Funktioniert ja super das mit der #Digitalisierung in #Österreich. 🤷♂️ Trotz nochmaliger Hinterlegung des #FIDO2-Tokens (löschen und neu verknüpfen) ist ein Login oder eine Signierung mittels FIDO2 nicht möglich.
"Du hast kein kompatibles #Smartphone / Tablet, also besorge dir einen kompatiblen #FIDO2-USB-Stick. Funktioniert auch unter #Linux."
"OK, hab ich, via Handy-SMS (#Handysignatur) eingeloggt und den FIDO2 erfolgreich verknüpft. Danach funktioniert ein Einloggen oder Signieren aber nicht."
"Schreibe eine E-Mail an den Support"
"Ja hab ich gemacht"
Antwort vom Support nach über 1 Woche:
-------- Also das Ganze in Windows 10 ausprobieren, mit Firefox und Edge. Dort kann (in beiden Browsern) der #Sicherheitsschlüssel überhaupt nicht verwendet werden. 🤔
Antwort an Support mit weiteren Screenshots und Infos, mal sehen ob ich irgendwann dann doch eine Antwort bekomme? Oder bin ich mit Abschaltung der #Handysignatur am 05.12.2023 raus aus der "#Digitalisierung"?
Ojemene. Danke dir, dass du da dranbleibst. Hab grad keinen Kopf dafür, aber es wird wohl notwendig sich damit auseinanderzusetzen. Denn mit meinem privaten Handy wird das sicher nix.
Des Rätsels Lösung: der PIN des #FIDO2 war nicht aktiviert und ist zwingend notwendig. Steht leider nirgends 🤷♂️. Einfach aktivieren hat sich dann auch nicht gespielt.
Wie ich es schlussendlich gemacht habe: * Browser Chrome installieren (kann temporär sein). * in Chrome auf die Seite chrome://settings/securityKeys gehen, dort kann man den #FIDO-#Sicherheitsschlüssel verwalten. * Schlüssel zurücksetzen / Reset - Achtung, gegebenenfalls abziehen und wieder anstecken, dann Reset machen. Manche Schlüssel erlauben einen Reset nur für einige Sekunden nach dem Anstecken. * PIN erstellen. Nur dafür hab ich den Chrome-Browser gebraucht, Rest dann wieder mit Firefox (und wohl jeder andere beliebige Browser der FIDO2-Schlüssel unterstützt). * In A-Trust neu verknüpfen. Und voilà, da wird dann auch gleich der PIN abgefragt. Funktioniert nun. 👍
@matthiasdrexel nein, war wohl missverständlich formuliert. War meine Intention das unter M$ auszuprobieren um eben herauszufinden ob es am Betriebssystem liegt. Der Support hat auf die erste Mail gar nicht geantwortet. 🤷♂️ Heute dafür umso rascher.
Des Rätsels Lösung: der PIN des #FIDO2 war nicht aktiviert und ist zwingend notwendig. Steht leider nirgends 🤷♂️. Einfach aktivieren hat sich dann auch nicht gespielt.
Wie ich es schlussendlich gemacht habe: * Browser Chrome installieren (kann temporär sein). * in Chrome auf die Seite chrome://settings/securityKeys gehen, dort kann man den #FIDO-#Sicherheitsschlüssel verwalten. * Schlüssel zurücksetzen / Reset - Achtung, gegebenenfalls abziehen und wieder anstecken, dann Reset machen. Manche Schlüssel erlauben einen Reset nur für einige Sekunden nach dem Anstecken. * PIN erstellen. Nur dafür hab ich den Chrome-Browser gebraucht, Rest dann wieder mit Firefox (und wohl jeder andere beliebige Browser der FIDO2-Schlüssel unterstützt). * In A-Trust neu verknüpfen. Und voilà, da wird dann auch gleich der PIN abgefragt. Funktioniert nun. 👍
GoTrust Idem Key USB-C Authentifizierungs-TokenSchützen Sie Ihre sensiblen Daten in der gefährlichen Umgebung des Internets. Der GoTrust Idem Key USB-C Authentifizierungs-Token bietet zuverlässigen und sicheren Schutz für alle Ihre Anmeldedaten.
@paradeiser Was ich grundsätzlich schon nicht verstehe - der Stick hat lt. Abbildung einen USB-C-Anschluss (schaut für mich zumindest so aus). Der passt doch am PC nicht? Hast du einen Adapter? Oder hat dein PC so einen Anschluss? Mein Lap hat nur USB-A-Anschlüsse.
Es gibt auch solche mit USB-A, ich hab mich bewusst für USB-C entschieden, mein Laptop hat einen Anschluss aber auch mein Tablet. Was ich damals noch nicht wusste ist, dass Android bis 12 (anscheinend sogar immer noch nicht) keinen PIN unterstützt, der für die ID-Austria zwingend notwendig ist. Ohne PIN als 2-Faktor Authentifizierung kann man den Token auch unter Android nutzen, z.B. für Google-Konto.
Ich habe auch damals nur 1 bestellt, was aus heutiger Sicht ein Fehler war. Bestelle mir wohl bald mal einen zweiten, den dann mit USB-A (damit auch am Stand-PC nutzbar ohne dass ich mich verrenken muss um an den einen USB-C-Anschluss am Mainbord zu kommen 🤷♂️ ).
