Christian Weisgerber, 2024-05-10 16:27:

[...]
> Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
> die Berührungsfläche drückt, der übt eine Hebelkraft auf die
> USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
> mechanischen Bruch quittiert.

Es gibt Yubikey auch in einer Variante, wo nur ein "Knopf" aus dem
USB-Port raget:

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5-nano-fips/>

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5c-nano-fips/>

--
Arno Welzel
https://arnowelzel.de

Peter J. Holzer:

> On 2024-05-12 14:34, Andreas Borutta <borumat@gmx.de> wrote:
>> Peter J. Holzer:
>>> On 2024-05-12 08:56, Andreas Borutta <borumat@gmx.de> wrote:
>>>> Sind euch Verfahrensketten zur /Authentifikation/ (nicht
>>>> Identifizierung) bekannt,
>>>
>>> Wo siehst Du den Unterschied zwischen Authentifikation und
>>> Identifizierung?
>>
>> Mein Verständnis war bisher:
>>
>> Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
>> ...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
>> ... )
>>= gelungene Authentifikation.
>
> Sehe ich auch so. Aber wie unterscheidet sich das von der
> Identifizierung? Auch da brauchst Du einen Identifikator und
> Verifikator(en).

Meine Formulierung oben mit "(nicht Indentifizierung)" war unscharf.
Danke für Deine Rückfrage.

Ich hatte dabei an die "amtliche Indentitätsfeststellung" gedacht.

Mich interessierte ja, ob ein nPA eine Rolle spielen könnte.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Gerade las ich von einem Yubikeynutzer, dass die PIN zwar
zurückgesetzt werden kann, dabei jedoch alle Passkeys gelöscht werden.

Nicht überraschend.

Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
die PIN vergisst.

Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls
nach Jahren.

Meine Neugier ist geweckt, ob es Stickanbieter gibt, die bereits
andere Verfahren zum Zurücksetzen der PIN implementiert haben.
Gesponnen:
Der Nutzer des Yubikey autorisiert einen FIDO2-Stick einer
vertrauenswürdigen Person, die PIN zurückzusetzen. Dafür muss der
Stick der vertrauenswürdigen Person per NFC mit dem Yubikey verbunden
werden.

All das gilt natürlich nicht nur für eine PIN eines Yubikeys, sondern
für jeden Faktor des Typs "Ich weiß etwas" in jedem
Autentisierungs-System.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta <borumat@gmx.de> wrote:
>Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
>Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
>Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
>die PIN vergisst.

Kann man etwa nicht mehrere Passkeys für einen Zugang haben, also z.B.
auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Marc Haber:

> Andreas Borutta <borumat@gmx.de> wrote:
>>Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
>>Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
>>Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
>>die PIN vergisst.
>
> Kann man etwa nicht mehrere Passkeys für einen Zugang haben,

Ich vermute, dass alle Dienste das anbieten.
Geprüft habe ich es mit Nextcloud. Dort geht es.

> also z.B.
> auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Darum ging es mir in der Aussage oben nicht.

Dort ging es nur um den zweiten Faktor "PIN", der überhaupt erst die
Verwendung eines Yubikey (vermutlich gilt das für Sticks aller
Hersteller) ermöglicht.

Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.

Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta <borumat@gmx.de> wrote:
>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>nicht. Also anders als bei einem Wohnungsschlüssel.
>
>Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Das ist ein Feature, kein Bug.

Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Marc Haber:

>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>nicht. Also anders als bei einem Wohnungsschlüssel.
>>
>>Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.
>
> Das ist ein Feature, kein Bug.
>
> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

OK, hast Recht. Populäre Domains zu erraten, wo der Eigentümer
vielleicht ein Konto hat, ist deutlich leichter als das Erraten einer
Wohnung (in einer großen Stadt).

Gut, also Leben mit der PIN und den dazugehörigen Maßnahmen für den
Fall des Vergessens der PIN.

Andreas
--
http://fahrradzukunft.de

Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
> Andreas Borutta <borumat@gmx.de> wrote:
>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>nicht. Also anders als bei einem Wohnungsschlüssel.
> Das ist ein Feature, kein Bug.

Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
von einer bekannten Person, wirst du auch die Wohnung kennen.

Stephan

--
| Stephan Seitz E-Mail: stse+usenet@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Stephan Seitz <stse+usenet@rootsland.net> wrote:
>Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
>> Andreas Borutta <borumat@gmx.de> wrote:
>>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>>nicht. Also anders als bei einem Wohnungsschlüssel.
>> Das ist ein Feature, kein Bug.
>
>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>kann, ist ein Bug.

Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst
Du dir die Frage gefallen lassen, warum Du keinen Einfluss auf die
Standardisierung genommen hast.

>> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.
>
>Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
>von einer bekannten Person, wirst du auch die Wohnung kennen.

Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
> Stephan Seitz <stse+usenet@rootsland.net> wrote:
>>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>>kann, ist ein Bug.
> Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
> was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst

Eine Umsetzung eines Standards ist für mich kein Feature.

>>Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
>>von einer bekannten Person, wirst du auch die Wohnung kennen.
> Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
> Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
paßt.

Stephan

--
| Stephan Seitz E-Mail: stse+usenet@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

On 2024-05-16, Marc Haber <mh+usenetspam1118@zugschl.us> wrote:

>>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>>kann, ist ein Bug.
>
> Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
> was da spezifiziert wurde.

Eine Eigenschaft von FIDO ist die Annahme[1], dass der Authentikator
sich freiwillig an den Standard hält, denn erzwingen kann das die
Gegenstelle nicht. Es ist also prinzipiell möglich, einen Authentikator
zu bauen, der versichert, der Benutzer habe sich durch PIN oder
biometrisch identifiziert, auch wenn das gar nicht geschehen ist.
Oder man klinkt eine entsprechende Funktion gleich in den Webbrowser
ein.

Das ist keineswegs hypothetisch. Der Artikel "Passkeys mit Open-
Source-Tools verwenden" in c't 10/2024, S. 138, hat ein solches
Spoofing beworben: Der Passwort-Manager KeePassXC und eine passende
Browsererweiterung handhaben Passkeys selber, wobei sie den privaten
Schlüssel einfach in einer Datei ablegen. Damit wird natürlich das
Sicherheitskonzept von FIDO unterlaufen.

[1] Schon FIDO U2F hat eine kryptografische Attestation-Funktionalität
mit der ein Authentikator nachweisen kann, dass er ein bestimmtes
Modell ist und die Gegenseite kann prinzipiell darauf bestehen.
Außer in Spezialumgebungen ist es aber nicht praktikabel, Daten-
banken erlaubter Authentikatoren mitzuschleppen.
--
Christian "naddy" Weisgerber naddy@mips.inka.de

Stephan Seitz wrote:
> Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
> Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
> paßt.

Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
ganz genau wo er passt.

Im Prinzip kannst du das einsetzen als Passwortersatz, dann gibst du
beim Login also Nutzername und Passkey an, in dem Fall muss der Key
nicht wissen wo er funktioniert. Oder aber du speicherst auf dem Key
alles von Nutzername in Verbindung mit der Seite wo er tut.

Bastian

Bastian Blank:

> Stephan Seitz wrote:
>> Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
>> Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
>> paßt.
>
> Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
> ganz genau wo er passt.

Ich probiere hier gerade einen Nitrokey 3C NFC aus.

Er sagt Dir bei darauf gespeicherten Passkeys nur dann /wo/ er passt,
wenn Du die PIN kennst.

Bei Nitrokey findet die Verwaltung über das Terminal-Tool "nitropy"
statt.

Um damit auf einen Nitrokey zuzugreifen, benötigst Du dessen PIN.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta, 2024-05-15 10:31:

> Andreas Borutta:
>
>> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
>> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
>> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren
>
> Gerade las ich von einem Yubikeynutzer, dass die PIN zwar
> zurückgesetzt werden kann, dabei jedoch alle Passkeys gelöscht werden.
>
> Nicht überraschend.
>
> Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
> Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
> Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
> die PIN vergisst.
>
> Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls
> nach Jahren.

Ja - so wie einen Wohnungsschlüssel oder die PIN zur Bankkarte.

--
Arno Welzel
https://arnowelzel.de