ComputerBase Menü
Aktuelles

Einsatzgebiete für FIDO

P

petzi

Lt. Commander
Registriert
Jan. 2018
Beiträge
1.520
Habe heute jemanden geholfen, einen FIDO2 Stick für die Registrierung einer ID Austria zu nutzen. (Nein, die Person hat kein Smartphone mit Sensor, daher der Stick) Hat alles bestens geklappt.

Ich wurde dann gefragt, wozu sonst man den Stick nutzen kann?
Da ich so'n umständliches Ding noch nie brauchte (habe die wahrscheinlich erste ausgegebene, älteste "Handysignatur" Österreichs und das reicht), weiß ich das auch nicht. Klar, für Behörden, Ämter, Institutionen, welche man als Österreicher eben mit der ID Austria erreicht.

Suchen hier und bei Google ergaben, dass das auch eben bei Google gehen soll, bei Facebook und noch ein paar mir unbekannte, unbedeutende Sites. Habe aktuell weder ein Google-Konto, noch irgendein Social-Media-Profil.
Ansonsten zeigen die SERP Einträge, wo man endlos über die Technik schwafelt, aber nicht viel zur praktischen Anwendung.

So ein (für ID Austria geeigneter) Stick ist ja teuer (zwar vllt. billiger als ein Smartphone mit Sensor) und daher ist die Frage nach weiteren Anwendungsmöglichkeiten ja auch für mich interessant.

Welche Anbieter, Dienste im Web haben also auch diese (oder gar nur die eine) Methode zur Anmeldung?
Auch Banken? (Meine weiß nix von, die hat eine eigene App für)
 
Eine klassische Verwendung wäre zum Beispiel mit einem passwortmanager.
 
  • Gefällt mir
Reaktionen: BFF
Fido2 ist eigentlich ein offener Standard. Du meinst diese Art "Yubi Key"?

Ohne den (YubiKey 5C FIPS hier) geht zum Beispiel ein spezielles Notebook bei mir nicht wirklich an weil komplett verschluesselt plus ist der lokale Account darauf damit extra geschuetzt. Microsoft / Google /Apple Accounts kannst Du damit abdichten. Je nach Faehigkeit einsetzbar auch fuer 2FA /MFA. Ersatz fuer SmartCard usw.
 
Unterstützen mittlerweile sehr viele große Services, zumindest als 2FA.
Hier hat eine Firma eine Liste zusammengestellt, ohne überall genau zu schreiben was damit geht: https://hideez.com/de-de/pages/supported-services
(Man kann bei Security Protocol nach FIDO/FIDO 2 sortieren.)

Die c't hatte auch schon einige Artikel darüber.
 
|Moppel| schrieb:
mit einem passwortmanager
Zum Vergrößern anklicken....
Ich nutze AMP als PW-Manager - doch wie könnte ich den damit verbinden? (ja, ok, das solle ich den Coder des Tools fragen)


BFF schrieb:
Fido2 ist eigentlich ein offener Standard. Du meinst diese Art "Yubi Key"?
Zum Vergrößern anklicken....
hmmm, ja also so einen Stick, konkret den https://www.a-trust.at/webshop/Details/4106

BFF schrieb:
Microsoft / Google /Apple Accounts kannst Du damit abdichten.
Zum Vergrößern anklicken....
Aha. Danke


Thorakon schrieb:
https://hideez.com/de-de/pages/supported-services
Zum Vergrößern anklicken....
Wow, ganz schön viele ... Danke!
Aber nicht komplett, weil unsere wichtigsten Services (eben z.B ID Austria) nicht in der Liste sind.
 
FIDO2 hat eben nicht zwangsweise was mit ID Austria zu tun. Vermute die haben sich auf weltweite Services "beschränkt". Denke auch dass so eine Liste niemals vollständig sein wird. Aber was man denke ich sieht, Banken sind keine drunter, bei denen habe ich auch noch nicht davon gehört. Scheint lt. reddit sehr selten zu sein. Ein Nachteil ist natürlich, dass User sich schnell selbst aussperren können wenn sie den Stick verlieren und kein Backup für den Fall haben.

Ok, in Österreich gibt es sogar Banken die es nutzen:
https://www.marchfelderbank.at/internetbanking/haben-sie-fragen-/fido2-token
 
  • Gefällt mir
Reaktionen: netzgestaltung
AMP = Account Management Panel?
Sagt mir wirklich nix.

In Theorie konnte das AMP 2FA machen und als Faktor benutzt Du den Key.


Dein Stick da sieht aus wie ein umgelabelter Yubi Key NFC.
1723153545920.png

Was voellig ok ist. Yubico vertreibt die ja auch so.

1723153630342.png
 
Thorakon schrieb:
FIDO2 hat eben nicht zwangsweise was mit ID Austria zu tun
Zum Vergrößern anklicken....
Klar. ID Austria geht auch ohne.
Und meine heute auch ID Austria genannte, ehem. "Handysignatur" funkt ohnehin vollkommen unkompliziert. (Doch die kann man heute nicht mehr registrieren, es geht nur die große ID Austria Version, welche eben noch mehr Kram erfordert)

Thorakon schrieb:
Banken sind keine drunter
Zum Vergrößern anklicken....
Scheinbar nicht ...

