Hallo Nirokey-User!
(Da hier einige in Deutsch schreiben bleibe ich auch mal dabei. Mein Englisch ist etwas holperig. Oder ich müsste einges in Google übersetzen…?!)
Ersteinmal Grüsse an alle!
Ich bin neu in diesem Forum.
Mit 2FA oder Fido2 hatte ich mich bisher nicht beschäftigt. Jetzt habe ich mir aber einen Nitrokey 3A NFC-Stick gekauft.
Ich habe (derzeit) Linux Mint installiert. (Windows 11 auch, aber das benutze ich kaum).
Linux benutze ich seit 1997 oder 1998, ich weiß nicht mehr so genau?
Ich wollte bei arbeitsagentur-de mir eine Zwei-Faktor-Authentifizierung einrichten.
Passkey wird auch angeboten. Dann wohl mit PIN. (Ich dachte der Stick erkennt auch Fingerabdrücke. Aber dieses leichte Antippen mit dem Finger ist wohl keine Fingerabdruck-Erkennung? - Die ‘geänderte’ PIN vom Stick wurde nicht erkannt. Ich bin mir auch nicht sicher ob die PIN von 123456 wirklich jetzt geändert ist? Gibt es da einen Terminal-Befehl?)
Aber zurück zur Zwei-Faktor-Authentifizierung.
Angeblich ist das bei arbeitsagentur-de jetzt zwingend. Steht auch irgendwo im Kleingedruckten.
Auf der Website steht beim Einloggen aber, es reiche auch Benutzername und Passwort.
Meine Beraterin sagt aber, ich muß 2FA einrichten, sonst funktioniert es bald nicht mehr. Typisches Behördenchaos…
Ich dachte, es geht ähnlich wie auf Zwei-Faktor-Authentifizierung mit One-Time-Passwörtern (OTP) - Nitrokey Documentation beschrieben.
Die Nitrokey App 2 habe ich installiert.
Ist das die falsche APP? Gibt es noch eine andere für den Nitrokey 3A NFC-Stick?
Wenn ja, wo?
Jedenfalls gibt es in der APP nichts mit “OTP Slot Configuration”.
Fehlen da Linux-Pakete?
(Ich glaube, unter Windows 11 gab es OTP Slot Configuration auch nicht?)
Der Stick wird erkannt. Er blinkt auch kurz grün.
lsusb
Bus 001 Device 002: ID "NUMMER" Clay Logic Nitrokey 3
Ich habe einfach mal “Nitrokey arbeitsagentur de login” in die Suchmaschine gegeben:
Um dich mit einem Nitrokey bei arbeitsagentur.de anzumelden, musst du zuerst einen Passkey einrichten. Dieser Passkey kann dann für eine sichere und passwortlose Anmeldung verwendet werden. Du kannst dabei ein biometrisches Merkmal (z.B. Fingerabdruck) oder eine PIN verwenden.
Schritte zur Einrichtung und Anmeldung mit einem Passkey:
1. Anmeldung im Konto: Melde dich in deinem Konto der Bundesagentur für Arbeit an. 2. “Passkey einrichten” auswählen: Wähle auf der Auswahlseite “Passkey einrichten”. 3. “Passkey erstellen” auswählen: Wähle “Passkey erstellen” aus und folge den Anweisungen. 4. Neuen Passkey auf deinem Gerät erstellen: Folge den Anweisungen auf deinem Gerät, um den Passkey zu erstellen. 5. Bestätigung erhalten: Nach erfolgreicher Einrichtung erhältst du eine Bestätigung im Online-Portal. 6. Weitere Passkeys hinzufügen: Du kannst weitere Passkeys unter “Kontoeinstellungen” hinzufügen.
Nitrokey und Passkeys:
** Ein Nitrokey ist ein Hardware-Gerät, das für sichere Anmeldungen und Verschlüsselung verwendet werden kann.*
** Passkeys sind eine moderne Alternative zu Passwörtern, die sichere und komfortable Anmeldungen ermöglichen.*
** Der Nitrokey dient als sicherer Speicher für den Passkey und ermöglicht eine passwortlose Anmeldung.*
** Die Anmeldung erfolgt dann mit dem Nitrokey und ggf. einer PIN oder biometrischen Daten.*
Zusätzliche Informationen:
** Die Bundesagentur für Arbeit bietet neben der Passkey-Anmeldung auch andere Sicherheitsmethoden wie die Authenticator-App (TOTP) an.*
Das ist ein Punkt wo ich weitermachen kann.
