"KEYLESS GO - so einfach war Autodiebstahl noch nie"

    Zitat von Birdie

    eigentlich ist Dein Beispiel nur eine Bestätigung des Unsicherheitsargument.
    JA es ist vermutlich schwerer zB Google oder FB zu hacken. Aber zum einen gibt man den Datenkraken dadurch freiwillig (sik) noch mehr Daten über sich (ist absolut ein Sicherheitsproblem, auch wenn das die meisten nicht erkennen können oder wollen!), zum anderen reicht ein Datenleak dort, das gabs ja zum Glück noch nie, und ALLE Accounts sind kompromittiert...


    Ob da nun die gewonnene Bequemlichkeit vor dem Risiko steht, muss natürlich jeder selbst für sich bewerten.


    Also Danke für das Bestätigen von Wannabe ;)

    Wie ich schon sagte, Sicherheit ist ein Trugschluss. Jedoch ist es trotzdem sicherer, als wenn ein Anbieter es selbst macht, denn dieser hat weit weniger Kapazitäten. Ein Datenleak reicht übrigens nicht aus, denn diese werden verschlüsselt abgelegt. Und nein, Google/FB erhalten keinerlei Informationen vom besagten Anbieter. Es ist hier sogar anders herum.
    Daraus folgt: höhere Bequemlichkeit != größeres Risiko.

    Zitat von Birdie

    Und die Erde ist eine Scheibe... X/

    Worauf genau bezieht sich das? Was ich oben schrieb ist Fakt, denn das folgt direkt aus der Technologie selbst (und deren Spezifikation). Wenn man vom Gegenteil überzeugt ist, dann möchte ich die konstruktive Argumentation dazu hören. Ich schreibe das nicht weil ich das irgendwo gelesen habe, sondern Erfahrungen aus erster Hand als Softwareentwickler.


    Übrigens hinkt der Vergleich zu den Flatearthlern schon extrem und ist m.M.n. hier nicht angebracht.

    Zum Glück driftet das. Ich immer mehr in OT ab... aber ok.


    Ich implementiere Federations-Protokolle bei uns und bin an den Bewertungen der Risiken mit beteiligt, weiß also schon durchaus, wovon ist schreibe.


    Selbstredend bekommt der IDP (Google o.ä.) Informationen, mindestens, dass ein Benutzer auf einen Dienst zugreift, und wann sowie von wo. Je nach (schlechter) Implementation evtl. sogar auf was innerhalb des Dienstes der Benutzer zugreift. Ich verwalte einen solchen IDP mit meinem Team und man kann, zB bei Fehlersuchen, wunderbar in den Logfiles ablesen, wer da was macht.
    Und welche Daten (Claims) über den jeweiligen Benutzer der Dienst wiederum erhält, kannst Du als User nicht beeinflussen, da das zwischen dem Dienst und dem IDP konfiguriert wird und nicht auf Userebene.
    Das alles weißt du als SW Entwickler aber natürlich, weshalb ich jetzt noch verwirrter bin...


    Deshalb der Vergleich zu Flatearthern, denn die verschließen auch ihre Augen vor dem offensichtlichen...daher auch mMn passend. ;)

    TSchau


    ___________________
    (____________
    ______________) t e f a n

    Gefällt mir 2

    Erst jetzt verstehe ich worauf du dich bezieht. Und klar, wenn der Dienst sich vollständig auf Google/FB verlässt, so kann dieser entspr. auch einige Daten einsehen, doch die Kommunikation der wirklich sensiblen Daten läuft dann ja nicht über Google/FB sondern es wird nur deren Access Token genutzt um überhaupt mit dem entspr. 3rd Party Service zu kommunizieren. Ja man kann ungefähr nachvollziehen, wann welcher User auf welchen Dienst zugreift, jedoch nicht, welche Daten hin- und hergesendet werden (außer die Implementierung ist wirklich schlecht, aber darum geht es mir nicht). Als Entwickler eines solchen Dienstes kann Maßnahmen ergreifen, wodurch auch Google/FB keinen durch den User unautorisierten Zugriff bekommen, selbst mit korrektem Access Token (z.B. über Standort-/Gerätebindung). Als User kann man aber andersherum normalerweise schon beeinflussen, welche Daten ein Dienst von Google/FB erhalten kann.
    Hackern gegenüber ist die Implementierung aber in der Regel ebenfalls sicherer, als wenn ein Dienstanbieter eine eigene Technologie entwickelt oder die normale Benutzername/Passwort Kombination nutzt (mal angenommen es handelt sich um einen normalen Dienst und nicht um eine Firma, der es genau darum geht eine neue sichere Technologie zu entwickeln).
    Prinzipiell ist es für den unerfahrenen User trotzdem sicherer und zugleich einfacher, als ein normale Login, denn damit ist er z.B. besser gegen Phishing geschützt. Wenn der Dienst nun Daten leakt, dann sind dort nur die Daten dieses Dienstes selbst drin und keine Informationen über Kundenpasswörter. Neben alledem muss auch das Personal geschult sein, um derartige Leaks zu vermeiden - das ist gerade bei kleineren Dienstanbietern häufig ein Problem.
    Als User hat man aber schon einen gewissen grad an Kontrolle, denn dies wird über die Scopes im OAuth2 Protokoll geregelt. Nicht ganz präzise aber es geht in die Richtung.


