Ich bin im Leben nicht der wirkliche Windows-Fan, aber ich würde in diesem Fall einfach mal den Fehler nicht im Windows, dem Browser oder dem Browser-Bug festmachen!
Anstatt dessen würde ich mal hinterfragen, ob es nötig und sinnvoll ist, dass Websites die ja eigentlich nicht ohne Grund einen 2FA-Login integrieren, diesen Sicherheitsgewinn parallel mit so etwas profanen, wie einem Cookie, selber wieder aushebeln und somit „ad absurdum“ führen!?
Wenn ich dann noch lesen muss, dass dies der Bequemlichkeit des Nutzers dienen soll, platzt mir so ein bisschen der Sack!! Bequemlichkeit war noch nie der beste Ratgeber, um Datensicherheit zu generieren - eher im Gegenteil. Das ein 2FA-Login für den Benutzer komplizierter ist und einen Mehraufwand von ihm verlangt, ist doch einer der Gründe, wieso diese Art des Logins mal entwickelt wurde. Wenn man diesen Mehraufwand nun wieder automatisiert, zum Beispiel durch Cookies, kann man sich auch den ganzen Quatsch ersparen!!
Wenn Du beim E-Commerce oder anderen Online-Dienstleistungen die Nase vorne haben willst, musst Du den Nutzern viel Bequemlichkeit anbieten, sonst wandern sie ab. Deswegen wird z.B. Amazon seinen Kunden nie mehr abverlangen, als unbedingt nötig ist…
Richtig, denn der Kunde ist König…das war auch schon ohne Internet so! Aber heutzutage sind die Kunden genauso schnell weg, wenn sie merken, dass sich das Unternehmen einen Schei**dreck um ihre Sicherheit schert.
Im Übrigen kann man auch dem Kunden einen guten Service bieten inklusive der Bequemlichkeiten, ohne dabei die gesamte Sicherheit des Konzeptes zu riskieren! Man darf die beiden Punkte nur nicht gegeneinander ausspielen! 
Das will ja auch niemand. Ich befürchte, den meisten ist unbewusst erstmal der Komfort wichtig. Datenschutz ist so irgendwie nice to have. Das wird immer erst wichtig, wenn man mal selbst betroffen war. Aber dann ist es ja zu spät…
Haben diese Hardware TPMs/Fido Sticks/Security Enclaven denn keinen zweiten Modus, wo nur auf das Gerät geprüft wird, ohne dass der Anwender die Abfrage bestätigen muss? Das wäre sicher und bequem.
Nachteil so einer eindeutigen Gerätekennung wäre natürlich die verlorene Privacy, also sollte das abschaltbar sein, oder zumindest eine in Hardware implementierte Warnleuchte bei der Abfrage angehen.
Eine Login-Absicherung über einen Hardware-Dongle, arbeitet ja auch ganz anders, als ein 2FA über den Browser selber! Meines Erachtens sind diese immer noch ungeknackt - siehe Yubikey seit 2008.
https://developers.yubico.com/WebAuthn/ kann doch den YubiKey nutzen:
With WebAuthn, servers can integrate with authenticators such as the YubiKey, a USB token, a smart phone, Apple’s Touch ID, and Windows Hello. The private key is securely stored on the device, while the server stores the public key and randomly generates challenges for the authenticator to sign. The signature proves possession of the private key, and the random challenge prevents replay attacks.
Meine Bequemlichkeitsidee von oben war aber wieder zu kurz gedacht: Was ist, wenn das Notebook geklaut wurde? Dann kommt der Dieb ohne Fingerscan in meine Accounts rein! Und FaceID muss man auch bestätigen, sonst entführt der Hacker den Browser mit einem versteckten Window und überweist Geld von meinem Konto, während FaceID der Bank bestätigt, dass ich davor sitze, aber ich bekomme von all dem gar nichts mit. Also nix mit Bequemlichkeit, bestätigen muss man eh immer.
Andererseits, wenn ich eh in meinem Bankaccount eingeloggt bin, kann der Hacker trotzdem noch im Hintergrund ein zweites unsichtbares Fenster aufmachen und dort Unfug treiben.
