Ich habe gerade einen Designfehler als schwere #Sicherheitslücke bei Androids mit #Passkeys auf externen Token wie z.B. #Yubikeys mit #FIDO2 entdeckt...
Aber bevor ich einen Murdsbahö mache, würd ich gerne mal rückfragen, ob jene die sich mit #Security hier befassen, das auch so sehen.
Folgendes Szenario: Ich habe #keycloak als Authentifikations-Service vor div. Services bei mir im Einsatz. Dort habe ich einen Authentication-Flow der mir "Passwortlose" Authentifizierung erlaubt. Also der einen Passkey verwenden kann.
Als Passkey habe ich einen Yubikey 5C mit NFC im Einsatz.
Wenn ich diese Authentifikation am Laptop wähle, so muss der Yubikey eingesteckt sein. Ich gebe meinen Benutzernamen ein. Dann fragt mich der Browser nach dem PIN des Yubikeys. Den gebe ich ein, und dann werde ich aufgefordert, da drauf zu drücken, und schon bin ich angemeldet.
Genauso funktioniert das am Smartphone auch, wenn der Token per USB eingesteckt ist.
Ein Angreifer, der sich meinen Token stiehlt muss immer noch den PIN dazu wissen. Und nach 3x-iger falscher Eingabe ist der Token unbrauchbar.
Die Sicherheit ist also relativ hoch.
Aber Android (ich hab GrapheneOS im Einsatz) fragt mich auch, ob ich die Authentifizierung per NFC machen möchte. Das ist eine Google-App. Ja auch auf #GrapheneOS da diese noch nicht portiert wurde. Aber es ist egal, auf den allermeisten Androids rennt diese Google-App die für FIDO-Authentifizierung genutzt wird.
Wenn ich also NFC wähle, so muss ich nur den Token präsentieren und schon bin ich drin in meinem Account.
Es fehlt die Abfrage nach dem PIN des Token.
Ich habe in keycloak nichts gefunden, wo ich einstellen könnte, dass auch bei Authentifizierung mittels NFC der PIN abgefragt werden muss. Also scheint es die Google-App zu entscheiden, dass über USB der PIN abgefragt wird und über NFC nicht.
Und das sehe ich als gewaltige Sicherheitslücke, welche diesen Authentifizierungsflow in keycloak ad Absurdum führt.
Wenn ich einen Passkey eines Gerätes nehme, auf dem ich mich einloggen muss... ok. Es muss jemand meinen Laptop oder mein Smartphone stehlen und sich in meinen Account einloggen... dann passt es, dass kein PIN per NFC abgefragt wird.
Aber wenn ich bloß einen Yubikey stehlen muss und schon komm ich ohne dem Faktor "Wissen" in keycloak-Accounts rein... ist das NICHT GUT.
Ich bin da zu wenig Experte in den Details. Klingt für mich auch nach einem Problem.
Eventuell ist das erklärbar, wenn Google deinen PIN in der Sicherheitsenklave speichert und ggf. deinen Fingerabdruck ebenfalls noch frisch genug hält oder so. Etwas an den Haaren herbeigezogen und ich würde das so auch nicht bevorzugen aber womöglich ein Ansatz.
(Typo: einmal hast du "NFS" statt "NFC" geschrieben.)
Ok - also keine Verfälschung durch irgendwie gecachede Pin-Eingabe.
Jetzt könnte es natürlich noch immer ein gewünschtes Design-Feature sein - sollte aber gut dokumentiert sein und auf Wunsch umschaltbar. (USB Security Token bleiben öfters doch am Gerät stecken - also PIN Abfrage notwendig da sonst ein Fremder direkt am Gerät evlt. mit offenem Passwordmanager zugreift. NFC klebt man eher nicht ans Smartphone oder anderen NFC Reader somit minimal geringeres Risiko das ein Fremder nutzt)
Wie funktioniert das eigentlich mit der PIN Abfrage? Wird der PIN direkt an den Token durchgereicht oder gehasht? Weil eigentlich dürfte ja nur der Token sagen ob der PIN korrekt ist. Funktioniert das mit der PIN Übertragung an den Token evtl. per NFC nicht? Ich sollte mich da wohl auch mal genauer damit auseinandersetzen.
@GNTHR Ich hab keine Ahnung... Im Firefox am Laptop geht ein Popup auf, wo der Pin abgefragt wird. Wenn ich auswähle "Passkey" dann blinkt der Token einmal kurz auf. Dann geb ich in dem Popup den Pin ein, bestätige mit Enter und der Token beginnt zu blinken. Berühr ich ihn dann, werde ich im Browser weitergeleitet.
Wenn ich USB am Smartphone auswähle, ist es so ähnlich, nur dass sich da eine Google-App dazwischen schaltet, welche zuerst einen Passkey am Gerät sucht, nicht findet, dann anbietet ein anderes Gerät auzuwählen. Dann blinkt der Token einmal kurz (USB) und ich werde gefragt ob ich per NFC oder USB will. Wähle ich USB, blinkt der Token kurz auf, dann geht ein Fenster auf, wo ich den Pin eingebe. Dann werde ich aufgefordert, den Token zu berühren und weiter gehts.
