Rocksolid Light

groups  faq  privacy  How to post  login

Message-ID:  

You will pioneer the first Martian colony.


rocksolid / de.comp.security.misc / Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google

SubjectAuthor
* Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleRalph Aichinger
|+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleArno Welzel
||`- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleRalph Aichinger
|`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
| `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleRalph Aichinger
+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleChristian Weisgerber
|`- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GooglePeter J. Holzer
||`- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleChristian Weisgerber
| `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|  `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleChristian Weisgerber
+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleChristian Weisgerber
||+- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleRalph Aichinger
||`- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleArno Welzel
|+- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GooglePeter J. Holzer
|+* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GooglePeter J. Holzer
||+- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleRalph Aichinger
||`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|| `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GooglePeter J. Holzer
||  `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
||   `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GooglePeter J. Holzer
||    `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
|`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
| +* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleMarc Haber
| |`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
| | `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleMarc Haber
| |  +- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
| |  `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleStephan Seitz
| |   `* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleMarc Haber
| |    +* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleStephan Seitz
| |    |`* Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleBastian Blank
| |    | `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta
| |    `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleChristian Weisgerber
| `- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleArno Welzel
`- Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von GoogleAndreas Borutta

Pages:12
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Arno Welzel
Newsgroups: de.comp.security.misc
Date: Sun, 12 May 2024 19:05 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: use...@arnowelzel.de (Arno Welzel)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Sun, 12 May 2024 21:05:43 +0200
Lines: 20
Message-ID: <laci86Fp1ffU1@mid.individual.net>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de>
<slrnv3sbmo.aqn.naddy@lorvorc.mips.inka.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net fKOlcvUnSa7tKLUEGU/LCg/bVSxOuYEq6RXeLl2FnhImUHXqlD
Cancel-Lock: sha1:kNfP8lW9gWp5Ht/Emc3SYPxpbyQ= sha256:XL98Kdjho7O84b3LFZstUyxzZG5t9WvFPAp2uhVH+wM=
Content-Language: de-DE
In-Reply-To: <slrnv3sbmo.aqn.naddy@lorvorc.mips.inka.de>
View all headers

Christian Weisgerber, 2024-05-10 16:27:

[...]
> Wer z.B. einen Yubikey an den Laptop steckt und dann von oben auf
> die Berührungsfläche drückt, der übt eine Hebelkraft auf die
> USB-Buchse aus, was die nach einem Jahr vielleicht mit einem
> mechanischen Bruch quittiert.

Es gibt Yubikey auch in einer Variante, wo nur ein "Knopf" aus dem
USB-Port raget:

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5-nano-fips/>

<https://www.yubico.com/de/product/yubikey-5-fips-series/yubikey-5c-nano-fips/>

--
Arno Welzel
https://arnowelzel.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Andreas Borutta
Newsgroups: de.comp.security.misc
Organization: A noiseless patient Spider
Date: Tue, 14 May 2024 11:54 UTC
References: 1 2 3 4 5 6 7
Path: i2pn2.org!i2pn.org!news.swapon.de!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Tue, 14 May 2024 13:54:21 +0200
Organization: A noiseless patient Spider
Lines: 32
Message-ID: <1iplj75sckm00$.dlg@borumat.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <slrnv3smaa.1vm8.hjp-usenet4@trintignant.hjp.at> <4el9bn4vix6i.dlg@borumat.de> <slrnv412qu.9do1.hjp-usenet4@trintignant.hjp.at> <1etgg0a722cuu.dlg@borumat.de> <slrnv41lag.abgq.hjp-usenet4@trintignant.hjp.at>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Tue, 14 May 2024 13:54:22 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="8df23d1dabc24f872919a1fee2d2765c";
logging-data="172127"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1/vqEaoM/Tnd8R66C+cTIMfJ5B9sFik/j4="
User-Agent: 40tude_Dialog/2.0.15.41de (f34be5e0.56.390)
Cancel-Lock: sha1:1bCbcarHqNWk/C7F8TYKijliac0=
View all headers

Peter J. Holzer:

> On 2024-05-12 14:34, Andreas Borutta <borumat@gmx.de> wrote:
>> Peter J. Holzer:
>>> On 2024-05-12 08:56, Andreas Borutta <borumat@gmx.de> wrote:
>>>> Sind euch Verfahrensketten zur /Authentifikation/ (nicht
>>>> Identifizierung) bekannt,
>>>
>>> Wo siehst Du den Unterschied zwischen Authentifikation und
>>> Identifizierung?
>>
>> Mein Verständnis war bisher:
>>
>> Existierender Identifikator (Beispiele: Mailadresse, Benutzuername,
>> ...) plus passende(r) Verifikator(en) (Passwort, Passkey, USB-Token,
>> ... )
>>= gelungene Authentifikation.
>
> Sehe ich auch so. Aber wie unterscheidet sich das von der
> Identifizierung? Auch da brauchst Du einen Identifikator und
> Verifikator(en).

