Sind lokale Anwendungen mit Fido2-Lösungen sinnvoll abzusichern?

war (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Sind lokale Anwendungen mit Fido2-Lösungen sinnvoll abzusichern?

 · 
Gepostet: 11.07.2020 - 12:13 Uhr  ·  #1
Hallo Olaf und alle anderen,

ich habe mich in den letzten Tagen mit den Sicherheitsstandards FIDO2 / webauthn auseinander gesetzt, das für eine passwortlose Anmeldung an (Web-)Anwendungen entwickelt wurde. Daraufhin habe ich mir einen FIDO2-Stick besorgt und bei einigen Webanwendungen neben Username/Passwort auch eine Anmeldung mit FIDO2 eingerichtet. Bisher hat sowohl die Einrichtung als auch die Benutzung sehr gut funktioniert.

In diesem Zuge kam ich auf die Idee, dass eine Absicherung des Hibiscus-Login durch FIDO2 / webauthn ein sehr sinnvoller Anwendungsfall wäre.

Ich weiß, dass Olaf wenig Zeit hat, wollte die Idee allerdings nicht gleich verwerfen und stell sie hier mal zur Diskussion.


@Olaf: Gibt es eine Möglichkeit Feature-Requests zu stellen? Wenn ja, wo finde ich die?
Benutzer
Avatar
Geschlecht:
Beiträge: 6691
Dabei seit: 06 / 2008
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 14:18 Uhr  ·  #2
gibt es für hierfür fertigen Java Code?
wenn ja Link hier einstellen, denn nur wenn es schnell geht ist die Wahrscheinlichkeit hoch, daß sowas umgesetzt wird
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 16:30 Uhr  ·  #3
Funktioniert das überhaupt, wenn es auf einem LOKALEN rechner läuft und der potentielle Angreifer direkten Zugriff auf den Programmcode und die Daten hat??
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 17:51 Uhr  ·  #4
Zitat geschrieben von msa

Funktioniert das überhaupt, wenn es auf einem LOKALEN rechner läuft und der potentielle Angreifer direkten Zugriff auf den Programmcode und die Daten hat??


Der Private Key wird im Hardwaretoken erstellt, dort gespeichert und verlässt es nicht. Das Hardwaretoken gibt nur den Public Key heraus bzw. signiert mit diesem Nachrichten. Die (lokale) Anwendung agiert in diesem Fall als Server.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 17:54 Uhr  ·  #5
Zitat geschrieben von infoman

gibt es für hierfür fertigen Java Code?

Ja gibt es, beispielsweise auf WebAuthn.io
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 17:58 Uhr  ·  #6
Es wäre klasse, könnte man Hibiscus oder andere ZV Programme damit absichern. Schöner wäre es aber, würden die Banken selbst Fido2 unterstützen (man wird ja mal träumen dürfen).
https://fidoalliance.org/psd2-compliance/
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 11.07.2020 - 18:30 Uhr  ·  #7
Zitat geschrieben von Raimund Sichmann

Schöner wäre es aber, würden die Banken selbst Fido2 unterstützen (man wird ja mal träumen dürfen).

Ohne verpflichtende Vorgaben (und Sanktionen) und solange der Mythos der Technik-Neutralität vorgeschoben wird, wird noch viel Zeit vergehen. Ich denke, davor müsste die gesamte Menscheit zu Philanthropen werden... Ich denke auch, dass ich das nie erleben werde... :-(

Zitat geschrieben von Raimund Sichmann

Es wäre klasse, könnte man Hibiscus oder andere ZV Programme damit absichern.

Gegenüber der obigen Situation sehe ich bei einer einzelnen Anwendung schon einer wesentlich höhere Wahrscheinlichkeit, dass es tatsächlich realisiert wird. :-)
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 13.07.2020 - 09:05 Uhr  ·  #8
Zitat geschrieben von infoman

gibt es für hierfür fertigen Java Code?

Eine Zusammenstellung weiterer Informationen, Libs, ... findet sich auch bei WebAuthn Awesome

PS: Ich wollte diese Info noch bei dem obigen Beitrag ergänzen, jedoch ist die Änderungsmöglichkeit nach dem Erstellen eines Beitrags zeitlich begrenzt.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 13.07.2020 - 09:21 Uhr  ·  #9
So ziemlich das selbe Thema hatten wir Ende Mai schonmal: topic.php?p=155339#real155339
Zu dem FIDO-Key finde ich nur Informationen zu WebAuthn, was hier aber nicht passt. Für tatsächliche Datenverschlüsselung (und nicht Signierung) finde ich keine Infos.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 13.07.2020 - 10:31 Uhr  ·  #10
Das isses ja, was ich sage bzw. glaube. Signierung und damit Anmeldung an einer Remote-Maschine, auf die ich keinen Zugriff habe, ist etwas völlig anderes als Datenverschlüsselung auf einen Datenbestand, auf den ich auf der lokalen Maschine vollen Zugriff habe. Wenn ich lokalen Zugriff habe, dann kann ich doch die Prüfung des Zertifikates usw. problemlos aushebeln... Da benötige ich dann ein Passwort, mit dem letztlich die Daten verschlüsselt sind und nicht ein Zertifikat bzw. die Antwort auf eine Anfrage, weil ich keine integere Instanz habe, die das prüft...
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 8112
Dabei seit: 08 / 2002
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 14:19 Uhr  ·  #11
die Instanz wäre ja Fido2, das einen legitimiert. Legitimation zur Entschlüsselung also. Die Ent- und Verschlüsselung musst du nicht über Fido2 machen, um die Anmelde-Sicherheit zu verbessern und die Anmeldung bequemer zu machen. Es ist eigentlich ähnlich einer verschlüsselten Festplatte: Ist der Einbruch erfolgreich, nützt auch eine Lösung wie z.B. veracrypt nicht mehr viel.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 14:41 Uhr  ·  #12
Zitat geschrieben von Raimund Sichmann

