Fido2 Keys

Ich suche einen tauglichen, preisgünstigen Fido2-Hardware Key, der auch ordentlichen unter Linux und mit den VPS performed als Backup-Schlüssel. Deshalb ohne viel Schnickschnack wie Fingerabdruck-Scanner und sowas. Der soll vorallem anstandslos funktionieren und keine Problene machen. Die Yubikeys, Nitrokey, Thetis, swissbits usw sind mir bekannt, was mir fehlt ist Erfahrung damit, was etwas taugt und was weniger. Deshalb würden mich Eure Erfahrungen mit verschiedenen Herstellern und Modellen interessieren.

Quote from johnassel

Ich habe hier einen von Token2 im Einsatz, den da: https://www.token2.com/shop/pr…1-security-key-nonbranded

Hat ausreichend Speicher für 300 Resident Keys, NFS, USB-A, USB-C. Lief bis jetzt überall, unter Android, Linux, Windows, iOS...

Über diese Token2 bin ich auch schon gestolpert und finde das auch sehr sympathisch, da sich das Angebot doch auch sehr angenehm dadurch absetzt, weil da vergleichsweise günstige Hardware Keys angeboten werden. Insofern finde ich das interessant, dass Du sagst, dass der bei Dir keine Probleme bereitet, da eine saubere Implementierung wohl das Hauptproblem vieler (auch kostenintensiverer) Varianten ist.

Quote from m_ueberall

dsp78: Durchaus ein interessantes Thema; gibt es hier denn schon Erfahrungen mit "Standardlösungen" wie USB/IP (das mir bekannte Tutorial dazu hat ja auch schon wieder sieben Jahre auf dem Buckel), insbesondere dessen Nutzung im Rahmen des Bootprozesses?

Interessant, davon lese ich das erste Mal. Tatsächlich hatte ich auch schon darüber nachgedacht, selbsterzeugte Schlüssel einfach auf ein paar Keytags wegzuspeichern, die man dann per Lesegerät auswertet. Das kann man natürlich auch auf Standard-USBs machen. Allerdings orientiert sich das ja nicht an diesen Fido-Standards, die verschiedene Hersteller zur Bedingung machen, um entsprechende Dienste nutzen zu können oder täusche ich mich da?

Quote from MyMattes

Ich habe (privat) mit YubiKeys 5C NFC getestet: Zum einen, weil ich mit dem "Quasi-Standard" wenig Probleme erwartete, zum andere, weil ich USB-C & NFC wollte, um sie mit all meinen Geräten zu nutzen, Fingerprint aber Overkill war.

Von einer regelmäßigen Nutzung habe ich abgesehen, weil ich das Mitführen & Verwalten zweier Keys (Backup) für mein Sicherheitsbedürfnis zu umständlich fand. Grundsätzlich würde ich daher auch nur die hochkritischen Zugänge (z. B. zum Passwort-Safe) über den Hardware-Token absichern. Wenn ich mich recht entsinne, war bei den Yubico's der Speicher relativ klein...

Ja, diese Yubis sind wohl so das Standardmenü, das da bei uns am Bekanntesten ist und das viele verwenden, weil es viele verwenden. Oder so. Aber ja, der Speicher ist wohl klein und ich bin da zufällig bei Heise über einen Artikel gestolpert, der doch zumindestens auch so wirkt als ob da aufgrund des Verbreitungsgrades nicht immer gut mit Sicherheitslücken umgegangen wird. Kann ich schwer einschätzen und vermutlich kann man mit denen zumindest wenig falsch machen.

Grundsätzlich mit mehreren Hardware Keys rumhantieren zu müssen, um einen Backup zu haben, lässt mich das auch erstmal nur in beschränktem Umfang testen. Ich weiß noch nicht so richtig, was ich davon halten soll.

Hat denn hier irgendwer Erfahrungen mit Feitian? Die sind zwar normal etwas hochpreisiger und vor dem Hintergrund zu sehen, dass die als ein direkt in Peking ansässiges Unternehmen auch chinesischen Staatsinteressen zu dienen scheinen, allerdings haben meine Erfahrungen in anderer Sache auch gezeigt, dass die durchaus qualitative Sachen auf dem Stand der Technik produzieren und verkaufen. Wird wohl auch der Grund sein, dass von Google gelabelte und unter eigenem Branding verkaufte Keys offenkundig von Feitian sind, da sie nichtmal das Design geändert haben.

Selbstverständlich würden mich auch Erfahrungen mit weiteren Fido-Keys interessieren. Rein von der Open Source-Anlehnung finde ich auch die Nitrokeys sehr spannend, aber die scheinen ja doch auch preisintensiver zu sein.

Noch ein Aspekt:

Die Nitrokeys scheinen sich für mich durch eine beständige Weiterentwicklung und Updateintervalle auszuzeichen. Ich lese da auch, dass Apps mit ARM-Unterstützung glänzen. Kann mir jemand sagen, wie sich das bei Anderen (insbesondere bei den Token2) verhält, die grundsätzlich ähnlich umfangreiche Features zu haben scheinen? Vielleicht johnassel ?