@paradeiser Okay, danke für die Info. Bitte sag mir dann Bescheid, für welchen anderen Stick du dich entschieden hast. Ich hätte sogar einen Adapter von USB-A auf C, aber ob damit ein Überdrüber-Sicherheitsstick funktioniert, wage ich zu bezweifeln. Und auf Verdacht will ich nicht bestellen.
@edithmair1 So, nun hab ich endlich einen zweiten #FIDO2-Token. Immer gleich zwei bestellen, das hab ich damals noch nicht gewusst. Nach der USB-C Variante hab ich den zweiten mit USB-A genommen (mittlerweile wieder verfügbar). alza.at/gotrust-idem-key-usb-a…
Und Edith, die USB-C Variante hat auch anstandslos mit USB-C auf USB-A Adapter funktioniert (wovon sowieso auszugehen war).
GoTrust Idem Key USB-A Authentifizierungs-TokenSchützen Sie Ihre sensiblen Daten in der gefährlichen Umgebung des Internets. Der GoTrust Idem Key USB-A Authentifizierungs-Token bietet zuverlässigen un
@paradeiser Danke für die Info! Ich hab immer noch keinen Stick. Ich höre/lese nur von Problemen! Will mir das mom nicht antun. Für'n Jahresausgleich hat man zum Glück eh 5 Jahre Zeit. Und für Arztrechnungen 3.5 Jahre. Vllt gibt es bis dann was G'scheites. 🥴
@edithmair1 Würde mal sagen, die meisten Probleme kommen von nicht geeigneten Tokens. Hatte das Problem auch bei einem Yubikey, als geeignet für ID-Austria beschrieben, war er aber nicht. Ein "nur kleiner Unterschied" der Modellbezeichnung. 🤷♂️ Mit den GoTrust Idem Keys von alza passt das, Einrichtung wie schon mal beschrieben, das Hinzufügen als 2. Token hat auch mit dem Neuen anstandslos funktioniert.
Und auch wichtig: verwende die Tokens auch für 2-Faktor-Authentifizierung (schon fast überall auch mit Hardware-Token möglich), damit also regelmäßig in Gebrauch. Auch hier für Mastodon-Web (die App speichert den Zugang), oder auch für das Google-Konto (mit der USB-C-Variante auch am Tablet möglich). Damit kann ich solche Tokens uneingeschränkt empfehlen, auch wenn man sie für die ID-Austria wenig nützt.
@jakob und ich hatte kurzzeitig einen vermeintlich ID-Austria kompatiblen Yubikey 5C NFC (zumindest so bestellt), der dann als Security Key NFC angekommen ist, aber nicht mal der war ID-Austria kompatibel. Das wäre der Security Key NFC Black.
Habs mir überlegt mit dem Yubikey 5C NFC FIPS, aber für OpenPGP hab ich derzeit keinen Gebrauch (und kenn mich da auch nicht richtig aus). Daher dann die Entscheidung für die wissentlich funktionierende (in USB-C Ausführung hatte ich schon einen) USB-A Variante. Die 2FA damit finde ich schon super.
@jakob @edithmair1 @paradeiser Genau den hab ich geliefert bekommen, der ist definitiv NICHT tauglich für ID-Austria - hab es selbst ausprobiert. Hierfür ist FIDO Certification Level 2 nötig. Kompatibel ist der Security Key NFC Black. support.yubico.com/hc/en-us/ar…
@jakob @edithmair1 @paradeiser dann muss das ein "Black" sein. Pin einrichten und 2FA hat mit meinem Exemplar des Security Key problemlos funktioniert, ID-Austria bei mehreren Versuchen nicht. Es ist auch nur der Black vom Security Key gelistet. oesterreich.gv.at/dam/jcr:972a…
Und genau das meinte ich mit "nicht geeigneten Token". Bei den GoTrust Idem's gibt es da keinerlei Verwirrung mit den Bezeichnungen, bei Yubikeys schon.
@jakob So sah es aus, wie gesagt, hab es mehrfach probiert. Der Security Key (also der ohne Black) hat nur Level 1, aber Level 2 wird benötigt. @edithmair1 @paradeiser
@Jürgen :verigreen:🌗🪐🌌 @Edith Mair 💙💛 @paradeiser Ah dann hast du den blauen bestellt... ich hab den schwarzen. Weil der schwarze funktioniert definitiv mit ID-Austria (Weil er Level2 ist)
@jakob Und es war definitiv das selbe Modell wie unter dem von dir angegebenen Link (siehe Fotos dort), auf meinem Bild der Rechte. Der kann nur Level 1, ist damit nicht geeignet. @edithmair1 @paradeiser
@jakob Ist ja selbst auf der Yubico-Seite als Level 1 gelistet. Ich hatte auch einen schwarzen, aber nicht den mit der Produktbezeichnung Black. @edithmair1 @paradeiser
@jakob mein Fazit: man nehme einen GoTrust Idem Key, der ist günstig und funktioniert für ID-Austria und 2FA. Wer sich mit der Thematik nicht etwas mehr beschäftigt hat (also wem Certification Level 1 oder 2 nichts sagen), der soll lieber die Finger von Yubikeys lassen. Wer mit PGP arbeitet, auf den trifft das wohl nicht zu, da braucht es die FIPS-Variante des Yubikey 5 NFC, der kostet aber 3x soviel wie der GoTrust. @edithmair1 @paradeiser
@Jürgen :verigreen:🌗🪐🌌 @Edith Mair 💙💛 @paradeiser Ich glaubs dir. Dennoch verwirrt es mich. Hier die Produktzeile aus der Rechnung des Yubikeys mit dem ich mich vorhin testweise mittels ID-Austria angemeldet habe:
"YubiKey Security Key C NFC | ID Austria kompatibel"
@Edith Mair 💙💛 wie gesagt... ich hab genau DEN gekauft wo ich die Rechnungszeile gepostet habe. Da steht nix von black dabei... und er lässt mich bei ID-Austria authentifizieren. Ist also Level 2
Irgendwo ist da der Hund drin. Ich vermute, Jürgen hat einen falschen geliefert bekommen. Oder der im Versand konnte nicht unterscheiden.