Meine Formulierung oben mit "(nicht Indentifizierung)" war unscharf.
Danke für Deine Rückfrage.

Ich hatte dabei an die "amtliche Indentitätsfeststellung" gedacht.

Mich interessierte ja, ob ein nPA eine Rolle spielen könnte.

Andreas
--
http://fahrradzukunft.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Andreas Borutta
Newsgroups: de.comp.security.misc
Organization: A noiseless patient Spider
Date: Wed, 15 May 2024 08:31 UTC
References: 1 2
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Wed, 15 May 2024 10:31:10 +0200
Organization: A noiseless patient Spider
Lines: 36
Message-ID: <1qjb1alzncf2k.dlg@borumat.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 15 May 2024 10:31:10 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="54e09d3cac8bcbf533c73c39cc7f640d";
logging-data="822480"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX18xi7Hy8mPZr+3ul02P9o8rjAh/AGL9pLY="
User-Agent: 40tude_Dialog/2.0.15.41de (47bc7bd5.173.275)
Cancel-Lock: sha1:IcCULmAvpuMYy5jA/U1teURns1o=
View all headers

Andreas Borutta:

> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Gerade las ich von einem Yubikeynutzer, dass die PIN zwar
zurückgesetzt werden kann, dabei jedoch alle Passkeys gelöscht werden.

Nicht überraschend.

Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
die PIN vergisst.

Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls
nach Jahren.

Meine Neugier ist geweckt, ob es Stickanbieter gibt, die bereits
andere Verfahren zum Zurücksetzen der PIN implementiert haben.
Gesponnen:
Der Nutzer des Yubikey autorisiert einen FIDO2-Stick einer
vertrauenswürdigen Person, die PIN zurückzusetzen. Dafür muss der
Stick der vertrauenswürdigen Person per NFC mit dem Yubikey verbunden
werden.

All das gilt natürlich nicht nur für eine PIN eines Yubikeys, sondern
für jeden Faktor des Typs "Ich weiß etwas" in jedem
Autentisierungs-System.

Andreas
--
http://fahrradzukunft.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Marc Haber
Newsgroups: de.comp.security.misc
Organization: private site, see http://www.zugschlus.de/ for details
Date: Wed, 15 May 2024 11:59 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news1.tnib.de!feed.news.tnib.de!news.tnib.de!.POSTED.torres.zugschlus.de!not-for-mail
From: mh+usene...@zugschl.us (Marc Haber)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Wed, 15 May 2024 13:59:13 +0200
Organization: private site, see http://www.zugschlus.de/ for details
Message-ID: <v2282i$7uf6$1@news1.tnib.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 15 May 2024 11:59:14 -0000 (UTC)
Injection-Info: news1.tnib.de; posting-host="torres.zugschlus.de:81.169.166.32";
logging-data="260582"; mail-complaints-to="abuse@tnib.de"
X-Newsreader: Forte Agent 6.00/32.1186
View all headers

Andreas Borutta <borumat@gmx.de> wrote:
>Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
>Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
>Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
>die PIN vergisst.

Kann man etwa nicht mehrere Passkeys für einen Zugang haben, also z.B.
auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Andreas Borutta
Newsgroups: de.comp.security.misc
Organization: A noiseless patient Spider
Date: Wed, 15 May 2024 12:46 UTC
References: 1 2 3 4
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Wed, 15 May 2024 14:46:34 +0200
Organization: A noiseless patient Spider
Lines: 31
Message-ID: <1g601vh8bd97h.dlg@borumat.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 15 May 2024 14:46:35 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="54e09d3cac8bcbf533c73c39cc7f640d";
logging-data="935100"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX1/3tikH+p0YL4r2oV0GREygKVOHTXFrbDw="
User-Agent: 40tude_Dialog/2.0.15.41de (18cf1306.135.313)
Cancel-Lock: sha1:OZIAJAul6qsDm45WiUB1NM4Bviw=
View all headers

Marc Haber:

> Andreas Borutta <borumat@gmx.de> wrote:
>>Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
>>Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
>>Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
>>die PIN vergisst.
>
> Kann man etwa nicht mehrere Passkeys für einen Zugang haben,

Ich vermute, dass alle Dienste das anbieten.
Geprüft habe ich es mit Nextcloud. Dort geht es.

