Path: csiph.com!fu-berlin.de!uni-berlin.de!individual.net!not-for-mail From: Franz Glaser Newsgroups: de.sci.electronics Subject: Re: Yubico YubiKey Passwords weiter melden? Date: Mon, 9 Dec 2024 08:32:59 +0100 Lines: 65 Message-ID: References: Mime-Version: 1.0 Content-Type: text/plain; charset=utf-8; format=flowed Content-Transfer-Encoding: 8bit X-Trace: individual.net MGa2bl78OJ4X+pcRP+LbXQz1gVNmlTY1C25+mtPSZUmAokPLdJ Cancel-Lock: sha1:vd1vbyuAbqvgEbpsqTTCqHKc5vs= sha256:JzJLiGI0c62oaSyOc93/Sv6V0lmg4mK0n99qnF+rccM= User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Thunderbird/78.11.0 In-Reply-To: Content-Language: en-US Xref: csiph.com de.sci.electronics:357933 On 08.12.24 15:29, Alexander Schreiber wrote: > Ralph Aichinger wrote: >> Franz Glaser wrote: >>> Erfahren da die Google, Amazon, die Bank, PayPal usw. die >>> unverschlüsselten passwords mit Yubico YubiKey? >> >> Nein, das ist der ganze Punkt eines Yubikeys, niemand kann >> die Secrets im Yubikey mehr auslesen, nicht mal du. > > Theoretisch. Praktisch hat es Infineon mal wieder verkackt und es gibt > eine side channel attack auf YubiKey Serie 5: > https://ninjalab.io/wp-content/uploads/2024/09/20240903_eucleak.pdf > sowie > https://www.a-trust.at/de/%C3%BCber_uns/newsbereich/20240905_de_post.html > >> Soweit ich weiß (ich hab zwar einen Yubikey, verwende das aber nicht) >> sind die Passwörter auch nicht im Yubikey gespeichert, sondern in einem >> externen Passwort-Manager, der mit dem Yubikey verschlüsselt ist, d.h. >> ohne Yubikey nicht geöffnet werden kann. > > Die Grundidee ist, dass der YubiKey eine Implementation eines "secure > element" ist. Man kann Schlüsselmaterial laden, dass dann nicht mehr > extrahierbar ist (sofern man nicht die Implementation vergeigt, siehe > oben) und das dann innerhalb des "secure elements" zur Verschlüsselung > und Signierung verwendet wird. > >> Natürlich kann niemand wirklich sagen, ob z.B. der britische >> Geheimdienst ein Backdoor zu den Yubikeys hat, aber von allen >> Security-Lösungen in die Richtung haben die IMHO die beste Figur >> gemacht, ohne irgendwelche Backdoors oder größeren Sicherheitsprobleme. > > Guter Witz, siehe oben. Infineon halt. > > Man liest sich, > Alex. > Meine Verwirrung exponenziert sich mit jedem Klick. https://www.yubico.com/authentication-standards/webauthn/ Ich möchte sonst nichts als meine 2 Kubuntu Computer und meinen alten Win10 Computer vor jedem Zugriff von *Fremden* schützen. Fremde sind sowohl Hacker im Internet als auch Leute im Haus in der Nacht, die an meine Computer dran greifen können während ich mit Medikamenten (Tranquilizern) schlafe und nichts mitbekomme. Und zwar so, dass diese *Fremden* auch keinen Zugang auf die Speicherplatten haben, nichts löschen und nichts ändern können. Das Password ist nicht sicher weil diese Hacker im Raum irgendwo eine Kamera haben, die das Eintippen des Passwords mitlesen können. Dafür brauche ich keinen *Verfolgungswahn* die Hacker spielen ja damit, dass sie mir den andichten. GL -- Die parlamentarische Demokratie bedeutet, dass die Gesetze von allen Parlamentariern diskutiert und erlassen werden. Gesetzesvorschläge aus Ministerkonferenzen sind nicht parlamentarisch. Abgeordnete brauchen weder Parteichefs noch zusätzliche, zufällige, nichtgewählte Berater.