Login
Newsletter
Werbung

Thema: Google stellt OpenSK, eine vollständig offene USB-Key-Implementation vor

6 Kommentar(e) || Alle anzeigen ||  RSS
Kommentare von Lesern spiegeln nicht unbedingt die Meinung der Redaktion wider.
0
Von Josef Hahn xh am Di, 4. Februar 2020 um 16:33 #

Da ist Google sicher pfiffiger als ich - und bestimmt auch tiefer im Thema. Sobald sie genug Verbreitung haben, könnten sie vielleicht eine Ehrenrunde über die Google-Server als zweiten Faktor einführen - zuerst wieder als spendables Zusatzangebot, an dem aber dann irgendwann wieder niemand vorbeikommt. Oder sie packen Metadaten in den Key, für irgendwelche Convenience-Features, die dann immer verpflichtender werden. Wie EEE eben so läuft... Das sind nur Mutmaßungen, ich kenne FIDO nicht in der Tiefe. Aber Möglichkeiten für EEE bieten sich doch in praktisch jedem Standard, der komplexer als Ping oder Echo ist.

[
| Versenden | Drucken ]
  • 0
    Von klopskind am Di, 4. Februar 2020 um 18:26 #

    Ich dachte in Anbetracht der Diskussionsbeiträge, Ihnen würde da ein konkreteres Szenario vorschweben. Nun gut, falsch gedacht. :)

    In der FIDO-Allianz sind sehr viele Großunternehmen. Es geht hier ja um die Interoperabilität, damit z.B. Anwender mehrere Online-Dienste ohne größere Umstände parallel verwenden können (Konten, Profile, Cloud-Geraffel etc.). Es wäre eine Win-Win-Situation für alle. (Das erinnert ein wenig an die Etablierung und Ausweitung des Zahlens per Plastikgeld, nur dass dort die Standards nicht offen sind.)

    Um hier also von EEE profitieren zu können, müsste man demnach doch bereits den erheblichen Teil des Marktes an Authentifizierungslösungen per FIDO dominieren, oder sehe ich das falsch? Was nützt also EEE an diesem Punkt, wenn man ohnehin schon marktbeherrschend ist? Klassisches EEE beginnt ja nicht in der Rolle des Monopolisten.

    Ich denke, dass die Möglichkeiten für EEE auch für Google an dieser Stelle stark begrenzt sind. An anderer Stelle sieht das sicherlich schon wieder ganz anders aus.

    [
    | Versenden | Drucken ]
    • 0
      Von Josef Hahn xh am Di, 4. Februar 2020 um 18:59 #

      > Ich dachte in Anbetracht der Diskussionsbeiträge, Ihnen würde da ein konkreteres Szenario vorschweben. Nun gut, falsch gedacht.

      Da sind wieder die klopskind'schen rhetorischen Taschenspielertricks gepaart mit einer kleinen Frechheit. :) Ich habe dir ja relativ konkrete Szenarien beschrieben, die mir vorschweben. Ob sie technisch fundiert sind oder nicht, und warum, _das_ wäre ein interessanter Input. Die Erörterung, welche Rollen welche Spieler in der Definition von "klassischem EEE" einnehmen, ist hingegen wieder eine Blendgranate.

      [
      | Versenden | Drucken ]
      • 0
        Von klopskind am Di, 4. Februar 2020 um 20:28 #

        Ich habe dir ja relativ konkrete Szenarien beschrieben, die mir vorschweben.
        Wie konkret diese Szenarien nun tatsächlich sind, sei einmal dahingestellt. Als Teil eines konkreten Szenarios sehe ich aber auch die Machbarkeit, nach der ich in diesem Zusammenhang explizit gefragt hatte. Meine Frage, wie realistisch diese Szenarien wären, haben Sie mich an der Stelle bestenfalls mit "[...] Wie EEE eben so läuft... Das sind nur Mutmaßungen, ich kenne FIDO nicht in der Tiefe. Aber Möglichkeiten für EEE bieten sich doch in praktisch jedem Standard, der komplexer als Ping oder Echo ist." abgespeist. Konkret finde ich das nicht gerade.

        Und hier von "klopskind'schen rhetorischen Taschenspielertricks gepaart mit einer kleinen Frechheit" zu sprechen, hilft niemandem wirklich weiter. Ich würde es bestenfalls Spitzfindigkeit nennen.