> also z.B.
> auch eien zweiten Yubikey irgendwo in der Schublade haben?!?

Darum ging es mir in der Aussage oben nicht.

Dort ging es nur um den zweiten Faktor "PIN", der überhaupt erst die
Verwendung eines Yubikey (vermutlich gilt das für Sticks aller
Hersteller) ermöglicht.

Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
nicht. Also anders als bei einem Wohnungsschlüssel.

Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Andreas
--
http://fahrradzukunft.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Marc Haber
Newsgroups: de.comp.security.misc
Organization: private site, see http://www.zugschlus.de/ for details
Date: Wed, 15 May 2024 13:49 UTC
References: 1 2 3 4 5
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news1.tnib.de!feed.news.tnib.de!news.tnib.de!.POSTED.torres.zugschlus.de!not-for-mail
From: mh+usene...@zugschl.us (Marc Haber)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Wed, 15 May 2024 15:49:46 +0200
Organization: private site, see http://www.zugschlus.de/ for details
Message-ID: <v22ehq$8chv$1@news1.tnib.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 15 May 2024 13:49:46 -0000 (UTC)
Injection-Info: news1.tnib.de; posting-host="torres.zugschlus.de:81.169.166.32";
logging-data="275007"; mail-complaints-to="abuse@tnib.de"
X-Newsreader: Forte Agent 6.00/32.1186
View all headers

Andreas Borutta <borumat@gmx.de> wrote:
>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>nicht. Also anders als bei einem Wohnungsschlüssel.
>
>Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.

Das ist ein Feature, kein Bug.

Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Andreas Borutta
Newsgroups: de.comp.security.misc
Organization: A noiseless patient Spider
Date: Wed, 15 May 2024 16:56 UTC
References: 1 2 3 4 5 6
Path: i2pn2.org!i2pn.org!newsfeed.endofthelinebbs.com!nyheter.lysator.liu.se!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Wed, 15 May 2024 18:56:12 +0200
Organization: A noiseless patient Spider
Lines: 21
Message-ID: <1wyds73n5d8j3.dlg@borumat.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Wed, 15 May 2024 18:56:13 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="d8e10ac35ef63e5e8543d5750f1b30bb";
logging-data="1049710"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX19r/EgdP95rdln3HD7n7JwiSwX7bf1ySWE="
User-Agent: 40tude_Dialog/2.0.15.41de (ac363d21.132.314)
Cancel-Lock: sha1:G6xRQcQHKi4mSutOhPgE7k4XxrE=
View all headers

Marc Haber:

>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>nicht. Also anders als bei einem Wohnungsschlüssel.
>>
>>Eine Wahl hat der Nutzer nicht. Das Verwenden der PIN ist Pflicht.
>
> Das ist ein Feature, kein Bug.
>
> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

OK, hast Recht. Populäre Domains zu erraten, wo der Eigentümer
vielleicht ein Konto hat, ist deutlich leichter als das Erraten einer
Wohnung (in einer großen Stadt).

Gut, also Leben mit der PIN und den dazugehörigen Maßnahmen für den
Fall des Vergessens der PIN.

Andreas
--
http://fahrradzukunft.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Stephan Seitz
Newsgroups: de.comp.security.misc
Organization: Barad-dûr, Mordor
Date: Wed, 15 May 2024 20:46 UTC
References: 1 2 3 4 5 6
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: stse+use...@rootsland.net (Stephan Seitz)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: 15 May 2024 20:46:05 GMT
Organization: Barad-dûr, Mordor
Lines: 19
Message-ID: <lakl8bF17a8U2@mid.individual.net>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net Lkb7CZT+CPTZ8SVzL/vwcgeLfFfAWNOezKMFB/gwpu006VH6bh
X-Orig-Path: not-for-mail
Cancel-Lock: sha1:4mZObUfIk8wLtaT9idkCxuS5IaY= sha256:vi81A8I/qtjVyzgkh3nMt8jZPU2Xzk0A/TAhefro2SQ=
User-Agent: tin/2.6.4-20240430 ("Banff") (Linux/6.8.9 (x86_64))
View all headers

Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
> Andreas Borutta <borumat@gmx.de> wrote:
>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>nicht. Also anders als bei einem Wohnungsschlüssel.
> Das ist ein Feature, kein Bug.

Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
kann, ist ein Bug.

> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.

Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
von einer bekannten Person, wirst du auch die Wohnung kennen.

Stephan

--
| Stephan Seitz E-Mail: stse+usenet@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Marc Haber
Newsgroups: de.comp.security.misc
Organization: private site, see http://www.zugschlus.de/ for details
Date: Thu, 16 May 2024 13:58 UTC
References: 1 2 3 4 5 6 7
Path: i2pn2.org!i2pn.org!weretis.net!feeder8.news.weretis.net!news1.tnib.de!feed.news.tnib.de!news.tnib.de!.POSTED.torres.zugschlus.de!not-for-mail
From: mh+usene...@zugschl.us (Marc Haber)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Thu, 16 May 2024 15:58:33 +0200
Organization: private site, see http://www.zugschlus.de/ for details
Message-ID: <v253ea$f13b$1@news1.tnib.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de> <lakl8bF17a8U2@mid.individual.net>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 16 May 2024 13:58:34 -0000 (UTC)
Injection-Info: news1.tnib.de; posting-host="torres.zugschlus.de:81.169.166.32";
logging-data="492651"; mail-complaints-to="abuse@tnib.de"
X-Newsreader: Forte Agent 6.00/32.1186
View all headers

Stephan Seitz <stse+usenet@rootsland.net> wrote:
>Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
>> Andreas Borutta <borumat@gmx.de> wrote:
>>>Allein der erste Faktor "Ich habe etwas" - hier den Yubikey - genügt
>>>nicht. Also anders als bei einem Wohnungsschlüssel.
>> Das ist ein Feature, kein Bug.
>
>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>kann, ist ein Bug.

Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst
Du dir die Frage gefallen lassen, warum Du keinen Einfluss auf die
Standardisierung genommen hast.

>> Der zweite Faktor beim Wohnunugsschlüssel ist zu wissen wo er passt.
>
>Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
>von einer bekannten Person, wirst du auch die Wohnung kennen.

Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Stephan Seitz
Newsgroups: de.comp.security.misc
Organization: Barad-dûr, Mordor
Date: Thu, 16 May 2024 15:20 UTC
References: 1 2 3 4 5 6 7 8
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: stse+use...@rootsland.net (Stephan Seitz)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: 16 May 2024 15:20:15 GMT
Organization: Barad-dûr, Mordor
Lines: 23
Message-ID: <lammhdFbo1mU2@mid.individual.net>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de> <lakl8bF17a8U2@mid.individual.net> <v253ea$f13b$1@news1.tnib.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net m/suQwN4NAA8C0HSv5ZviAgRo62kUPiR1uwR/psPxvw5uooE+3
X-Orig-Path: not-for-mail
Cancel-Lock: sha1:sSvqjWpwK4Sc1/+plVLpLLkg3g0= sha256:JFxyBYtGt1mB/i13qtpBkcNCJ2yHQ47pB591ZdEH1LA=
User-Agent: tin/2.6.4-20240430 ("Banff") (Linux/6.9.0 (x86_64))
View all headers

Marc Haber <mh+usenetspam1118@zugschl.us> wrote:
> Stephan Seitz <stse+usenet@rootsland.net> wrote:
>>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>>kann, ist ein Bug.
> Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
> was da spezifiziert wurde. Und wenn Dir der Standard nicht passt musst

Eine Umsetzung eines Standards ist für mich kein Feature.

>>Das gilt für einen gefundenen Yubikey auch. Klaust du den Schlüssel
>>von einer bekannten Person, wirst du auch die Wohnung kennen.
> Ein geklauter Yubikey lässt sich _von_ überall einsetzen, der
> Wohnungsschlüssel nur bei räumlicher Anwesenheit.

Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
paßt.