Auf den Keys steht auch nicht drauf, was er für einer ist... der Security, nur Fido2 L2 schaut exakt gleich aus wie der 5C FIPS, der deutlich teurer ist und mehr kann. Nur auf der Rückseite steht beim einen fast nicht lesbar "FIDO" und beim anderen "FIPS" und eine längere Zahl drauf in grau auf schwarz.
Beide funktionieren hier für mich einwandfrei. Und nach meiner Odyssee mit dem Nitrkokey 3-Klumpert bin ich grad einfach nur dankbar endlich ein Teil zu haben, das genau das tut, was es soll.
ich hab ein bissl gebraucht, um zu checken, dass PIN erstellen nur mit Chromium funktioniert (hab den selben FIDO Dongle gekauft), aber danach klappt alles mit Firefox auch. Super mühsam, aber jetzt klappt alles.
@wurzelmann Danke für den Thread. Ich sitz hier grad mit meinen zwei etwas älteren Yubikeys und vertage meine Odyssee auf wenn der neue Key dann da ist. *sfz*
@wurzelmann Die interessante Frage wird sein, ob es meine Passnummer frisst. Ich hab nen deutschen Pass, aber eine behördlich ausgestellte Handy-Signatur. Wird sicher "lustig" sonst bei der Landespolizeidirektion, wo ich hinpilgern darf, falls das mit dem Key nicht direkt klappt.
@wurzelmann Nope, geht nicht. Ich komm nur bis zur Basisfunktion, aber nicht zur Vollfunktion. Passnummer wird als ungültig abgelehnt. Muss also morgen bei der Landespolizeidirektion vortanzen. Bin gespannt, ob die dann den vollen Terz inkl. Passbild spielen wollen.
@wurzelmann Jo, ich auch. Wäre ja schön gewesen. Immerhin bei der Sozialversicherung kann ich mich mit der Basisversion auch einloggen. Test für Finanzonline steht noch aus.
@wurzelmann Hmmm. Also ich hab hier einen YubiKey 5 NFC, dem ich (auf einer Ubuntu-Kiste) mit
ykman fido access change-pin
einen PIN verpasst habe.
Wenn ich jetzt versuche, den via a-trust.at/konto/Handy-Signatu… zu verknüpfen, dann laufe ich da zwar durch alle Prompts durch, werde auch nach dem PIN gefragt, aber dann:
Error: This FIDO token could not be verified.
Irgendeine Idee, was ich da noch falsch machen könnte? 🤔
"Achtung: Token der „YubiKey 5 Series“ sind nicht FIDO2 Level 2 zertifiziert und können daher nicht als zweiter Faktor für die ID Austria bzw. Handy-Signatur verwendet werden."
GoTrust Idem Key USB-C Authentifizierungs-TokenSchützen Sie Ihre sensiblen Daten in der gefährlichen Umgebung des Internets. Der GoTrust Idem Key USB-C Authentifizierungs-Token bietet zuverlässigen und sicheren Schutz für alle Ihre Anmeldedaten.
@BratschCbra @xahteiwi der Hardware Dongle sollte am Tablet eigentlich auch funktionieren, glaube ich? Hab das bei mir am Handy (Android) auch schon gemacht damit.
@wurzelmann @xahteiwi ich hab mal soweit verstanden 1. das ist ein hardware teil das ich auf versch. geräten verwenden kann - ggf mit USB adapter 2. da ist ein indiviueller Code, den muss ich beim upgrade von der handysignatur hinterlegen 3. iOS und Android sind bevorzugt
1. muss das immer auf einem mobilgerät laufen, oder kann ich ggf qauch am windows PC arbeiten? 2. ist es denkbar am KaiOS zu installieren 3. meine haupttelefonummer ist am handy - kein smartphone, kaiOS - kleiner USB Anschluss, nicht USB-C im tablet (Samsung outdoor mit Android) hab ich eine andere karte, anderer anbieter etc - aber USB-C. hab ich nicht immer mit welches gerät / Nummer ist sinnvoller ? wechseln möglich?
@BratschCbra @wurzelmann @xahteiwi mit einem FIDO2 bist von Gerät und App quasi unabhängig und nutzt die Web-Version in einem Browser der WebAuthn unterstützt (ich verwende Firefox).
@BratschCbra @wurzelmann @xahteiwi hab grad am Tablet ein Einloggen auf das A-Trust Konto probiert, im Firefox unter Android kommt keine PIN-Abfrage, daher der ganz Anfangs beschriebene Fehler, mit Chrome funktioniert es auch nicht. Und ohne Firefox auf "Desktop-Seite" einzustellen sagt A-Trust sogar, dass ein Einloggen nur mit der App möglich ist. 🤬 Nein, ich werde mir diese verdammte App sicher nicht runterladen!!!