Wähle ich NFC sagt die Google-App nur "Bitte den Token an die Rückseite halten"... halte ich ihn hin, wird er gelesen und schon bin ich drin.
Denke nicht, dass der Pin gehashed und dann weitergegeben wird.
While Android support is declared, please note that there are some limitations around it. First of all, FIDO2.1's passkey support (namely PIN-protected resident keys) has been introduced as a part of Google Play Services v23 and only via USB transport method.
Android supports PIN-protected FIDO credentials only if Google Play Services is present. Android does not support PIN-protected FIDO credentials over NFC.
FIDO2 USB Key, U2F USB Key, Cheap Yubico alternative, FIDO2, fido alliance certified security keys Replace your mobile authenticator with secure hardware OTP token! Easily programmed via NFC.
@GNTHR Und wenn es möglich ist, dass man für NFC keinen Pin braucht, kann man mit einer manipulierten App das auch für USB anstellen.
Also "passwordless authentication" mit FIDO-Token ist defacto für die Fische. Das ist maximal als 2nd oder 3rd Factor gut. Dafür scheint es aber sehr gut.
sei vorsichtig was du schreibst und was du meinst: authentication im ursprünglichen IT Sinn bedeutet ja nur anhand eines oder mehrerer Merkmale ein Bit zu stellen (Berechtigung ja/nein) passwordless bedeutet ohne Passwort
Zusammengenommen wird aus deiner passwordless authentication somit dass der Vorweis eines passenden FIDO Tokens als Zugriffs Berechtigung ausreicht.
@GNTHR Ich schrieb, dass "Passwordless Authentication mit Fido-Token für die Fische ist"...
und so mein ich das auch. Wenn ich mein Haus mit einem supersicheren Schließsystem verriegle, und den Schlüssel neben die Haustür auf die Straße hänge... funktioniert das Schließsystem zwar, wie es soll... es lässt jeden rein, der den Schlüssel hat... und wenn der vor der Haustür hängt... kann halt jeder rein.
Und so ist es mit dem Fido-Token mit NFC... jeder der den Schlüssel hat, kann rein. Also jeder Dieb auch. Klar, muss so ein Mensch einmal an den Fido-Token kommen. Aber gestohlen ist schon viel geworden.
Ich verstehe das Ansinnen in Keycloak und von Fido, dass man "passwortlose Authentifizierung" anbietet. Wenn ich heute ein Smartphone oder ein Tablet oder einen Laptop habe, so kann ich dieses Gerät ebenfalls für diese Authentifizierung einsetzen. Auch ein Passkey in einem Passwortmanager. Alles gut. Da muss ich mein Gerät entsperren, anschließend besuche ich ein Service, welches mit Keycloak die Authentifizierung macht... und ich bin "passwortlos" drin. Aber ich hab zuvor mein Smartphone/Tablet aber irgendwie mehr oder weniger sicher entsperrt.
Ein Fidotoken per NFC ist nicht "vorher zu entsperren", sondern der sperrt gleich direkt. Wie der Haustürschlüssel vor dem Haus aufgehängt.
Und das sehe ich als Designfehler. Und zwar genau den Fall NFC in diesem Kontext. Für mich sieht es so aus, als wäre es vorerst einmal zu kompliziert gewesen, eine PIN-Abfrage per NFC zu implementieren... also hat man es einmal weggelassen... dann kommt sowas dabei raus.
Wenn ich mir die Implementierung von PAM in Linux ansehe, dann gebe ich vor, mit welchem Passkey ist die Pin-Abfrage haben will. Mangels NFC-Reader kann ich das nicht testen, ob das auch bei NFC ziehen würde... Aber so stelle ich mir eine saubere Authentifizierungs-implementierung vor.
Ich lege mir einen User-Account an, füge einen Fido-Token für die Authentifizierung hinzu und lege fest, ob ich für diesen Token nun die PIN-Abfrage will oder nicht. Und der Client MUSS dann den Pin abfragen (oder eben nicht). Egal wie der Token präsentiert wird.
Aber so wie es hier mit NFC realisiert wurde, ist es für die Fische.
Yepp! Das Schöne ist: Man muss es ja nicht verwenden. (Oder kann es absichern indem man den FIDO-Token in den Safe legt😜 und hofft das dieser ein sicheres Sperrsystem hat)
Du hast vollkommen Recht: FIDO Token ist kein Äquivalent zu einem Passkey auf einem abgesicherten Smartphone.
Sind Passkeys auf einem Smartphone ohne Sperrfunktion einrichtbar?
Die Idee der Passkeys ist... ich bin mir ja noch nicht sicher.
Im Prinzip ist es eine Public-Private-Key Authentifikation, wo der Privatekey über die verschiedenen Geräte hinweg gesynct wird. Damit verletzt man eigentlich die Regel, dass der Privatekey das Gerät nie verlässt.