Die PIN für Passwörter und OTP-Geheimnisse kann mit dem Dienstprogramm Nitropy festgelegt werden.
Terminal:
du hast recht, die Dokumentation zeigt noch Screenshots der alten Nitrokey App. Du hast die richtige App für den Nitrokey 3, allerdings sieht das Interface da etwas anders aus.
Zunächst ist die Frage, welche Möglichkeit zur Zwei-Faktor-Authentifizierung du nutzen willst, Passkeys (auch FIDO2 genannt) oder TOTP. Ich würde zu Passkeys raten, da das einfacher zu handhaben ist und du nicht manuell Codes generieren und kopieren musst. Hat das mit der Anleitung, die du zitiert hast, geklappt?
Hallo robin-nitrokey!
Leider hat bisher noch nichts richtig funktioniert.
Ich will erst einmal keine Fehlermeldungen mehr haben.
Der Test vom Stick ergab schon die erste Fehlermeldung bei Fido2:
nitropy nk3 test
Command line tool to interact with Nitrokey devices 0.8.4
Found 1 NK3 device(s):
- Nitrokey 3 at /dev/hidraw4
Running tests for Nitrokey 3 at /dev/hidraw4
[1/5] uuid UUID query SUCCESS 432...NUMMER...usw
[2/5] version Firmware version query SUCCESS v1.8.1
[3/5] status Device status SUCCESS Status(init_status=<InitStatus: 0>, ifs_blocks=35, efs_blocks=465, variant=<Variant.LPC55: 1>)
Running SE050 test: |
[4/5] se050 SE050 SUCCESS SE050 firmware version: 3.1.1 - 1.11, (persistent: (27904,), transient_deselect: (607,), transient_reset: (592,))
[5/5] fido2 FIDO2 FAILURE FIDO2 pin is set, but not provided (use the --pin argument)
5 tests, 4 successful, 0 skipped, 1 failed
Summary: 1 device(s) tested, 0 successful, 1 failed
Critical error:
Test failed for 1 device(s)
--------------------------------------------------------------------------------
Critical error occurred, exiting now
Unexpected? Is this a bug? Would you like to get support/help?
- You can report issues at: https://support.nitrokey.com/
- Writing an e-mail to support@nitrokey.com is also possible
- Please attach the log: '/tmp/nitropy.log.aweajf49' with any support/help request!
- Please check if you have udev rules installed: https://docs.nitrokey.com/nitrokeys/nitrokey3/firmware-update#troubleshooting-linux
Einen PIN (siehe Doku-Link oben set-pins) bei " Kennwörter und OTP-Geheimnisse" konnte ich auch nicht setzen:
(dritter Versuch)
nitropy nk3 secrets set-pin
Command line tool to interact with Nitrokey devices 0.8.4
Password:
Repeat for confirmation:
Please touch the device if it blinks
Current PIN (5 attempts left):
Device returns error: SecretsAppException(code=6982/SecurityStatusNotSatisfied).
The new or current PIN is invalid.
Ich muß mir zuerst mal alles durch den Kopf gehen lassen, bevor ich weitermachen kann.
(Ich will den Stick nicht aufs Arbeitsamt loslassen, nicht bevor er richtig funktioniert )
Danke für deine Antwort.
Gruss
FIDO2 pin is set, but not provided (use the --pin argument)
Das heißt, du hast eine FIDO2-PIN gesetzt, daher kann der Test nicht ohne PIN durchgeführt werden und du müsstest stattdessen nitropy nk3 test --pin <PIN> ausführen.
Der Nitrokey 3 hat verschiedene PINs für die unterschiedlichen Features. In diesem Fall geht es um die FIDO2-PIN. Mit dem Befehl nitropy nk3 secrets set-pin setzt du aber die PIN für den Passwortspeicher. Für die FIDO2-PIN kannst du nitropy fido2 set-pin oder nitropy fido2 change-pin nutzen, siehe: Set PINs - Nitrokey Documentation
Und zurück auf den Werkszustand geht auch nicht.
Ob ich die Nitrokey App 2 als Admin starte oder nicht.