Und wenn keine Cookies angelegt werden dürfen, weil der Hacker die sonst kopieren kann, wie verwaltet die Bank dann die Session ID? An die URL angehängt, was der Hacker auch wieder kopieren könnte, oder über IP und Port? Für ein zweites Fenster braucht man einen anderen Port, vermute ich.
Was soll dann sein, außer das es weg ist? Der private Schlüssel ist doch auf dem YubiKey. Würde dann ja bedeuten, dass der Dieb zwar dein Laptop besitzt und event. deinen lokalen Windows-Zugang knackt…aber danach??
Klar, wenn man sein Läppi mit eingestecktem YubiKey auf dem Tisch stehen lässt, wenn man das Haus verlässt, sieht die Sache natürlich etwas anders aus! Man benutzt aber keinen Hardware-Dongle, um diesen dann 24/7 am Gerät zu lassen!! Dann kann man sich wirklich besser das Geld für den Dongle sparen.
Dann hattest du aber von vorne rein schon ein viel größeres Problem, nämlich ein im Vorfeld schon übernommenes Gerät (durch einen Trojaner oder meinetwegen auch durch einen Hacker in Person).
Wovon reden wir denn jetzt hier? Sämtliche Authentifizierungsmaßnahmen z.B. im Bezug aufs Online-Banking, machen doch nur Sinn, wenn sie von einem „sauberen“ Gerät aus, durchgeführt werden. Das Szenario erinnert mich irgendwie an diesen Schwachsinn hier:
S-Protect soll das Online-Banking sicherer machen, sogar auf infizierten Rechnern.
So siehts nämlich am Ende des Tages immer aus!! Hier ist die Bequemlichkeit immer der Feind der Datensicherheit. Ich persönlich halte Online-Banking für absolut fahrlässig, so oder so! Denn auch wenn alle technischen Voraussetzungen soweit passen, stellt sich ja nur die Frage, für wie lange dies der Fall ist!? Online-Banking ist in meinen Augen kein Kundenservice, sondern lediglich eine Erfindung der Banken und Sparkassen, um ihr Filialnetz und den Betrieb ihrer Automaten einschränken zu können, um weiter die eigenen Gewinne zu maximieren!!
Um sich dann online beklauen zu lassen, soll man vorab auch noch horrende Kontoführungsgebühren entrichten - vielen Dank dafür 
Hinzu kommt ja noch, dass im Falle eines Online-Diebstahls, das Opfer die Beweislast trägt und somit in den allermeisten Fällen, auf seinem Schaden sitzen bleibt. Das kann schon nicht passieren, wenn man beim Offline-Banking bleibt und seine Geldgeschäfte am Bankomaten und in der Filiale tätigt!
Klingt altmodisch…mag sein, ist aber so!
Allen anderen Online-Fetischisten, die dies nutzen wollen oder auch müssen, kann man nur zur absoluten Vorsicht raten und das sie nicht der Gewohnheit und Bequemlichkeit zum Opfer fallen!
1 „Gefällt mir“
OK, wenn man nur den externen YubiKey betrachtet, da ist es dann schon egal, wenn das Notebook geklaut wird. Ich habe halt alle Hardware Tokens in einen Topf geworfen, also auch die, welche fest ins Gerät eingebaut sind, z.B. TPM oder Security Enclave. Die brauchen aber auch Biometrie, oder? Also ohne Fingerscan oder FaceID geben auch TPM und Co. nix raus, nehme ich mal an. Dann ist es ja egal, im Gegenteil, mit einem externen billigen YubiKey ohne Fingerscanner oder Tastatur ist man dann sicherheitstechnisch schlechter dran, wenn man den verliert.
Während zum Beispiel TPM eine rein lokale Lösung ist, die sich immer nur auf das eine Gerät jeweils anwenden lässt, ist ein YubiKey (oder halt ähnliche Hardware-Dongles) eine Authentifizierungsart, die nicht unbedingt geräteabhängig ist, sondern unabhängig den Nutzer an verschiedenen Rechnern authentifiziert.
Grob formuliert, sorgt TPM z.B. für die Geräteintegrität und der Dongle für die Benutzerintegrität. BTW sind viele Dongle-Varianten auch zusätzlich mit einem Fingerabdruck-Sensor ausgestattet.
1 „Gefällt mir“