    Letztendlich war die Antwort nur so gemeint, dass es möglich ist etwas sicherer und gleichzeitig einfacher für den User zu machen. Ist es perfekt? Nein, denn das ist unmöglich. Geht es sicherer bei weniger Bequemlichkeit? Sicher, aber m.M.n. nicht nötig.


    Um zurück zum Thema Keyless go zu kommen:
    OAuth2 muss nichts mit Google/FB zu tun haben. Es ist ja nur ein Sicherheitsprotokoll im Internet und war auch nur als Beispiel gemeint. Für offene Netzwerke (wie das Funknetz) ist es auch nicht ohne weiteres nutzbar, dazu muss ein Protokoll oben drauf gesetzt werden, das die Signallaufzeit genau misst und auswertet. Vom Standpunkt Schlüssel verlieren gegenüber Handy verlieren, so ist bei letzterem ein Autodiebstahl nicht unbedingt auch wahrscheinlich.
    So wie ich das sehe ist es definitiv möglich Keyless go sicherer und zugleich bequemer zu machen, als es der Autoschlüssel ist, trotz Funkübertragung. Man muss es nur richtig machen.

    Zitat von Wannabe

    Sicherheit ist nunmal immer unbequem.


    Die maximale Bequemlichkeit ist immer unsicher.


    Und dies ist immer noch nicht widerlegt.


    Auch mit OAuth muss der Nutzer noch ein Passwort eingeben, also ist die maximale Bequemlichkeit noch nicht erreicht.


    Stichwort: Haus-/Wohnungstür abschließen vs. nicht abschließen

    Zitat von Wannabe

    Und dies ist immer noch nicht widerlegt.


    Auch mit OAuth muss der Nutzer noch ein Passwort eingeben, also ist die maximale Bequemlichkeit noch nicht erreicht.


    Stichwort: Haus-/Wohnungstür abschließen vs. nicht abschließen

    So gut wie jeder, den ich kenne benutz den Chrome und hat dort sein Profil eingespeichert. Eingabe des Passwortes bei bekannten Geräte+Standort-Kombinationen ist nicht nötig (zumindest bei Google). Der Verlust des Gerätes heißt dann nicht, dass man sofort gehackt werden kann (vorausgesetzt man schaltet die eingebauten Sicherheitsfunktionen nicht einfach aus). Klar sollte man dann auch was unternehmen, wie es bei EC/KreditKarten der Fall wäre.


    Aber ich stimme zu, dass es immer noch besser geht.
    Mir ging es nur darum, dass man nicht pauschal sagen kann, dass Sicherheit auch Unbequemlichkeit bedeuten muss. Und dies kann ich spätestens mit einer Eigenentwicklung zeigen, die ich auch niemandem vorenthalten will. Einen Thread hierzu wird es geben. Bis dahin: Alutasche.

    Wie macht ihr das mit dem Zweitschlüssel überhaupt, habt ihr da dann jeweils eine zweite Alutasche für?


    Bei uns hängen die Zweitschlüssel der Autos im Flur direkt hinter der Wohnungstür im Schlüsselkasten.
    Der Schlüsselkasten ist natürlich nur aus Holz und da ist es so schon sehr eng drin, mit ner Tasche würde das gar nicht passen.
    Allerdings wollten wir uns eh mal nen anderen Schlüsselkasten holen.


    Gibt es da evtl. Schlüsselkästen, die direkt eine abschirmende Funktion haben?
    (Suche hat bisher nix ergeben, immer nur diese Taschen)

    ND RF G184 SL ACT-P Magmarot mit L&P A291 Auspuffblenden, Antenne "Stubby", Blindstöpsel Getränkehalterloch by edelen und Zymexx Staufachteiler für Handschuhfach mit Antirutschauflage

    Also ich hab jetzt für jeden Schlüssel eine solche Tasche. Den zweiten brauche ich eh fast nie, und „meinen“ muss ich jetzt halt morgens/abends raus bzw. rein in die Tasche. Im Urlaub werde ich diese Tasche verm. Mitnehmen...

    TSchau


    ___________________
    (____________
    ______________) t e f a n