Stephan

--
| Stephan Seitz E-Mail: stse+usenet@rootsland.net |
| If your life was a horse, you'd have to shoot it. |

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Christian Weisgerber
Newsgroups: de.comp.security.misc
Date: Thu, 16 May 2024 17:39 UTC
References: 1 2 3 4 5 6 7 8
Path: i2pn2.org!i2pn.org!news.samoylyk.net!3.eu.feeder.erje.net!feeder.erje.net!news2.arglkargh.de!news.karotte.org!akk.uni-karlsruhe.de!inti.inka.de!inka.de!mips.inka.de!.POSTED.localhost!not-for-mail
From: nad...@mips.inka.de (Christian Weisgerber)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Thu, 16 May 2024 17:39:03 -0000 (UTC)
Message-ID: <slrnv4ch5n.1opd.naddy@lorvorc.mips.inka.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de>
<1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de>
<1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de>
<lakl8bF17a8U2@mid.individual.net> <v253ea$f13b$1@news1.tnib.de>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Date: Thu, 16 May 2024 17:39:03 -0000 (UTC)
Injection-Info: lorvorc.mips.inka.de; posting-host="localhost:::1";
logging-data="58158"; mail-complaints-to="usenet@mips.inka.de"
User-Agent: slrn/1.0.3 (FreeBSD)
Lines: 31
View all headers

On 2024-05-16, Marc Haber <mh+usenetspam1118@zugschl.us> wrote:

>>Wie heißt es doch so schön: Ein Feature, das man nicht abschalten
>>kann, ist ein Bug.
>
> Man müsste dann jetzt mal in den FIDO2- oder Passkey-Standard gucken
> was da spezifiziert wurde.

Eine Eigenschaft von FIDO ist die Annahme[1], dass der Authentikator
sich freiwillig an den Standard hält, denn erzwingen kann das die
Gegenstelle nicht. Es ist also prinzipiell möglich, einen Authentikator
zu bauen, der versichert, der Benutzer habe sich durch PIN oder
biometrisch identifiziert, auch wenn das gar nicht geschehen ist.
Oder man klinkt eine entsprechende Funktion gleich in den Webbrowser
ein.

Das ist keineswegs hypothetisch. Der Artikel "Passkeys mit Open-
Source-Tools verwenden" in c't 10/2024, S. 138, hat ein solches
Spoofing beworben: Der Passwort-Manager KeePassXC und eine passende
Browsererweiterung handhaben Passkeys selber, wobei sie den privaten
Schlüssel einfach in einer Datei ablegen. Damit wird natürlich das
Sicherheitskonzept von FIDO unterlaufen.

[1] Schon FIDO U2F hat eine kryptografische Attestation-Funktionalität
mit der ein Authentikator nachweisen kann, dass er ein bestimmtes
Modell ist und die Gegenseite kann prinzipiell darauf bestehen.
Außer in Spezialumgebungen ist es aber nicht praktikabel, Daten-
banken erlaubter Authentikatoren mitzuschleppen.
--
Christian "naddy" Weisgerber naddy@mips.inka.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Bastian Blank
Newsgroups: de.comp.security.misc
Organization: A thinking site
Date: Sat, 25 May 2024 11:04 UTC
References: 1 2 3 4 5 6 7 8 9
Path: i2pn2.org!rocksolid2!news.neodome.net!weretis.net!feeder8.news.weretis.net!news.datentrampelpfad.de!thinkmo.de!.POSTED.shell.thinkmo.de!not-for-mail
From: use...@waldi.eu.org (Bastian Blank)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Sat, 25 May 2024 11:04:15 -0000 (UTC)
Organization: A thinking site
Message-ID: <slrnv53hde.3p8t.usenet@mobilewave.waldi.eu.org>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de>
<1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de>
<1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de>
<lakl8bF17a8U2@mid.individual.net> <v253ea$f13b$1@news1.tnib.de>
<lammhdFbo1mU2@mid.individual.net>
MIME-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 25 May 2024 11:04:15 -0000 (UTC)
Injection-Info: news.thinkmo.de; posting-host="shell.thinkmo.de:2a01:4f8:271:3f5c:0:22:0:1";
logging-data="470249"; mail-complaints-to="abuse@thinkmo.de"
User-Agent: slrn/1.0.3 (Linux)
View all headers

Stephan Seitz wrote:
> Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
> Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
> paßt.

Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
ganz genau wo er passt.

Im Prinzip kannst du das einsetzen als Passwortersatz, dann gibst du
beim Login also Nutzername und Passkey an, in dem Fall muss der Key
nicht wissen wo er funktioniert. Oder aber du speicherst auf dem Key
alles von Nutzername in Verbindung mit der Seite wo er tut.