Und wenn man dann noch einen Keystore mit einem Google- oder Microsoft-Konto nutzt, um die Keys über die Geräte hinweg zu verteilen... kann ich gleich das Passwort 123456 nehmen... Ich trau diesen Unternehmen keine Millimeter über den Weg. US-Cloud-Act und so...
Also selfhosted... da bietet sich Vaultwarden/Bitwarden an. Ja sogar pass kann das mittlerweile, wenn ich mich nicht täusche.
Aber ich bin bei Fido dennoch der Meinung, dass Identity-Services wie Keycloak vorgeben können müssen, ob der Fidotoken einen Pin verlangen muss. Sonst ists für die Würscht.
SafeNet IDPrime FIDO Biometric Smart Card ist eine hochsichere und benutzerfreundliche Authentifizierungslösung, die vor dem Diebstahl von Zugangsdaten, Phishing-Angriffen und menschlichen Fehlern schützt.
Kann der service provider entscheiden. Wenn ich es richtig verstehe ist es für services wo der key schon der 2. token ist (da macht ein Pin als sozusagen 3. Faktor keinen Sinn).. FIDO2 kann auch als Ersatz für einen single factor (passwordless) genutzt werden
@neamil Also wenn es der Serviceprovider entscheiden kann, dann müsste ich das in keycloak einstellen können... aber da gibts kein Setting dafür (oder ich finde es nicht).
Und das interessante ist ja, dass bei USB der PIN abgefragt wird, mit NFC aber nicht. Ich würd gerne per keycloak festlegen können, dass ich beim Passwordless-Login IMMER nach dem Pin gefragt werden.
Btw. ich hab einen Pin für FIDO2 festgelegt. Und ich hab es mit einem anderen Gerät auch ausprobiert. Per NFC keine PIN-Abfrage.
@neamil In Keycloak kannst Du in den WebAuthn Policies (je nachdem wie du WebAuthn verwendest, in der "normalen" Policy oder in der Passwordless-Policy) einstellen, obe eine "User verification" required (also benötigt) wird oder nicht. Wenn WebAuthn als 2./3. Faktor eingesetzt wird, ist das nicht unbedingt notwendig, bei Passwordless dagegen, also wenn der FIDO2-Key als alleiniges Merkmal verwendet wird, ist eine User-Verification schon sehr sinnvoll.
@neamil Der IdP kann nicht vorgeben, dass eine PIN eingegeben werden muss, denn das ist abhängig vom verwendeten Medium, nicht jeder Hardware-Key hat ein PIN, manche haben einen Fingerprint-Sensor, mit dem Telefon ist es ggf. FaceID, etc. Zur Not geht auch das OS-Passwort als Verification. Alles konform. Wie jetzt Google hier mit NFC in Android etwas macht, entzieht sich meiner Kenntnis, das ist nicht mein Ökosystem, da kann ich nichts zu sagen. An der FIDO2-/WebAuthn-Spec liegt's nicht.
Dann ist die Passwordless Authentication mit NFC-Token tatsächlich broken by Design.
Hmmm...
Ich werde passeordless also generell nicht verwenden. Die Gefahr ist zu groß, dass ich oder meine User das einmal übersehen, und ein verlorener oder gestohlrner Key ausreicht, um einen Account zu entsperren.
Diese Info sollte aber jetzt bitte DRINGEND die Runde machen!
Ich hab jetzt die #idaustria auf das hin abgeklopft.
Am Smartphone mit dem selbe Yubikey.
Dort ist der Loginflow so, dass ich mich mit Username und Passwort zuerst anmelden muss, und dann mit dem Fidotoken als 2nd Factor validieren.
Ich krieg zwar USB und NFC angeboten, und NFC fragt keinen PIN ab. Jedoch lehnt die ID-Austria Website dann ab und sagt, ich muss USB verwenden. Also einstecken, dann wird der Pin abgefragt und ich muss den Token berühren.
Es gibt sldo noch eine Sicherungsstufe beim IdP über das hinaus, was mir #keycloak derzeit bietet. Vielleich lässt sich das ja noch konfigurieren.
Und zwar in den Authentication Policies für Passwordless Webauthn
Stellt man "User verification requirement" auf "Erforderlich", so ist für die Passwortlose Authentifizierung NFC deaktiviert. Dann ist das ganze zwar nicht mehr "Passwortlos", weil der PIN unbedingt eingegeben werden muss und es wird USB erzwungen... aber damit umgeht man die Sicherheitslücke, dass jemand der den Key an sich bringt und den Account weiß, sich nicht einfach mehr so einloggen kann.
@neamil Nein, der IdP kann nicht vorgeben _welche_ User Verification angefordert wird, nur _dass_ eine angefordert wird. Welche dann verwendet wird, ist vom verwendeten Authenticator abhängig, ob PIN, Fingerprint, FaceID, OS-Passwort, etc.
Here's a fun little colour-change #chemistry demo.
I was using bright blue harpic power plus (dilute HCL soln) to clean to Manganese dioxide (MnO₂) stains from glassware. There must have been some residual potassium permanganate (KMN04) because I noticed a colour change you don;t see if there's just dioxide present. The solution solution change dcolour from bright blue to clear, then to yellow, then red, and finally back to a pale yellow clear solution.