@BratschCbra naja, bei mir war das ja der Grund für die Entscheidung zum Fido-Key: gerootetes Tablet ohne Fingerabdrucksensor. Ich mach dann was ich brauche am Laptop / PC und aus die Maus. 🤷♂️ Da braucht es keine App und keine Biometrie.
Ob es die App auch abseits der zwei Stores gibt, weiß ich nicht. Sind nur diese zwei Quellen angegeben. oesterreich.gv.at/app-digitale…
@BratschCbra am PC / Laptop funktioniert es bei mir wir gewollt (Ubuntu Linux mit Firefox). Am Tablet (Android 12) nicht - da kommt die PIN-Abfrage nicht. Da ich es aber dort nicht brauche (war nur ein Versuch) werde ich dem auch nicht weiter nachgehen.
GoTrust Idem Key USB-C Authentifizierungs-TokenSchützen Sie Ihre sensiblen Daten in der gefährlichen Umgebung des Internets. Der GoTrust Idem Key USB-C Authentifizierungs-Token bietet zuverlässigen und sicheren Schutz für alle Ihre Anmeldedaten.
Level 2 bedeutet grob gesagt, dass keine Firmware-updates möglich sind. Denn mit einem Firmwareupdate ist es potentiell möglich, einen Privatekey aus dem Stick rauszukriegen. Daher erlaubt idaustria nur Level 2.
Die Chips auf dem Stick werden physisch nach dem Aufspielen der Firmware manipuliert (das notwendige Beinchen des Chip wird zerstört), damit ein Aufspielen unmöglich wird.
I know. Aber da ich oben dargelegt habe (und es in dem Thread auch irgendwie um die verschiedenen Token geht) dass ich Yubikeys verwende, hab ich das passend gefunden um die Unterschiede zwischen Yubikey und GoTrust Idem Key aufzuzeigen.
@Jürgen :verigreen:🌗🪐🌌 Es geht auch mit dem Firefox. Da hab ich es nämlich gemacht. Wichtig ist beim Firefox in about:config "security.webauthn.ctap2" auf "true" zu setzen.
@jakob damit wir vom selben reden: was meinst du? Beim Stick das Passwort setzen? Nur hierfür war Chrome nötig, den Rest hab ich eh im Firefox gemacht und funktionierte auch.
Diese Webseite verwendet Cookies zur Erkennung von wiederkehrenden Besuchern und eingeloggten Nutzern. Durch die weitere Benutzung der Webseite akzeptierst du die Verwendung der Cookies.
Jürgen :verigreen:🌗🪐🌌
Unbekannter Ursprungsbeitrag • • •Jürgen :verigreen:🌗🪐🌌
Unbekannter Ursprungsbeitrag • • •Karl Voit :emacs: :orgmode:
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Karl Voit :emacs: :orgmode: • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Nun ist der Support an der Reihe.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •#Digitalisierung in #Österreich:
alles gaaanz einfach. 🤦♂️ 🤬
"Du hast kein kompatibles #Smartphone / Tablet, also besorge dir einen kompatiblen #FIDO2-USB-Stick. Funktioniert auch unter #Linux."
"OK, hab ich, via Handy-SMS (#Handysignatur) eingeloggt und den FIDO2 erfolgreich verknüpft. Danach funktioniert ein Einloggen oder Signieren aber nicht."
"Schreibe eine E-Mail an den Support"
"Ja hab ich gemacht"
Antwort vom Support nach über 1 Woche:
--------
Also das Ganze in Windows 10 ausprobieren, mit Firefox und Edge. Dort kann (in beiden Browsern) der #Sicherheitsschlüssel überhaupt nicht verwendet werden. 🤔
Antwort an Support mit weiteren Screenshots und Infos, mal sehen ob ich irgendwann dann doch eine Antwort bekomme? Oder bin ich mit Abschaltung der #Handysignatur am 05.12.2023 raus aus der "#Digitalisierung"?
Matthias Drexel
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Ojemene. Danke dir, dass du da dranbleibst. Hab grad keinen Kopf dafür, aber es wird wohl notwendig sich damit auseinanderzusetzen. Denn mit meinem privaten Handy wird das sicher nix.
Bleibst du weiter dran?
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Matthias Drexel • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •@matthiasdrexel hier ist die Lösung.
Mission accomplished.
tyrol.social/@mechanical0815/1…
Jürgen :verigreen:🌗🪐🌌
2023-11-02 15:36:36
Matthias Drexel
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Danke dir.
Auf #Linux oder auf #Windoof ?
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Matthias Drexel • • •Matthias Drexel
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Ja, das war mir bekannt. Nur hat dich ja der #Helpdesk auf Windows verwiesen. Daher die Frage, mit welchem #OS du es letztlich zustande gebracht hast.
Danke dir fürs Teilen.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Matthias Drexel • • •Matthias Drexel
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Hab es jetzt am #FP3 probiert. #Murena scheint für #IDAustria im Gegensatz zum #Ebanking kein Problem zu sein.
Was mich freut, wenn ich keinen FIDO Key brauch..
