Diskussion:FIDO-Allianz

Der Artikel „FIDO-Allianz“ wurde im Dezember 2014 für die Präsentation auf der Wikipedia-Hauptseite in der Rubrik „Schon gewusst?“ vorgeschlagen. Die Diskussion ist hier archiviert. So lautete der Teaser auf der damaligen Hauptseite vom 7.01.2015; die Abrufstatistik zeigt die täglichen Abrufzahlen dieses Artikels.

Wo liegen die privaten Schlüssel?

Letzter Kommentar: vor 1 Monat1 Kommentar1 Person ist an der Diskussion beteiligt

Zitat: "... und der private Schlüssel wird sicher im sogenannten FIDO-Authenticator gespeichert."

Soweit ich verstanden habe, ist das im Standard nicht vorgeschrieben, und der YubiKey machts tatsächlich nicht:

vgl. https://www.yubico.com/2014/11/yubicos-u2f-key-wrapping/

"First off, a refresher on how this is described in the U2F specification: “U2F tokens might not store private key material, and instead might export a wrapped private key as part of the key handle” (from the implementation considerations document)." (nicht signierter Beitrag von Fjf2002 (Diskussion | Beiträge) )

Die Frage ist schon etwas älter, daher hier der Link zum Web Archiv. Das ist leider tatsächlich etwas schwierig und ich würde mir da mehr Transparenz der Hersteller wünschen als "is securely stored on your device". Bei WebAuthn/FIDO2 kann man angeben, ob ein "resident key" erzeugt werden soll oder nicht. Und ob der "resident key" dann ein kompletter Schlüssel ist oder "nur" ein Seed, um den Schlüssel zu erzeugen, ist die nächste Frage, die aber vermutlich gar keine Rolle spielt, solange das Master-Secret des Schlüssels nicht extrahiert oder erraten werden kann. Der Punkt ist, dass nach Herstelleraussage, der private Schlüssel nur innerhalb des Authenticators mit der Credential ID wiederhergestellt werden kann. Der offensichtliche Vorteil ist, dass beliebig viele Schlüssel erzeugt werden können, weil die RP die "Credential ID" wegspeichern muss und nicht der Authenticator. Ich würde vorschlagen, die Frage bei den jeweiligen Protokollen (WebAuthn/U2F/FIDO2/FIDO UAF) oder Produkten (Yubico YubiKey/Nitrokey/Google Titan dingsbums) unterzubringen. -- rillke fragen? 18:50, 13. Jun. 2024 (CEST)Beantworten

Dieser Abschnitt kann archiviert werden. rillke fragen? 18:50, 13. Jun. 2024 (CEST)

Authentication vs. Authentification

Letzter Kommentar: vor 6 Jahren4 Kommentare3 Personen sind an der Diskussion beteiligt

Authentication wird m. E. korrekt mit 'Authentisierung' übersetzt nicht jedoch mit 'Authentifizierung'. Authentisierung ist der Versuch, sich authentifizieren zu lassen. --- nieborak --- (nicht signierter Beitrag von 89.246.182.61 (Diskussion) 14:17, 7. Jan. 2015 (CET))Beantworten

Interessanter Hinweis! Der Online-Duden kennt als Alternative nur "Authentifikation", aber nicht "Authentisierung". Wie auch immer, eine Umbenennung hätte Auswirkungen auf viele andere Artikel, wie zum Beispiel Zwei-Faktor-Authentifizierung, oder auch Katergorien wie Kategorie:Authentifizierungstechnik. --Bautsch (Diskussion) 15:57, 7. Jan. 2015 (CET)Beantworten

Siehe bitte auch Kategorie Diskussion:Authentifizierungstechnik#Rechtschreibung. --Bautsch (Diskussion) 13:08, 15. Jan. 2015 (CET)Beantworten

Der aktuelle Duden (gedruckt und als Onlinebibliothek) kennt durchaus die Begriffe "Authentisierung" und "authentisieren". Als Bedeutung für Letzteres ist "gehoben für glaubwürdig, rechtsgültig machen" angegeben, Die Interpretation von "Authentisierung" als "Versuch, sich authentifizieren zu lassen" lässt sich dagegen nicht belegen. Jedenfalls ist "Authentifizierung" eine korrekte Übersetzung von "Authentication"; Im Englischen ist "Authentification" zumindest unüblich, wenn nicht falsch, und wird meist nur von Nichtmuttersprachlern verwendet..

DIBA--176.94.44.42 14:47, 17. Apr. 2018 (CEST)Beantworten