Diskussion:FIDO2

• Vereinzelt enthält der Artikel sachliche Fehler, z.B. werden die Begriffe "Client" und "Benutzer" (engl. "user") teilweise fläschlicherweise synonym verwendet, wobei "Client" ein definierter Bestandteil des WebAuthn-Protokolls und "Benutzer" ein bedienender Mensch ist.
• Es werden Spezialfälle genannt, wo allgemeinere Fälle genannt werden sollten, z.B. "Browser" oder "Kundenanwendung" statt "Client".
• Besonders ab dem Abschnitt "Registrierungsablauf" enthält der Artikel teilweise Schachtelsätze, einen merkwürdigen Satzbau und verwirrende Formulierungen, z.B. "Aktivierung eines biometrischen Sensors" statt z.B. "biometrische Authentifizierung".
• Im Abschnitt "Registrierungsablauf" werden biometrische Merkmale in einem Satz als obligatorisch und zwei Sätze später als optional bezeichnet.
• Der Artikel enthält einige grammatikalische Fehler.
• Die Abschnitte "Registrierungsablauf", "Authentifizierungsablauf" und "Passwortlose Anmeldung" enthalten keine einzige Quellenangabe.
• Im zweiten Teil von "discoverable credentials" wird eine Zitierung vorgenommen ("...mit Stand Ende 2023 sind ca. 20 bis 30 "auffindbare Anmeldeinformationen" machbar,..."), ohne die zugehörige Quelle zu nennen.
• Die Begriffe sollten teilweise näher an der Spezifikation sein, z.B. "(WebAuthn) Relying Party" statt "FIDO2-Server".

Leider fehlt mir zumindest in den nächsten Tagen die Zeit, den Artikel zu verbessern, und ich kann noch nicht abschätzen, wann ich Zeit dazu habe, daher zunächst diese Kennzeichnung statt einer Überarbeitung.

--Telekobold (Diskussion) 19:15, 11. Aug. 2024 (CEST)Beantworten

Passkeys werden nicht immer synchronisiert. Es gibt auch gerätegebundene Passkeys. Die Unterscheidung zu "FIDO2" ist aus Usersicht jene, dass ein Passkey nicht nur als zweiter Faktor verwendet wird, sondern das Passwort ersetzt. Technisch betrachtet bedeutet das, dass der private Schlüssel geschützt sein muss (user verification), was bei FIDO2 als zweiter Faktor nicht nötig (aber möglich) ist. Außerdem sind Passkeys "discoverable credentials" wodurch der Browser die korrekten Zugangsdaten abrufen kann und man nicht vorher den Usernamen eingeben muss.

Hier gibt es leider viel unklare/falsche Information. Ein guter Artikel zum Thema ist jener von der EFF. --Sotral14 (Diskussion) 16:56, 28. Okt. 2023 (CEST)Beantworten

Vorschlag zum Verbessern des Textes mittels ChatGPT:

Es gibt einige stilistische und grammatikalische Verbesserungen, die in diesem Satz vorgenommen werden könnten:

   Klammern und Kommas: Die Klammern und Kommas im Satz könnten besser strukturiert werden, um die Lesbarkeit zu verbessern.

   Wiederholungen und Redundanzen: Es gibt Wiederholungen von "beispielsweise" und "Funktionseinheiten", die vermieden werden könnten, um den Satz präziser zu gestalten.

   Satzlänge: Der Satz ist recht lang und könnte in klarere Teilsätze aufgeteilt werden.

Hier ist eine überarbeitete Version:

"Das FIDO2-Projekt umfasst verschiedene kryptografische Kommunikationsprotokolle wie WebAuthn und das Client-to-Authenticator-Protocol (CTAP). Authentifikatoren, wie Sicherheits-Token, agieren als Funktionseinheiten. Der Benutzer (auch als Client bezeichnet), der beispielsweise einen Web-Browser nutzt, interagiert mit dem Dienstanbieter, der als FIDO2-Server bekannt ist und einen Service für den Kunden bereitstellt. Diese Interaktion ist in der nebenstehenden Abbildung dargestellt."

--84.171.176.52 11:00, 26. Nov. 2023 (CET)Beantworten

Ich bitte um Anwendung von WP:SM.--wdwd (Diskussion) 16:13, 2. Dez. 2023 (CET)Beantworten

Hallo zusammen,

was mich bei Passkeys schwer beschäftigt, ist, dass ich bisher nicht erkennen kann, wie die Sicherheit gegen unbefugtes Abgreifen der Passkey-Datei (oder wie das richtig heißen müsste) gewährleistet wird. Der Passkey soll ja das Passwort ersetzen (oder nicht?).

Wenn es ein übertragbarer Passkey ist, der laut Werbeaussagen auch mit anderen Geräten syncronisiert werden kann. Wie wird der Nutzer geschützt, dass der Passkey nicht vom eigenen Gerät mittels Angriff auf das Gerät, oder z.B. den Browser, in dem dieser gespeichert ist, gestohlen wird? Und selbst wenn es sich laut Aussage eines Anbieters um einen gerätebezogenen Passkey handelt, der "im Betriebssystem" eingebettet ist, wer sagt, dass Android und Co nicht eine Sicherheitslücke haben, die einen Diebstahl dieses Passkey ermöglicht. Auch wenn der Passkey eigentlich nie das Gerät verlassen soll, verstehe ich nicht, wie dessen Diebstahl verhindert wird.

Wenn der Passkey das Passwort ersetzt, ist es dann nicht eine deutlich unsicherere Methode, weil systemisch angreifbar? Wenn Passkeys als Zusatz zumm Passwort dienen, könnte es schon wieder interessant werden, da es dann ja eine Art 2FA-Light ist. Oder was missverstehe ich am Konzept?

Kann hier jemand mit mehr Ahnung zum Thema vielleicht eine gute Ergänzung im Artikel vornehmen, oder mich aufklären. --ZwerK (Diskussion) 17:07, 22. Dez. 2025 (CET)Beantworten

Steht doch schon am Ende vom Abschnitt FIDO2#Passkey: "Hardwarebasierte Security-Token, welche das Duplizieren der geheimen Schlüsseldaten im Token unterbinden, sind dafür mit weniger Komfort als Passkey anzuwenden, aber sicherer." --Bautsch 23:48, 22. Dez. 2025 (CET)Beantworten

Hi, wär das nicht nur so etwas wie ein YubiKey, oder andere USB-Sticks? --ZwerK (Diskussion) 15:19, 23. Dez. 2025 (CET)Beantworten