Menü
Avatar von Mayne
  • Mayne

mehr als 1000 Beiträge seit 18.09.2000

Stellt es euch als Passwortmanager mit Fingerabdruck zum Freischalten vor.

...und mit Public/Private Keys statt Passwörtern. Dann kommt das etwa hin.

Der Fingerabdruck wird NICHT zum direkten Authentifizieren benutzt, sondern nur zum Freischalten des Schlüssels.

Idealerweise läuft das alles auf eigener Hardware. Stellt's euch als USB-Gerät mit Fingerabdruckscanner und kleinem Display vor. Ihr geht auf eine Website BLA.DE, der Browser schickt eine Challenge von der Website an das Gerät weiter, das zeigt "Wollen sie sich auf BLA.DE einloggen? Bitte mit Fingerabdruck bestätigen." an, auf Fingerabdruck holt sich das Gerät den Private Key aus dem eigenen Speicher hervor, signiert die Challenge und reicht's wieder an den Browser zurück.

Die Private Keys sowie die Fingerabdruckdaten verlassen das USB-Gerät nie.

Die FIDO U2F-Keys machen das auch heute schon so, nur ohne Display (da blinkt dann nur eine LED) und ohne Fingerabdruck (nur einfache Berührung). Deswegen werden die auch nur als Second Factor eingesetzt, nicht als Single Factor.

Bewerten
- +
Anzeige