Zum Inhalt springen

Fido2 Hardware token gegen Handy


Empfohlene Beiträge

Geschrieben

Schönen guten Tag, ich beschäftige mich zurzeit mit diversen Hardware Token und Kryptographischen Methoden. Seit 2019 implementiert Google in Android Smartphones die Möglichkeit sich über die Hardware dieser Handys via Fido2 zu authentifizieren. Meine Frage ist nun ob ihr es für ähnlich sicher wie die Authentifizierung über einen Hardware Token, wie beispielsweise einen Yubikey haltet? Google selber bewirbt diese Möglichkeit, zumindest für Google Konten als gleichwertig sicher.

Geschrieben
vor einer Stunde schrieb Elmo71:

Google selber bewirbt diese Möglichkeit, zumindest für Google Konten als gleichwertig sicher.

.... das per se ist schon ein Witz ;)

Ich schliesse mich @maniska an, der zweite Faktor muss von einem komplett getrennten Device kommen

Geschrieben (bearbeitet)
vor 31 Minuten schrieb charmanta:

.... das per se ist schon ein Witz ;)

Ich schliesse mich @maniska an, der zweite Faktor muss von einem komplett getrennten Device kommen

Genau das denke ich nämlich auch. Ein 2fa bzw Fido2 macht ja keinen Sinn mehr wenn das Gerät bereits komprimiert wurde.

Ich dachte ich hätte hierbei irgendwas nicht bedacht.

Ich sehe auch unten(siehe Bilder) nicht den unterschied zwischen der Push Benachrichtigung und dem "Sicherheitsschlüssel" welcher dort mit echten Hardware Token gleichgesetzt wird.

Ich habe mal bei Google angefragt, es kam natürlich keine Antwort.

IMG_20210203_140947.jpg

IMG_20210203_141012.jpg

Bearbeitet von Elmo71
Geschrieben

Ich glaube das ist mehr gedacht für Anmeldung am PC, Bestätigung am Handy.

der Unterschied ist "Benachrichtigung antippsen" und "Code aus App in Feld am PC eingeben"

Wir benutzen bei uns tendenziell beides, die meisten haben Benachrichtigung antippsen. Reicht m.E. auch

Geschrieben
vor 3 Minuten schrieb Bitschnipser:

Ich glaube das ist mehr gedacht für Anmeldung am PC, Bestätigung am Handy.

der Unterschied ist "Benachrichtigung antippsen" und "Code aus App in Feld am PC eingeben"

Wir benutzen bei uns tendenziell beides, die meisten haben Benachrichtigung antippsen. Reicht m.E. auch

Also man nimmt das Handy als Token für Accounts welche man nicht parallel auf dem Handy anwendet.. meintest du das?

Dies halte ich aber aufgrund der relativ einfachen Übernahme von Handys für, noch immer deutlich unsicherer, als ein separates Gerät welches nichtmal am Netz hängt.

Und im Falle das der "Schlüssel" auf dem selben Gerät läuft, erscheint es mir als noch deutlich angreifbarer als eh schon.

Wenn diese Schlussfolgerungen richtig sind Frage ich mich warum Google den Leuten an so einer wichtigen Stelle wie der Accountsicherheit hier son Quark anbietet.

 

 

 

Geschrieben

Da ich meinen vorherigen Beitrag nicht mehr editieren kann hier(unten) nochmal ein Bild zu den meiner Meinung nach fahrlässigen Behauptungen von Google nachdem ein Token hinzugefügt wurde.

Nochmal zur Erklärung, ich habe selber eine kleine Firma und suche dafür nach Sicherungsmethoden für meine paar Mitarbeiter.

Ich würde für jeden Hardware Token gratis zur Verfügung stellen. Aufgrund der Infos in den Google Accounts Frage ich mich halt inwieweit die Aufführung googles hier im Vergleich zu (in der Gesamtheit) teuren Hardware Token ernstzunehmen ist, zumindest zur Absicherung von Drittgeräten.

Ich halte normale Smartphones, wie sie jeder hat hierfür für viel zu unsicher. Möchte den Google IT Leuten ihre Kompetenz aber nicht ansprechen.

Okay

 

 

IMG_20210203_211304.jpg

Geschrieben

Das Problem ist wahrscheinlich nicht die Kompetenz der Google IT-ler, sondern die deiner Leute :D

Solange man die Geräte konsequent trennt, also nicht auf dem Handy den Authenticator haben und von dort auch versuchen einzuloggen kann relativ wenig passieren.

Klar, Hardwaretokens sind noch eine Spur sicherer, aber auch bei der App benötigt man erst einmal Benutzername + Passwort und muss dann auch noch die (virtuelle) Seriennummer und den Wiederherstellungscode des Authenticators haben, die Wahrscheinlichkeit da die Richtige Kombi zu finden... Davor finde ich wahrscheinlich ein Hardwaretoken mit drangeklebten Zugangsdaten. :D

Und selbst wenn sowohl Recher als auch Handy kompromitiert wären, müsste man noch den Zusammenhang zwischen DIESEM Account und DIESEM Handy(token) herstellen. Bei Hardwaretoken vielleicht sogar eher möglich. Wenn alle Tokens gleich aussehen schreibt bestimmt irgendjemand mal den Namen drauf. Wenns blöd läuft sogar den Account wenn man mehrere von den Hardwareteilen für verschiedene Accounts hat...

 

 

Dein Kommentar

Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung wiederherstellen

  Nur 75 Emojis sind erlaubt.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

Fachinformatiker.de, 2024 by SE Internet Services

fidelogo_small.png

Schicke uns eine Nachricht!

Fachinformatiker.de ist die größte IT-Community
rund um Ausbildung, Job, Weiterbildung für IT-Fachkräfte.

Fachinformatiker.de App

Download on the App Store
Get it on Google Play

Kontakt

Hier werben?
Oder sende eine E-Mail an

Social media u. feeds

Jobboard für Fachinformatiker und IT-Fachkräfte

×
×
  • Neu erstellen...