Key point is this: "companies and end users should always use multi-factor authentication to lockdown accounts when possible and ensure it’s compliant with the #FIDO standard when available. #MFA available through push notifications or one-time passwords provided by text, email, or authenticator apps are better than nothing, but as events over the past few years have demonstrated, they are themselves easily defeated in credential phishing attacks" #webauthn#2fa
Today I finally sat down to learn how #FIDO#U2F keys support an "unlimited" number of websites on a single token, without compromising privacy, and without running out of memory on the token.
Reusing the same public/private keypair would allow websites to track tokens. So, the token generates a new keypair on each registration. But where is it stored?
With the website! The token encrypts the private key with a token-specific secret and receives it back from the website on each login request.
🆕 blog! “Giving the finger to MFA - a review of the Z1 Encrypter Ring from Cybernetic”
★★★★☆
I have mixed feelings about Multi-Factor Authentication. I get why it is necessary to rely on something which isn't a password but - let's be honest here - it is a pain juggling between SMS, TOTP apps, proprietary apps, and mag…
But, it turns out that the shop does not process purchase requests, resulting in an incomplete page with nothing to click on.
And the support email bounces as nonexistent.
I hope that you would incorporate that information in your review and/or boost this as a real world experience.
Passwörter gelten als unsicher, weshalb Firmen wie Google, Microsoft und Apple das Konzept der Passkeys in den Markt drücken möchten. Ist das der richtige Weg, oder ist es nur Marketing?
Hier wird auch auf #Passkeys referenziert. Ich persönlich bevorzuge #FIDO2 gegenüber Passkeys, wenn ich sowieso schon einen FIDO2-Token besitze und ich nicht will, dass mein Passkeys-Geheimnis ausgelesen werden kann, was bei FIDO2 nicht der Fall ist.
Wenn man keinen FIDO2-Token hat, hat Passkeys durchaus Vorteile, da es (wie FIDO2) auch gegen Phishing schützt
Damit sollte laut A-Trust die Basisfunktion der #IDAustria fünf Jahre nutzbar sein, und es ist weiterhin kein Smartphone und keine App notwendig. SMS-TAN und #FIDO-Schlüssel können verwenden werden.
Ich werde in den nächsten Wochen von meinem Umstieg berichten und tausche mich gerne mit allen aus, die keine Blackbox-App des Innenministeriums auf ihrem Gerät haben wollen.
Wenn beim Umstieg die Abfrage nach Personalausweis/Reisepass-Nummer kommt, AUF GAR KEINEN FALL Daten eingeben. Wer das macht, kommt nur noch mit App in den A-Trust-Kontomanager.
Stattdessen: Dateneingabe auf später verschieben und zunächst im Kontomanager #FIDO-Schlüssel hinzufügen gemäß Anleitung.
Anyone here going to Authenticate 2023 this week? I'm giving two talks tomorrow - "Demystifying WebAuthn and Passkeys," and "Tips for Painless Passkeys." Feel free to say hi if you see me there!
Kudos to login.gov for a great user experience and including support for hardware (#FIDO U2F) security keys. I had to renew my CBP Global Entry and was delighted with the #authentication experience. I want to give recognition when something goes right.
I’m really pleased to share that today, AWS announced we’ll begin requiring the use of MFA in 2024, beginning with the most privileged accounts in our customer environments - the management account root users of AWS Organizations - and expanding throughout 2024.
MFA and strong authentication are so critical, so foundational to security health. It’s increasingly obvious that as digital identity evolves, everyone, everywhere should be using some form of MFA - and if that’s phishing-resistant authentication like #FIDO all the better. As an identity practitioner and as a consumer impacted by the security choices of the companies I do business with, I hope we will continue to see a growing number of companies emphasizing - and yes, requiring - MFA, because it makes a better internet for all of us.
On a personal note: I’ve been at Amazon for ~11 years now, which means I have a pretty big sample size to compare to when I say this is the happiest, most gratifying working day of my life.
Auch schön im Pressetext anno 1994: "Jeder Geonet-Teilnehmer erhält ohne Zusatzkosten nicht nur eine X.400-Adresse, um mit den vielen Millionen kommerziellen X.400 Teilnehmern kommunizieren zu können, sondern auch ohne zusätzliches Entgelt einen INTERNET-Namen für den Kontakt mit Universitäten."
@dborch Hach, 1989 mit #Kermit via #DFN über das HRZ Marburg ins #ARPA zu einer kanadischen Uni. Dort ein schwarzweißes GIF einer (kanadischen?) Landschaft runtergeladen. 8KB ca… das alles über #Akkustikkoppler…
#FIDO fand ich dann bis auf weiteres (1994) erstmal besser.
These #yubikey nano’s are really small I was so afraid I would lose them I had to buy a lanyard for them even though I plan to keep one in my work computer. Thanks for the hookup @yubico#cybersecurity#InfoSec#FIDO#totp#mfa