Ich nutze den Rockey4ND. Da hat man mehrere Möglichkeiten zur Verifizierung:
- Eine fixe Seriennummer
- Eine programmierbare ID
- Die Möglichkeit, einfache Rechnungen zu programmieren und dann mit verschiedenen Werten durchzuführen
- Einen 1k RAM
- Enen Zufallsgenerator

Es gibt einige Fragen, die man vorher klären sollte:
- Wie soll sich die Anwendung verhalten, wenn der Key abgezogen wird?
- Gibt es verschiedene Level der Rechte, also z.B. Start des Programms erfordert Passwort, Programmierung erfordert zusätzlich Dongle, oder gibt's 'nur' Dongle + PW?
- Soll es nur einen Dongle, eine fest Anzahl von Dongles oder eine beliebige Anzahl von Dongles geben können?

Ansonsten ist das eigentliche Programmieren, wie so oft, wenn klar ist, was man genau will, (zumindest mit dem Rockey) kein wirkliches Problem.

Tomy

Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".


Ist der Ähnlich wie Wibu? Die haben wir bei einigen im Einsatz. Aufwendig ist aber, dass bei jeder Änderung die Programmdatei, etc. neu verpackt werden muss und man den Masterkey dabei haben muss. Das macht Änderungen beim Kunden vor Ort aufwendig und teuer wegen den Masterkeys.


- Konfiguration/Logbuch wird dann geschlossen
- Programm startet auch ohne Anmeldung. Anmeldung ist nur für Konfigurationsanpassung oder Aufruf vom Logbuch notwendig.
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.

Wenn der USB-Stick keine physische Aktion bedingt, was bei YubiKey aber nötig sein kann,
könnte man auch eine USB-Weiterleitung verwenden. Virtueller USB-Port und dann lokal via LAN, VPN oder Dergleichen den echten USB-Stick irgendwo anders.

Ähnlich wie mit den neuen USB-Keys für Signierungen.

Also.. die Keys unterstützen prinzipiell den Fido2 Standard.
Dabei kann man diverseste Optionen überlegen:
* authentifikation mit Pin/biometrisch + einer Userinteraktion
* nur einstecken und ner Userinteraktion (ohne Pin/biometrie)
* nur test ob der key authentifiziert wird

Die Keys können auch per Webauthn also Fido2 übers Web
benutzt werden.

Die Yubikey (libfido) api implementiert das Ctap
Protokoll (also die Kommunikation zw. Key und
App) und auch die Verifikation der Challenges (assert verification)
Was nicht implementiert wurde ist das Ablegen der Keys
In ner Datenbank nur ein rudimentäres Ablegen der
Daten in Files wird in den Besipielen gezeigt… und auch konnte ich damit keine
Passkeys (z.b Apples Passkey per Biometrie)
per Webauthn verifizieren, da sie einen geringeren
Sicherheitsstamdard im Webauthnprotokoll inplementiert,
Der keine Info über den Key weiter gibt und nur den
Publik Key weiter gibt.
Diese Lücke sollte meine lib aber schließen (siehe anderes
Posting)

Prinzipiell bin ich ein riesen Fan von Fido2- nie werden
Passwörter übertragen, was es für Hacker EXTREM,
schwierig macht.

Ohwei.
Fan sein wollen, aber keine Ahnung haben, wie sowas in der Praxis ausschaut.

Der YubiKey selber hat zwar eine Touch-Fläche, die ist aber KEIN Fingerprint-Sensor. Die ist ausschließlich dafür da, dass der Key eine Benutzerinteraktion bestätigen kann. (Okay, es gibt YubiKey Bio Series mit Fingerprint-Sensor, da kostet ein einzelner aber > 90 € und die sind offenbar nicht so sicher wie die ohne, weil die ohne haben eine Zertifizierung für Behörden bekommen, die mit dem Sensor nicht, das spricht meines Erachtens Bände...).

Die Idee ist, dass der Key stecken bleiben kann, aber eine Authentifizierung am Bildschirm sagt: "Wenn Du wirklich willst, dann berühre jetzt den Stick..." - und technisch steht eigentlich dahinter ("... Damit Du Dein Passwort nicht eingeben musst.") - und wenn der User das nicht macht, passiert auch nix. Wenn der aber seinen Stick vergisst, ist es dem Yubikey an sich vollkommen wurscht, WER da die Touchfläche berührt. Deswegen sind die meisten OS-Integrationen von FIDO auch so implementiert, dass der User zu dem Stick auch nochmal eine PIN eingeben muss.

