Ein Hardware-Token ist im Verlustfall vergleichbar mit einem Haustürschlüssel. Solange der Finder nicht weiß, zu welchem Haus er gehört, ist er im Prinzip wertlos. Der Besitzer hat genauso viel Zeit, seine Keys zu löschen, wie er sein Schloss austauschen kann…
Ist es nicht so, dass ein FIDO2 Schlüssel neben den Authentisierungsdaten auch den Benutzernamen speichern kann?
(Zumindest mit einem Passkey hier im Forum muss ich keinen Benutzernamen angeben und bin trotzdem als Reklow angemeldet)
In dem Fall könnte ein Angreifer einfach bekannte Dienste die FIDO2 kompatibel sind und häufig genutzt werden durchprobieren? Oder habe ich hier einen Denkfehler?
Nein, du hast dich offensichtlich nicht getäuscht. Ich habe gerade in meinen YubiKey geschaut und der kann das tatsächlich. Das nennt sich Discoverable Credentials[1]. Das Ganze ist allerdings mit einer PIN gesichert und nach achtmaliger Falscheingabe wird der Stick gesperrt. Das sollte sicher genug sein, wenn die PIN auch sicher ist. Allerdings muss der Betreiber des Dienstes diese Funktion auch aktivieren. Anscheinend bin ich noch nicht über einen solchen Dienst gestolpert.
„Verlieren“ ist selten das gefährliche. Diebstahl, am besten zusammen mit anderen Sachen wie Börse oder Handy (welche leicht den Namen rausrücken) ist der spannende Teil.
Aber das gilt auch für deinen Haustürschlüssel, dein Handy und deine Kreditkarten. Der Verlust deines Hardware-Tokens ist dann nur eines von vielen Problemen. Der Verlust des Haustürschlüssels samt Adresse oder der Kreditkarte samt Nummer und Sicherheitscode (auf der Rückseite) würde mir viel mehr Angst machen.
Das ist einem Arbeitskollegen einmal im Urlaub in Kroatien passiert. Dem haben sie den ganzen Hotelsafe aus dem Zimmer geklaut mit allem was wichtig war, inklusive Autoschlüssel, Haustürschlüssel, Kreditkarten, Brieftasche usw. Da weiß man gar nicht, was man zuerst machen soll. Ein PIN-gesicherter Hardware-Token wäre dann sicher nicht ganz oben auf meiner Liste gestanden.