die Instanz wäre ja Fido2, das einen legitimiert. Legitimation zur Entschlüsselung also. Die Ent- und Verschlüsselung musst du nicht über Fido2 machen, um die Anmelde-Sicherheit zu verbessern und die Anmeldung bequemer zu machen. Es ist eigentlich ähnlich einer verschlüsselten Festplatte: Ist der Einbruch erfolgreich, nützt auch eine Lösung wie z.B. veracrypt nicht mehr viel.

Das ändert aber nichts daran, dass es keine passende API für lokale Verschlüsselung gibt, weil der FIDO-Key nicht dafür gedacht ist sondern für Authentifizierung (via Signierung).
Hierfür wird der Standard WebAuthn verwendet. Der ist direkt in Browsern integriert. Die übernehmen die Kommunikation mit dem Token.

Für die Verschlüsselung von Daten (und darum geht's hier) braucht man entweder Zugriff auf den Private Key (den hat man nicht und den soll man auch nicht haben - das ist ja genau der Sinn solcher Hardware) oder wenigstens eine API, mit der man via USB direkt auf die Hardware zugreifen und damit die Daten verschlüsseln lassen kann (also ohne Umweg über den Browser). Mir ist aber keine solche API bekannt. Für Android scheint es eine API zu geben (https://developers.google.com/identity/fido/android/native-apps). Aber nichtmal dort scheint es Support für Verschlüsselung zu geben.

Solange mir keiner fachlich und technisch fundiert darlegen kann, wie das aus Java heraus funktonieren soll, brauchen wir hier nicht weiter spekulieren. Es ist ja nicht so, dass ich mich mit Verschlüsselung und Programmierung nicht auskenne. Und ich habe keinen Weg gefunden, wie das in Java funktionieren soll. Lasse mich aber gern vom Gegenteil überzeugen. Dann würde ich so einen Key vielleicht auch selbst nutzen.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 20:48 Uhr  ·  #13
Zitat geschrieben von hibiscus

Zitat geschrieben von Raimund Sichmann

die Instanz wäre ja Fido2, das einen legitimiert. Legitimation zur Entschlüsselung also. Die Ent- und Verschlüsselung musst du nicht über Fido2 machen, um die Anmelde-Sicherheit zu verbessern und die Anmeldung bequemer zu machen. [...]

Das ändert aber nichts daran, dass es keine passende API für lokale Verschlüsselung gibt, weil der FIDO-Key nicht dafür gedacht ist sondern für Authentifizierung (via Signierung).
Hierfür wird der Standard WebAuthn verwendet. Der ist direkt in Browsern integriert. Die übernehmen die Kommunikation mit dem Token.
[...]
Lasse mich aber gern vom Gegenteil überzeugen. Dann würde ich so einen Key vielleicht auch selbst nutzen.


Also FIDO2/WebAuthn ist nicht für die Ver-/Entschlüsselung gemacht sonder sorgt für eine 2-Faktor-/Mehrfaktor-Authentifizierung. Die primäre Konzeption ist für eine Anmeldung an einer (Web-)Anwendung gemacht. Das macht meiner Meinung nach aber eine lokale Anwendung trotzdem möglich.

Ich stelle mir folgenden Anwendungsfall vor:
Benutzer startet Hibiscus/Jameica -> Hibiscus/Jameica startet einen lokalen Server, der auf 127.0.0.1 läuft -> Eingabe des Ver-/Entschlüsselungspassworts an Anmeldedialog -> Im Anmeldedialog klickt der Benutzer einen Web-Link, der den Standardbrowser (mit FIDO2-Unterstützung) startet und auf 127.0.0.1 verweist -> Benutzer wird durch den FIDO2-Stick/Browser sowie die Kommunikation mit dem lokalen Server authentifiziert -> Wenn Benutzer bekannt, dann startet Hibiscus/Jameica.