Kurzum: Yubikeys SIND cool. Keine Frage. Aber auch teuer (die alten fangen bei 25€ das Stück an, die aktuellen bei 50).
Der Kollege aus der QS beim Kunden darf gerne mal bei uns in eines unserer Webinare zu FIDO reinschauen: https://www.youtube.com/watch?v=_2i9ucyeveM, von einem Ex-Kollegen, was die Keys eigentlich machen sollen.

Wenn er es sicher will, dann ist es relativ egal, ob der zweite Faktor ein physikalisch beim Benutzer verorteter Yubikey oder eine RFID-Karte ist.
Benutzer kennt sein Passwort (Faktor 1) und hat sein Hardware-Stück dabei (Key oder Karte, Faktor 2) -> Drin.
Die Frage ist dann letzten Endes nur eine des Preises. Das würde ich beim Kunden auch bewusst eine Stufe über der QS aufhängen, weil wenn dem sein Chef raus bekommt das es statt für 50+ Euro pro Benutzer auch genauso sicher mit ein paar Cent für ne RFID-Karte gegangen wäre, die die Benutzer ggf. eh schon haben... , dann ist die Sache Betriebswirtschaftlich sehr schnell geregelt.

Wir haben das bei uns heute morgen in unserer Besprechung auch so gesehen, das der aus der Qualitätssicherung keine Ahnung hat, aber sich wichtig macht.

Für eine rein lokale Desktopanwendung macht das mit dem Jubikey so keinen Sinn, da der Kunde von Wunschdenken ausgeht. Ohne einem Fingerprint Sensor sehen wir bei uns derzeit keinen Vorteil gebenüber einer RFID Karte. Beides kann von unberechtigten verwendet werden. Da ist es egal, ob USB Stick oder Karte. Fidu2 hört sich zwar interessant an, aber auch hier ist keine "Diebstahlsicherung" vorhanden, wenn kein Fingerprint oder anderes biometische Kennzeichen mit verwendet wird.

Der bekommt jetzt eine Kombinationslösung angeboten. Fingerprint und Gesichtserkennung. Wenn der Mitarbeiter vom Terminal weggeht oder sich wegdreht und das Gesicht nicht mehr erkannt wird, wird das Terminal der Steuerung gesperrt. Ist ein Zukaufteil, wo wir nur den API Aufurf anstelle der Kennwortabfrage einbinden.

Kann man ja eigentlich parallel zu jeder anderen Art von Account betrachten.

Eine RFID-Karte kann man kopieren (bis auf wenige Ausnahmen, aber hier wurde nichts spezielles erwähnt), evtl. sogar separat im Vorbeigehen "belauschen" und Kopie erstellen.

Den Yubikey nicht.

Bei Angst vor reinem Diebstahl des Tokens ist es egal ob Karte oder Yubikey. Hat man aber Angst vor Industriespionage, wo jemand schlauer vorgeht und den zweiten Faktor kopieren möchte, um erstmal unentdeckt zu bleiben, ist der Yubikey halt deutlich überlegen.

Auch besser als Fingerabdrücke oder Gesichtsscans, solange die nicht wirklich gut sind (vielleicht sogar dann).

Interessehalber:
- Habt Ihr schon so ein konkretes Teil getestet, das zuverlässig funktioniert, könntest Du da etwas empfehlen?
- Was macht man damit, wenn die Biometrik mal aus irgend einem Grund versagt, gibt es einen zweiten Zugangsweg?
Wäre so ein 2ter Zugangsweg nicht automatisch wieder genauso unsicher wie vorher?

Wenn die Biometrik ausfällt gibt es einen Ersatzzugang. Hierfür braucht man aber einen entsprechend registrierten PC/Notebook, da ansonsten die Verschlüsselung nicht funktioniert.

Das System was wir verwenden dürfen arbeitet mit einer normalen Kamera und Wärmebildkamera um Lebendobjekte zu prüfen. Lt. Vertriebsvereinbarung können wir das nur unter eigenem Namen und für eigene Systeme verwenden, daher keine Empfehlung.

Ok, verstehe.

Du arbeitest also entweder für Fort Knox oder Area 51
Beneidenswert