A pochi giorni dal ritorno in classe, Fondazione Arena di Verona ha presentato il nuovo cartellone di "Arena Young", oltre 70 appuntamenti da ottobre 2025 a maggio 2026, in cui l'offerta artistica incontra proposte su misura per scuole di ogni ordine…
Ravenna torna protagonista nel panorama artistico con la nona Biennale di Mosaico Contemporaneo, in programma dal 18 ottobre al 18 gennaio, promossa dal Comune di Ravenna-Assessorato alla Cultura e al Mosaico, con la direzione artistica di Daniele To…
Nel cuore del Giappone, dove le stagioni scolpiscono la terra, nasce il Kondo Vineyard. È la visione di Ryosuke Kondo, che nel 2007 trasformò terreni abbandonati in vigneti rigogliosi, scegliendo lieviti selvaggi e coltivazione senza fertilizzanti chimici. Ogni bottiglia racconta radici, coraggio e libertà. A novembre la sua storia attraverserà il mare per incontrare l’Abruzzo, durante Vini Autentici. 📅 Dal 22 al 24 Novembre #ViniAutentici #vininaturali #wine
Interessante. Il popolo giapponese è affascinante, e spero che resti sempre uguale a se stesso, senza 'europeizzarsi'. Con le sua pulizia, la sua educazione, l'amore per le precisione e quant'altro. Hanno forse problemi con l'espressione corretta delle proprie emozioni (cioè le reprimono), ma meglio loro che tanta altra gente meno evoluta e civile. Ciao.
@jonat Ciao Jonat, hai ragione in quello scrivi, e questo rispecchia il loro modo di intendere anche il vino, quello genuino in particolare. Qual'è la tua esperienza con il mondo del vino cd. naturale? Hai mai assaggiato vini provenienti dal Sol Levante? 🇬🇪 Raccontaci se ti va...
A 60 anni di distanza dall'ultimo film della coppia Cervi-Fernandel, l'Assemblea legislativa della Regione Emilia-Romagna celebra Don Camillo e Peppone, il parroco e il sindaco comunista protagonisti dei racconti di Giovannino Guareschi. (ANSA)
Achtung, Achtung! #BewareOfTheRita - Warnung für #Berlin: Am 17. September bin ich abends in der Stadt und auf der Suche nach einem Glas Wein, gutem Essen und vor allem netter Gesellschaft. Meldet euch gerne. (@mina Na, du?!? 😘)
Hab ich im Urlaub in #UK gelernt: Jeder Provinzbahnhof hat da Personal. So mit Ticket, Verkauf und Beratung. Und hier in #Wuppertal will die #DB das Reisezentrum schließen. ICE Fernbahnhof ohne Reisezentrum. Kannst du dir nicht ausdenken....
Zum heutigen #FollowFriday #FF lege ich Euch @SehNix ans Herz. Er schreibt kurze eindringliche Texte und kann Euch ein wenig die „Sichtweise“ eines Nichtsehenden nahe bringen
Sul percorso di adesione dell'Ucraina la Commissione è stata chiara, Kiev "risponde ai criteri" finora richiesti. "L'Ungheria sostiene che l'adesione non deve avvenire durante la guerra. (ANSA)
L'esercito israeliano ha annunciato che nei prossimi giorni prenderà di mira i grattacieli di Gaza City che, a suo dire, sono stati convertiti in "infrastrutture terroristiche", in vista dell'inizio di un'operazione pianificata per conquistare la cit…
Capita spesso online di trovarsi di fronte a immagini che vorrebbero tramandare la "saggezza degli antichi"; ce ne avete segnalata una che non avevamo mai visto prima, e abbiamo pensato di fare cosa gradita nel trattarla, sia mai che qualcuno stia ce…
#Russland hat zivile Minen räumer des Danish Refugee Council in der #Ukraine bei Chernihiv ermordet. Und dann stolz das Video veröffentlicht. Das machen sie fast immer. Es hat halt keine folgen
Pomimo zapewnień musiałem przywrócić konto na Facebooku. Kwestia czysto praktyczna - znalezienie majstra do pewnej usługi remontowej (ale o tym kiedy indziej).
Miałem ustawioną przeglądarkę tak, by po zalogowaniu czyściła historię i ciastka (chociaż przy kontenerach opcja dość zbyteczna). Uruchomiłem znów urządzenie, próbuję się zalogować a Facebook prosi mnie o kod z WhatsAppa (którego nie mam) albo o kod SMS (który nie dochodzi). Tak, nie mam podpiętego żadnego maila pod Facebooka, tylko numer telefonu.
Koniec końców nawet założyłem WhatAppa (nie wiem po co...) i czekam na zaległe kody.
To jest rak internetu - firma która ogarnia boty do kontroli bezpieczeństwa, jednocześnie w ramach tegoż uniemożliwia korzystanie z usługi.
Gdzie ten stary Internet, który po prostu działał...
Ihr Süßen, haben wir noch #Sommer oder wird es schon #Herbst? Aus meinem #Garten kommen momentan noch himmlische Himbeeren, aber auch schon Äpfel, Holunderbeeren und Birnen. Was also tun? Ganz einfach: Einfach genießen, was kommt! Mittenmang sorgen Schokolade, Karamell und Zitronen für weitere #Genussmomente!
Das Bild zeigt eine vielfältige Auswahl an Desserts auf einem runden, dekorativen Teller. Im Zentrum befindet sich ein Stück Zebra-Brownie mit einem dunklen Schokoladenboden und einem cremigen, gelben Füllungsmuster. Links daneben ist ein Stück Käsekuchen mit cremiger weißer Schicht und einer roten Beerensoße. Rechts davon liegt ein Stück Kuchen mit gerösteten Mandeln auf der Oberfläche. Weitere Desserts umfassen eine Tarte mit einer Kruste aus geröstetem Korn, eine Tarte mit einer cremigen Füllung und ein Stück Kuchen mit roten Beeren. Zwei kleine Kuchen mit roten Beeren auf Papierunterlagen sind ebenfalls auf dem Teller zu sehen. Der Teller steht auf einem dunklen Tisch, und im Hintergrund ist ein Teil eines schwarzen Stuhls zu erkennen.
Bereitgestellt von @altbot, privat und lokal generiert mit Ovis2-8B
Jetzt haben wir’s tatsächlich geschafft mit unserer Blogwochen-Aktion und bloggen in einer Blogparade … über Blogparaden. Selbstreferenzieller und mehr meta geht’s nicht mehr.
Sul percorso di adesione dell'Ucraina la Commissione è stata chiara, Kiev "risponde ai criteri" finora richiesti. "L'Ungheria sostiene che l'adesione non deve avvenire durante la guerra. (ANSA)
In den meisten europäischen Ländern steht »ein Herbst der sozialen Grausamkeiten« an. Doch während die Reformen hierzulande für alternativlos gehalten werden, stürzen soziale Bewegungen in Frankreich ihre Regierung. buff.ly/TZwqBUi
L'esercito israeliano ha annunciato che nei prossimi giorni prenderà di mira i grattacieli di Gaza City che, a suo dire, sono stati convertiti in "infrastrutture terroristiche", in vista dell'inizio di un'operazione pianificata per conquistare la cit…
Katz: 'A Gaza stiamo aprendo le porte dell'inferno'. Al Jazeera, '18 morti a Gaza in raid notturni, 75 in 24 ore'. 'Almeno 7 i bambini', la maggioranza delle vittime a Gaza City. Hamas diffonde un video con due ostaggi (ANSA)
[quote]Il presidente degli Stati Uniti, Donald Trump, ha deciso di tendere la mano al Giappone sul fronte dei dazi L'articolo Usa, Trump riduce al 15% i dazi sulle auto lumsanews.it/usa-trump-riduce-…
Thailands Parlament wählt Anutin Charnvirakul zum Regierungschef
Thailands Parlament hat den prominenten Bauunternehmer Anutin zum neuen Premierminister gewählt. Es ist der dritte Regierungswechsel in zwei Jahren. Anutins Vorgängerin war im August des Amtes enthoben worden.
#Washington has imposed sanctions on Al-Haq, the Palestinian Centre for Human Rights (PCHR) and Al Mezan because they have helped the International Criminal Court investigate war crimes perpetrated by Israeli officials in #Gaza.
In the sad and bizarre world, those commiting #genocide, those promoting it, those funding it, those provide weapons for it are protected and supported.
Durante un’audizione fiume di giovedì davanti alla Commissione Finanze del Senato, il segretario alla Salute e ai Servizi Umani Robert F. Kennedy Jr. ha affrontato una raffica di domande da parte di senatori indignati
Negli ultimi anni le armi a energia diretta, e in particolare i laser ad alta potenza, stanno emergendo come una vera rivoluzione nella difesa aerea e navale. Grazie alla capacità di colpire bersagli con velocità praticamente istantanea, riducendo i costi e semplificando la logistica,
"Ho un profondo malessere nel vedere che siano cittadini e cittadine a salire su vascelli per portare aiuti umanitari. Sono gli Stati ad avere l’obbligo d…
![»Mit ihren dauernden Angriffen auf Elektromobilität [...] haben Friedrich Merz und die CDU/CSU dem Automobilstandort Deutschland schweren Schaden zugefügt. [...] Ob Elektromobilität oder Wärmepumpen, ob Solarenergie oder Windkraft, die Union kämpft gegen Zukunft. Friedrich Merz fällt all denen mit billiger Stimmungsmache in den Rücken, die daran arbeiten, Deutschland zu modernisieren.«
Andreas Audretsch
https://www.spiegel.de/politik/deutschland/gruenen-fraktionsvize-wirft-merz-billige-stimmungsmache-vor-a-8d92c413-2d1e-4c11-852b-3c922871ef57?sara_ref=re-xx-cp-sh&fbclid=IwY2xjawMnR3ZleHRuA2FlbQIxMABicmlkETFjcjE4WW9uaW94Z2ZEU0g4AR5n12IfgCHmZm2suMreJ5-e545eqDflYhARZ-k-06tKt8Vc_ITDGZrEVnlGgA_aem_Lo6z5CJmUF_bd0Y-pKE97A](https://poliverso.org/photo/preview/640/58154087 "»Mit ihren dauernden Angriffen auf Elektromobilität [...] haben Friedrich Merz und die CDU/CSU dem Automobilstandort Deutschland schweren Schaden zugefügt. [...] Ob Elektromobilität oder Wärmepumpen, ob Solarenergie oder Windkraft, die Union kämpft gegen Zukunft. Friedrich Merz fällt all denen mit billiger Stimmungsmache in den Rücken, die daran arbeiten, Deutschland zu modernisieren.«
Andreas Audretsch
https://www.spiegel.de/politik/deutschland/gruenen-fraktionsvize-wirft-merz-billige-stimmungsmache-vor-a-8d92c413-2d1e-4c11-852b-3c922871ef57?sara_ref=re-xx-cp-sh&fbclid=IwY2xjawMnR3ZleHRuA2FlbQIxMABicmlkETFjcjE4WW9uaW94Z2ZEU0g4AR5n12IfgCHmZm2suMreJ5-e545eqDflYhARZ-k-06tKt8Vc_ITDGZrEVnlGgA_aem_Lo6z5CJmUF_bd0Y-pKE97A")
Karl Voit
in reply to jakob 🇦🇹 ✅ • • •Ich bin da zu wenig Experte in den Details. Klingt für mich auch nach einem Problem.
Eventuell ist das erklärbar, wenn Google deinen PIN in der Sicherheitsenklave speichert und ggf. deinen Fingerabdruck ebenfalls noch frisch genug hält oder so. Etwas an den Haaren herbeigezogen und ich würde das so auch nicht bevorzugen aber womöglich ein Ansatz.
(Typo: einmal hast du "NFS" statt "NFC" geschrieben.)
jakob 🇦🇹 ✅
in reply to Karl Voit • • •@Karl Voit @Kuketz-Blog 🛡 @padeluun ⁂
Danke. Den Typo hab ich ausgebessert.
Ich hab leider von Android zu wenig Ahnung. Aber bei USB fragt er mich jedesmal nach dem Pin... bei NFC nie.
GNTHR
in reply to jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
in reply to GNTHR • • •Ja, hab ich gerade gemacht.
USB -> Pinabfrage
NFC -> keine Pinabfrage
GNTHR
in reply to jakob 🇦🇹 ✅ • • •Ok - also keine Verfälschung durch irgendwie gecachede Pin-Eingabe.
Jetzt könnte es natürlich noch immer ein gewünschtes Design-Feature sein - sollte aber gut dokumentiert sein und auf Wunsch umschaltbar.
(USB Security Token bleiben öfters doch am Gerät stecken - also PIN Abfrage notwendig da sonst ein Fremder direkt am Gerät evlt. mit offenem Passwordmanager zugreift. NFC klebt man eher nicht ans Smartphone oder anderen NFC Reader somit minimal geringeres Risiko das ein Fremder nutzt)
GNTHR
in reply to GNTHR • • •Wird der PIN direkt an den Token durchgereicht oder gehasht? Weil eigentlich dürfte ja nur der Token sagen ob der PIN korrekt ist.
Funktioniert das mit der PIN Übertragung an den Token evtl. per NFC nicht?
Ich sollte mich da wohl auch mal genauer damit auseinandersetzen.
jakob 🇦🇹 ✅
in reply to GNTHR • • •@GNTHR
Ich hab keine Ahnung... Im Firefox am Laptop geht ein Popup auf, wo der Pin abgefragt wird.
Wenn ich auswähle "Passkey" dann blinkt der Token einmal kurz auf.
Dann geb ich in dem Popup den Pin ein, bestätige mit Enter und der Token beginnt zu blinken.
Berühr ich ihn dann, werde ich im Browser weitergeleitet.
Wenn ich USB am Smartphone auswähle, ist es so ähnlich, nur dass sich da eine Google-App dazwischen schaltet, welche zuerst einen Passkey am Gerät sucht, nicht findet, dann anbietet ein anderes Gerät auzuwählen. Dann blinkt der Token einmal kurz (USB) und ich werde gefragt ob ich per NFC oder USB will.
Wähle ich USB, blinkt der Token kurz auf, dann geht ein Fenster auf, wo ich den Pin eingebe. Dann werde ich aufgefordert, den Token zu berühren und weiter gehts.
Wähle ich NFC sagt die Google-App nur "Bitte den Token an die Rückseite halten"... halte ich ihn hin, wird er gelesen und schon bin ich drin.
Denke nicht, dass der Pin gehashed und dann weitergegeben wird.
GNTHR
in reply to jakob 🇦🇹 ✅ • • •While Android support is declared, please note that there are some limitations around it. First of all, FIDO2.1's passkey support (namely PIN-protected resident keys) has been introduced as a part of Google Play Services v23 and only via USB transport method.
Android supports PIN-protected FIDO credentials only if Google Play Services is present.
Android does not support PIN-protected FIDO credentials over NFC.
token2.com/site/page/understan…
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.
www.token2.comjakob 🇦🇹 ✅
in reply to GNTHR • • •@GNTHR
Ok... also tatsächlich eine Lücke per Design... puh.
Danke für den Link.
jakob 🇦🇹 ✅
in reply to jakob 🇦🇹 ✅ • • •@GNTHR
Und wenn es möglich ist, dass man für NFC keinen Pin braucht, kann man mit einer manipulierten App das auch für USB anstellen.
Also "passwordless authentication" mit FIDO-Token ist defacto für die Fische. Das ist maximal als 2nd oder 3rd Factor gut. Dafür scheint es aber sehr gut.
GNTHR
in reply to jakob 🇦🇹 ✅ • • •sei vorsichtig was du schreibst und was du meinst:
authentication im ursprünglichen IT Sinn bedeutet ja nur anhand eines oder mehrerer Merkmale ein Bit zu stellen (Berechtigung ja/nein)
passwordless bedeutet ohne Passwort
Zusammengenommen wird aus deiner passwordless authentication somit dass der Vorweis eines passenden FIDO Tokens als Zugriffs Berechtigung ausreicht.
jakob 🇦🇹 ✅
in reply to GNTHR • • •@GNTHR
Ich schrieb, dass "Passwordless Authentication mit Fido-Token für die Fische ist"...
und so mein ich das auch. Wenn ich mein Haus mit einem supersicheren Schließsystem verriegle, und den Schlüssel neben die Haustür auf die Straße hänge... funktioniert das Schließsystem zwar, wie es soll... es lässt jeden rein, der den Schlüssel hat... und wenn der vor der Haustür hängt... kann halt jeder rein.
Und so ist es mit dem Fido-Token mit NFC... jeder der den Schlüssel hat, kann rein. Also jeder Dieb auch. Klar, muss so ein Mensch einmal an den Fido-Token kommen. Aber gestohlen ist schon viel geworden.
Ich verstehe das Ansinnen in Keycloak und von Fido, dass man "passwortlose Authentifizierung" anbietet. Wenn ich heute ein Smartphone oder ein Tablet oder einen Laptop habe, so kann ich dieses Gerät ebenfalls für diese Authentifizierung einsetzen. Auch ein Passkey in einem Passwortmanager. Alles gut. Da muss ich mein Gerät entsperren, anschließend besuche ich ein Service, welches mit Keycloak die Authentifizierung macht... und ich bin "passwortlos" drin. Aber ich hab zuvor mein Smartphone/Tablet aber irgendwie mehr oder weniger sicher entsperrt.
Ein Fidotoken per NFC ist nicht "vorher zu entsperren", sondern der sperrt gleich direkt. Wie der Haustürschlüssel vor dem Haus aufgehängt.
Und das sehe ich als Designfehler. Und zwar genau den Fall NFC in diesem Kontext.
Für mich sieht es so aus, als wäre es vorerst einmal zu kompliziert gewesen, eine PIN-Abfrage per NFC zu implementieren... also hat man es einmal weggelassen... dann kommt sowas dabei raus.
Wenn ich mir die Implementierung von PAM in Linux ansehe, dann gebe ich vor, mit welchem Passkey ist die Pin-Abfrage haben will. Mangels NFC-Reader kann ich das nicht testen, ob das auch bei NFC ziehen würde... Aber so stelle ich mir eine saubere Authentifizierungs-implementierung vor.
Ich lege mir einen User-Account an, füge einen Fido-Token für die Authentifizierung hinzu und lege fest, ob ich für diesen Token nun die PIN-Abfrage will oder nicht. Und der Client MUSS dann den Pin abfragen (oder eben nicht). Egal wie der Token präsentiert wird.
Aber so wie es hier mit NFC realisiert wurde, ist es für die Fische.
GNTHR
in reply to jakob 🇦🇹 ✅ • • •Yepp!
Das Schöne ist:
Man muss es ja nicht verwenden.
(Oder kann es absichern indem man den FIDO-Token in den Safe legt😜 und hofft das dieser ein sicheres Sperrsystem hat)
Du hast vollkommen Recht:
FIDO Token ist kein Äquivalent zu einem Passkey auf einem abgesicherten Smartphone.
Sind Passkeys auf einem Smartphone ohne Sperrfunktion einrichtbar?
jakob 🇦🇹 ✅
in reply to GNTHR • • •@GNTHR
Das weiß ich nicht.
Die Idee der Passkeys ist... ich bin mir ja noch nicht sicher.
Im Prinzip ist es eine Public-Private-Key Authentifikation, wo der Privatekey über die verschiedenen Geräte hinweg gesynct wird.
Damit verletzt man eigentlich die Regel, dass der Privatekey das Gerät nie verlässt.
Und wenn man dann noch einen Keystore mit einem Google- oder Microsoft-Konto nutzt, um die Keys über die Geräte hinweg zu verteilen... kann ich gleich das Passwort 123456 nehmen...
Ich trau diesen Unternehmen keine Millimeter über den Weg. US-Cloud-Act und so...
Also selfhosted... da bietet sich Vaultwarden/Bitwarden an. Ja sogar pass kann das mittlerweile, wenn ich mich nicht täusche.
Aber ich bin bei Fido dennoch der Meinung, dass Identity-Services wie Keycloak vorgeben können müssen, ob der Fidotoken einen Pin verlangen muss. Sonst ists für die Würscht.
GNTHR
in reply to jakob 🇦🇹 ✅ • • •authentrend.com/de/atkey-card-…
youtube.com/watch?v=0YRswg96_C…
Da liegt der Finger in Position beim NFC-Scan.
cpl.thalesgroup.com/de/access-…
Yubi hat bei den biometrischen Keys kein NFC.
SafeNet IDPrime FIDO Biometric Smart Card
Thales Group (Thales Cloud Security Products)neamil
in reply to jakob 🇦🇹 ✅ • • •support.yubico.com/hc/en-us/ar…
Kann der service provider entscheiden. Wenn ich es richtig verstehe ist es für services wo der key schon der 2. token ist (da macht ein Pin als sozusagen 3. Faktor keinen Sinn)..
FIDO2 kann auch als Ersatz für einen single factor (passwordless) genutzt werden
jakob 🇦🇹 ✅
in reply to neamil • • •@neamil
Also wenn es der Serviceprovider entscheiden kann, dann müsste ich das in keycloak einstellen können... aber da gibts kein Setting dafür (oder ich finde es nicht).
Und das interessante ist ja, dass bei USB der PIN abgefragt wird, mit NFC aber nicht.
Ich würd gerne per keycloak festlegen können, dass ich beim Passwordless-Login IMMER nach dem Pin gefragt werden.
Btw. ich hab einen Pin für FIDO2 festgelegt.
Und ich hab es mit einem anderen Gerät auch ausprobiert. Per NFC keine PIN-Abfrage.
Niko 🚴♂️🔐
in reply to jakob 🇦🇹 ✅ • • •Niko 🚴♂️🔐
in reply to Niko 🚴♂️🔐 • • •Wie jetzt Google hier mit NFC in Android etwas macht, entzieht sich meiner Kenntnis, das ist nicht mein Ökosystem, da kann ich nichts zu sagen. An der FIDO2-/WebAuthn-Spec liegt's nicht.
jakob 🇦🇹 ✅
in reply to Niko 🚴♂️🔐 • • •@Niko 🚴♂️🔐 @neamil
Ok... nix gut.
Dann ist die Passwordless Authentication mit NFC-Token tatsächlich broken by Design.
Hmmm...
Ich werde passeordless also generell nicht verwenden. Die Gefahr ist zu groß, dass ich oder meine User das einmal übersehen, und ein verlorener oder gestohlrner Key ausreicht, um einen Account zu entsperren.
Diese Info sollte aber jetzt bitte DRINGEND die Runde machen!
jakob 🇦🇹 ✅
in reply to Niko 🚴♂️🔐 • • •@Niko 🚴♂️🔐 @neamil
Ich hab jetzt die #idaustria auf das hin abgeklopft.
Am Smartphone mit dem selbe Yubikey.
Dort ist der Loginflow so, dass ich mich mit Username und Passwort zuerst anmelden muss, und dann mit dem Fidotoken als 2nd Factor validieren.
Ich krieg zwar USB und NFC angeboten, und NFC fragt keinen PIN ab. Jedoch lehnt die ID-Austria Website dann ab und sagt, ich muss USB verwenden.
Also einstecken, dann wird der Pin abgefragt und ich muss den Token berühren.
Es gibt sldo noch eine Sicherungsstufe beim IdP über das hinaus, was mir #keycloak derzeit bietet.
Vielleich lässt sich das ja noch konfigurieren.
jakob 🇦🇹 ✅
in reply to Niko 🚴♂️🔐 • • •@Niko 🚴♂️🔐 @neamil
Ich hab gerade in keycloak etwas gefunden:
Und zwar in den Authentication Policies für Passwordless Webauthn
Stellt man "User verification requirement" auf "Erforderlich", so ist für die Passwortlose Authentifizierung NFC deaktiviert.
Dann ist das ganze zwar nicht mehr "Passwortlos", weil der PIN unbedingt eingegeben werden muss und es wird USB erzwungen... aber damit umgeht man die Sicherheitslücke, dass jemand der den Key an sich bringt und den Account weiß, sich nicht einfach mehr so einloggen kann.
So gefällt mir das schon besser.
Niko 🚴♂️🔐
in reply to jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
in reply to Niko 🚴♂️🔐 • • •@Niko 🚴♂️🔐 @neamil
Und ich wohl nicht verstanden habe... 😄
jakob 🇦🇹 ✅
in reply to jakob 🇦🇹 ✅ • • •Bzw... widerspricht sich das mit dem nächsten Kommentar von dir. Oder?
Niko 🚴♂️🔐
in reply to jakob 🇦🇹 ✅ • • •