        Die Erörterung, welche Rollen welche Spieler in der Definition von "klassischem EEE" einnehmen, ist hingegen wieder eine Blendgranate.
        Dann untermauern Sie diese Behauptung doch mit sachlichen Argumenten. Oder ist Google an dieser Stelle bereits schon in Phase zwei von EEE? Ziehen Sie doch mal die Parallelen zu Microsoft Office und Wordperfect/Lotus-1-2-3 oder Microsoft IE ActiveX und Netscape Navigator Plugins oder J/Direct und Suns JNI in den konkurrierenden Java-Implementierungen. Das hier liegt so weit unten im Software-Stack, ist offen und wird von einer breit unterstützten Allianz standardisiert. Möglicherweise gibt es innerhalb der Allianz sogar Abkommen, kein EEE bzgl. von FIDO-Komponenten durchzuführen.

        [
        | Versenden | Drucken ]
        • 0
          Von Josef Hahn xh am Mi, 5. Februar 2020 um 12:41 #

          Wie gesagt kenne ich die technischen Details _nicht_, und hätte mich über eine Einordnung gefreut bezüglich meiner Überlegungen "zweiter Faktor per Google-Cloud - zuerst optional, dann scheibchenweise mit höherer Durchdringung immer bindender", oder "Metadaten im Key für Convenience-Features, auch zuerst optional, dann ...". Das fiel mir halt anhand meiner dünnen Vorstellung so ein, und habe keine Vorstellung, wie machbar oder schlüssig das wäre. Das weiß ich jetzt leider immernoch nicht, weil du dich wieder an anderen Dingen aufhälst. Und ob du es jetzt EEE nennen willst, oder ein anderer Begriff besser passt, ändert ja am Sachverhalt nichts. Der letzte Schritt ist vielleicht nicht "auslöschen", sondern "an sich reissen" - wie sie es im www machen.

          Was ich vorallem sehe, auch hinsichtlich deines "Klassisches EEE beginnt ja nicht in der Rolle des Monopolisten": FIDO steht nicht alleine. Es gibt heute Authentifizierungslösungen; die Verbreitetste ist ein stumpfes Passwort. Man kann sicher darüber streiten, ob das besser geht oder nicht. Aber heute kann ich mich noch (fast) überall einloggen ohne Google-Technologien. Und da höre ich die Nachtigall trapsen: Könnte Google ein Interesse daran haben, sich mit irgendwas dazwischenzudrängen, damit Authentifizierung im Web (und generell im Netz) irgendwann etwas ist, wozu man die Großklubs auch noch braucht?

          Das sind Überlegungen und Fragen, nichts weiter. Wenn du mir schlüssig erklären kannst, warum das alles paranoider Blödsinn ist, wäre ich dir nicht böse. ;)

          [
          | Versenden | Drucken ]
          • 0
            Von klopskind am Mi, 5. Februar 2020 um 17:52 #

            Zu Ihrem zweiten Absatz, wenn es um Authentifizierungslösungen generell geht:
            Mit dem Browser machen das Google und Mozilla ja bereits. Die Passwortverwaltung findet meines Wissens nach, je nach dem, ob man ein Konto verwendet, auf den Systemen von Google bzw. Mozilla statt. So braucht man ja nur noch ein Passwort für allen Online-Kram und kommt auch wieder dran, wenn plötzlich die lokalen Daten verschwunden sein sollten. Es ist einfach so praktisch!

            Auch Android bzw. iOS selbst sind in gewisser Weise Authentifikatoren. Dort liegen Geheimnisse, auf die im Optimalfall nur der Besitzer Zugriff hat (per PIN etc.). Zudem ist die Mobilfunknummer eindeutig einer Person zuzuordnen. Auch bei Prepaid muss ja inzwischen zwangsweise ein Identität registriert werden.
            Das merkt man an den ganzen IdeenSpinnereien und Zukunftsklänge von Krankenkassen und Kreditinstituten für Arztbesuche, Fitnessapps zur Bewertung des Risikos deiner Person als Versicherungsfall, Authentifizierung von Bezahlvorgängen, Autoschlüsselersatz, Park- , Flugerlaubnis oder Reiseerlaubnis wie etwa der Reisezertifikatersatz im Nah- und Fernverkehr DB (Apps oder elektronische Dokumente als Fahrschein) und natürlich zur Identifikation.

            In dieser Hinsicht muss man diese Entwicklungen schon kritisch betrachten. Ein OpenSK allein, was hier als OSS über den Zaun geworfen wird, ist für sich genommen ein anderes Thema, das nicht dieser Reichweite entspricht. Das ist ein winzig kleines Zahnrad, das allein nicht relevant wäre, für die Maschinerie. Das wäre bestenfalls die Spitze des Eisbergs. In der Hinsicht stimme ich Ihnen zu. Jetzt verstehe ich auch, worauf Sie eigentlich hinaus wollten.

            [
            | Versenden | Drucken ]
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung