Jump to content
Abschaltung der Forum zum 03.01.2024 ×

WebAuthN / FIDO(2)


cslotty

Empfohlene Beiträge

Hallo ReinerSCT!

Gibt es eurerseits irgendwelche Bestrebungen oder Pläne, Devices/Apps/Sonstiges in Sachen WebAuthN bzw. FIDO(2) an den Start zu bringen?

Ihr habt ja schon den Ausweis-Leser, und um im Web eine klare Zuordnung zu einer Identität zu haben ist der Ausweis natürlich ideal. In Kombination mit WebAuthN wäre es natürlich traumhaft - keine Passwörter mehr merken! (oder speichern)

Danke für Infos!

Grüße

Christine

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 7 months later...
vor 15 Stunden schrieb René:

Reiner-SCT kann da nichts machen. Das müssen die Seitenbetreiber implementieren. Auch wenn Reiner-SCT etwas in die Geräte programmieren würde/müsste, würden es nur wenige Seitenbetreiber zum Einsatz bringen.

Ja genau, und ich würde es gerne in meine eigenen Applikationen integrieren. Das geht aber nur, wenn es (Hardware-)Keys und Geräteleser gibt, die das unterstützen.

Man kann das Geschäft natürlich auch vollständig Yubico überlassen, warum nicht.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 27 Minuten schrieb cslotty:

Das geht aber nur, wenn es (Hardware-)Keys und Geräteleser gibt, die das unterstützen.

Hersteller orientieren sich aber am Endkundenmarkt. Und wenn sich der Endkundenmarkt nicht lohnt wird auch nicht in die Entwicklung neuer Geräte investiert. Schon eID führt ein Nischendasein, nur wenige Privatbürger interessieren sich dafür und noch viel weniger Anbieter nutzen eID. Auch 2FA hat sich bis jetzt noch nicht durchgesetzt, kaum ein Seitenbetreiber setzt 2FA ein und auch nur wenige Anwender wollen 2FA (m.E. zu umständlich für die tägliche Anwendung, z.B. wenn man ständig ein zweites Gerät mitschleppen muss). Da kann ich schon verstehen, dass Reiner-SCT und die anderen Hersteller nicht in den deutschen Markt investieren wollen. Und auf unseren Staat kann man sich nicht verlassen, und sollten wir uns auch nicht verlassen (der hat schon eID und QES versaut, da wird er es mit WebAuthN auch nicht anders machen).

Link zu diesem Kommentar
Auf anderen Seiten teilen

Gerade eben schrieb René:

Hersteller orientieren sich aber am Endkundenmarkt. Und wenn sich der Endkundenmarkt nicht lohnt wird auch nicht in die Entwicklung neuer Geräte investiert. Schon eID führt ein Nischendasein, nur wenige Privatbürger interessieren sich dafür und noch viel weniger Anbieter nutzen eID. Da kann ich schon verstehen, dass Reiner-SCT und die anderen Hersteller nicht in den deutschen Markt investieren wollen. Und auf unseren Staat kann man sich nicht verlassen, und sollten wir uns auch nicht verlassen (der hat schon eID versaut, da wird er es mit WebAuthN auch nicht anders machen).

Meine Güte, da hat aber jemand eine Menge Frust  ;-)

Meine Frage ging ja vor allem an ReinerSCT, um Interesse zu signalisieren. Die jetzigen "Lösungen" greifen einfach zu kurz - klar, ich kann alle meine Passwörter von Google speichern lassen (mache ich ja auch), aber besser wäre es, wenn - wie es ja auch im Allgemeinen vor der Erfindung der IT war - die Authentifizierung/Autorisierung an eine Person gebunden wäre, ohne dass sich diese fünftausend Passwörter merken muss. Ob nun vorübergehend mit einem Hardware-Key oder irgendwann vielleicht mal mit sicherer und verlässlicher Biometrie.

Und WebAuthN ist ein, meiner Ansicht nach wichtiger, Schritt in die richtige Richtung.

Mir wäre es dann das Liebste, deutsche Hersteller würden sich an dem Markt beteiligen - kann ja so schwer auch wieder nicht sein. WebAuthN ist eine Simplifizierung oder Konsolidierung von Ansätzen, die es vorher schon gab, nur deutlich komplizierter.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Jetzt mal Hand aufs Herz. Würdest Du in etwas investieren was Dir Verluste einfährt? ;)

 

Aber jetzt warten wir mal ab was die nahe Zukunft bringt. Vielleicht kommt WebAuthN ja doch mal aus den Puschen. In DE dauert immer alles länger. Und ohne staatliche Regulierung läuft vieles nicht. Zu wünschen wäre es. WebAuthN könnte auch sicherer vor Account-Diebstahl sein.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 14 Stunden schrieb René:

Jetzt mal Hand aufs Herz. Würdest Du in etwas investieren was Dir Verluste einfährt? ;)

Nein, würde ich natürlich nicht! Natürlich gebe ich dir Recht.

Aber deswegen bekunde ich ja Interesse, und es haben sich ja auch noch ein paar mehr zu Wort gemeldet. Manchmal muss man auch aktiv daran mitarbeiten, dass etwas Erfolg hat ;-) kann ja auch mal sein, dass es einfach Zeit und Anlauf braucht. Kommunikation und Medien sind ja heute zum Glück bidirektional.

Unsere ganze "Sicherheit" ist sowieso lächerlich, s. CCC, wie einfach Kreditkarten oder auch Fingerabdrücke zu fälschen sind. Meiner Ansicht nach ist es Zeit, das ganze Thema mal auf einen anderen Level zu heben. Oder alternativ für eine Gesellschaft zu sorgen, in der es, global, allen gleich gut geht, sodass niemand mehr kriminell sein muss! Das scheint mir aber der weitere Weg zu sein. ;-)

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 14 Stunden schrieb René:

Jetzt mal Hand aufs Herz. Würdest Du in etwas investieren was Dir Verluste einfährt? ;)

Zweitgedanke dazu: Nein, ich würde das etwas abschwächen, was ich vorher gesagt habe.

