Hallo,
ich habe mir den FIDO2 Stick gekauft um - wie auf der Homepage beschrieben - die Passworteingabe zu ersetzen, komme aber nicht klar damit. Wenn ich ihn einstecke, blinkt er einmal kurz und das System sagt mir, dass er da ist (mit lsusb und dmesg) aber das war’s dann. Leider habe ich auch keine Doku gefunden, wie man mit so einem Stick arbeitet bzw. ihn konfiguriert. Ich bin Neuling auf diesem Gebiet und etwas überfordert.
Was ich machen möchte:
Passworteingabe beim Login am Computer ersetzen
Entsperren meiner verschlüsselten Laufwerke
Passworteingabe bei diversen Applikationen (z. B. Enpass) ersetzen
Dass ich ihn leider für’s Banking nicht nutzen kann, habe ich erst jetzt gelesen, da ihn bisher noch keine Bank unterstützt lt. dongleauth.com.
Mein Betriebssystem ist Linux (Siduction, ein Debianderivat)
Hmm, ich bin mir nicht sicher, ob der FIDO2 das alles abdecken kann. Unter Applications | Nitrokey siehst Du was normal geht.
Hast Du mal unter https://webauthn.io den Stick ausprobiert ? Da kannst Du ein Gefühl bekommen wie der normale Ablauf ist: erst registrieren und dann damit im Web(!) einloggen. Das geht auch z.B. um als 2FA Deinen Google Account (im Web) freizuschalten.
Login könnte mit PAM gehen, wenn es entsprechend aufgesetzt wird und bei Deiner Distribution ein eine entsprechende Shared Library dabei ist.
Entsprerren der verschlüsselten Laufwerke kommt sicherlich darauf an, wie die Eingebunden sind - Dropbox etc. geht. Welche Dienste genau siehst du unter https://www.dongleauth.com
Da könnten eventuell auch Deine Applikationen dabei sein.
Hallo Peacekeeper,
das habe ich mir alles schon angesehen. Ich habe mich da von der Schlagzeile auf der Homepage (passwortloses Login) täuschen lassen denn fast alles das, was ich machen möchte, geht mit dem FIDO2 wohl nicht. Dazu habe ich die Seite von dongleauth.com zu spät entdeckt. Meinen Google Account nutze ich so wenig, dass ich dafür den Stick nicht benötige und alle für mich wichtigen Webseiten unterstützen das Verfahren nicht. Außerdem keine Bank (zumindest lt. dongleauth.com) und so gut wie keine von mir bentzte Applikation, wo mir ein Einsatz wichtig wäre. Anmeldung an einem Betriebssystem funktioniert wohl auch nur für Windows. Ich werde das Ding wohl wieder zurück geben.
FIDO2 standard was created by and with web services in mind, and here it is supposed to replace all login:password pairs with just an ECC private/public key pair, being more secure, easier to handle, and making user protected from both the passwords leaks and site spoofing (the domain is indirectly verified on each FIDO U2F/FIDO2 use). In this way this is a revolution, and hopefully a way the online authentication would go, forgetting about user provided strings.
Major sites already support FIDO2, or its older version - FIDO U2F. Adaptation in the market seems to increase.
Why banks are not doing so yet? I do not know, but could only guess. Here the services’ customers have to put a pressure on the providers to cover this feature.
Local use for FIDO2 is surely possible, and for authentication the implementation is dead simple. As far as I know it is planned to be added as a login device to Windows 10 (it works already with AD). For Linux recently it was added for password-less logging as a PAM module (pam_u2f; needs configuration). It is natively supported by OpenSSH in the recent versions, as a key to authenticate.
At the moment unlocking of the encrypted drives can be realized by PKCS#11, which is not yet supported by Nitrokey FIDO2 (but available in our other products). This will probably change in the future though, as some smart card interface is planned to be added.
As for replacing password entry for the different applications, these would have to support the device. Perhaps some universal adapter could be built for that in the future with the firmware update and additional application. I cannot provide any schedule though.
In case it does not work for you, please check out the installation guide:
Thank’s for the answer and the explanation.
Actual the FIDO2 stick for me is useless because most of the things
which I want to do with it are not (yet) supported and for the PAM
module I’m not an expert to configure a stick supported login for my
system. Most of the web sites which are important for me do not yet
support FIDO2.
Kann ich nachvollziehen. Die Zeitschrift c’t hat da auch einen Hype entfacht was FIDO2 alles machen soll. Leider liegen viele Funktionen noch in der Zukunft. Oder bei Office365 wird z.B. mind. ein Enterprise Plan benötigt, damit das Azure AD ein Token als 2FA anbietet.
Das nette am FIDO2 ist natürlich der physikalische Druck auf den Key, den man nur vor Ort machen kann. Ansonsten nutze ich aber einen NKPro für PGP, ssh, etc. Dabei habe ich die Pin eingaben gesichert aus dem Wallet (Keychain) automatisiert, so dass ich in meinem Netzwerk ähnlichen Komfort habe.Vielleicht wäre das was ?
auch die Versprechungen auf der Homepage sind schon sehr vollmundig
und wohl ein Wunsch für die Zukunft, was die Einsatzfähigkeit des
FIDO2 betrifft.