Thorakon schrieb:
Ein Nachteil ist natürlich, dass User sich schnell selbst aussperren können wenn sie den Stick verlieren und kein Backup für den Fall haben.
Zum Vergrößern anklicken....
Das auch noch.
Also viel umständlicher als ohne so einen Stick und Backup - wie soll man das machen? Kann man den Stick kopieren? Eher nicht, oder?

Was soll man denn da backuppen?
Ja, wir haben die 99 Daten, welche A Trust für die Registrierung wollte und die zuvor, von der Behörde ausgegebenen Daten wie einen Freischaltcode usw. in einem lokalen Passwort-Manager gesichert. Der klar auch im Backup des Rechners miteinbezogen wird. Das war's aber schon.


BFF schrieb:
AMP =
Zum Vergrößern anklicken....
"Alle meine Passworte". Verwende ich seit es das Tool gibt.

BFF schrieb:
Dein Stick da sieht aus wie ein umgelabelter Yubi Key NFC.
Zum Vergrößern anklicken....
Kann sein ... Das ist mir aber nicht so wichtig, von wo, wer , was - sondern eben nur, was man mit den Ding alles machen kann.
Was eigentlich mit der Liste aus #4 geklärt ist - und mit der Erkenntnis, dass das stets erweitert wird.
 
petzi schrieb:
Also viel umständlicher als ohne so einen Stick und Backup - wie soll man das machen? Kann man den Stick kopieren? Eher nicht, oder?

Was soll man denn da backuppen?
Zum Vergrößern anklicken....
2FA (z.B. mit dem FIDO Stick) würde ich nur dort einsetzen, wo man auch eine Backup-2FA Methode hinterlegen kann. Du kannst dir ja selber mal überlegen, ob du in deine 2FA geschützten Konten noch reinkommst, wenn z.B. der FIDO-Stick verloren geht. Wenn man solche Fragen mit nein beantwortet, würde ich mich lieber auf nen 20+ stelliges PW ausm PW-Generator verlassen. Außer es nicht schlimm, wenn man die Dienste, die hinter dem Konto stecken, nicht mehr nutzen kann.
 
  • Gefällt mir
Reaktionen: BeBur
Ich hab auch einen FIDO2 Yubikey für ID Austria gekauft(+ einen 2. einen als Ersatz) und aktuell damit noch 2FA bei Github(MS) eingerichtet. Ich würde gerne meinen Linux-User damit einloggen aber ohne Laufwerksverschlüsselung.

Ich bin noch nicht sicher ob ich "alle" Passwörter mit dem sichern will weil er halt oft "einfach steckt" und manchmal sitzt auch jemand anderes vor dem Rechner - nicht immer nur Noobs.

Gerade für Benutzer die "ich kann mir kein Passwort merken und auf einen Zettel schreiben geht auch nicht weil der geht verloren und am PC speichern ist mir auch zu unsicher" wäre das mmn eine gute Erleichterung.

PS: ich hab den https://www.yubikey-shop.at/products/security-key-c-nfc-by-yubico gekauft, der war günstiger, aber mit weniger Speicher/Methoden
Ergänzung ()

In der Artikelbeschreibung von meinem Key ist ein Link zu einer Diensteliste: https://www.yubico.com/works-with-yubikey/catalog/?sort=popular
Ergänzung ()

Die Sicherheit vor dem Schlüsselverlust ist - tadaaa - ein Ersatzschlüssel: https://support.yubico.com/hc/en-us/articles/360021919459-How-to-register-your-spare-key
Ergänzung ()

Hier gibts auch eine umfangreiche Beschreibung: https://www.epicenter.works/content/how-to-id-austria-ohne-zwang
 
Zuletzt bearbeitet:
petzi schrieb:
Klar. ID Austria geht auch ohne.
Und meine heute auch ID Austria genannte, ehem. "Handysignatur" funkt ohnehin vollkommen unkompliziert. (Doch die kann man heute nicht mehr registrieren, es geht nur die große ID Austria Version, welche eben noch mehr Kram erfordert)
Zum Vergrößern anklicken....
Meine ID Austria braucht lediglich den Fingerabdruck meines Handys, reiche das also bei einer heutigen Registrierung nicht mehr aus?

FIDO ist halt ein zweiter Faktor, that's it.
 
Doch es geht auch mit der App+Fingerabdruck - aber wer will das schon...
Mein Handy ist OEM Entsperrt, gerootet + CalyxOS und ohne Google-Services(MIcroG ohne Login), da gehts auch nicht mit der App. Außerdem kann ich das am PC nutzen ohne ein weiteres Gerät/Programm OS unabhängig.

