung mit der Apple-ID aus dem
Spiel. Schade.

Feedback auf https://www.apple.com/feedback/ habe ich dazu bereits
hinterlassen.

Ingrid
--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Gerald E¡scher
Newsgroups: de.comp.sys.mac.misc
Organization: Alpenrepublik
Date: Fri, 10 May 2024 20:46 UTC
References: 1
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Spa...@fahr-zur-Hoelle.org (Gerald E¡scher)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: 10 May 2024 20:46:16 GMT
Organization: Alpenrepublik
Lines: 32
Message-ID: <171537397654.18059.3894789719812136023.XPN@ID-37099.user.uni-berlin.de>
References: <16jhp7s9sj4nq.dlg@borumat.de>
Reply-To: nutznetz@gmx.at
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net fctIySggaAvLTsR+/tnBEwvHrqCdbsKtVPxXqEI85V4zWVp5o=
Cancel-Lock: sha1:NnaEfndJzBYT1I+8mehnbMuhsEE= sha256:MaPXxHTmfAE/pp7JlNHnhoXIAfdZBa/8GBZsnUsp7Qg=
User-Agent: XPN/1.2.6 (Street Spirit ; Darwin)
View all headers

Andreas Borutta schrieb am 10/5/2024 09:15:

> Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
>
> <https://support.apple.com/de-de/102637>
>
> Was ist dafür nötig?
>
> "At least two FIDO Certified security keys that work with the Apple
> devices that you use on a regular basis."
>
> Hat das jemand von euch schonmal durchgeführt und möchte berichten?

Ja. Was möchtest du denn wissen?

> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
> werden?

Das Passwort bleibt, aber das kann eh jeder bessere Brauser sich merken.
Der Einmalcode auf anderem Gerät fällt weg.
Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
der Hand hat ;-) Ich habe den allerdings aus anderem Grund gekauft,
nicht für die eiKlaud.

Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel. Die österr. Finanz ist anderer Meinung, da komme
ich mit dem YubiKey rein.

--
Gerald

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Gerald E¡scher
Newsgroups: de.comp.sys.mac.misc
Organization: Alpenrepublik
Date: Fri, 10 May 2024 20:47 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Spa...@fahr-zur-Hoelle.org (Gerald E¡scher)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: 10 May 2024 20:47:56 GMT
Organization: Alpenrepublik
Lines: 16
Message-ID: <171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <1t5xtt82g5nt$.dlg@borumat.de>
Reply-To: nutznetz@gmx.at
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net KhKxLsjJ/D82UNcJm4HQEwoa0iXCAqri9EVd6Dk1L6NxJWEYE=
Cancel-Lock: sha1:/KhIJkTf/rhFyXeZ2hxfYRNzF24= sha256:7y2vRuXaBqLsSklUTV5zf3Tged3h8dWdX4SFCX4L5DM=
User-Agent: XPN/1.2.6 (Street Spirit ; Darwin)
View all headers

Andreas Borutta schrieb am 10/5/2024 14:38:

> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
> (also den Ersatz des Passwortes).
>
> Das wurde mir bestätigt.
>
> Das Motiv von Apple ist mir ein Rätsel.

Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
dann der zweite Faktor sein?

--
Gerald

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Fri, 10 May 2024 21:23 UTC
References: 1 2 3
Path: i2pn2.org!rocksolid2!news.nk.ca!2.eu.feeder.erje.net!feeder.erje.net!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Fri, 10 May 2024 23:23:27 +0200
Organization: A noiseless patient Spider
Lines: 30
Message-ID: <dhgf3i6bzjzo.dlg@borumat.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <1t5xtt82g5nt$.dlg@borumat.de> <171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 10 May 2024 23:23:28 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="1464e30ded3d79d0ca03e129598b1072";
logging-data="1666243"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX18PuxnfKAZ/q/2+p/+T4KCqsWU8GvLXsDo="
User-Agent: 40tude_Dialog/2.0.15.41de (c4adaac1.56.423)
Cancel-Lock: sha1:n3+6qnEJ1ie565fvTXwQRXUs3HM=
View all headers

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 14:38:
>
>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>> (also den Ersatz des Passwortes).
>>
>> Das wurde mir bestätigt.
>>
>> Das Motiv von Apple ist mir ein Rätsel.
>
> Wo kann man einen FIDO Key als ersten Faktor verwenden?

Beispiel:
Microsoft Azure
<https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>

> Und was soll
> dann der zweite Faktor sein?

Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
den Stick gesetzt wird.

