Sicherheitsschlüssel (FIDO, U2F usw.)

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12294

11.09.2023 - 20:43

Ich wuerde uebrigens nicht zwei Keys der selben Produkttype bzw. des selben Herstellers als Primary und als Standby/Backup verwenden - die FIDO-L2-Zertifizierung erfordert es, dass sich ein Token-Modell kryptographisch "ausweisen" kann, was laut FIDO-Guide so zu implementieren ist, dass alle Tokens eines L2-zertifizierten Modells ein identischen Zertifikat/Schluesselpaar ("unextrahierbar") in sich tragen. Also jeder Feitian BioPass FIDO hat (u. a.) ein und das selbe, bitweise identische kryptographische Material, das von einer FIDO-Alliance-CA signiert ist, in sich drin wie jeder andere Feitian BioPass FIDO, und schickt damit punziert/attested Daten raus bei jeder Assertion. Das selbe gilt natuerlich auch fuer alle anderen L2-zertifizierten Geraete (egal on von Yubico oder sonst einem Hersteller) jeweils untereinander auch.

Das bedeutet, dass, sollte mal von einem dieser Devices der private Schluessel der Zertifikats irgendwie in Umlauf (z. B. durch einen Einbruch beim Hersteller, oder wenn es doch jemand schafft, die Schluesselkopie aus einem der Millionen Exemplare zu extrahieren) geraten, damit gerechnet werden muss, dass diese Geraete zumindest ihre L2-Zertifizierung verlieren (indem das Zertifikat fuer Modellserie X bei Dienstanbietern nicht mehr als vertrauenswuerdig eingestuft wird), und die Tokens damit fuer z. B. ID Austria ungueltig und wertlos werden duerften.

Ich plane deswegen einen " gesunden Spread" meiner Keys zwischen Modellserien unterschiedlicher Hersteller.

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 4300

11.09.2023 - 20:47

Zitat aus einem Post von Viper780
Beim günstigen Security Key die NFC Variante

ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden

Dann werd ich mal nen GoTrust holen, müssen ja nicht alles Yubikeys sein bei mir

Und Preislich durchaus auch interessant

https://www.alza.at/gotrust-idem-key-usb-c-d7108703.htm

Elbart

Here to stay

Registered: Dec 2002
Location: Hobbingen
Posts: 892

11.09.2023 - 22:36

Zitat aus einem Post von voyager
ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden

Nein.
"Yubico Security Key Series" ist eine andere Modellreihe als "Yubico YubiKey 5 Series" ist eine andere Modellreihe als "Yubico YubiKey 5 FIPS Series".
https://www.yubico.com/at/store/compare/
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten.

COLOSSUS

Administrator
GNUltra

Registered: Dec 2000
Location: ~
Posts: 12294

11.09.2023 - 22:57

-> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel

h4de5

-

Registered: Sep 2001
Location: bgld
Posts: 1112

11.09.2023 - 23:09

Zitat aus einem Post von COLOSSUS
-> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel

!!!
Danke.

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 4300

12.09.2023 - 06:21

Zitat aus einem Post von Elbart
"Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten

Danke. Ich hatte den aufgrund des Preises immer als "Vorgängerserie" eingestuft gehabt.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4510

08.09.2025 - 10:12

hab jetzt auch so einen key, muss ich bei ms premium zahlen um einen fido2 key einzubinden?
hab jetzt firefox, chrome und edge probiert, nix :/ (yubikey 5c nfc, linux aber sollte ja egal sein.)

voyager

kühler versilberer :)

Registered: Nov 2001
Location: Stmk/Austria
Posts: 4300

08.09.2025 - 12:36

Zitat aus einem Post von erlgrey
hab jetzt auch so einen key, muss ich bei ms premium zahlen um einen fido2 key einzubinden?
hab jetzt firefox, chrome und edge probiert, nix :/ (yubikey 5c nfc, linux aber sollte ja egal sein.)

eigentlich sollte ja "Hardware Token" ein Fido key sein

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4510

08.09.2025 - 13:37

nein, habs schon gefunden, muss warum auch immer separat aktiviert werden in der orga.

Bearbeitet von erlgrey am 08.09.2025, 13:41

.Gh#Z7

Here to stay

Registered: May 2005
Location: AdW
Posts: 601

08.09.2025 - 15:26

Passkey in Microsoft Authenticator ist aber genau was der Name sagt, und kein FIDO2 Stick? Hätte es auch unter Security Key vermutet.

jreckzigel

EDV

Registered: Oct 2002
Location: Lengenfeld ( bei..
Posts: 1146

08.09.2025 - 16:49

unter "Security Key" kannst Du den "Hauptschlüssel - FIDO2", sofern er als Authentifizierungsmethode aktiviert ist, hinzufügen.

erlgrey

formerly known as der~erl

Registered: Aug 2002
Location: Wien
Posts: 4510

08.09.2025 - 18:58

Weder passkey in ms auth noch security key war als option vorhanden bis ich es in der orga umgestellt hab, siehe Screenshots. Sonst hätte ich ja die Frage ned gestellt.