Bastian

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Andreas Borutta
Newsgroups: de.comp.security.misc
Organization: A noiseless patient Spider
Date: Sat, 25 May 2024 12:49 UTC
References: 1 2 3 4 5 6 7 8 9 10
Path: i2pn2.org!i2pn.org!eternal-september.org!feeder3.eternal-september.org!news.eternal-september.org!.POSTED!not-for-mail
From: boru...@gmx.de (Andreas Borutta)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Sat, 25 May 2024 14:49:09 +0200
Organization: A noiseless patient Spider
Lines: 24
Message-ID: <1n0uxt9w4qg3c.dlg@borumat.de>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de> <1qjb1alzncf2k.dlg@borumat.de> <v2282i$7uf6$1@news1.tnib.de> <1g601vh8bd97h.dlg@borumat.de> <v22ehq$8chv$1@news1.tnib.de> <lakl8bF17a8U2@mid.individual.net> <v253ea$f13b$1@news1.tnib.de> <lammhdFbo1mU2@mid.individual.net> <slrnv53hde.3p8t.usenet@mobilewave.waldi.eu.org>
MIME-Version: 1.0
Content-Type: text/plain; charset="iso-8859-1"
Content-Transfer-Encoding: 8bit
Injection-Date: Sat, 25 May 2024 14:49:09 +0200 (CEST)
Injection-Info: dont-email.me; posting-host="0f74a5a2099d5442f4cafe7ce96328cc";
logging-data="3035100"; mail-complaints-to="abuse@eternal-september.org"; posting-account="U2FsdGVkX190a9ZNq5fK0OSuEclRZohBX+3fDIrkizk="
User-Agent: 40tude_Dialog/2.0.15.41de (14e6c2ea.51.397)
Cancel-Lock: sha1:1vAe6Pq6oIj3Nw2c+Sn3Vz1wde4=
View all headers

Bastian Blank:

> Stephan Seitz wrote:
>> Schon, aber du mußt trotzdem wissen, wo er paßt. Ein unbekannter
>> Yubikey hilft dir da nicht. Es sei denn, der kann dir verraten, wo er
>> paßt.
>
> Je nach Implementierung (persistent oder nicht), sagt der Yubikey dir
> ganz genau wo er passt.

Ich probiere hier gerade einen Nitrokey 3C NFC aus.

Er sagt Dir bei darauf gespeicherten Passkeys nur dann /wo/ er passt,
wenn Du die PIN kennst.

Bei Nitrokey findet die Verwaltung über das Terminal-Tool "nitropy"
statt.

Um damit auf einen Nitrokey zuzugreifen, benötigst Du dessen PIN.

Andreas
--
http://fahrradzukunft.de

Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
From: Arno Welzel
Newsgroups: de.comp.security.misc
Date: Sat, 25 May 2024 16:12 UTC
References: 1 2 3
Path: i2pn2.org!i2pn.org!news.swapon.de!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail
From: use...@arnowelzel.de (Arno Welzel)
Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google
Date: Sat, 25 May 2024 18:12:50 +0200
Lines: 28
Message-ID: <lbegvvFucovU1@mid.individual.net>
References: <i7xk49kpbsil.dlg@borumat.de> <p5jdagc91uz5$.dlg@borumat.de>
<1qjb1alzncf2k.dlg@borumat.de>
Mime-Version: 1.0
Content-Type: text/plain; charset=UTF-8
Content-Transfer-Encoding: 8bit
X-Trace: individual.net F0VQWA/RRvm065VxAGRqeQENgpajIXshNc9HrDDliE+mp7cK+o
Cancel-Lock: sha1:apSDQjbz3rEiV0O521fuOvs+fzc= sha256:y9OJG8Au0haP1XaZb208KhNkhYPj0eP0pWee50LIgQ0=
Content-Language: de-DE
In-Reply-To: <1qjb1alzncf2k.dlg@borumat.de>
View all headers

Andreas Borutta, 2024-05-15 10:31:

> Andreas Borutta:
>
>> 9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor
>> anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
>> 10. Methoden zum Zurücksetzen der zusätzlichen Faktoren
>
> Gerade las ich von einem Yubikeynutzer, dass die PIN zwar
> zurückgesetzt werden kann, dabei jedoch alle Passkeys gelöscht werden.
>
> Nicht überraschend.
>
> Man muss ich also was ausdenken um die PIN an mindestens 2 "sicheren
> Stellen" zu hinterlegen, um die Gefahr zu bannen, sich aus all den
> Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man
> die PIN vergisst.
>
> Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls
> nach Jahren.

Ja - so wie einen Wohnungsschlüssel oder die PIN zur Bankkarte.

--
Arno Welzel
https://arnowelzel.de


rocksolid / de.comp.security.misc / Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von Google

Pages:12
server_pubkey.txt

rocksolid light 0.9.12
clearnet tor