It's pretty crazy that Facebook has #Yubikey / #FIDO2 support but my banking app doesn't.

#Okta warnt vor Social-Engineering-Angriffen auf IT-Service-Personal | Security https://www.heise.de/news/Okta-warnt-vor-Social-Engineering-Angriffen-auf-IT-Service-Personal-9295019.html #SocialEngineering #MultiFactorAuthentification #MultiFactorAuthentication #FIDO2

Heute von unserem IAM Chef zwei #YubiKey Sticks bekommen. Hab gleich mal mein iPhone mit #FIDO2 abgesichert. Nur Windows 11 tut noch bucklig. #hello meint, der Key gehöre nicht zur Familie, obwohl die PIN korrekt ist. Hmmm?

Quantencomputer-resistent: Google veröffentlicht sicherere #Fido2-Implementierung | heise online https://www.heise.de/news/Google-veroeffentlicht-erste-Quantencomputer-resistente-Fido2-Implementierung-9283078.html

If I use my #Yubikey for passwordless #FIDO2 login with services like Google or Nextcloud and someone steals my Yubikey, are they able to just log in to those services with it? #askfedi

@eingfoan nfc reader plugged through USB. No drivers required. Not coupled with physical access at the time.
I've heard of another manufacturing company deploying 3 technologies badges (#PKI through contact, contactless #Mifare for physical access, #fido2 enabled for future use)

@eingfoan did a POC with Neowave cards that went live afterwards. Main target population was warehouse workers on shared workstations. Worked like a charm 👌
https://neowave.fr/en/products/fido-range/badgeo-nfc-fido-2/
#fido #webauthn #pki #security #2fa #fido2 #nostick #contactless

「 #Google が初の #量子復元力 のある #FIDO2 セキュリティ キーの実装を導入 」： The Hacker News

「 #OpenSK は 、#Rust で書かれたセキュリティ キーのオープンソース実装であり、FIDO U2F と FIDO2 標準の両方をサポートします。 」

https://thehackernews.com/2023/08/google-introduces-first-quantum.html

#prattohome #TheHackerNews

👍🏻 Toward Quantum Resilient Security Keys https://security.googleblog.com/2023/08/toward-quantum-resilient-security-keys.html #infosec #fido2 #google

How fame-seeking teenagers hacked some of the world’s biggest targets - Enlarge (credit: Getty Images)

A ragtag bunch of amateur hacke... - https://arstechnica.com/?p=1960309 #homelandsecuritydepartment #security #lapsus$ #biz⁢ #fido2 #mfa

Ars Technica: How fame-seeking teenagers hacked some of the world’s biggest targets https://arstechnica.com/?p=1960309 #Tech #arstechnica #IT #Technology #homelandsecuritydepartment #Security #lapsus$ #Biz&IT #fido2 #mfa

@frank @keno3003 Du meinst Resident Keys: https://duo.com/labs/tech-notes/resident-keys-and-the-future-of-webauthn-fido2

AFAIK brauchst du die nur für #Passkeys aber nicht für Standard #FIDO2. Mein #Solokeys hat 50 slots für Resident Keys, manche #Yubikeys nur 25.

Du kannst aber unendlich viele FIDO2 Services mit einem Token betreiben. Noch ein Vorteil von FIDO2 HW-Token.

HTH

@keno3003 Ja, #Passkeys hat Vorteile, wenn man den Großkonzernen absolut vertraut und sonst nur schwache Passwörter generiert, keine #2FA verwendet und mit #FIDO2 tatsächlich überfordert ist.

IMHO ist es also besser, man lernt, wie man gute #Passwörter generiert und damit umgeht + aktiviert 2FA, wo man selber das Geheimnis verwaltet und kein Konzern.

https://karl-voit.at/2023/03/05/Passwortsicherheit

@keno3003 Sorry aber euer #Passkeys-Werbevideo klingt nach Lobbying für Großkonzerne.

Passkeys hat mit dem Wegfallen des Secrets im Vergleich zu #FIDO2 eine deutlich geringere Vertrauenswürdigkeit. Passkeys wäre nur dann sicherer, wenn man den Betreibern wie #Apple, #Google, #Microsoft absolut vertraut, dass die mein Secret ordentlich handhaben. Aktuellstes Beispiel ist Microsoft mit dem Verteilen von Generalschlüsseln zur #Cloud. 😔

Sorry, normale 2FA ist somit sicherer als Passkeys.

So apparently, according to Yubico's CS, they accidentally placed a "normal", no-barcode Security Key into an "Enterprise Edition" packaging and told me not worry about it. They advised me to reset the key with ykman if I was still worried.

#yubikey #yubikeys #yubico #OnlineSecurity #CyberSecurity #hardwarekey #securitykeys #fido2

@jesterchen @tulpa

True, that's why I don't do that. I use #FIDO2 whenever I can and fallback to #TOTP app (separate from browser's password manager) when I don't have a choice

@tulpa Good points.

It's still a slightly different threat model than a password since you'll lose it rather than forget it (or it'll be stolen rather than shoulder-surfed)

#infosec #totp #fido2 #u2f

Since I'm talking about #infosec today, I'll give my unpopular opinion: #TOTP is worthless, unless you have really bad password practices.

The seed is just another secret number. One which can't even be stored as a hash on the service end, because the service needs it to calculate the code.

It can be phished without too much trouble.

It's more likely to lock you out when you lose it, than stop bad guys.

Use #FIDO2 / #U2F or go home.

My #solokeys V2 arrived today

Time to get nerdy with it 🤩

#fido2 #WebAuthn #Linux #LUKS

Just got notified my #solokeys V2 I backed in 2021 are arriving this week 🤩

I’ll finally be able to do all the nerdy things with #Linux, #LUKS, sudo, #fido2 and #WebAuthn again