Quote from Homwer

Ich nutze den YubiKey 5C NFC, der wurde von meinem Arbeitgeber für die Personen bestellt, die kein Firmenhandy haben, aber 2FA nutzen müssen.
Funktionieren gut, es gibt haufenweise Tutorials, Mac, Windows, Proxmox läuft problemlos. Allerdings finde ich die SSH integration sehr umständlich - jedenfals wenn man "nur" mit dem YubiKey Zugang zum Server erhalten möchte.

Das hilft mir in Bezug auf die Yubis sehr, Danke!

Quote from johnassel

Weiterentwickelt werden die Token2 auch, allerdings brauchst du dann neue Hardware. Updates der Firmware gibt es, soweit ich weiß, nicht.

Was jetzt die Prozesserarchitektur mit der Unterstützung zu tun haben soll, weiß ich nicht. Ich hätte jetzt vermutet, dass das doch eigentlich egal sein sollte, so lange das OS mitmacht.

Um das aufzulösen, haben die Nitrokeys wohl eine App, die eben auch für ARM portiert ist. Mehr weiß ich dazu nicht, außer dass mir das beim Überfliegen des Blogs als ARM-VPSler angenehm aufgefallen ist, weil das für mich dafür spricht, dass die da insgesamt sehr weitreichende Unterstützung gewährleisten. Nichtsdestotrotz finde ich aber diese Token2 aus der Schweiz auch sehr interessant.

So langsam kristallisieren sich da (für mich) die Unterschiede heraus. Danke für Eure Erfahrungen damit, das ist wirklich ungemein hilfreich!

Ich glaube, dass die Diskussion über Firmware-Updatemöglichkeit wieder mit einem klassischen Unentschieden ausgeht. Es gibt gute Argumente für das Eine und das Andere.

Anwenderfreundlicher ist in jedem Fall die Firmware updaten zu können, aber es spräche ja auch nichts dagegen das zu segmentieren, wenn man das Sicherheitsbedürfnis einer Bank hat und die Kosten dafür abschreibt.

Mal davon abgesehen, dass ich persönlich eine Abneigung gegen statische Sachen habe, die unveränderlich sind, muss man ja grundsätzlich fragen, was das Ganze am Ende bringen soll. Und wenn sich das in der Masse durchsetzen soll, bedeutet das ja folgerichtig auch, dass davon Milliarden-Stückzahlen produziert und benutzt werden müssten. Vor dem (erweiterten) Hintergrund dass mir heute jeder medial erzählt wie wichtig es sei Ressourcen zu schonen, weil wir sonst alle störben werden, finde ich es aber doch irgendwie skuril Fire-and-Forget-Hardware zu konzipieren, die im Grunde schon mit der Produktion Hardwareschrott darstellt. Davon abgesehen werden sich solche Standards dann eh nie durchsetzen, weil das außer ein paar paranoiden Techies kein Mensch nutzt.

Quote from Olivetti

Wie sagte SnoopyDog seinerzeit: „Eines Tages werden wir sterben. Aber an allen anderen Tagen nicht!“

Was ich damit auch nur ganz allgemein zum Ausdruck bringen möchte ist, dass ich einen Punkt herausgreifen und den gegenüber allen anderen Aspekten absolut setzen, für meist sehr ungesund erachte. Ich hätte es jetzt eher mit einer Analogie zum Go-Spielen gesagt, aber Snoop Dog geht auch. Unzweifelhaft ist natürlich, dass das alles auch seine Berechtigung hat.

Quote from Olivetti

Da go ja nachgerade schwerst angesagt ist, würde ich deine Analogie auch gerne hören/lesen.

Ist das so? Ist aber auch keine fancy Erkenntnis. Go repräsentiert die asiatische Philosophie und Denkweise, die den (langfristigen) Erfolg im (inneren) Ausgleich sich widerstrebender/gegenläufige Tendenzen und Interessen sieht. Deshalb lehrt Go, dass der Erfolg (anders als im Schach) davon abhängig ist, wie gut Du Dich und Deine Spielweise selbst in Ausgleich zu bringen vermagst. Wenn Du zu aggressiv und forsch die Offensive betonst, verlierst Du genauso wie wenn Du zu zaghaft und zu defensiv spielst (was widerrum von Deinem inneren Ausgleich und Deiner Geduld abhängig ist). Go ist nicht nur logisch sondern auch meditativ. Es geht um einen schrittweisen Verbesserungsprozess und Raumgewinn, während die westliche Denkweise eher auf Betonung eines Einzelaspektes setzt und dem oft alles bedingungslos unterordnet. Im übertragenen Sinn ist es auch immer ungesund, wenn man einen Einzelaspekt absolut setzt und alle anderen ebenfalls legitimen Aspekte einer Sache ignoriert.

Jetzt ist das aber schon sehr OT, weshalb ich es an der Stelle dann auch belassen möchte.