FIDO-Standard 2.0

    Ich würde gerne eure Meinung zu FIDO2 hören. Mich hat dieses Issue auf das Thema aufmerksam gemacht: https://issues.joomla.org/tracker/joomla-cms/25797


    Wenn ich alles richtig verstanden habe, dann ist der FIDO-Standard in Windows 10 und Android 7 als Softwarelösung integriert. Wenn man es ohne Hardware nutzt, ist FIDO2 eine Ein-Faktor-Authentifizierung (1FA) Lösung. Wenn man es als 2FA mit zusätzlicher Hardware nutzt, dann muss man aus Sicherheitsgründen auf der Hardware einen Knopf drücken, bevor die Anmeldung erfolgt. Denn, wenn es jemand schafft sich auf den Rechner aufzuschalten, wäre ansonsten Tür und Tor offen.


    Für mich bedeute dies, das ich FIDO2, wenn überhaupt, nur als 2FA Lösung nutzen würde. Wenn ich die integrierten Lösungen von Windows 10 oder Android 7 nutze, wäre das fast so, als wenn ich mein Passwort in den Cookies ablege und andere an meinen Rechner lasse, oder sehe ich das falsch?


    Nun meine Fragen:
    Ist meine Meinung in Bezug zu FIDO2 als 1FA Software Lösung richtig?

    Wo ist der Vorteil von FIDO2 mit 2FA zu anderen 2FA Lösungen?

    Lui_brempt

    Vielen Dank.


    Bei Heise habe ich gelesen. Und hier wurde auch erklärt, warum bei 2FA die Anmeldung per Klick auf der Hardware bestätigt werden muss.


    Etwas später wurde dann erklärt, dass man bei den integrierten Lösungen nichts mehr tun muss ...


    Also, meine Fragen wurden bei Heise nicht beantwortet oder habe ich etwas übersehen?

    Der 2te Faktor ist, so habe ich das Verstanden, der im Gerät integrierte Schlüssel. Zugang geht nu mit dem autorisierten Gerät.

    Bei den Hardwareteilen ist der weitere Klick, drücken, was auch immer notwendig, da der Besitz des Geräts an jeder anderen Hardware Zugang gewährt. Dabei ist einfacher Klick nicht sehr sicher, aber z.B. PIn oder Fingerscan.

    So habe ich mir das zusammen gereimt.

    Ich habe einen Läppi, der ist etwa ein halbes Jahr alt. Damit hab ich das Spielchen mit der https://webauthn.io/ Seite gemacht (wie in der c't beschrieben) Ich hab mich also angemeldet, und meine Brause meinte darauf, ich solle mich mit meinem Fingerabdruck identifizieren. Erst darauf hin ist offenbar meine Authentizität akzeptiert worden.

    Zitat von astrid

    Etwas später wurde dann erklärt, dass man bei den integrierten Lösungen nichts mehr tun muss ...

    Ist nicht ganz richtig. Die PIN für den Windows-Benutzer muß man dann statt der Betätigung des "Hardware-Tasters" eingeben.

    Siehe Windows10 -Einstellungen -> Konten -> Anmeldeoptionen-> Windows Hello-PIN


    Alternativ geht dort natürlich auch Windows-Hello-Gesichterkennung oder Windows-Hello-Fingerabdruckscanner wenn man die entsprechende Hardware hat.


    Die Funktionalität kann man z.B. dort mal ausprobieren:

    https://webauthn.io/

    Es gibt übrigens auch ein Video von heise-online in dem das Thema behandelt wird:

    Externer Inhalt www.youtube.com
    Inhalte von externen Seiten werden ohne Ihre Zustimmung nicht automatisch geladen und angezeigt.
    Durch die Aktivierung der externen Inhalte erklären Sie sich damit einverstanden, dass personenbezogene Daten an Drittplattformen übermittelt werden. Mehr Informationen dazu haben wir in unserer Datenschutzerklärung zur Verfügung gestellt.

    Zitat von astrid

    Nun meine Fragen:
    Ist meine Meinung in Bezug zu FIDO2 als 1FA Software Lösung richtig?


    Da wird es jetzt vermuttlich unterschiedliche Meinungen und Sichtweisen geben.

    Wenn man also z.B. nur Windows10 mit Hello-PIN und mit geeignetem Webbrowser benutzt würde ich es bisher so sehen:


    1.

    Der Login ist besser geschützt als mit der herkömmlichen 1FA-Lösung.

    Weil ein "Keylogger-Virus" der die Tastatureingaben an Angreifer sendet ist damit diesbezüglich nutzlos.

    Aber wenn ein Angreifer z.B. "Root-Rechte" auf deinem PC erlangt hat, könnte er prinzipiell darüber einen erfolgreichen Login durchführen.


    2.

    Auch ein "man in the middle"-Angriff oder Phishing-Attacken sind damit diesbezüglich nutzlos .


    3.

    Wenn ich es richtig verstanden habe wird ja für jede Website ein individuelles Keypair mit public und private Key erzeugt.

    Ob es zukünftig einmal gelingen könnte den private Key "auszulesen" wenn man z.B. "Root-Rechte" auf deienm PC hat kann wohl nicht völlig ausgeschloßen werden.



    Auch gut:

    https://www.informatik-aktuell…titaetsdiebstahl-ade.html

    Guten Tag,


    vielen lieben Dank für eure Antworten.


    Zitat von CurlY BracketS

    Ich hab mich also angemeldet, und meine Brause meinte darauf, ich solle mich mit meinem Fingerabdruck identifizieren


    Zitat von Sieger66

    Ist nicht ganz richtig. Die PIN für den Windows-Benutzer muß man dann statt der Betätigung des "Hardware-Tasters" eingeben.


    Dann hatte ich das falsch verstanden. Ich ging davon aus, dass man es auch als 1FA nutzen kann. Als Vorteil wir immer genannt, dass es Passwörter ersetzten soll. Ich werde das am Wochenende auch einmal selbst ausprobieren.

    Zitat von astrid

    Als Vorteil wir immer genannt, dass es Passwörter ersetzten soll.

    ist ja auch so wenn entweder


    Zitat von Sieger66

    Alternativ geht dort natürlich auch Windows-Hello-Gesichterkennung oder Windows-Hello-Fingerabdruckscanner wenn man die entsprechende Hardware hat.

    oder z.B. ein entsprechender USB-Stick mit FIDO2-Funktionalität verwendet wird.



    Bezüglich (WebAuthn Passwordless Login) in Joomla! 4:

    Habe es heute mal mit Joomla! 4 das ja die Passwordless-Web-Authentification im Core hat

    und einem Windows10-Computer mit Firefox mit eingebautem TPM-Modul im Prozessor getestet.

    Mit dem Ergebnis das sich derzeit auf diesem Wege die FIDO2-Funktionalität zusammen mit Joomla!4 leider nicht einrichten und benutzen lässt.


    Also ist derzeit wohl z.B. ein USB-Stick mit FIDO2-Funktionalität erforderlich wenn man WebAuthn Passwordless Login mit Joomla! 4 verwenden möchte.

    So ist es ja auch in der Doku beschrieben.