FIDO2 Keys an MacOS und iOS

[chris_only]

Hi,

FIDO2 Keys, was geht damit an MacOS und iOS? Ich hab noch nie sowas benutzt und würd mich da gern mal mit beschäftigen.
Gibts hier Leute, die sowas aktiv benutzen und mal Erfahrungen schildern können?

Auf kompatiblen Websites einloggen sollte ja funktionieren. Muss der Key dazu angeschlossen sein? Oder geht das auch über BT oder NFC?
Wie ist das beim Login am Mac, kann man die da gebrauchen? Und wenn ja, muss gesteckt werden?

 

[Matrickser]

FIDO2-Keys gibt es in unterschiedlichen Ausfuehrungen, mit und ohne NFC, mit USB-C, ...
Ich nutze zwei von Yubikey, den YubiKey 5C und den YubiKey 5C NFC.

Wenn man einen Key am Mac fuer Logins auf Webseiten nutzt, muss dieser angeschlossen werden, wenn man ihn am iPhone nutzt, kann man die NFC-Funktion verwenden, sofern der Key das unterstuetzt. Fuer den Login am Mac muss dieser logischerweise auch eingesteckt werden.


Es gibt auch noch eine deutsche Firma "Nitrokey", die solche Keys vertreibt.

Im Gegensatz zum Nitrokey ist die Hardware des YubiKeys leider nicht quelloffen. Das bedeutet nicht per se, dass YubiKeys generell unsicher oder nicht vertrauenswürdig sind, aber es bedeutet eben:

• keine unabhängige Überprüfung des Quellcodes / der Implementierung möglich
• dadurch nur eingeschränkte Möglichkeit der Überprüfung auf Hintertüren oder Sicherheitslücken

 

[tbo]

Der Yubico Security Key (blau) funktioniert auch sehr gut. Ich habe zwei davon und es gibt auch welche mit USB-C und funktionieren ohne Probleme mit macOS und iOS, auch für die Apple ID.

 

[chris_only]

Wenn man einen Key am Mac fuer Logins auf Webseiten nutzt, muss dieser angeschlossen werden, wenn man ihn am iPhone nutzt, kann man die NFC-Funktion verwenden, sofern der Key das unterstuetzt. Fuer den Login am Mac muss dieser logischerweise auch eingesteckt werden.

Hmm, schade, ich dachte da wäre man weiter, zB den Key an den Mac halten und zack bin ich eingelogged, so wie eine Apple Watch da funktioniert.
Dann muss ich mal schauen, wie viele meiner Seiten das Verfahren überhaupt unterstützen. Große Player wie MS oder Banken werden es wohl unterstützen, aber wie sind da sonst eure Erfahrungen? Kommt ihr mit FIDO2 weg von TOTP Codes?

 

[Matrickser]

Hmm, schade, ich dachte da wäre man weiter, zB den Key an den Mac halten und zack bin ich eingelogged, so wie eine Apple Watch da funktioniert.

Dafür müsste der Rechner NFC können.

Dann muss ich mal schauen, wie viele meiner Seiten das Verfahren überhaupt unterstützen.

Welche Dienste was unterstützen, kannst du hier auf der Seite ausfindig machen: https://buybitcoinworldwide.com/dongle-auth/

 

[chris_only]

Oh Mann. Ich hab da grad mal die drei Banken gesucht, die ich nutze, also Volksbank, Sparkasse, N26. Keine Unterstützung.
Microsoft 365 wird unterstützt, Azure aber nicht. Tutanota funktioniert

Ich glaub, das macht so noch keinen Sinn.

 

[Matrickser]

Oh Mann. Ich hab da grad mal die drei Banken gesucht, die ich nutze, also Volksbank, Sparkasse, N26. Keine Unterstützung.

Meines Wissen nach unterstützt (noch) keine Bank das FIDO2-Verfahren.

Du könntest aber deinen iCloud-Account damit absichern, sofern du diesen nutzt. Dafür werden aber zwei Schlüssel benötigt.
Oder aber auch einen Passwort-Manager, E-Mails verschlüsseln (OpenPGP), ...

Ich glaub, das macht so noch keinen Sinn.

Die Frage nach dem Sinn stellt sich bei mir nicht, wenn man dadurch die Sicherheit erhöhen kann.
Die Dienste, welche ich nutze und die es auch anbieten, werden auch mit den FIDO2-Keys abgesichert.

