FIDO2 mit SoloKey

FIDO2 ist in letzer Zeit ja immer wieder durch die Presse gerauscht, da musste ich mir das mal in live anschauen.

Fedoraproject.org verwendet seit Ewigkeiten die Yubikeys, die fand ich immer etwas suspekt. Bei den Yubikeys war mir die Funktionsweise nie so ganz klar, zumal man für die Yubis (zumindest die klassischen) auch ein Yubi-Backend braucht. Zumindest für Fedora werde ich meinen alten Yubi-Key aber wohl noch eine Weile weiter benutzen müssen.

FIDO2 funktioniert so ähnlich wie eine Smartcard, nur daß dort nicht nur ein Zertifikat drauf ist, sondern der Key für jeden Dienst ein eigenes Schlüsselpaar erzeugt. Da ist auch keine PKI oder so im Spiel, das PKI-Konzept skaliert ja nicht so richtig gut. Im Prinzip sind das Wegwerf-Zertifikate, die werden pro Dienst erzeugt, wenn man sich bei einem Dienst anmeldet. Kommt doch mal eines abhanden (wie auch immer das passieren sollte), ist daher auch nur der eine Dienst betroffen

Die FIDO2 Leute haben da eine sehr schöne Zusammenfassug was bei der Registrierung und dem Login passiert: How FIDO Works.

Ich habe mir drei Solokeys bestellt. Zwei mit USB-C (NFC) und einen mit USB-A.

Einrichten muss man da nichts (zumindest unter MacOS und Linux), keine Treiber, keine Tools. Wennn man den Stick z.B: be Gitlab angemeldet hat, kommt beim Anmelden dieser Dialog im Browser hoch:

Dadurch fängt der Stick an zu bllnken und man bestätigt per Knopfdruck.

Einzig um meinen USB-Port habe ich da etwas Angst; wenn man von oben drauf drückt, biegt der sich doch ganz gut durch. Zumal man für den Button etwas Kraft aufbringen muss, nix mit Touch. Aber zum Glück sind weitere Gummihüllen dabei:

Das sind perfekte Abstandshalter für Macbook Pros, als wenn die dafür gemacht wären.

Verliert man einen Stick, oder geht einfach mal einer kaputt, meldet man am besten noch einen zweiten beim Dienst an. Oder alternativ ein OTP über einen SW-Authenticator. Gitlab, Google, Github, … bieten auch noch Recovery-Codes an.

Ich finde, daß ist ein richtiger Fortschritt zum Thema Sicherheit. Jetzt müssen nur noch mehr Dienste das supporten, die US-Firmen sind da leider deutlich weiter als deutsche Firmen.