amibobo schrieb:
apt-ghetto schrieb:
Und wo genau befindet sich die "Zweifaktor-Authentifizierung"?
Ich brauche zunächst die Hardware (z.B. USB-Dongle) und (so stelle ich es mir vor) den darauf gespeicherten Key-Safe muss man mit einem Passwort öffnen. Dann habe ich erst Zugriff auf den eigentlichen Schlüssel, den ich mit einem 2.Passwort öffne, mit dem ich mit ins System / die Webanwendung einloggen kann.
Passwort + Hardware dachte ich wären 2 Faktoren?
So hast du es aber nicht im ersten Beitrag beschrieben. Ich hatte verstanden (reininterpretiert), du wolltest dein Passwort mit einem Schlüssel ersetzen.
Wenn du ein Passwort zum Entschlüsseln (etwas wissen) und den Schlüssel (etwas haben) hast, dann hast du im Prinzip tatsächlich eine Zweifaktoren-Authentifizierung. Ich bin mir allerdings sicher, dass deine Idee nicht sicherer ist, sondern nur komplizierter.
Die Sicherheit deines Schlüssel (und aller damit zusammenhängenden Dienste/Konten) hängt ja vom verwendeten Passwort ab. Ein Angreifer muss also nur irgendwie an dein Passwort respektive den Passworthash kommen (Keylogger, erraten, errechnen, etc). Insofern ändert sich für den Angreifer nicht viel. Und da du den Schlüssel verwenden möchtest, muss der Loginmanager ja irgendwie an den entsperrten Schlüssel kommen. Und wenn da ein Prozess an den entsperrten Schlüssel kommt, dann schafft es ein Angreifer sehr wahrscheinlich auch.
Ob du dich jetzt mit einem Passwort oder einem Zertifikat oder einem Schlüssel anmeldest, kommt aufs selbe heraus: Du hast genau einen Faktor (entweder das Passwort oder den Schlüssel oder das Zertifikat).
Und damit beantwortet sich auch deine erste Frage, ob es sinnvoll ist, den gleichen Schlüssel für mehrere Dienste/Konten zu verwenden.
Solange Dritte keinen Zugriff auf die Hardware haben, sollten sie sich nicht einloggen können.
Höchstens wenn der Schlüssel nicht nur auf der Hardware, sondern auch auf z.B. dem PC gespeichert ist und der wird gehackt, hätten sie wieder Zugriff.
Aber genau darum frage ich ja, nicht das ich da einen großen Denkfehler habe.
Wenn Dritte keinen Zugriff auf die Hardware haben, dann hat auch der Loginprozess keinen Zugriff auf die Hardware. Hat der Loginprozess aber doch Zugriff, dann vermutlich auch Dritte. Und sehr wahrscheinlich wird der Schlüssel zumindest kurzzeitig unverschlüsselt im Arbeitsspeicher vorhanden sein.
Gängige Zweifaktor-Authentifizierungen funktionieren meistens mit zeitbasierten One-Time-Passwords (OTP). In der Praxis wird der zweite Faktor eine App auf einem Mobiltelefon sein, die alle 30 Sekunden ein neues OTP erzeugt. Bei einer erfolgreichen Benutzer-Passwort-Kombination wirst du dann aufgefordert, das OTP einzugeben. Erst danach bist du erfolgreich authentifiziert.
Doc_Symbiosis schrieb:
Such vielleicht mal nach Fido. Das sollte das alles erledigen.
Zu den Mitgliedern der Fido-Allianz gehören auch Firmen wie Alibaba und Google. Ist Fido trotzdem datenschutztechnisch sicher?
Datenschutz ist wieder ein ganz anderes Thema. Und im Normalfall willst du ja auch, dass so ein Schlüssel personenbezogen ist. Stell dir mal vor, Max Muster muss vor Gericht nachweisen, dass er derjenige bist, dem ein Konto gehört. Da ist es doch einfacher, nachzuweisen, dass Max Muster Zugriff aufs Email-Konto max.muster@example.org hat, anstatt nachzuweisen, dass er der rechtmässige Eigentümer vom Schlüssel d0e61d58-1186-4641-a321-ca2e5cd62d08 ist.
Abschliessend möchte ich dir folgendes ans Herz legen:
Nutz verbreitete Lösungen. Die meisten Online-Dienste bieten 2FA an. Vielfach kannst du sogar zwischen verschiedenen Apps wählen. Ich habe mittlerweile eine stattliche Anzahl solcher Apps, die ich für unterschiedliche Dienste nutze.
Bastle nicht selber etwas. Nur weil man denkt, dass es sicher ist, muss es nicht zwangsläufig sicher sein. Gute Apps werden von unabhängigen Stellen auditiert.
Überleg dir auch, wie du an deine Daten/Dienste/Konten kommst, wenn der zweite Faktor nicht mehr nutzbar ist. Möglicherweise versuchen auch Angreifer, auf diesem Weg an deine Daten zu kommen.