bis vor kurzem war ich glücklicher Besitzer eines Nitrokey 3A NFC, jetzt bin ich nur noch Besitzer.
Mein sehr intensiv genutzter Nitrokey verweigerte plötzlich den Dienst als ich mich via SSH auf einem Server einloggen wollte. Nach kurzer Fehlersuche war klar, dass die Smartcardfunktionalität nicht mehr funktionierte. Also Factory-Reset der Openpgpcard, hat nichts gebracht. Beim testen kam dann raus, dass auch fido2 nicht mehr geht, also habe ich einen kompletten factory reset gemacht, seither leuchtet der key nur noch für kurze Zeit blau und kurz drauf wird die Lampe rot, woraufhin er auch nicht mehr erkannt wird. ‘nitropy nk3 status’ gibt je nachdem manchmal ok aus, manchmal “Internal Flash Error”. Gibt es irgendeine Chance ihn zu retten? Firmware Version ist 1.8.1.
Es wäre in diesem Kontext ja vermutlich auch äußerst hilfreich, zu wissen, wie lange denn die Keys bereits im Einsatz gewesen sind, wie intensiv sie genutzt wurden etc.
Ich habe meine beiden gerade mal bei einem Account angemeldet und war von der war dortigen Funktionsweise dermaßen enttäuscht, dass ich meine Experimente ersteinmal auf Eis gelegt habe.
Wenn die Keys aber unter bestimmen Voraussetzungen sterben sollten (mir ist klar, dass ein toter Keys keine hinreichend große Stichprobe im stochastischen Sinne darstellt), dann lohnt der ganze weitere Aufwand auch nicht, denn es gibt diverse Alternativen.
Nicht, dass so ein Key theoretisch nicht großartig wäre. Nur dazu muss er auch mindestens 10 Jahre leben. Ich benutze einen Laptop genau diesen Alters, der funktionert schließlich auch noch wunderbar.
Dort, wo ich den Key ausprobiert habe, werden die unterschiedlichen Funktionalitäten nicht klar genug voneinander getrennt bzw. es wird nicht entsprechend kommuniziert, dass man die NitroKeys in unterschiedlichen Rollen anmelden kann, die sich dummerweise dann auch noch ausschließen.
Langer Rede kurzes Sinn:
Als Passkey ist der Key reine Bequemlichkeit. Bequemlichkeit tötet in der Regel Sicherheit.
Man kann ihn dort aber auch als tatsächlichen weiteren Faktor anmelden, WENN man ihn nicht als Passkey angemeldet hat. Das war meine Wunschvorstellung und diese funktioniert auch, wenn man ersteinmal das UI-Fauxpas verstanden hat. Ich nehme also hiermit meine obige Skepsis und Enttäuschung, zumindest bezogen auf den Dienst, ersteinmal zurück und hoffen, dass es bei anderen Anbietern ebenfalls einigermaßen sauber implementiert ist.