Die Handysignatur ist halt das alte 2FA System mit unverschlüsselter SMS - es gab schon erfolgreiche Angriffe auf solche in andern Ländern, allerdings nicht viele.
 
Zuletzt bearbeitet:
netzgestaltung schrieb:
Ich würde gerne meinen Linux-User damit einloggen aber ohne Laufwerksverschlüsselung.
Zum Vergrößern anklicken....
Kannste. Wenn du da ohne Aufforderung draufdrückst, dann trägt der ins Feld einen langen Schlüssel ein. Das dürfte die Seriennummer vom Stick sein, weiß nicht, ob ich das als Passwort nutzen würde.
Handy als Passwort kommt für mich nicht in Frage, da gibt's keine Datensicherung für und wird auch öfter geklaut als so ein Stick.
 
qiller schrieb:
Du kannst dir ja selber mal überlegen, ob du in deine 2FA geschützten Konten noch reinkommst, w
Zum Vergrößern anklicken....
Ich nicht, ich brauche so ein Ding nicht, mir reicht die gute, alte unkomplizierte Handysignatur.

Aber ja, die Person, welche das nun einsetzt, sollte das testen. Solange sie es aber, wie geplant, nur für Webdienste, welche hinter der ID Austria sind, anwendet, sehe ich da kaum alternative Registrierungs- bzw. Login-Möglichkeiten.
Außer beim Finanzamt, machen gleich drei Tore weit auf, für die Steuerzahler ...

qiller schrieb:
würde ich mich lieber auf nen 20+ stelliges PW ausm PW-Generator verlassen
Zum Vergrößern anklicken....
Wenn es die Website, der Dienst ... nicht anbietet, geht das halt nicht

Also nein, "hier kommst net rein!"

Aber deswegen kann man heute auch kaum auf diese Dienste verzichten. Es sei denn man/frau will sich trotz Mobilitätseinschränkung, ohne Öffis wegen einer Unterschrift 60 km bis zum nächsten Amt schleppen.
Und da werden die analogen Zugänge immer weniger ...

Drewkev schrieb:
Meine ID Austria braucht lediglich den Fingerabdruck meines Handys, reiche das also bei einer heutigen Registrierung nicht mehr aus?
Zum Vergrößern anklicken....
Warum sollte das nicht reichen?
 
Wurde weiter oben schon geschrieben, wegen dem Backup: kann z.B. sein, dass man zwei Sticks registrieren kann. Geht einer unterwegs verloren hat man einfach noch den zweiten zu Hause liegen. Aber theoretisch sind auch andere Backups möglich, z.B. irgendwelche sehr langen Zahlencodes auf Papier ausgedruckt als "Notfall-TAN". Hängt halt vom Anbieter ab. Bei Geschäften und Ämtern in der echten Welt kann man zur Not wahrscheinlich mit seinem Ausweis den Zugang zurücksetzen.
Das Problem gibt es natürlich auch bei anderen Formen von 2FA, z.B. App auf dem Handy.
 
  • Gefällt mir
Reaktionen: BeBur und qiller
Thorakon schrieb:
Das Problem gibt es natürlich auch bei anderen Formen von 2FA, z.B. App auf dem Handy.
Zum Vergrößern anklicken....
Wobei man von anderen Verfahren üblicherweise Backups erstellen kann.

Thorakon schrieb:
Geht einer unterwegs verloren hat man einfach noch den zweiten zu Hause liegen.
Zum Vergrößern anklicken....
Den hat man seit 2 Jahren nicht mehr benutzt und daher stellt man dann spontan fest, dass der kaputt gegangen ist. Oder die PIN anders ist als man dachte. Oder der Stick nicht mehr da liegt wo er sollte... :D. Gilt so natürlich mehr oder minder für alle Backups, dürfte nicht FIDO2 spezifisch sein. Wobei ein Stick mMn etwas fehleranfälliger ist als z.B. ein abgeheftetes DIN A4 Blatt.
 
  • Gefällt mir
Reaktionen: qiller
BeBur schrieb:
Den hat man seit 2 Jahren nicht mehr benutzt
Zum Vergrößern anklicken....
Wie Wohnungschlüssel lassen sich die auch alternierend nutzen, also gelegentlich wechseln -> guter Einwand!
 
  • Gefällt mir
Reaktionen: BeBur
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

K
Welche Kamera für vielseitigen Einsatz
Antworten
4
Aufrufe
1.841
schneup
S
Pitt_G.
Einsatzgebiete für alte HDDs
2 3
Antworten
43
Aufrufe
3.721
Pitt_G.
Pitt_G.
acty
News Nikon KeyMission: Zwei Action-Kameras für verschiedene Einsatzgebiete
Antworten
6
Aufrufe
3.358
Cookieforaday
C
M
Tipps für eigene PC-Zusammenstellung; Einsatzgebiet: Office und Gaming
Antworten
11
Aufrufe
945
maxpower1111
M
5
Cisco Bridge - Weitere Einsatzgebiete?
Antworten
1
Aufrufe
686
Hito
Hito
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz