Discussion:
iCloud-Konto mit FIDO2-Sticks absichern
(zu alt für eine Antwort)
Andreas Borutta
2024-05-10 07:15:29 UTC
Permalink
Moin.

Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.

<https://support.apple.com/de-de/102637>

Was ist dafür nötig?

"At least two FIDO Certified security keys that work with the Apple
devices that you use on a regular basis."


Hat das jemand von euch schonmal durchgeführt und möchte berichten?

Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?

Danke.

Andreas
--
http://fahrradzukunft.de
Andreas Borutta
2024-05-10 12:38:18 UTC
Permalink
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).

Das wurde mir bestätigt.

Das Motiv von Apple ist mir ein Rätsel.

Solange man einen Fido-Key nicht als ersten Faktor einrichten kann,
ist für mich ein Fido-Key für die Anmeldung mit der Apple-ID aus dem
Spiel. Schade.

Feedback auf https://www.apple.com/feedback/ habe ich dazu bereits
hinterlassen.

Ingrid
--
http://fahrradzukunft.de
Gerald E¡scher
2024-05-10 20:47:56 UTC
Permalink
Post by Andreas Borutta
Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).
Das wurde mir bestätigt.
Das Motiv von Apple ist mir ein Rätsel.
Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
dann der zweite Faktor sein?
--
Gerald
Andreas Borutta
2024-05-10 21:23:27 UTC
Permalink
Post by Gerald E¡scher
Post by Andreas Borutta
Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).
Das wurde mir bestätigt.
Das Motiv von Apple ist mir ein Rätsel.
Wo kann man einen FIDO Key als ersten Faktor verwenden?
Beispiel:
Microsoft Azure
<https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>
Post by Gerald E¡scher
Und was soll
dann der zweite Faktor sein?
Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
den Stick gesetzt wird.



Andreas
--
http://fahrradzukunft.de
Gerald E¡scher
2024-05-11 16:19:46 UTC
Permalink
Post by Andreas Borutta
Post by Gerald E¡scher
Post by Andreas Borutta
Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).
Das wurde mir bestätigt.
Das Motiv von Apple ist mir ein Rätsel.
Wo kann man einen FIDO Key als ersten Faktor verwenden?
Microsoft Azure
<https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>
Ich sehe dort keinen zweiten Faktor.
Post by Andreas Borutta
Post by Gerald E¡scher
Und was soll
dann der zweite Faktor sein?
Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
den Stick gesetzt wird.
Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
kein zweiter Faktor.
--
Gerald
Andreas Borutta
2024-05-11 16:49:07 UTC
Permalink
Post by Gerald E¡scher
Post by Andreas Borutta
Post by Gerald E¡scher
Post by Andreas Borutta
Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument
102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten
Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor
(also den Ersatz des Passwortes).
Das wurde mir bestätigt.
Das Motiv von Apple ist mir ein Rätsel.
Wo kann man einen FIDO Key als ersten Faktor verwenden?
Microsoft Azure
<https://learn.microsoft.com/en-us/entra/identity/authentication/concept-authentication-passwordless#passkeys-fido2>
Ich sehe dort keinen zweiten Faktor.
Ich weiß nicht, ob sie einen verlangen und falls ja, auf welche Weise.
Post by Gerald E¡scher
Post by Andreas Borutta
Post by Gerald E¡scher
Und was soll
dann der zweite Faktor sein?
Typischerweise wohl eine PIN, die mit Hilfe der Software des Stick für
den Stick gesetzt wird.
Die PIN muss man soundso nach dem Anstecken des Keys eingeben. Die ist
kein zweiter Faktor.
Christian Weißgerber dazu:

Newsgroups: de.comp.security.misc
Subject: Re: Bewertung des Sicherheitsschluessels (FIDO2) "Titan" von
Google
Date: Thu, 9 May 2024 21:43:42 -0000 (UTC)
Message-ID: <***@lorvorc.mips.inka.de

| > Ist es richtig, dass jeder FIDO2-Schlüssel zwingend eine PIN erhalten
| > muss?
|
| Ja... jein.
|
| Es ist ein Zwei-Faktor-System. Ein Faktor ist der Schlüssel selbst
| ("Besitz"). Dazu muss jetzt noch ein zweiter Faktor kommen. Vorschläge?
| Führend ist die PIN (eigentlich ein Passwort, "Wissen").

Mir fehlt noch einiges an Wissen zur Handhabung von Fido2-Sticks.

Unter anderem: Wie handhaben die Hersteller der Sticks das
Zurücksetzen der PIN (falls man sie vergisst)? Wie ist dieses
Verfahren angreifbar, schützbar?

Das ist ja immer wieder eine grundlegende Frage, sobald eine
Authentifikation des Typs "Wissen" eingesetzt wird.


Andreas
--
http://fahrradzukunft.de
T.
2024-05-15 16:51:53 UTC
Permalink
Post by Gerald E¡scher
Wo kann man einen FIDO Key als ersten Faktor verwenden? Und was soll
dann der zweite Faktor sein?
überall wo es eingerichtet wurde.

Und einen "zweiten Faktor" braucht es ja nicht, weil sich der erste
nicht remote klauen lässt.

