this post was submitted on 06 Feb 2024
25 points (93.1% liked)
Frag Feddit
3704 readers
1 users here now
Wolltest du Der Leere™ schon immer einmal Fragen stellen? Tue dies hier.
founded 3 years ago
MODERATORS
you are viewing a single comment's thread
view the rest of the comments
view the rest of the comments
Ja, aber nur in geringem Maß. Ich sollte das in mehr meiner Accounts aktivieren. Ich hätter gerne WebAuthn.
Dies. Webauthn (Nitrokey für zu haus am Rechner, solokey2 für unterwegs am Telefon über nfc) gehört verpflichtend… totp als backup meinetwegen..
Am schlimmsten sind aber die Dienste die im Hintergrund TOTP machen, das ganze aber nur über die eigene App geht. Weil wieso sollte man seine 2fa Tokens auch vom Handy backupen wollen. So ein Smartphone geht ja nie kaputt oder verloren.
Ich hoffe auch dass webauthn sich möglichst weit verbreitet. Leider funktioniert webauthn bei mir nicht aufm Handy weshalb ich trotzdem überall TOTP hinterlegt habe
Hättest du ein eli5 für WebAuthn für mich?
WebAuthn, Abkürzung für "Web Authentication" ist ein relativ neuer Standard für das Internet, der von Browser-Entwicklern und Technologieunternehmen geschaffen wurde um den Schutz von Online-Konten zu verbessern. Statt nur auf Passwörter zu setzen, erlaubt es Websites, Benutzer mittels sicherer Methoden zu überprüfen. Zum Beispiel dem Fingerabdruck und auf dem Gerät eingebauten Sicherheits-Chips, oder Chipkarten oder separaten kleinen Geräten die man wie einen Schlüssel in die USB-Buchse stecken kann oder kontaktlos an den Computer oder das Telefon hält.
Man kann damit unterschiedliche Sicherheitskonzepte umsetzen. Je nach Anforderungen kann der Besitz des Schlüssels ausreichen, oder zusätzlich zu einem Passwort verlangt werden. Es kann auch Schlüssel plus eine kurze PIN oder Fingerabdruck verlangt werden.
Der Trick dabei ist (wie bei anderen Methoden) ist der Hardware-Schlüssel. Passwörter können einfacher gestohlen oder geknackt werden und dann für Cyber-Angriffe genutzt werden. Selbst bei einigen anderen gängigen 2-Faktor-Methoden können beide Faktoren abgezapft werden. Beispielsweise indem sich Zugriff auf das verknüpfte E-Mail-Konto verschafft wird, SMS abgeleitet werden oder einfach beide Geheimnisse aus der Eingabemaske gestohlen werden. WebAuthn verdindert dies indem der Online-Dienst mittels kryptografischer Methoden direkt mit dem jeweiligen Benutzergerät spricht und nur genau den Browser auf diesem Gerät freischaltet.
Die Idee von WebAuthn ist hierbei, eine standardisierte technische Schnittstelle zu schaffen, die dann von möglichst vielen Online-Diensten unterstützt wird.