.Gh#Z7

Here to stay

Registered: May 2005
Location: AdW
Posts: 601

08.09.2025 - 21:10

Ah, da ist noch was dazugekommen

COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12294	11.09.2023 - 20:43 Ich wuerde uebrigens nicht zwei Keys der selben Produkttype bzw. des selben Herstellers als Primary und als Standby/Backup verwenden - die FIDO-L2-Zertifizierung erfordert es, dass sich ein Token-Modell kryptographisch "ausweisen" kann, was laut FIDO-Guide so zu implementieren ist, dass alle Tokens eines L2-zertifizierten Modells ein identischen Zertifikat/Schluesselpaar ("unextrahierbar") in sich tragen. Also jeder Feitian BioPass FIDO hat (u. a.) ein und das selbe, bitweise identische kryptographische Material, das von einer FIDO-Alliance-CA signiert ist, in sich drin wie jeder andere Feitian BioPass FIDO, und schickt damit punziert/attested Daten raus bei jeder Assertion. Das selbe gilt natuerlich auch fuer alle anderen L2-zertifizierten Geraete (egal on von Yubico oder sonst einem Hersteller) jeweils untereinander auch. Das bedeutet, dass, sollte mal von einem dieser Devices der private Schluessel der Zertifikats irgendwie in Umlauf (z. B. durch einen Einbruch beim Hersteller, oder wenn es doch jemand schafft, die Schluesselkopie aus einem der Millionen Exemplare zu extrahieren) geraten, damit gerechnet werden muss, dass diese Geraete zumindest ihre L2-Zertifizierung verlieren (indem das Zertifikat fuer Modellserie X bei Dienstanbietern nicht mehr als vertrauenswuerdig eingestuft wird), und die Tokens damit fuer z. B. ID Austria ungueltig und wertlos werden duerften. Ich plane deswegen einen " gesunden Spread" meiner Keys zwischen Modellserien unterschiedlicher Hersteller.
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 4300	11.09.2023 - 20:47 Zitat aus einem Post von Viper780 Beim günstigen Security Key die NFC Variante ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden Dann werd ich mal nen GoTrust holen, müssen ja nicht alles Yubikeys sein bei mir Und Preislich durchaus auch interessant https://www.alza.at/gotrust-idem-key-usb-c-d7108703.htm
Elbart Here to stay Registered: Dec 2002 Location: Hobbingen Posts: 892	11.09.2023 - 22:36 Zitat aus einem Post von voyager ahh , also nicht der 5 NFC, sondern der "alte" NFC . das hatte ich falsch verstanden Nein. "Yubico Security Key Series" ist eine andere Modellreihe als "Yubico YubiKey 5 Series" ist eine andere Modellreihe als "Yubico YubiKey 5 FIPS Series". https://www.yubico.com/at/store/compare/ "Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten.
COLOSSUS Administrator GNUltra Registered: Dec 2000 Location: ~ Posts: 12294	11.09.2023 - 22:57 -> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel
h4de5 - Registered: Sep 2001 Location: bgld Posts: 1112	11.09.2023 - 23:09 Zitat aus einem Post von COLOSSUS -> https://geizhals.at/?cat=sm_rfid&am...tria+kompatibel !!! Danke.
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 4300	12.09.2023 - 06:21 Zitat aus einem Post von Elbart "Security Key" ist nicht alt, nur fokusiert auf FIDO/WebAuthn-Geschichten Danke. Ich hatte den aufgrund des Preises immer als "Vorgängerserie" eingestuft gehabt.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4510	08.09.2025 - 10:12 hab jetzt auch so einen key, muss ich bei ms premium zahlen um einen fido2 key einzubinden? hab jetzt firefox, chrome und edge probiert, nix :/ (yubikey 5c nfc, linux aber sollte ja egal sein.)
voyager kühler versilberer :) Registered: Nov 2001 Location: Stmk/Austria Posts: 4300	08.09.2025 - 12:36 Zitat aus einem Post von erlgrey hab jetzt auch so einen key, muss ich bei ms premium zahlen um einen fido2 key einzubinden? hab jetzt firefox, chrome und edge probiert, nix :/ (yubikey 5c nfc, linux aber sollte ja egal sein.) eigentlich sollte ja "Hardware Token" ein Fido key sein
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4510	08.09.2025 - 13:37 nein, habs schon gefunden, muss warum auch immer separat aktiviert werden in der orga. Bearbeitet von erlgrey am 08.09.2025, 13:41
.Gh#Z7 Here to stay Registered: May 2005 Location: AdW Posts: 601	08.09.2025 - 15:26 Passkey in Microsoft Authenticator ist aber genau was der Name sagt, und kein FIDO2 Stick? Hätte es auch unter Security Key vermutet.
jreckzigel EDV Registered: Oct 2002 Location: Lengenfeld ( bei.. Posts: 1146	08.09.2025 - 16:49 unter "Security Key" kannst Du den "Hauptschlüssel - FIDO2", sofern er als Authentifizierungsmethode aktiviert ist, hinzufügen.
erlgrey formerly known as der~erl Registered: Aug 2002 Location: Wien Posts: 4510	08.09.2025 - 18:58 Weder passkey in ms auth noch security key war als option vorhanden bis ich es in der orga umgestellt hab, siehe Screenshots. Sonst hätte ich ja die Frage ned gestellt.
.Gh#Z7 Here to stay Registered: May 2005 Location: AdW Posts: 601	08.09.2025 - 21:10 Ah, da ist noch was dazugekommen

Sicherheitsschlüssel (FIDO, U2F usw.)

Forum Index > Hardware > Peripherie > Sonstige Peripherie

COLOSSUS

voyager

Elbart

COLOSSUS

h4de5

voyager

erlgrey

voyager

erlgrey

.Gh#Z7

jreckzigel

erlgrey

.Gh#Z7