Doof ist allenfalls, wenn Du ihn verlierst und keine PIN gesetzt hast,
dann kann ihn jeder, der in findet, nutzen, wenn er denn weiß auf welche
Webseiten/Dienste er muss.
--
Gruesse,

Thorolf
Gerald E¡scher
2024-05-10 20:46:16 UTC
Permalink
Post by Andreas Borutta
Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
<https://support.apple.com/de-de/102637>
Was ist dafür nötig?
"At least two FIDO Certified security keys that work with the Apple
devices that you use on a regular basis."
Hat das jemand von euch schonmal durchgeführt und möchte berichten?
Ja. Was möchtest du denn wissen?
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Das Passwort bleibt, aber das kann eh jeder bessere Brauser sich merken.
Der Einmalcode auf anderem Gerät fällt weg.
Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
der Hand hat ;-) Ich habe den allerdings aus anderem Grund gekauft,
nicht für die eiKlaud.

Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel. Die österr. Finanz ist anderer Meinung, da komme
ich mit dem YubiKey rein.
--
Gerald
Andreas Borutta
2024-05-10 21:32:07 UTC
Permalink
Post by Gerald E¡scher
Post by Andreas Borutta
Apple bietet an, ein iCloud-Konto mit FIDO2-Sticks abzusichern.
<https://support.apple.com/de-de/102637>
Was ist dafür nötig?
"At least two FIDO Certified security keys that work with the Apple
devices that you use on a regular basis."
Hat das jemand von euch schonmal durchgeführt und möchte berichten?
Ja. Was möchtest du denn wissen?
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Aber das konnte ich ja bereits beim Apple-Support klären.
Post by Gerald E¡scher
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Das Passwort bleibt,
Leuchtet Dir ein, warum?

Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
eine andere Authentifikation zu ersetzen.
Ich verstehe bisher nicht, warum nicht jeder Dienst, der FIDO2-Sticks
unterstützt, diesen dann als 1. Faktor statt des Passwortes einsetzt.
Post by Gerald E¡scher
Der YubiKey ist irgendwie ein Schuß ins Knie, wenn man ihn nicht bei
der Hand hat ;-)
Mein Plan war, dass man nur die Apple-ID (icloud.com) mit einem
FIDO2-Stick sichert und alle anderen Dienste per Passkeys, wo das
iPhone als Passkey-Gerät eingesetzt wird.

Warum diese Aufteilung?
Weil man sich ziemlich selten bei iCloud einloggen muss. Und für diese
seltenen Male hängt das Ding halt am Schlüsselbund oder wo auch immer,
einigermaßen flott zugänglich.
Post by Gerald E¡scher
Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel.
Geht wohl, was ich gelesen habe, nur mit Safari.

Andreas
--
http://fahrradzukunft.de
Gerald E¡scher
2024-05-11 16:28:11 UTC
Permalink
Post by Andreas Borutta
Post by Gerald E¡scher
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Das Passwort bleibt,
Leuchtet Dir ein, warum?
Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
alternativer 2. Faktor.
Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
Linux, usw.
Post by Andreas Borutta
Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
eine andere Authentifikation zu ersetzen.
Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
mit Fingerabdrucksensor.
Post by Andreas Borutta
Post by Gerald E¡scher
Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel.
Geht wohl, was ich gelesen habe, nur mit Safari.
Das liegt aber an icloud.com und nicht am Firefox.
--
Gerald
Andreas Borutta
2024-05-12 08:16:41 UTC
Permalink
Post by Gerald E¡scher
Post by Andreas Borutta
Post by Gerald E¡scher
Post by Andreas Borutta
Verstehe ich es richtig, dass mit dieser Einrichtung die bisherige
Authentifikation aus Passwort (1. Faktor) und Einmalcode-Anzeige auf
anderem Gerät (2. Faktor) sowie Resetmethoden (Telefonnummer) ungültig
werden?
Das Passwort bleibt,
Leuchtet Dir ein, warum?
Das Passwort ist 1. Faktor, der YubiKey dient allerdings als
alternativer 2. Faktor.
Mir leuchtet diese Verwendung eines Fido2-Sticks für iCloud.com nicht
ein.

Ein Passwort als 1. Faktor ist naturgemäß per Phishing und
man-in-the-middle-Aktivität angreifbar.

Anders: Wenn ein Nutzer schon in einen zusätzlichen
Hardware-Authentikator investiert und bereit ist, die
Unbequemlichkeit, die damit einhergeht, zu akzeptieren, dann fände er
es sinnvoll, damit auch den bisherigen 1. Faktor ersetzen zu können.
Apple hat sich anders entschieden. Ist hinzunehmen.
Post by Gerald E¡scher
Am Liebsten ist mir als 2. Faktor TOTP (bei macOS per "OTPManager"),
gibt es bei iCloud leider nicht, allerdings bei Google, Paypal, Amazon,
Linux, usw.
Und wenn es allein um den 2. Faktor geht, dann gibt es eben schon
einen hinreichend komfortablen Typ, den Du genannt hast: OTP


Weiter:
Wenn man in der aktuellen Verwendungsweise den Fido2-Stick verwendet,
wird man automatisch zum 3. Faktor "gezwungen".

1. Wissen: Passwort
2. Haben: Fido-Stick
3. Wissen: Passwort (PIN) für Fido
Post by Gerald E¡scher
Post by Andreas Borutta
Es geht doch gerade darum ein Passwort mit all seinen Nachteilen durch
eine andere Authentifikation zu ersetzen.
Habe ich bereits getan durch Kauf einer Tastatur und eines MacBook Airs
mit Fingerabdrucksensor.
Post by Andreas Borutta
Post by Gerald E¡scher
Eben festgestellt, icloud.com behauptet, mein Firefox unterstützt keine
Sicherheizschlüssel.
Geht wohl, was ich gelesen habe, nur mit Safari.
Das liegt aber an icloud.com und nicht am Firefox.
Denke ich auch.


Andreas
--
http://fahrradzukunft.de
Loading...