Elmo71 Geschrieben 3. Februar 2021 Geschrieben 3. Februar 2021 Schönen guten Tag, ich beschäftige mich zurzeit mit diversen Hardware Token und Kryptographischen Methoden. Seit 2019 implementiert Google in Android Smartphones die Möglichkeit sich über die Hardware dieser Handys via Fido2 zu authentifizieren. Meine Frage ist nun ob ihr es für ähnlich sicher wie die Authentifizierung über einen Hardware Token, wie beispielsweise einen Yubikey haltet? Google selber bewirbt diese Möglichkeit, zumindest für Google Konten als gleichwertig sicher. Zitieren
Maniska Geschrieben 3. Februar 2021 Geschrieben 3. Februar 2021 Frage: Wie sicher scheint eine 2FA Auth, wenn ich den 2. Faktor auf dem gehackten Gerät direkt mit vorfinde? Thanks-and-Goodbye reagierte darauf 1 Zitieren
charmanta Geschrieben 3. Februar 2021 Geschrieben 3. Februar 2021 vor einer Stunde schrieb Elmo71: Google selber bewirbt diese Möglichkeit, zumindest für Google Konten als gleichwertig sicher. .... das per se ist schon ein Witz Ich schliesse mich @maniska an, der zweite Faktor muss von einem komplett getrennten Device kommen Thanks-and-Goodbye reagierte darauf 1 Zitieren
Elmo71 Geschrieben 3. Februar 2021 Autor Geschrieben 3. Februar 2021 (bearbeitet) vor 31 Minuten schrieb charmanta: .... das per se ist schon ein Witz Ich schliesse mich @maniska an, der zweite Faktor muss von einem komplett getrennten Device kommen Genau das denke ich nämlich auch. Ein 2fa bzw Fido2 macht ja keinen Sinn mehr wenn das Gerät bereits komprimiert wurde. Ich dachte ich hätte hierbei irgendwas nicht bedacht. Ich sehe auch unten(siehe Bilder) nicht den unterschied zwischen der Push Benachrichtigung und dem "Sicherheitsschlüssel" welcher dort mit echten Hardware Token gleichgesetzt wird. Ich habe mal bei Google angefragt, es kam natürlich keine Antwort. Bearbeitet 3. Februar 2021 von Elmo71 Zitieren
Bitschnipser Geschrieben 3. Februar 2021 Geschrieben 3. Februar 2021 Ich glaube das ist mehr gedacht für Anmeldung am PC, Bestätigung am Handy. der Unterschied ist "Benachrichtigung antippsen" und "Code aus App in Feld am PC eingeben" Wir benutzen bei uns tendenziell beides, die meisten haben Benachrichtigung antippsen. Reicht m.E. auch Zitieren
Elmo71 Geschrieben 3. Februar 2021 Autor Geschrieben 3. Februar 2021 vor 3 Minuten schrieb Bitschnipser: Ich glaube das ist mehr gedacht für Anmeldung am PC, Bestätigung am Handy. der Unterschied ist "Benachrichtigung antippsen" und "Code aus App in Feld am PC eingeben" Wir benutzen bei uns tendenziell beides, die meisten haben Benachrichtigung antippsen. Reicht m.E. auch Also man nimmt das Handy als Token für Accounts welche man nicht parallel auf dem Handy anwendet.. meintest du das? Dies halte ich aber aufgrund der relativ einfachen Übernahme von Handys für, noch immer deutlich unsicherer, als ein separates Gerät welches nichtmal am Netz hängt. Und im Falle das der "Schlüssel" auf dem selben Gerät läuft, erscheint es mir als noch deutlich angreifbarer als eh schon. Wenn diese Schlussfolgerungen richtig sind Frage ich mich warum Google den Leuten an so einer wichtigen Stelle wie der Accountsicherheit hier son Quark anbietet. Zitieren
Elmo71 Geschrieben 3. Februar 2021 Autor Geschrieben 3. Februar 2021 Da ich meinen vorherigen Beitrag nicht mehr editieren kann hier(unten) nochmal ein Bild zu den meiner Meinung nach fahrlässigen Behauptungen von Google nachdem ein Token hinzugefügt wurde. Nochmal zur Erklärung, ich habe selber eine kleine Firma und suche dafür nach Sicherungsmethoden für meine paar Mitarbeiter. Ich würde für jeden Hardware Token gratis zur Verfügung stellen. Aufgrund der Infos in den Google Accounts Frage ich mich halt inwieweit die Aufführung googles hier im Vergleich zu (in der Gesamtheit) teuren Hardware Token ernstzunehmen ist, zumindest zur Absicherung von Drittgeräten. Ich halte normale Smartphones, wie sie jeder hat hierfür für viel zu unsicher. Möchte den Google IT Leuten ihre Kompetenz aber nicht ansprechen. Okay Zitieren
Maniska Geschrieben 3. Februar 2021 Geschrieben 3. Februar 2021 Das Problem ist wahrscheinlich nicht die Kompetenz der Google IT-ler, sondern die deiner Leute Solange man die Geräte konsequent trennt, also nicht auf dem Handy den Authenticator haben und von dort auch versuchen einzuloggen kann relativ wenig passieren. Klar, Hardwaretokens sind noch eine Spur sicherer, aber auch bei der App benötigt man erst einmal Benutzername + Passwort und muss dann auch noch die (virtuelle) Seriennummer und den Wiederherstellungscode des Authenticators haben, die Wahrscheinlichkeit da die Richtige Kombi zu finden... Davor finde ich wahrscheinlich ein Hardwaretoken mit drangeklebten Zugangsdaten. Und selbst wenn sowohl Recher als auch Handy kompromitiert wären, müsste man noch den Zusammenhang zwischen DIESEM Account und DIESEM Handy(token) herstellen. Bei Hardwaretoken vielleicht sogar eher möglich. Wenn alle Tokens gleich aussehen schreibt bestimmt irgendjemand mal den Namen drauf. Wenns blöd läuft sogar den Account wenn man mehrere von den Hardwareteilen für verschiedene Accounts hat... Thanks-and-Goodbye, Bitschnipser, allesweg und 1 Weiterer reagierten darauf 1 3 Zitieren
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.