Andreas
--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Fri, 10 May 2024 21:32 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!news.hispagatos.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Fri, 10 May 2024 23:32:07 +0200
Organization: A noiseless patient Spider
Lines: 58
Message-ID: <876gbjb1z1tc.dlg@borumat.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <171537397654.18059.3894789719812136023.XPN@ID-37099.user.uni-berlin.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Fri, 10 May 2024 23:32:08 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="1464e30ded3d79d0ca03e129598b1072";
logging-data="1669705"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX190A8R5sSlaG6uYeKFXt3kB9gyiS4t9n1w="
User-Agent: 40tude_Dialog/2.0.15.41de (9f961a8c.198.345)
Cancel-Lock: sha1:hWd0G86viTfPvPIzvzaqfdMIeB4=
View all headers

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 09:15:
>
>> Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
>>
>> <https://support.apple.com/de-de/102637>
>>
>> Was ist dafür nötig?
>>
>> "At least two FIDO Certified security keys that work with the Apple
>> devices that you use on a regular basis."
>>
>> Hat das jemand von euch schonmal durchgeführt und möchte berichten?
>
> Ja. Was möchtest du denn wissen?

>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>> werden?

Aber das konnte ich ja bereits beim Apple-Support klären.

>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>> werden?
>
> Das Passwort bleibt,

Leuchtet Dir ein, warum?

Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
eine andere Authentifikation zu ersetzen.
Ich verstehe bisher nicht, warum nicht jeder Dienst, der FIDO2-Sticks
unterstützt, diesen dann als 1. Faktor statt des Passwortes einsetzt.

> Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
> der Hand hat ;-)

Mein Plan war, dass man nur die Apple-ID (icloud.com) mit einem
FIDO2-Stick sichert und alle anderen Dienste per Passkeys, wo das
iPhone als Passkey-Gerät eingesetzt wird.

Warum diese Aufteilung?
Weil man sich ziemlich selten bei iCloud einloggen muss. Und für diese
seltenen Male hängt das Ding halt am Schlüsselbund oder wo auch immer,
einigermaßen flott zugänglich.

> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
> Sicherheizschlüssel.

Geht wohl, was ich gelesen habe, nur mit Safari.

Andreas
--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Gerald E¡scher
Newsgroups: de.comp.sys.mac.misc
Organization: Alpenrepublik
Date: Sat, 11 May 2024 16:19 UTC
References: 1 2 3 4
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Spa...@fahr-zur-Hoelle.org (Gerald E¡scher)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: 11 May 2024 16:19:46 GMT
Organization: Alpenrepublik
Lines: 34
Message-ID: <171544438610.18059.13885632647958831432.XPN@ID-37099.user.uni-berlin.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <1t5xtt82g5nt$.dlg@borumat.de> <171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de> <dhgf3i6bzjzo.dlg@borumat.de>
Reply-To: nutznetz@gmx.at
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net BiVU2sm0yRBqV1oOEAEyigaR9zSYRA7v99+Y+ifMO1FHKLnco=
Cancel-Lock: sha1:uxjvZ6utLBgQU4/ytvhd41eSIFo= sha256:p83hMicdoU/HtH346qpyEk8pPunQ1ji9x+FOhJkDTek=
User-Agent: XPN/1.2.6 (Street Spirit ; Darwin)
View all headers

Andreas Borutta schrieb am 10/5/2024 23:23:

> Gerald E¡scher:
>
>> Andreas Borutta schrieb am 10/5/2024 14:38:
>>
>>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>>> (also den Ersatz des Passwortes).
>>>
>>> Das wurde mir bestätigt.
>>>
>>> Das Motiv von Apple ist mir ein Rätsel.
>>
>> Wo kann man einen FIDO Key als ersten Faktor verwenden?
>
> Beispiel:
> Microsoft Azure
> <https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>

Ich sehe dort keinen zweiten Faktor.

>> Und was soll
>> dann der zweite Faktor sein?
>
> Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
> den Stick gesetzt wird.

Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
kein zweiter Faktor.

--
Gerald

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Gerald E¡scher
Newsgroups: de.comp.sys.mac.misc
Organization: Alpenrepublik
Date: Sat, 11 May 2024 16:28 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: Spa...@fahr-zur-Hoelle.org (Gerald E¡scher)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: 11 May 2024 16:28:11 GMT
Organization: Alpenrepublik
Lines: 36
Message-ID: <171544489166.18059.3384680206129811567.XPN@ID-37099.user.uni-berlin.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <171537397654.18059.3894789719812136023.XPN@ID-37099.user.uni-berlin.de> <876gbjb1z1tc.dlg@borumat.de>
Reply-To: nutznetz@gmx.at
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net dGtIIGBBTZlsgif2fCaJhwoBP1/8s5AQpHmxnhE9CR5vtP2Mg=
Cancel-Lock: sha1:8NCi0auaefEA5UqXA9dh6fpkSt8= sha256:cozuTveOM0NtSo83Mjw9qeMrHg/mVYUGvPb3UiQU/a0=
User-Agent: XPN/1.2.6 (Street Spirit ; Darwin)
View all headers

Andreas Borutta schrieb am 10/5/2024 23:32:

> Gerald E¡scher:
>
>> Andreas Borutta schrieb am 10/5/2024 09:15:
>>
>>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>>> werden?
>>
>> Das Passwort bleibt,
>
> Leuchtet Dir ein, warum?

Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
alternativer 2. Faktor.
Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
Linux, usw.

> Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
> eine andere Authentifikation zu ersetzen.

Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
mit Fingerabdrucksensor.

>> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
>> Sicherheizschlüssel.
>
> Geht wohl, was ich gelesen habe, nur mit Safari.

Das liegt aber an icloud.com und nicht am Firefox.

--
Gerald

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Sat, 11 May 2024 16:49 UTC
References: 1 2 3 4 5
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Sat, 11 May 2024 18:49:07 +0200
Organization: A noiseless patient Spider
Lines: 66
Message-ID: <1pv2wibeglyd0.dlg@borumat.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <1t5xtt82g5nt$.dlg@borumat.de> <171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de> <dhgf3i6bzjzo.dlg@borumat.de> <171544438610.18059.13885632647958831432.XPN@ID-37099.user.uni-berlin.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 11 May 2024 18:49:08 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="b203985d54bf9dbc38633f73aec21b66";
logging-data="2253702"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1+JKEo9iCj4+SkEor++BXaeDaNXM+2ZT+c="
User-Agent: 40tude_Dialog/2.0.15.41de (a6173976.195.348)
Cancel-Lock: sha1:RY34KP3WX/5Uvd/Dd1lqd/KiSE4=
View all headers

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 23:23:
>
>> Gerald E¡scher:
>>
>>> Andreas Borutta schrieb am 10/5/2024 14:38:
>>>
>>>> Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
>>>> 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
>>>> Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
>>>> (also den Ersatz des Passwortes).
>>>>
>>>> Das wurde mir bestätigt.
>>>>
>>>> Das Motiv von Apple ist mir ein Rätsel.
>>>
>>> Wo kann man einen FIDO Key als ersten Faktor verwenden?
>>
>> Beispiel:
>> Microsoft Azure
>> <https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>
>
> Ich sehe dort keinen zweiten Faktor.

Ich weiß nicht, ob sie einen verlangen und falls ja, auf welche Weise.

>>> Und was soll
>>> dann der zweite Faktor sein?
>>
>> Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
>> den Stick gesetzt wird.
>
> Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
> kein zweiter Faktor.

Christian Weißgerber dazu:

Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von
Google
Date: Thu, 9 May 2024 21:43:42 -0000 (UTC)
Message-ID: <slrnv3qgse.2mih.naddy@lorvorc.mips.inka.de

| > Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
| > muss?
|
| Ja... jein.
|
| Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
| ("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
| Führend ist die PIN (eigentlich ein Passwort, "Wissen").

Mir fehlt noch einiges an Wissen zur Handhabung von Fido2-Sticks.

Unter anderem: Wie handhaben die Hersteller der Sticks das
Zurücksetzen der PIN (falls man sie vergisst)? Wie ist dieses
Verfahren angreifbar, schützbar?

Das ist ja immer wieder eine grundlegende Frage, sobald eine
Authentifikation des Typs "Wissen" eingesetzt wird.

Andreas
--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: Andreas Borutta
Newsgroups: de.comp.sys.mac.misc
Organization: A noiseless patient Spider
Date: Sun, 12 May 2024 08:16 UTC
References: 1 2 3 4
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Sun, 12 May 2024 10:16:41 +0200
Organization: A noiseless patient Spider
Lines: 69
Message-ID: <183offf4m1ek5.dlg@borumat.de>
References: <16jhp7s9sj4nq.dlg@borumat.de> <171537397654.18059.3894789719812136023.XPN@ID-37099.user.uni-berlin.de> <876gbjb1z1tc.dlg@borumat.de> <171544489166.18059.3384680206129811567.XPN@ID-37099.user.uni-berlin.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Sun, 12 May 2024 10:16:42 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="25ab01ebcced41fdd1e246015bd3f7e2";
logging-data="2764274"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1+mAOFP18t8XgPb//bK7kmk2mKM0Wxa0YM="
User-Agent: 40tude_Dialog/2.0.15.41de (116952ac.219.324)
Cancel-Lock: sha1:gZV9wE+EILcKFaOLKidS9AqIUnA=
View all headers

Gerald E¡scher:

> Andreas Borutta schrieb am 10/5/2024 23:32:
>
>> Gerald E¡scher:
>>
>>> Andreas Borutta schrieb am 10/5/2024 09:15:
>>>
>>>> Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
>>>> Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
>>>> anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
>>>> werden?
>>>
>>> Das Passwort bleibt,
>>
>> Leuchtet Dir ein, warum?
>
> Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
> alternativer 2. Faktor.

Mir leuchtet diese Verwendung eines Fido2-Sticks für iCloud.com nicht
ein.

Ein Passwort als 1. Faktor ist naturgemäß per Phishing und
man-in-the-middle-Aktivität angreifbar.

Anders: Wenn ein Nutzer schon in einen zusätzlichen
Hardware-Authentikator investiert und bereit ist, die
Unbequemlichkeit, die damit einhergeht, zu akzeptieren, dann fände er
es sinnvoll, damit auch den bisherigen 1. Faktor ersetzen zu können.
Apple hat sich anders entschieden. Ist hinzunehmen.

> Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
> gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
> Linux, usw.

Und wenn es allein um den 2. Faktor geht, dann gibt es eben schon
einen hinreichend komfortablen Typ, den Du genannt hast: OTP

Weiter:
Wenn man in der aktuellen Verwendungsweise den Fido2-Stick verwendet,
wird man automatisch zum 3. Faktor "gezwungen".

1. Wissen: Passwort
2. Haben: Fido-Stick
3. Wissen: Passwort (PIN) für Fido

>> Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
>> eine andere Authentifikation zu ersetzen.
>
> Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
> mit Fingerabdrucksensor.
>
>>> Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
>>> Sicherheizschlüssel.
>>
>> Geht wohl, was ich gelesen habe, nur mit Safari.
>
> Das liegt aber an icloud.com und nicht am Firefox.

Denke ich auch.

Andreas

--
http://fahrradzukunft.de

Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
From: T.
Newsgroups: de.comp.sys.mac.misc
Date: Wed, 15 May 2024 16:51 UTC
References: 1 2 3
Path: i2pn2.org!rocksolid2!news.nk.ca!weretis.net!feeder8.news.weretis.net!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: nos...@godawa.invalid (T.)
Newsgroups: de.comp.sys.mac.misc
Subject: Re: iCloud-Konto mit FIDO2-Sticks absichern
Date: Wed, 15 May 2024 18:51:53 +0200
Lines: 19
Message-ID: <lak7h9Fto2bU1@mid.individual.net>
References: <16jhp7s9sj4nq.dlg@borumat.de> <1t5xtt82g5nt$.dlg@borumat.de>
<171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8; format=flowed
Content-Transfer-Encoding: 8bit
X-Trace: individual.net p82L7A3TFasi6PPis2vD7gN/a6C295WZ9Scp4rHAmbOJFqJ9tp
Cancel-Lock: sha1:PDRF3iCraxTpBVSbAIsHnIAPJ1c= sha256:mXui9ywEBKM8T30gCiqEx/xJQDlIJ6SLV42sOYUizFU=
User-Agent: Mozilla Thunderbird
Content-Language: de-DE
In-Reply-To: <171537407622.18059.16521485147133670134.XPN@ID-37099.user.uni-berlin.de>
View all headers

Gerald E¡scher schrieb:
> Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
> dann der zweite Faktor sein?

überall wo es eingerichtet wurde.

Und einen "zweiten Faktor" braucht es ja nicht, weil sich der erste
nicht remote klauen lässt.

Doof ist allenfalls, wenn Du ihn verlierst und keine PIN gesetzt hast,
dann kann ihn jeder, der in findet, nutzen, wenn er denn weiß auf welche
Webseiten/Dienste er muss.

--

Gruesse,

Thorolf


rocksolid / de.comp.sys.mac.misc / iCloud-Konto mit FIDO2-Sticks absichern

1
server_pubkey.txt

rocksolid light 0.9.12
clearnet tor