FIDO2 unter Linux - Kreditkarte Authentifikation ohne Smartphone

[DIY-Junkie]

Ich habe kürzlich gezwungenermaßen eine Kreditkarte bestellt (VISA, über die Sparkasse).
Um damit jedoch Zahlungen zu tätigen brauche ich eine App, die S-ID Check genannt wird. Die gibt es nur für Android und IOS Geräte. Ich habe weder das eine noch das andere, sondern ein google freies Betriebssystem auf meinem Handy. Ich habe nun zwar eine APK gefunden und installiert, aber beim Öffnen sagt mir die App, dass ich sie nicht über den google play store installiert habe und daher funktioniert sie nicht.

Gibt es irgendwelche Alternativen, die ich nutzen könnte? Ein Android oder IOS Gerät kommt nicht in Frage.
Android in einer virtuellen Maschine vielleicht? Ich will aber auch keinen google Account anlegen.
Über Hilfe wäre ich sehr dankbar.

 

[Crujach]

Mehr Details bitte
- Hat dein Handy einen Appstore?
- Ich vermute mal, Du hast Android installiert?

ich würde den Google-Playstore per APK installieren, dann die S-ID-App laden und anschließend den Playstore wieder deinstallieren. Wäre das für dich eine Option? Ich bin nur grad nicht sicher, ob Du dir dafür einen Google-Account anlegen musst, aber dafür kann man ja auch eine beliebige Spamadresse anlegen. Laut FAQ (unten) darf dein Telefon aber nicht gerootet/jailbreak haben...


oder mal in der FAQ von der App gestöbert:
Was kann ich tun, wenn ich kein Smartphone/Tablet besitze?
Wenn Sie kein Smartphone besitzen, können Sie auf unsere Alternative „FIDO“ zurückgreifen. Ein FIDO Token ist ein Sicherheitsschlüssel in Form eines USB-Sticks, mit dem Sie sich bei Online-Einkäufen ebenfalls sicher authentifizieren können.

Informieren Sie sich auf unserer Seite www.online-zahlen-mit-fido.de. Hier finden Sie alle relevanten Informationen. (Quelle: https://www.s-id-check.de/faq.html )

 

[DIY-Junkie]

F-Droid App Store ist installiert. Ich verwende Lineageos ohne google play services. Demnach wird auch der google play store nicht funktionieren.

Das mit dem Fido Stick ist eine coole Sache. Das schaue ich mir genauer an. Die Sparkasse war fest der Meinung, dass die S-ID App alternativlos ist.
Vielen Dank für die Info. Werde mir einen Nitrokey bestellen und das ganze damit ausprobieren.

 

[tripod]

mit den produkten der sparkasse kenne ich mich leider nicht aus,
aber gibt es da keine alternative zur app?

wenn es eine visa-karte ist sollte es doch grundsätzlich auch
regelbar sein die ganze sache über sms oder sicherheitsfrage zu lösen?

 

[soulstyle]

F-Droid App Store ist installiert. Ich verwende Lineageos ohne google play services. Demnach wird auch der google play store nicht

ÄÄÄÄÄÄähhhhmmm "sms tan verfahren"?
Müsste auch gehen, besprich das lieber mit der Sparkasse.
Die wissen schon warum keine APK akzeptieren ausserhalb google / Appstore wir, schließlich haftest DU wenn die Dir einen Fehler nachgewisen wird.

Aber ich meine das SMS Tan Verfahren noch akktuell ist.

 

[DIY-Junkie]

Die Sparkasse sagt nein.

 

[soulstyle]

Die Sparkasse sagt nein.

SMS Tan verfahren nein?
Hier steht was anderes.

Sparkassen-Kreditkarten - Mastercard® Identity Check™ / Visa Secure

www.sparkassen-kreditkarten.de

 

[Threshold]

F-Droid App Store ist installiert.

Das ist der Grund, wieso die App nicht geht. Die Bank apps sind da sehr wählerisch.

 

[DIY-Junkie]

Ich melde mich mal zurück, weil ich nicht weiterkomme. Ich habe mir einen Yubikey 5 NFC USB Stick besorgt. Unter https://www.online-zahlen-mit-fido.de/ wollte ich die Kreditkarte nun für diesen Stick registrieren. Einen aktuellen Aktivierungsschlüssel habe ich mir besorgt und der ist auch gültig. Nach der Eingabe dieses Schlüssels kommt folgende Meldung:
"Ihr Browser unterstützt die Nutzung eines FIDO Tokens nicht. Die Registrierung ist fehlgeschlagen."
Der Stick ist dabei eingesteckt.

Mein verwendeter Browser:
Mozilla Firefox for Linux Mint
mint-001 - 1.0
123.0 (64 bit)

Betriebssystem ist Linux Mint 21.1 MATE.

Eigentlich sollte Firefox das unterstützen. Ich habe bisher keine Problemlösung gefunden.
Habe ich etwas vergessen? Muss der Stick gemountet werden oder so? Im Dateimanager sehe ich ihn jedenfalls nicht. Hier noch ein Auszug aus meiner about:config in Firefox:

security.webauth.webauthn	true

security.webauth.webauthn_enable_softtoken	false

security.webauth.webauthn_enable_usbtoken	true

security.webauth.webauthn_testing_allow_direct_attestation	false

security.webauthn.ctap2	true

security.webauthn.enable_conditional_mediation	true

security.webauthn.enable_json_serialization_methods	true

security.webauthn.enable_macos_passkeys	true

security.webauthn.show_ms_settings_link	false

security.webauthn.webauthn_enable_android_fido2.residentkey	false

Ergänzung:
Ich habe den Yubico Authenticator installiert und eine PIN zugewiesen. Das Problem besteht weiterhin.

