Das Forum wurde ja vor nicht allzu langer Zeit auf eine neue Version gehievt. Eines der neuen Features ist auch die Unterstützung von FIDO2. Natürlich existieren heute viele unterschiedliche Möglichkeiten, FIDO2 anstatt (oder in Kombination mit) Passwörtern zu nutzen. Neben den üblichen Implementierungen auf den Haupt-Mobilbetriebssystemen (Gesichtserkennung, Fingerabdruck etc.) gibt es natürlich noch explizit Hardware-Token, die man für diesen Zweck nutzen kann.
Hardware-Token haben in meinen Augen wesentliche Vorteile:
Es gibt recht viele Anbieter, die entsprechende Security-Token anbieten. Die bekanntesten davon dürften vielleicht YubiKey und NitroKey sein. Da ich mit YubiKey wegen der geschlossenen Architektur, die den Anbieter aber auch nicht vor einer Schwäche im System und einem entsprechenden Hack geschützt hat, einverstanden bin, habe ich mich nach Alternativen umgesehen. NitroKey ist eine solcher Alternativen. Leider habe ich das Gefühl, dass die Software dort stellenweise noch zu sehr mit heißer Nadel gestrickt wird, wenn man sich die Problemberichte im Forum ansieht.
Deswegen habe ich mich weiter umgesehen und bin auf PicoKeys.com gestoßen. Bei dieser Open-Source-Lösung werden im Wesentlichen 3 bis 4 unterschiedliche Firmwareversionen angeboten, die alle für den privaten Gebrauch kostenlos sind und unterschiedliche Anwendungszwecke erfüllen: OpenPGP, HSM und Fido2 (und neuerdings auch eine Kombination aus OpenPGP und Fido2). Wer sich in die zugegebenermaßen nicht unbedingt einfache Thematik einlesen möchte, kann das auf der Website des Projektes tun, denn es gibt auch zahlreiche Blogartikel, die die Anwendungsfälle ein wenig erläutern. Zudem gibt es im Netz sehr viel Lesestoff.
Eine Besonderheit an dieser Lösung ist, dass sie auf vielen derzeit angebotenen kleinen ARM-Cortex-Mikrocontroller-Architekturen läuft. Wer also sowieso einen solchen herumliegen hat, kann diesen eventuell zu einem Fido2-Key umrüsten. Ich persönlich habe mich u. a. für den TenStar RP2350 entschieden, weil es neben dem "RP One" eines der wenigen Boards mit USB-A ist, wodurch es auch in älteren Geräten problemlos benutzbar ist, und zudem ein sehr kompaktes Design aufweist.
Die Vorteile bei der Benutzung liegen auf der Hand:
Ich habe einmal kurz die Benutzung eines dieser Token hier am Forum selbst ausprobiert, was so weit bei der Anmeldung funktioniert hat. Ich habe noch nicht ausprobiert, inwieweit es sich mit zwei auch problemlos nutzen lässt, da ich mich derzeit mit der Firmware beschäftige. Man sollte dabei einfach bedenken, dass man möglichst mehrere solcher Token besitzt und mindestens zwei registriert. Sollte einer Schaden erleiden oder abhandenkommen, kann man mit dem zweiten immer noch zugreifen und den ersten wieder aus der Liste der Authentifizierungs-Möglichkeiten austragen. Dass man ein solches Token mindestens genauso sicher handhaben sollte wie seinen Hausschlüssel, sollte sich dabei von selbst verstehen.
Ist die oben erwähnte Firmware schon perfekt? Nein. Aber man kann sie definitiv schon benutzen, man sollte sich halt vorab einige Gedanken machen, was man in welchem Kontext benutzt. Generell dürfte das Interesse möglicher Angreifer an einem solchen Forum wesentlich kleiner sein als an anderen Diensten, die man im Netz finden kann. Von daher muss die Implementierung auch nicht 100-prozentig sein. Kann sie sowieso nicht sein, da die "aufwendigeren Token" natürlich auch gegen Auslesen und direkten Zugriff auf das Board geschützt sind, was bei einem Microcontrollerboard, das am Ende einfach in ein passendes 3D-Druck-Gehäuse kommt, gar nicht ohne weiteren Aufwand möglich ist.
Warum schreibe ich das alles? Weil ich denke, dass das Projekt eines der "besseren" im Open-Source-Bereich ist, auch wenn es noch nicht perfekt ist. Vielleicht hat der eine oder andere auch ein Interesse daran, etwas dazu beizutragen. Erfahrungsaustausch bezüglich der Probleme mit dieser Firmware wäre natürlich auch möglich.
Ich überlege derzeit noch, ob bei entsprechendem Interesse eine Sammelbestellung der entsprechenden Boards und der Gehäuse möglich und sinnvoll wäre. Bei den Gehäusen würde es sich preislich definitiv lohnen, allerdings müssten sich dafür Käufer von bis zu 48 Boards finden, wodurch der Preis für ein 3D-Druck-Gehäuse von ca. 3€ pro Stück auf ca. 80 Cent pro Stück fallen würde. Die Kosten pro Board sind je nach Ursprung unterschiedlich. Beim "teuren" eBay belaufen sie sich auf ca. 10€ pro Board, was natürlich angesichts der Möglichkeiten trotzdem verschwindend wenig ist.
Die entsprechenden Gehäuse-Vorlagen gibt es u. a. auf https://www.thingiverse.com/search?q=RP3050. Ich habe einen "3D-Druck Dienstleister", der auch in ABS druckt, was ich persänlich mindestens aufgrund der höheren Stabilität empfehlen würde.
Hardware-Token haben in meinen Augen wesentliche Vorteile:
- Die Schlüssel befinden sich nicht zwangsläufig immer "im Gerät", somit können sie auch nicht so einfach über Hacks entwendet werden, da sie "zeitlich" die Angriffsfläche verkleinern.