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Matthias Drexel • • •oesterreich.gv.at/app-digitale…
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Des Rätsels Lösung: der PIN des #FIDO2 war nicht aktiviert und ist zwingend notwendig. Steht leider nirgends 🤷♂️. Einfach aktivieren hat sich dann auch nicht gespielt.
Wie ich es schlussendlich gemacht habe:
* Browser Chrome installieren (kann temporär sein).
* in Chrome auf die Seite chrome://settings/securityKeys gehen, dort kann man den #FIDO-#Sicherheitsschlüssel verwalten.
* Schlüssel zurücksetzen / Reset - Achtung, gegebenenfalls abziehen und wieder anstecken, dann Reset machen. Manche Schlüssel erlauben einen Reset nur für einige Sekunden nach dem Anstecken.
* PIN erstellen. Nur dafür hab ich den Chrome-Browser gebraucht, Rest dann wieder mit Firefox (und wohl jeder andere beliebige Browser der FIDO2-Schlüssel unterstützt).
* In A-Trust neu verknüpfen. Und voilà, da wird dann auch gleich der PIN abgefragt. Funktioniert nun. 👍
paradeiser
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf paradeiser • • •@paradeiser hab den GoTrust Idem Key, bestellt hier.
m.alza.at/gotrust-idem-key-usb…
Hab dem Support geantwortet und darauf hingewiesen man könnte das mit PIN-Aktivierung in die FAQ's reinschreiben.
GoTrust Idem Key USB-C | alza.at
AlzaWurzelmann
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Edith Mair 💙💛
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Edith Mair 💙💛 • • •Es gibt auch solche mit USB-A, ich hab mich bewusst für USB-C entschieden, mein Laptop hat einen Anschluss aber auch mein Tablet. Was ich damals noch nicht wusste ist, dass Android bis 12 (anscheinend sogar immer noch nicht) keinen PIN unterstützt, der für die ID-Austria zwingend notwendig ist.
Ohne PIN als 2-Faktor Authentifizierung kann man den Token auch unter Android nutzen, z.B. für Google-Konto.
Ich habe auch damals nur 1 bestellt, was aus heutiger Sicht ein Fehler war. Bestelle mir wohl bald mal einen zweiten, den dann mit USB-A (damit auch am Stand-PC nutzbar ohne dass ich mich verrenken muss um an den einen USB-C-Anschluss am Mainbord zu kommen 🤷♂️ ).
geizhals.at/?cat=sm_rfid&xf=20…
@paradeiser
Speicherkarten/-sticks RFID-Medien mit Besonderheiten: ID Austria kompatibel Preisvergleich Geizhals Österreich
Geizhals.atEdith Mair 💙💛
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Edith Mair 💙💛 • • •@edithmair1
So, nun hab ich endlich einen zweiten #FIDO2-Token. Immer gleich zwei bestellen, das hab ich damals noch nicht gewusst.
Nach der USB-C Variante hab ich den zweiten mit USB-A genommen (mittlerweile wieder verfügbar).
alza.at/gotrust-idem-key-usb-a…
Und Edith, die USB-C Variante hat auch anstandslos mit USB-C auf USB-A Adapter funktioniert (wovon sowieso auszugehen war).
@paradeiser
GoTrust Idem Key USB-A - Authentizierungs-Token | Alza.at
www.alza.atjakob 🇦🇹 ✅ mag das.
Edith Mair 💙💛
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Edith Mair 💙💛 • • •@edithmair1
Würde mal sagen, die meisten Probleme kommen von nicht geeigneten Tokens. Hatte das Problem auch bei einem Yubikey, als geeignet für ID-Austria beschrieben, war er aber nicht. Ein "nur kleiner Unterschied" der Modellbezeichnung. 🤷♂️
Mit den GoTrust Idem Keys von alza passt das, Einrichtung wie schon mal beschrieben, das Hinzufügen als 2. Token hat auch mit dem Neuen anstandslos funktioniert.
Und auch wichtig: verwende die Tokens auch für 2-Faktor-Authentifizierung (schon fast überall auch mit Hardware-Token möglich), damit also regelmäßig in Gebrauch. Auch hier für Mastodon-Web (die App speichert den Zugang), oder auch für das Google-Konto (mit der USB-C-Variante auch am Tablet möglich).
Damit kann ich solche Tokens uneingeschränkt empfehlen, auch wenn man sie für die ID-Austria wenig nützt.
@paradeiser
jakob 🇦🇹 ✅ mag das.
jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •@Jürgen :verigreen:🌗🪐🌌 @Edith Mair 💙💛 @paradeiser
Yep.
Ich hab mir den Yubikey 5C FIPS zugelegt, der ist ID-Austria-fit (Fido2 L2) und der kann auch gpg und pkcs11.
Damit hsbe ich nur auch nach und nach alle meine Zugänge 2FA gesichert.
Sogar das Login auf meiner Linux-Workstation hab ich mit dem gesichert.
Eine wirklich großartige Sache.
Jürgen :verigreen:🌗🪐🌌 mag das.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •@jakob und ich hatte kurzzeitig einen vermeintlich ID-Austria kompatiblen Yubikey 5C NFC (zumindest so bestellt), der dann als Security Key NFC angekommen ist, aber nicht mal der war ID-Austria kompatibel. Das wäre der Security Key NFC Black.
Habs mir überlegt mit dem Yubikey 5C NFC FIPS, aber für OpenPGP hab ich derzeit keinen Gebrauch (und kenn mich da auch nicht richtig aus). Daher dann die Entscheidung für die wissentlich funktionierende (in USB-C Ausführung hatte ich schon einen) USB-A Variante.
Die 2FA damit finde ich schon super.
@edithmair1 @paradeiser
jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •@Jürgen :verigreen:🌗🪐🌌 @Edith Mair 💙💛 @paradeiser
Versteh ich.
Der 5C FIPS mit NFC ist auch schweineteuer... fast einrn hunderter...
Hab für die ID-Austria und die 2FA bei anderen Services noch einen reinen FIDO Token von Yubiko als Backup. Der hat 34€ oder so gekostet.
Und ja, das taugt mir auch sehr.
Jürgen :verigreen:🌗🪐🌌 mag das.
jakob 🇦🇹 ✅
Als Antwort auf jakob 🇦🇹 ✅ • •@Edith Mair 💙💛 @paradeiser @Jürgen :verigreen:🌗🪐🌌
Das ist übrigens mein 2.-Fido Token
yubikey-shop.at/products/secur…
Jürgen :verigreen:🌗🪐🌌 mag das.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •Genau den hab ich geliefert bekommen, der ist definitiv NICHT tauglich für ID-Austria - hab es selbst ausprobiert. Hierfür ist FIDO Certification Level 2 nötig.
Kompatibel ist der Security Key NFC Black.
support.yubico.com/hc/en-us/ar…
jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •Denn ich hab genau den bestellt und bekommen und damit meine ID-Austria aktiviert...
jakob 🇦🇹 ✅
Als Antwort auf jakob 🇦🇹 ✅ • •Und ich hab mich soeben - testweise - mit ID-Austria im A-Trust-Konto angemeldet. Mit genau diesem Token...
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •@jakob @edithmair1 @paradeiser dann muss das ein "Black" sein.
Pin einrichten und 2FA hat mit meinem Exemplar des Security Key problemlos funktioniert, ID-Austria bei mehreren Versuchen nicht.
Es ist auch nur der Black vom Security Key gelistet.
oesterreich.gv.at/dam/jcr:972a…
Und genau das meinte ich mit "nicht geeigneten Token".
Bei den GoTrust Idem's gibt es da keinerlei Verwirrung mit den Bezeichnungen, bei Yubikeys schon.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •So sah es aus, wie gesagt, hab es mehrfach probiert. Der Security Key (also der ohne Black) hat nur Level 1, aber Level 2 wird benötigt.
@edithmair1 @paradeiser
jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •Ah dann hast du den blauen bestellt... ich hab den schwarzen.
Weil der schwarze funktioniert definitiv mit ID-Austria (Weil er Level2 ist)
Edith Mair 💙💛 mag das.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •Und es war definitiv das selbe Modell wie unter dem von dir angegebenen Link (siehe Fotos dort), auf meinem Bild der Rechte.
Der kann nur Level 1, ist damit nicht geeignet.
@edithmair1 @paradeiser
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Ist ja selbst auf der Yubico-Seite als Level 1 gelistet. Ich hatte auch einen schwarzen, aber nicht den mit der Produktbezeichnung Black.
@edithmair1 @paradeiser
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •mein Fazit: man nehme einen GoTrust Idem Key, der ist günstig und funktioniert für ID-Austria und 2FA.
Wer sich mit der Thematik nicht etwas mehr beschäftigt hat (also wem Certification Level 1 oder 2 nichts sagen), der soll lieber die Finger von Yubikeys lassen. Wer mit PGP arbeitet, auf den trifft das wohl nicht zu, da braucht es die FIPS-Variante des Yubikey 5 NFC, der kostet aber 3x soviel wie der GoTrust.
@edithmair1 @paradeiser
jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •@Jürgen :verigreen:🌗🪐🌌 @Edith Mair 💙💛 @paradeiser
Ich glaubs dir.
Dennoch verwirrt es mich.
Hier die Produktzeile aus der Rechnung des Yubikeys mit dem ich mich vorhin testweise mittels ID-Austria angemeldet habe:
"YubiKey Security Key C NFC | ID Austria kompatibel"
Ich hab das Produkt leider nicht fotografiert.
mögen das
Edith Mair 💙💛 und Jürgen :verigreen:🌗🪐🌌 mögen das.
jakob 🇦🇹 ✅
Als Antwort auf jakob 🇦🇹 ✅ • •Und btw... er wird auch hier gelistet
oesterreich.gv.at/id-austria/h…
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •@Edith Mair 💙💛 wie gesagt... ich hab genau DEN gekauft wo ich die Rechnungszeile gepostet habe. Da steht nix von black dabei... und er lässt mich bei ID-Austria authentifizieren. Ist also Level 2
Irgendwo ist da der Hund drin. Ich vermute, Jürgen hat einen falschen geliefert bekommen. Oder der im Versand konnte nicht unterscheiden.
Auf den Keys steht auch nicht drauf, was er für einer ist... der Security, nur Fido2 L2 schaut exakt gleich aus wie der 5C FIPS, der deutlich teurer ist und mehr kann.
Nur auf der Rückseite steht beim einen fast nicht lesbar "FIDO" und beim anderen "FIPS" und eine längere Zahl drauf in grau auf schwarz.
