Ist auch unsere Meinung. Beim Kunden ist jemand in der Qualitätssicherung, der da eine andere Meinung hat und Fan vom Jubikey ist. Argumenten ist der nicht zugängig. Ist einer vom Typ "Ich will aber!".
[...]
- Der aus der Qualitätssicherung war überrascht, dass man pro Nutzer einen Jubikey benötigt, damit es sicher ist. Die wollten 1-2 Keys mit verschiedenen Passwörtern pro Benutzer verwenden. Key mit verschiedenen Fingerabrücken als erster Faktor und Passwort zur Identifizierung des Benutzers als zweiter Faktor.
Ohwei.
Fan sein wollen, aber keine Ahnung haben, wie sowas in der Praxis ausschaut.
Der YubiKey selber hat zwar eine Touch-Fläche, die ist aber KEIN Fingerprint-Sensor. Die ist ausschließlich dafür da, dass der Key eine Benutzerinteraktion bestätigen kann. (Okay, es gibt YubiKey Bio Series mit Fingerprint-Sensor, da kostet ein einzelner aber > 90 € und die sind offenbar nicht so sicher wie die ohne, weil die ohne haben eine Zertifizierung für Behörden bekommen, die mit dem Sensor nicht, das spricht meines Erachtens Bände...).
Die Idee ist, dass der Key stecken bleiben kann, aber eine Authentifizierung am Bildschirm sagt: "Wenn Du wirklich willst, dann berühre jetzt den Stick..." - und technisch steht eigentlich dahinter ("... Damit Du Dein Passwort nicht eingeben musst.") - und wenn der User das nicht macht, passiert auch nix. Wenn der aber seinen Stick vergisst, ist es dem Yubikey an sich vollkommen wurscht, WER da die Touchfläche berührt. Deswegen sind die meisten
OS-Integrationen von FIDO auch so implementiert, dass der User zu dem Stick auch nochmal eine PIN eingeben muss.
Kurzum: Yubikeys SIND cool. Keine Frage. Aber auch teuer (die alten fangen bei 25€ das Stück an, die aktuellen bei 50).
Der Kollege aus der QS beim Kunden darf gerne mal bei uns in eines unserer Webinare zu FIDO reinschauen:
https://www.youtube.com/watch?v=_2i9ucyeveM, von einem Ex-Kollegen, was die Keys eigentlich machen sollen.
Wenn er es sicher will, dann ist es relativ egal, ob der zweite Faktor ein physikalisch beim Benutzer verorteter Yubikey oder eine RFID-Karte ist.
Benutzer kennt sein Passwort (Faktor 1) und hat sein Hardware-Stück dabei (Key oder Karte, Faktor 2) -> Drin.
Die Frage ist dann letzten Endes nur eine des Preises. Das würde ich beim Kunden auch bewusst eine Stufe über der QS aufhängen, weil wenn dem sein Chef raus bekommt das es statt für 50+ Euro pro Benutzer auch genauso sicher mit ein paar Cent für ne RFID-Karte gegangen wäre, die die Benutzer ggf. eh schon haben... , dann ist die Sache Betriebswirtschaftlich sehr schnell geregelt.