Was den NKPro betrifft, hört sich das auf der Homepage ähnlich toll
an wie für den FIDO2 weshalb ich jetzt mit der letzten Erfahrung
etwas skeptisch bin. Ich glaube, auch damit kann ich mich nicht an
meinem Linux-System anmelden und auch mit dem Pro wird die
Konfiguration für die Laufwerkentschlüsselung Profiwissen erfordern
und die meisten von mir benutzten Applikationen (z. B. Enpass)
werden auch vom Pro nicht unterstützt. Auch die Benutzung von GnuPG
mit dem Stick erscheint mir nicht gerade trivial wenn ich das Forum
lese und leider gibt es ja für keinen der Sticks eine Dokumentation,
die Greenhorns wie mich Stück für Stück in die Benutzung und
Konfiguration der einzelnen Möglichkeiten einführt.
Hmm, ja in dem “security Umfeld” muss man sich ein wenig die Dokumentation zusammensuchen. Letztendlich gibt es ja alles auch ohne HW Token - der Token erhöht die Sicherheit bzw. ermöglicht nicht vorhanden Hardware des Systems zu ersetzen (z.B. ein Bio-Scanner, TPM, etc.). Bei den verschiedenen Systemen (Siduction ist ja auch nicht die größte Distri) ist das nicht einfach zu verifiziert zu dokumentieren.
IMHO sind Distributionen auf Linux Basis auch nicht gerade erste Wahl für Simple End User. Da würde ich immer eher Windows oder macOS empfehlen. Bei Linux ist doch eigentlich immer etwas Einarbeitung notwendig.
GnuPG ist eigentlich ziemlich einfach: erstmal ohne NKToken zum laufen zu bringen ( aber mit kurzzeitigen Keys) und dann die Keys durch den NKToken ersetzen. Dito OpenSSL, S/MIME etc. Gerade Zertifikate sind dann noch mal eine Stufe komplexer für die Einarbeitung. Die werden aber immer öfter benötigt ( wahrscheinlich, weil noch zu wenige HW Keys einsetzen und dann müssen die SW Keys ja von jemanden bestätigt werden)
Passwortmanager wie Enpass benötigt man bei macOS nicht, da sich alles mit der macOS-Keychain ersetzen lässt. Mein Password für diese Site hier kenne ich z.B. nicht - generiert alles Safari und kann ich dann auch auf dem iPad oder iPhone durch Fingerdruck eingeben.
Der Login am MacBook geht auch mit Fingerabdruck, nur am iMacPro hat Apple leider keine passende Tastatur ( mit dem entsprechenden Sensor) . Deshalb muss ich hier noch bei Gelegenheit den NKPro mit PAM zum fliegen bringen.
Alle Laufwerke werden mit den eingebauten TPM’s verschlüsselt, das ist transparent und erlaubt ja auch nicht den Zugriff auf ausgebaute Laufwerke. HSM’s erlauben separate Server-User (übrigens FreeBSD) für die Automatisierung ( Backup, DNS, etc. ) Ein solcher User würde bei mir auch einzelnen Dateien verschlüsseln, wenn ich eine noch stärkere Sicherheit wollte.
Das alles ist für mich allerdings mehr Spielerei, da ich keine wirklich relevanten Daten ( DSGVO, Kreditkarten, Kundendaten etc. ) lagere. Und wer WhatsApp nutzt hat ja sein Adressbuch eh schon ins Internet gestellt
Das geht aber jetzt off-topic. In diesem Sinne Happy New Year ! und viel Spaß beim Lernen
Linux funktioniert mittlerweile absolut problemlos und ist mit der
geeigneten Distribution auch für nicht-IT-affine User geeignet. Ich
war selbst jahrelang Apple Nutzer, bis mir die Kisten irgendwann zu
teuer waren und dann blieb nur noch Linux denn Microsoft ist für
mich ein absolutes Nogo. Damit musst ich mich lange genug im Job
herumärgern.
Ich komme mit Linux seit Jahren gut zurecht aber mit dem Thema
Sicherheit habe ich mich noch nie so richtig beschäftigt außer dass
ich GnuPG nutze und auch die Verschlüsselung der Laufwerke war jetzt
keine große Affäre, da hierfür die Dokumentation recht gut ist. Wenn
es allerdings um’s Eingemachte geht, wie z. B. die Passwörter für
die verschlüsselten Laufwerke oder auch bei der Systemanmeldung mit
HW-Token zu ersetzen, dann bin ich da doch ziemlich unbedarft und
wünschte mir eine brauchbare Anleitung. Ich werde mir also doch erst
mal im Netz etwas zusammensuchen und mit dem Prinzip Versuch und
Irrtum meine ersten Schritten machen müssen. Wenn das nur nicht so
zeitintensiv wäre.
Auch dir ein gutes neues Jahr und was WhatsApp betrifft bin absolut
bei dir.
