Nitrokey 3c NFC (FW v1.5) funktioniert weder bei Microsoft noch bei Google

KolFri392 · August 4, 2023, 1:55pm

Moin Zusammen,
ich habe es nun endlich mal geschafft, meinen Nitrokey 3C NFC auf FW v1.5 upzudaten. Die Registrierung des Keys klappte aber trotzdem weder bei Microsoft noch bei Google. Ist das der Stand oder was könnte da schief gehen?
MfG
Kolja

jorn · August 7, 2023, 8:47pm

Du musst alle Cookies akzeptieren, weil es sonst zu Fehlermeldungen kommt. Nachdem die Keys registriert sind musst du AFAIK zum Anmelden nicht mehr alle Cookies akzeptieren.

mepi0011 · August 9, 2023, 3:42pm

Hi @KolFri392,

ich gehe davon aus, dass du mit “Registrierung des Keys” die Aktivierung des zweiten Faktors meinst.

Ich hate Probleme mein Nitrokry 3 als zweiten Faktor in diesem Forum zu aktivieren, folgendes hat mir geholfen:

exoosh · October 24, 2023, 7:20am

“Bei Microsoft” ist eine sehr offene Aussage. Das hatte ich auch. Das lag bei uns aber an den Richtlinien in Azure AD (jetzt Entra ID).

Und zwar kann ein Anbieter auch nur FIDO2 von Herstellern und Modellen erlauben, die eine Zertifizierung durchlaufen haben. Die Zertifizierung ist eigentlich ne reine Bürokratiesache, welche sich die FIDO Alliance vermutlich auch vergolden läßt. Taucht Hersteller und Produktmodell nicht in der Datenbank auf, wird es abgelehnt. Über die Sicherheit des Produkts sagt das allerdings nur bedingt etwas aus. Die Zertifizierung soll u.a. garantieren, daß Tokens nicht geklont werden. Faktisch handelt es sich dabei aber auch nur um ein herstellerseitiges Versprechen das durch (geprüfte?) Prozesse zu verhindern – wirklich 100%ig auszuschließen ist es aber auch damit nicht. (Lt. diesem Beitrag ist das keine rein bürokratische Geschichte, sondern hat einen technischen Hintergrund.)

Wollte das nur nochmal hier anbringen, weil jemand der hier im Forum sucht durchaus gleichartige Suchbegriffe verwenden könnte.

jan · October 24, 2023, 12:57pm

Nitrokey can be used easily with Microsoft Entra ID (Azure AD) by disabling attestation enforcement.

exoosh · October 24, 2023, 2:02pm

Nicht, wenn’s dem lieben Entra-ID-Admin nicht gefällt. Aber ja, ich habe keine Zweifel daß es rein technisch funktioniert.

nku · October 24, 2023, 7:06pm

Kommt auch zum Einsatz, wenn man nur freigegebene FIDO2 Keys erlauben möchte. Beispielsweise, um veraltete Token anhand der AAGUID auszuphasen. Oder man verhindern möchte, dass das FIDO2 Key Material geklont werden kann (z.B. mit einem Softtoken oder unzureichender Hardwareschutz für den Einsatzzweckk)