Was wird dadurch erreicht:
Standardisierte 2-Faktor-Authentifizierung, die gewährleistet, dass derjenige, der Hibiscus/Jameica startet sowohl das Passwort kennt als auch zusätzlich im Besitz des FIDO2-Sticks ist. Käme das Passwort in falsche Hände, dann müsste der Angreifer zusätzlich noch physischen Zugriff auf den FIDO2-Stick bekommen, damit er Zugriff auf Hibiscus/Jameica erlangen kann.

Ich hoffe die stichpunktartige Beschreibung des Anwendungsfall ist verständlich.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 20:53 Uhr  ·  #14
Ehrlich jetzt? Ein Browser-basiertes Login für eine lokale Anwendung? Mit Verlaub - aber das klingt absurd. Man muss ja nicht alles umsetzen, was irgendwie technisch möglich ist. Ich scanne ja auch keinen QR-Code für ne TAN, um mein Mailprogramm zu starten.
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:05 Uhr  ·  #15
Zitat geschrieben von hibiscus

Ich scanne ja auch keinen QR-Code für ne TAN, um mein Mailprogramm zu starten.

... mein Passwortmanager fragt mich schon nach einem Time-based One-time Password (TOTP) ...
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:09 Uhr  ·  #16
Der öffnet aber kein Browser-Fenster mit einem lokalen Webserver dafür. Wenn ich überlege, was man allein durch dieses technische Konstrukt an Komplexität an Bord holt, möchte ich nicht wissen, welche Angriffsmöglichkeiten sich allein dadurch ergeben.

Wenn jemand einen Pull-Request bei Github erstellen möchte, gern. Bis dahin fehlt mir ehrlich gesagt die Zeit für solche Experimente.
msa
Benutzer
Avatar
Geschlecht:
Herkunft: München
Alter: 61
Beiträge: 7129
Dabei seit: 03 / 2007
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:16 Uhr  ·  #17
Ich verstehe immer noch nicht, wer den Stick sicher authentifizieren soll, wenn das Ganze lokal läuft. Der Server, der das tun soll, läuft LOKAL, also hat der Angreifer darauf ZUGRIFF. Im besten Fall tauscht er ihn einfach gegen einen Server aus, der entweder einen Angreifer-Stick authentifiziert oder aber gleich "ja, authentifiziert" zurückliefert, auch wenn kein Stick dran ist.

Wenn ich mich an einem REMOTE-Webserver anmelde, ist das kein Problem, denn ich habe als Angreifer ja keinen Zugriff auf den Server, der entscheidet. Wenn dieser aber lokal läuft, dann kann ich ihn doch jederzeit kompromittieren....
Benutzer
Avatar
Geschlecht: keine Angabe
Beiträge: 14
Dabei seit: 09 / 2019
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:32 Uhr  ·  #18
Zitat geschrieben von hibiscus

Bis dahin fehlt mir ehrlich gesagt die Zeit für solche Experimente.

Das weiß ich, deshalb habe ich es bereits in meinem ersten Post erwähnt.

Was nach dem Post kam (ohne Bezug zu einer Person) hatte jedoch den Tenor "macht keinen Sinn", "ist nicht möglich", "ist nicht realisierbar".

Ich finde es schade, wenn von Anfang an eine derart ablehnende Haltung vorherrscht, da es ja eine Lösung gibt - wenn auch nicht auf triviale Weise. Und dass 2-Faktor-/Mehrfaktor-Authentifizierung einen Sinn macht, steht meiner Meinung nach auch außer Frage.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:34 Uhr  ·  #19
Zitat geschrieben von msa

Wenn ich mich an einem REMOTE-Webserver anmelde, ist das kein Problem, denn ich habe als Angreifer ja keinen Zugriff auf den Server, der entscheidet. Wenn dieser aber lokal läuft, dann kann ich ihn doch jederzeit kompromittieren....


Das meine ich mit den zusätzlichen Sicherheitsproblemen. Man löst eines und schafft sich 2 neue.
Benutzer
Avatar
Geschlecht: keine Angabe
Herkunft: Leipzig
Homepage: willuhn.de/
Beiträge: 10064
Dabei seit: 03 / 2005
Betreff:

Re: (Feature-Vorschlag) Hibiscus-Login / Masterpasswort durch FIDO2 / webauthn absichern

 · 
Gepostet: 14.07.2020 - 21:37 Uhr  ·  #20
Zitat geschrieben von :-)Tom

Ich finde es schade, wenn von Anfang an eine derart ablehnende Haltung vorherrscht, da es ja eine Lösung gibt - wenn auch nicht auf triviale Weise.


Weil es keine vernünftige Lösung dafür gibt. Weil eine Lösung möglich ist, muss sie noch nicht sinnvoll sein. Ehrlich, ich finde die Idee mit Hardware-Tokens auch charmant und würde gerne damit was machen. Es ist also nicht so, dass ich da eine grundsätzliche Abneigung hätte. Im Gegenteil. Ich sehe aber keine technische Lösung, die mehr Probleme löst als sie neu erschafft. Die Lösung mit dem lokalen Webserver ist trivial angreifbar.
Gewählte Zitate für Mehrfachzitierung:   0