Das diese Nirtokey App 2 unter Linux ein gottverdammtes Flatpak ist, macht es alles nur noch kompizierter. Aber auch unter Windows habe ich es versucht. Auch die App als Admin gestartet.
Ich frage mich: Hatte dieser Nitrokey 3A NFC-Stick jemals überhaupt funktioniert?
`PS C:\> nitropy list
nitropy : Die Benennung "nitropy" wurde nicht als Name eines Cmdlet, einer Funktion, einer Skriptdatei oder eines
ausführbaren Programms erkannt. Überprüfen Sie die Schreibweise des Namens, oder ob der Pfad korrekt ist (sofern
enthalten), und wiederholen Sie den Vorgang.
In Zeile:1 Zeichen:1
+ nitropy list
+ ~~~~~~~
+ CategoryInfo : ObjectNotFound: (nitropy:String) [], CommandNotFoundException
+ FullyQualifiedErrorId : CommandNotFoundException
`
In Windows 11 scheint es kein nitropy zu geben?
Wie testet man dort, da es die Befehle mit nitropy nicht gibt? (Steht das py in nitropy für Python?)
Warum steht in den Dokumentationen nicht, das z.B. ein nitropy nk3 test unter Windows nicht funktioniert?
Hallo Kajaker,
mal von user zu user, das kann da gar nicht stehen, weil es funktioniert ja bei mir, wäre ja dann gelogen.
C:\Users\Admin>nitropy nk3 list
Command line tool to interact with Nitrokey devices 0.8.4
:: 'NK3' keys
\\?\hid#vid_20a0&pid_42b2&mi_01#X_Y}: Nitrokey 3 DX_Y
C:\Users\Admin>
Platzhalter: X_Y
Ist zwar win10 aber es sollte unter win11 doch nicht anders sein.
Hallo geoW!
Danke!
Ich hatte merkwürdigerweise nur die Nitrokey App v2.3… installiert. Mir war in Windows entgangen, daß ich Nitropy extra installieren musste.
Leider ergab auch der Test unter Windows: 5 tests, 4 successful, 0 skipped, **1 failed**
So weiß ich aber zumindest: An Linux liegt es nicht. Windows zeigt den Fehler ebenso an.
Tatörts (wie Manfred Krug die Mehrzahl nannte) schaue ich nicht. Früher mal.
Bin eher SCFI, Zombiefilm oder modernere Vampirfilmgucker.
Krimis nur wenn sie aussergewöhnlich sind. Z.B. auf Island o.ä. spielen.
Das liegt doch an der fehlenden fido2 pin, wie auch robin-nitrokey schon richtig ausführte.
Es gibt ja mehr pins auf dem Stick zu verwalten als der Normalbürger so annimmt. Ohne Doku und Zettel und Stift geht man unter. Aber wenn nitropy jetzt läuft, steht einem ja alles offen. Ich habe noch keinen Stick so zerschrotet, daß ich ihn aufgeben mußte.
Also fuchs Dich weiter ein. Viel Spaß.
Eigentlich sollte es jetzt ohne PIN gehen. Ich habe doch alles auf die Werkseinstellungen zurückgesetzt und alle PINs gelöscht. Glaube ich zumindest.
Aber mit PIN gibt es auch nur eine Fehlermeldung.
Ich würde am liebsten alles reseten. Aber wenn es nicht funktioniert auf die Werkseinstellungen zurückzustellen…?!
Bleibt Dir immer noch die Möglichkeit Dich per e-mail an den Support zu wenden um den Stick einzuschickjen.
Ich habe es jetzt nicht frisch gelesen, aber Du weißt, daß “Zeit” ein limitierneder Faktor ist beim fido2 Zurücksetzten. Du hast glaube ich 10s um den Stick frisch an den Rechner anzuschließen und dann die entsprechenden Befehle abzusetzen, eine kleine challange halt.
Viel Erfolg
Reset for FIDO2 is only possible 10sec after plugging the device (Reset für FIDO2 ist erst 10 Sekunden nach dem Einstecken des Gerätes möglich - so die genaue Google-Übersetzung).
Das hatte ich falsch verstanden. Ich hatte den Stick dauerhaft stecken, weil ich dachte erst nach 10 Sekunden darf ich loslegen mit dem Reset. Das ich schnell so machen muß (daß mir förmlich der Schweiß herunterläuft), das hatte ich nicht bedacht.
Danke noch einmal.