 

[DIY-Junkie]

@ Moderatoren: Kann der Thread eventuell in das Linux Unterforum verschoben werden? Ich denke, er ist mittlerweile dort besser aufgehoben.
Edit: Vielen Dank

 

[blautemple]

Sieht so aus als ob Firefox das unter Linux nicht unterstützt:

Support Yubikey with PIN in Firefox for Linux and Mac

Firefox currently does not support Yubikey with PIN for WebAuthn on Linux nor Mac. https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F This feature alone has made me switch to Chrome. Without PIN support for Yubikey, there really...

connect.mozilla.org

 

[DIY-Junkie]

Ich denke nicht, dass es an der PIN liegt, ich hatte ja anfangs gar keine konfiguriert. Webauthn bzw. FIDO2 scheint generell nicht zu laufen.

 

[DIY-Junkie]

Hier steht, dass es gehen sollte:

https://support.yubico.com/hc/en-us/articles/360016615020-Operating-system-and-web-browser-support-for-FIDO2-and-U2F

Ich habs jetzt aber mit Firefox aufgegeben. Mit Chromium ging die Registrierung auf Anhieb.

 

[Schnitzelnator]

Webauthn läuft ganz sicher mit Firefox. Ich nehme an, dass Du schon udev-Regeln für den Fido-Stick installiert hast, da es in Chromium geht - z.B. diese: https://github.com/Yubico/libfido2/blob/main/udev/70-u2f.rules
(die sind in vielen Linuxdistributionen als Paket verfügbar, z.B. "libu2f-udev", aber natürlich kann man sich die Datei auch manuell ins entsprechende Verzeichnis kopieren und laden, damit der Stick erkannt wird.)

Eventuell könnte AppArmor oder SELinux den Zugriff blockieren, je nach Distribution. Teilweise scheint es für Firefox Regeln zu geben, und bei Chromium keine, wodurch so ein Overblocking nur beim Firefox bemerkbar wird. In dem Fall wäre das natürlich ein Bug in der Distribution.

 

[Assarbad]

Moin, wollte meinen Senf auch nochmal dazugeben. Bei mir auch Erfahrungsbericht zu Kreditkarte bei der Spaßkasse.

Ich habe das gleiche Thema durch. Mein Handy habe ich gerootet, gerade weil ich diversen Mist der vorinstalliert wird nicht haben will. Kurz: ich will die Kontrolle. Rooten bedeutete dann daß die S-ID App nicht wollte. Daraufhin war ich schon kurz vorm Verweifeln — weil dies auch nicht vor Beantragung sinnvoll kommuniziert wird usw. — aber meine Spaßkassen-Beraterin hat dann den Tag gerettet indem sie mich auf FIDO2 brachte.

FIDO2-Schlüssel als aus dem Sparkassenshop bestellt (sind von Feitian: ePass Fido2 A4B USB) und damit Aktivierung auf www.online-zahlen-mit-fido.de probiert. Ergebnis ist wie oben beschrieben.

Kurzer Abstecher: warum habe ich das Token im Sparkassenshop bestellt und nicht bspw. einen bei mir vorhandenen Yubikey, Nitrokey oder anderes Modell von Feitian genommen? Ganz einfach: ich wußte schon davor daß bspw. in Azure-Domains Regeln existieren welche erlauben die FIDO2-Tokens basierend auf Hersteller, Modell und sogar Firmwareversion einzuschränken. Entsprechend wollte ich auf Nummer sicher gehen indem ich das von der Spaßkasse als unterstützt beworbene Modell benutze.

So, das Ergebnis war — wie geschrieben — das was oben auch berichtet wurde. Der Anbieter (PLUSCARD Service-Gesellschaft für Kreditkarten-Processing mbH) verwies dann bei Rückfrage auf seine FAQ und die Behauptung daß Linux nicht unterstützt würde. Screenshots und Zitate finden sich in meinem Blog (Suchanfrage bspw. "FIDO2 Linux S-ID PLUSCARD Kreditkarte Sparkasse" ohne Anführungszeichen).

Jetzt ist es so daß ich technisch nicht ganz unbeleckt bin. Vermutlich könnte ich den User-Agent-String des Browsers so hinschummeln, daß es dennoch funktioniert. Und auch den Root-Status des Handys kann man ja vor einzelnen Apps oder in Gänze verstecken (wenn auch mehr oder minder erfolgreich). Aber das ist mir dann zu doof.

Wenn diese Banken — bzw. deren Kreditkartenabwickler — meinen, daß sie eine ganze Gruppe von Kunden basierend auf deren Betriebssystemwahl ausgrenzen müssen, ist dies aus meiner Sicht eher ein Thema für die Regulatoren. Denn die fadenscheinigen Begründungen welche auf IT-Sicherheit abzielen sind allesamt Humbug. Auf Windows kann ich auch eigene Treiber laden und anderweitig meine Rechte über Admin hinaus ausweiten. Ein gerootetes Handy kann gleichermaßen ein Hinweis auf ein kompromittiertes Handy oder einen privatsphäre- und datenschutzbewußten Anwender sein (damit taugt der Root-Status eigentlich nicht als Ausschlußkriterium).

PS: Ich verlinke meinen Blogbeitrag mal nicht, da Neumitglied und Links in Foren oft zur Kategorisierung als Spammer führt. Aber wer suchet der findet ...