 

[chris_only]

Ich verstehe die Einstellung. Aber iCloud zB ist mir nicht viel wert. Ich nutze den Kontaktsync und Lesezeichen, da reicht mir 2FA und die Applesche Verschlüsselung.

Für die Arbeit werd ich aber wohl welche besorgen, wenn ich mir den Ablauf bei 365 mal angeschaut hab.

 

[Matrickser]

Ich verstehe die Einstellung. Aber iCloud zB ist mir nicht viel wert. Ich nutze den Kontaktsync und Lesezeichen, da reicht mir 2FA und die Applesche Verschlüsselung.

iMessage, Health, ... etc. nutzt du auch nicht? Die Applesche Verschlüsselung ist halt eine zweiseitige Verschlüsselung, also keine echte Verschlüsselung, weil ja der Schlüssel bei Apple liegt. Mit den Keys bekommst du immerhin eine echte Verschlüsselung, wo nur du den Schlüssel besitzt.

 

[chris_only]

iMessage, Health, ... etc

iMessage schon, wegen SMS. Das seh ich aber als Postkarte, genau wie Mails, da kommt nichts wichtiges rein. Health nutze ich gar nicht, ich will keine Körperdaten bei einem Techgiganten, daher auch keine Watch. Ich versuche, einigermaßen datensparsam zu sein. Ich mach nix böses, aber ich hab keine Lust mehr auf gläserne Drone - liest sich komisch aus der Feder eines Macusers

Mit den Keys bekommst du immerhin eine echte Verschlüsselung, wo nur du den Schlüssel besitzt.

Was ist daran anders, als mit dem Wiederherstellungskey, den ich mir aufgeschrieben habe?

 

[Matrickser]

Was ist daran anders, als mit dem Wiederherstellungskey, den ich mir aufgeschrieben habe?

Das Apple immer noch einen Zweit-Schlüssel besitzt.

 

[tbo]

iMessage schon, wegen SMS. Das seh ich aber als Postkarte, genau wie Mails, da kommt nichts wichtiges rein.

Wobei iMessage genau wie Signal Ende zu Ende verschlüsselt ist. SMS natürlich nicht.

Health nutze ich gar nicht, ich will keine Körperdaten bei einem Techgiganten, daher auch keine Watch. Ich versuche, einigermaßen datensparsam zu sein.

Schon der E-Akte widersprochen?

Was ist daran anders, als mit dem Wiederherstellungskey, den ich mir aufgeschrieben habe?

Der große Vorteil von FIDO2-Keys ist, sie sind vergleichsweise sicher gegen Phishing.

 

[chris_only]

Dann stimmt das nicht?

 

[Matrickser]

Dann stimmt das nicht?

Das stimmt nur, wenn du den erweiterten Datenschutz mit den 2 Schlüsseln aktivierst, sonst nicht.

 

[chris_only]

Ist er ja, das meinte ich mit der neuen Appleschen Verschlüsselung.

 

[tbo]

Ergänzung: Passkeys, die es ja nun seit über einen Jahr gibt, sind auch nichts anderes als in den Computer eingebaute FIDO2-Keys. Erlauben bei vielen Seiten sogar den passwortlosen Zugang.

 

[Matrickser]

Wobei iMessage genau wie Signal Ende zu Ende verschlüsselt ist. SMS natürlich nicht.

Oh nein, iMessage ist nicht wirklich Ende-zu-Ende verschlüsselt - es ist eher eine "kaputte" Verschlüsselung. Apple behauptet dies natürlich, aber dem ist nicht so, weil sie einen Zweitschlüssel besitzen.

 

[tbo]

Oh nein, iMessage ist nicht wirklich Ende-zu-Ende verschlüsselt - es ist eher eine "kaputte" Verschlüsselung. Apple behauptet dies natürlich, aber dem ist nicht so, weil sie einen Zweitschlüssel besitzen.

Quelle für die Behauptung?

 

[Matrickser]

Quelle für die Behauptung?

https://www.kuketz-blog.de/imessage-ende-zu-ende-verschluesselung-durch-icloud-backup-ausgehebelt/

 

[tbo]

https://www.kuketz-blog.de/imessage-ende-zu-ende-verschluesselung-durch-icloud-backup-ausgehebelt/

iCloud Backup daher nicht einschalten oder ADP einschalten. Hat aber nichts mit iMessage zu tun.