Beide funktionieren hier für mich einwandfrei. Und nach meiner Odyssee mit dem Nitrkokey 3-Klumpert bin ich grad einfach nur dankbar endlich ein Teil zu haben, das genau das tut, was es soll.
@paradeiser @Jürgen :verigreen:🌗🪐🌌
mögen das
Edith Mair 💙💛 und Jürgen :verigreen:🌗🪐🌌 mögen das.
Wurzelmann
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Wurzelmann • • •Dokumentation ist hierzu klar verbesserungswürdig.
Wurzelmann
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •Klaudia (aka jinxx)
Als Antwort auf Wurzelmann • • •Wurzelmann
Als Antwort auf Klaudia (aka jinxx) • • •Klaudia (aka jinxx)
Als Antwort auf Wurzelmann • • •Wurzelmann
Als Antwort auf Klaudia (aka jinxx) • • •Klaudia (aka jinxx)
Als Antwort auf Wurzelmann • • •Klaudia (aka jinxx)
Als Antwort auf Klaudia (aka jinxx) • • •Wurzelmann
Als Antwort auf Klaudia (aka jinxx) • • •Klaudia (aka jinxx)
Als Antwort auf Wurzelmann • • •Wurzelmann
Als Antwort auf Klaudia (aka jinxx) • • •@viennawriter WTF... danke für die Info, ich hatte gehofft, das ginge... 😔
Viel Erfolg!
Klaudia (aka jinxx)
Als Antwort auf Wurzelmann • • •Wurzelmann
Als Antwort auf Klaudia (aka jinxx) • • •Florian Haas
Als Antwort auf Wurzelmann • • •@wurzelmann
Hmmm. Also ich hab hier einen YubiKey 5 NFC, dem ich (auf einer Ubuntu-Kiste) mit
ykman fido access change-pin
einen PIN verpasst habe.
Wenn ich jetzt versuche, den via a-trust.at/konto/Handy-Signatu… zu verknüpfen, dann laufe ich da zwar durch alle Prompts durch, werde auch nach dem PIN gefragt, aber dann:
Error: This FIDO token could not be verified.
Irgendeine Idee, was ich da noch falsch machen könnte? 🤔
A-Trust Konto
www.a-trust.atWurzelmann
Als Antwort auf Florian Haas • • •@xahteiwi Ich fürchte, das ist die Antwort:
"Achtung: Token der „YubiKey 5 Series“ sind nicht FIDO2 Level 2 zertifiziert und können daher nicht als zweiter Faktor für die ID Austria bzw. Handy-Signatur verwendet werden."
a-trust.at/de/%C3%BCber_uns/ne…
A-Trust | News
www.a-trust.atFlorian Haas
Als Antwort auf Wurzelmann • • •@wurzelmann
*Oh!* Danke für den Hinweis.
... HUNDERT verdammte Euro WTF?! 😳
@mechanical0815
Wurzelmann
Als Antwort auf Florian Haas • • •@xahteiwi
Ja, aber vergiss das. Der verlinkte ist voll okay, hab ich mir auch gekauftes und bin sehr zufrieden damit:
tyrol.social/@mechanical0815/1…
@mechanical0815
Jürgen :verigreen:🌗🪐🌌
2023-11-03 07:04:24
Christian Bratsch
Als Antwort auf Wurzelmann • • •@wurzelmann @xahteiwi
sorry dass ich da reingrätsche
bei mir steht das mit ID austria ja auch an
Handy Signatur hab ich
aber kein smartphone
die fingerprinterkennung am tablet hat fehlerrate von 50%
kann ich ID austria vergessen?
wie geht das dann mit finanz online etc?
ich lauf grad a bisserl unrund
Wurzelmann
Als Antwort auf Christian Bratsch • • •Christian Bratsch
Als Antwort auf Wurzelmann • • •@wurzelmann @xahteiwi
ihr seids super
das les ich mir morgen durch, für heute ist mir das zu kompliziert
Christian Bratsch
Als Antwort auf Christian Bratsch • • •ich hab mal soweit verstanden
1. das ist ein hardware teil das ich auf versch. geräten verwenden kann - ggf mit USB adapter
2. da ist ein indiviueller Code, den muss ich beim upgrade von der handysignatur hinterlegen
3. iOS und Android sind bevorzugt
Christian Bratsch
Als Antwort auf Christian Bratsch • • •@wurzelmann @xahteiwi
folgende fragen hab ich erstmal
1. muss das immer auf einem mobilgerät laufen, oder kann ich ggf qauch am windows PC arbeiten?
2. ist es denkbar am KaiOS zu installieren
3. meine haupttelefonummer ist am handy - kein smartphone, kaiOS - kleiner USB Anschluss, nicht USB-C
im tablet (Samsung outdoor mit Android) hab ich eine andere karte, anderer anbieter etc - aber USB-C. hab ich nicht immer mit
welches gerät / Nummer ist sinnvoller ? wechseln möglich?
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •@BratschCbra @wurzelmann @xahteiwi mit einem FIDO2 bist von Gerät und App quasi unabhängig und nutzt die Web-Version in einem Browser der WebAuthn unterstützt (ich verwende Firefox).
Also ja, PC mit Win möglich.
Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •@wurzelmann @xahteiwi
sehr geil - das hört sich gut an
hab auch firefox auf den PCs und am android tablet
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •Und ohne Firefox auf "Desktop-Seite" einzustellen sagt A-Trust sogar, dass ein Einloggen nur mit der App möglich ist. 🤬
Nein, ich werde mir diese verdammte App sicher nicht runterladen!!!
Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •also geht das doch nicht so easy
kann man die APP (auch wenn ichs vermeiden will) einfach so runterladen oder nur mit google konto und so(das verweigere ich bislang nämlich)
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •@BratschCbra naja, bei mir war das ja der Grund für die Entscheidung zum Fido-Key: gerootetes Tablet ohne Fingerabdrucksensor.
Ich mach dann was ich brauche am Laptop / PC und aus die Maus. 🤷♂️ Da braucht es keine App und keine Biometrie.
Ob es die App auch abseits der zwei Stores gibt, weiß ich nicht. Sind nur diese zwei Quellen angegeben.
oesterreich.gv.at/app-digitale…
Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •aber geht es jetzt oder nicht ?
mir wär am liebsten den key am pc/laptop oder tablet anzustecken und gut isses - aber so einfach geht das wohl nicht
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •Am Tablet (Android 12) nicht - da kommt die PIN-Abfrage nicht. Da ich es aber dort nicht brauche (war nur ein Versuch) werde ich dem auch nicht weiter nachgehen.
Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •ok
verstanden
dann werd ich mir so ein teil bestellen
hast du vorschläge? geren auch per PN
ich blicke bei der vielfalt nicht durch
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •@BratschCbra tyrol.social/@mechanical0815/1…
Jürgen :verigreen:🌗🪐🌌
2023-11-03 07:04:24
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •@BratschCbra
Und schau dir den Beitrag von @viennawriter an.
literatur.social/@viennawriter…
Klaudia (aka jinxx)
2023-11-20 12:28:43
Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •@viennawriter
eh
muss ich aber mehrmals lesen
ist so garnicht mein ding
ich würd lieber die fertigung von dem tokengehäuse machen ;)
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf Christian Bratsch • • •Christian Bratsch
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • • •@viennawriter
ich will das jetzt über die feiertage angehen und mir dazu die keys bestellen
will yubikey nehmen
is der yubikey 5 nfc ok, oder soll es der FIPS sein?
kann ich auch einen USB Adapter verwenden (Tablet / Laptop/PC)
werde der empfehlung von von @viennawriter folgen und gleich 2 stück holen
geht v.a. um ID azustria ohne smartphone und als zweites evtl. auch microsoft zeug
Danke
Klaudia (aka jinxx)
Als Antwort auf Christian Bratsch • • •Klaudia (aka jinxx)
Als Antwort auf Klaudia (aka jinxx) • • •Christian Bratsch
Als Antwort auf Klaudia (aka jinxx) • • •@viennawriter
Vielen Dank!
USB Adapter?
PC hat nur USB A, Tablet und Laptop auch USB C
Klaudia (aka jinxx)
Als Antwort auf Christian Bratsch • • •Clemens aka data
Als Antwort auf Klaudia (aka jinxx) • • •Christian Bratsch
Als Antwort auf Klaudia (aka jinxx) • • •@viennawriter @datacop
wäre vermutlich schlauer auf usb c zu gehen und fürs "alte" gerät einen adapter zu holen
Klaudia (aka jinxx)
Als Antwort auf Christian Bratsch • • •jakob 🇦🇹 ✅
Als Antwort auf Wurzelmann • •@Wurzelmann
Level 2 bedeutet grob gesagt, dass keine Firmware-updates möglich sind.
Denn mit einem Firmwareupdate ist es potentiell möglich, einen Privatekey aus dem Stick rauszukriegen.
Daher erlaubt idaustria nur Level 2.
Die Chips auf dem Stick werden physisch nach dem Aufspielen der Firmware manipuliert (das notwendige Beinchen des Chip wird zerstört), damit ein Aufspielen unmöglich wird.
@Florian Haas @Jürgen :verigreen:🌗🪐🌌
jakob 🇦🇹 ✅
Als Antwort auf Wurzelmann • •@Wurzelmann @Jürgen :verigreen:🌗🪐🌌
Für die Yubikeys gibts eine eigene Anwendung zum Verwalten und setzen (auch der Pins). Auch für Linux.
Jürgen :verigreen:🌗🪐🌌 mag das.
Wurzelmann
Als Antwort auf jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
Als Antwort auf Wurzelmann • •@Wurzelmann @Jürgen :verigreen:🌗🪐🌌
I know.
Aber da ich oben dargelegt habe (und es in dem Thread auch irgendwie um die verschiedenen Token geht) dass ich Yubikeys verwende, hab ich das passend gefunden um die Unterschiede zwischen Yubikey und GoTrust Idem Key aufzuzeigen.
Wurzelmann mag das.
Wurzelmann
Als Antwort auf jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
Als Antwort auf Jürgen :verigreen:🌗🪐🌌 • •Es geht auch mit dem Firefox. Da hab ich es nämlich gemacht.
Wichtig ist beim Firefox in about:config
"security.webauthn.ctap2" auf "true" zu setzen.
Jürgen :verigreen:🌗🪐🌌
Als Antwort auf jakob 🇦🇹 ✅ • • •Beim Stick das Passwort setzen? Nur hierfür war Chrome nötig, den Rest hab ich eh im Firefox gemacht und funktionierte auch.
jakob 🇦🇹 ✅ mag das.