- Sie können an unterschiedlichen Geräten gleichzeitig genutzt werden.
- Bei Wechsel des Hauptgerätes kann man diese einfach weiterverwenden, ohne große Backuporgien zu starten oder seine Daten in die Cloud zu schieben und sich auf die dortige Sicherheit zu verlassen.
Es gibt recht viele Anbieter, die entsprechende Security-Token anbieten. Die bekanntesten davon dürften vielleicht YubiKey und NitroKey sein. Da ich mit YubiKey wegen der geschlossenen Architektur, die den Anbieter aber auch nicht vor einer Schwäche im System und einem entsprechenden Hack geschützt hat, einverstanden bin, habe ich mich nach Alternativen umgesehen. NitroKey ist eine solcher Alternativen. Leider habe ich das Gefühl, dass die Software dort stellenweise noch zu sehr mit heißer Nadel gestrickt wird, wenn man sich die Problemberichte im Forum ansieht.
Deswegen habe ich mich weiter umgesehen und bin auf PicoKeys.com gestoßen. Bei dieser Open-Source-Lösung werden im Wesentlichen 3 bis 4 unterschiedliche Firmwareversionen angeboten, die alle für den privaten Gebrauch kostenlos sind und unterschiedliche Anwendungszwecke erfüllen: OpenPGP, HSM und Fido2 (und neuerdings auch eine Kombination aus OpenPGP und Fido2). Wer sich in die zugegebenermaßen nicht unbedingt einfache Thematik einlesen möchte, kann das auf der Website des Projektes tun, denn es gibt auch zahlreiche Blogartikel, die die Anwendungsfälle ein wenig erläutern. Zudem gibt es im Netz sehr viel Lesestoff.
Eine Besonderheit an dieser Lösung ist, dass sie auf vielen derzeit angebotenen kleinen ARM-Cortex-Mikrocontroller-Architekturen läuft. Wer also sowieso einen solchen herumliegen hat, kann diesen eventuell zu einem Fido2-Key umrüsten. Ich persönlich habe mich u. a. für den TenStar RP2350 entschieden, weil es neben dem "RP One" eines der wenigen Boards mit USB-A ist, wodurch es auch in älteren Geräten problemlos benutzbar ist, und zudem ein sehr kompaktes Design aufweist.
Die Vorteile bei der Benutzung liegen auf der Hand:
- Keine Passwörter merken (wenn die Website den Token als alleinigen Schlüssel nutzt, wovon ich persönlich aber abraten würde, denn damit läuft es ja wieder auf lediglich einen Authentifizierungsfaktor hinaus).
- Erhöhte Sicherheit gegenüber "Onsite-Hacks" durch einen zweiten Authentifizierungsfaktor.
- Spaß an Technologie.
Ich habe einmal kurz die Benutzung eines dieser Token hier am Forum selbst ausprobiert, was so weit bei der Anmeldung funktioniert hat. Ich habe noch nicht ausprobiert, inwieweit es sich mit zwei auch problemlos nutzen lässt, da ich mich derzeit mit der Firmware beschäftige. Man sollte dabei einfach bedenken, dass man möglichst mehrere solcher Token besitzt und mindestens zwei registriert. Sollte einer Schaden erleiden oder abhandenkommen, kann man mit dem zweiten immer noch zugreifen und den ersten wieder aus der Liste der Authentifizierungs-Möglichkeiten austragen. Dass man ein solches Token mindestens genauso sicher handhaben sollte wie seinen Hausschlüssel, sollte sich dabei von selbst verstehen.
Ist die oben erwähnte Firmware schon perfekt? Nein. Aber man kann sie definitiv schon benutzen, man sollte sich halt vorab einige Gedanken machen, was man in welchem Kontext benutzt. Generell dürfte das Interesse möglicher Angreifer an einem solchen Forum wesentlich kleiner sein als an anderen Diensten, die man im Netz finden kann. Von daher muss die Implementierung auch nicht 100-prozentig sein. Kann sie sowieso nicht sein, da die "aufwendigeren Token" natürlich auch gegen Auslesen und direkten Zugriff auf das Board geschützt sind, was bei einem Microcontrollerboard, das am Ende einfach in ein passendes 3D-Druck-Gehäuse kommt, gar nicht ohne weiteren Aufwand möglich ist.
Warum schreibe ich das alles? Weil ich denke, dass das Projekt eines der "besseren" im Open-Source-Bereich ist, auch wenn es noch nicht perfekt ist. Vielleicht hat der eine oder andere auch ein Interesse daran, etwas dazu beizutragen. Erfahrungsaustausch bezüglich der Probleme mit dieser Firmware wäre natürlich auch möglich.
Ich überlege derzeit noch, ob bei entsprechendem Interesse eine Sammelbestellung der entsprechenden Boards und der Gehäuse möglich und sinnvoll wäre. Bei den Gehäusen würde es sich preislich definitiv lohnen, allerdings müssten sich dafür Käufer von bis zu 48 Boards finden, wodurch der Preis für ein 3D-Druck-Gehäuse von ca. 3€ pro Stück auf ca. 80 Cent pro Stück fallen würde. Die Kosten pro Board sind je nach Ursprung unterschiedlich. Beim "teuren" eBay belaufen sie sich auf ca. 10€ pro Board, was natürlich angesichts der Möglichkeiten trotzdem verschwindend wenig ist.
Die entsprechenden Gehäuse-Vorlagen gibt es u. a. auf https://www.thingiverse.com/search?q=RP3050. Ich habe einen "3D-Druck Dienstleister", der auch in ABS druckt, was ich persänlich mindestens aufgrund der höheren Stabilität empfehlen würde.