Wenn ich Geld übrig hab, dann kann ich schon mal investieren - man kann nie genau vorhersehen, ob etwas Erfolg hat oder nicht. Natürlich basiert sowas immer auf Erfahrungen, die man mit ähnlichen Dingen gemacht hat. Daher ja hier meine Ermutigung - bzw. auch ganz klar mein eigener Wunsch, WebAuthN nutzen zu können ohne auf Amerikanische Nischenprodukte angewiesen zu sein! (Also zur Klarheit: Ich bin Softwareentwicklerin, und auch für mich ist es eine Investition, mich in das Thema einzuarbeiten, aber ich halte es unter gewissen Bedingungen für lohnenswert.)

In meinem Netzwerk besteht schon ein Bewusstsein für Sicherheit - es haben nur alle die Schnauze voll davon, sich Passwörter merken zu müssen oder die Dinge immer noch komplizierter zu machen - es muss auf jeden Fall in Richtung mehr Komfort und Einfachheit gehen!

Die ganzen Trojaner heute legen immer wieder Firmen komplett lahm, aus zweiter Hand mehrfach erlebt in den letzten Monaten - womit ich natürlich nicht sagen will, dass ein WebAuthN sicher Trojaner verhindert, aber irgendwo müssen wir mal anfangen, die ganze schon "historische" IT sicherer zu machen.

Und wer wäre dafür ein besserer Ansprechpartner als ReinerSCT, ein etabliertes deutsches Unternehmen in dem Bereich.

Link zu diesem Kommentar
Auf anderen Seiten teilen

  • 2 weeks later...
Am 30.8.2019 um 11:47 schrieb René:

Interesse habe ich schon lange. Vielleicht würde ja eine Petition helfen. Dann könnte der Staat vielleicht wieder Gelder locker machen, wie bei den Kartenlesegeräten.

Wieso eigentlich der Staat? Die Argumentation habe ich noch nicht verstanden.

So ein Lesegerät würde jeder einzelne Computernutzer in Deutschland (und außerhalb) benötigen. Das sind mal locker - 30 Millionen Leute? Oder mehr, durch Arbeits- und Privatcomputer?

Und Service-seitig implementieren müssten es vor allem die Dienstanbieter - die ja eher selten staatlich sind.

Link zu diesem Kommentar
Auf anderen Seiten teilen

Wenn der Staat Gelder zuschießt, z.B. durch Steuererleichterung, liesen sich die Hersteller vielleicht besser überzeugen entsprechende Geräte zu entwickeln. Nur weil es 30 Millionen Anwender gibt heißt das nicht, dass auch alle 30 Millionen Anwender sich sochle Geräte kaufen. Es ist ja schon jetzt so, dass nur ein Bruchteil der Bevölkerung in DE ein Kartenlesegerät haben. Man muss das aus unternehmerischer Sicht sehen, und da geht es nicht um die Mögliche Anzahl der Anwender, sondern um Erfahrungen aus der Vergangenheit. Es hat schon viele gute Dinge gegeben die ganz schnell wieder verschwunden sind. QES mit dem nPA hat es auch nur ganz kurz gegeben, jetzt gibt es dafür keine Diensteanbieter mehr. WebAuthN wird es m.E. genauso ergehen.

Link zu diesem Kommentar
Auf anderen Seiten teilen

vor 16 Stunden schrieb René:

Wenn der Staat Gelder zuschießt, z.B. durch Steuererleichterung, liesen sich die Hersteller vielleicht besser überzeugen entsprechende Geräte zu entwickeln. Nur weil es 30 Millionen Anwender gibt heißt das nicht, dass auch alle 30 Millionen Anwender sich sochle Geräte kaufen. Es ist ja schon jetzt so, dass nur ein Bruchteil der Bevölkerung in DE ein Kartenlesegerät haben. Man muss das aus unternehmerischer Sicht sehen, und da geht es nicht um die Mögliche Anzahl der Anwender, sondern um Erfahrungen aus der Vergangenheit. Es hat schon viele gute Dinge gegeben die ganz schnell wieder verschwunden sind. QES mit dem nPA hat es auch nur ganz kurz gegeben, jetzt gibt es dafür keine Diensteanbieter mehr. WebAuthN wird es m.E. genauso ergehen.

Da magst du Recht haben. Aber ich hoffe weiter auf eine Lösung, die sicher, und bequemer ist als Passworteingabe - man liefert sich eben doch an Dienstanbieter wie Google aus.

Und "der Staat" ist ja leider eher unterbelichtet, was IT angeht. Schon von daher müssen das andere in die Hand nehmen. Egal was in der IT an Fortschritt passiert, initiiert und durchgeführt wird es immer von den IT-Leuten selbst, entweder privat (z.B. im gesamten Open Source Bereicht) oder durch IT-Konzerne wie IBM und Co, die ja inzwischen die Open Source fast komplett bestimmen. Und auch die ganze Standardisierung. Deutschland hat es ja eigentlich komplett abgehängt.

Link zu diesem Kommentar
Auf anderen Seiten teilen

×
×
  • Neu erstellen...

Wichtige Information

Diese Website verwendet Cookies – nähere Informationen dazu und zu Ihren Rechten als Benutzer finden Sie in unserer Datenschutzerklärung am Ende der Seite. Klicken Sie auf „Ich stimme zu“, um Cookies zu akzeptieren und direkt unsere Website besuchen zu können.