Clavs da segirezza

Clavs da segirezza èn datas d’access protegidas criptograficamain. AGOV permetta exclusivamain clavs cun in colliament hardware che na po betg vegnir legì. I n’è betg necessari da registrar la clav da segirezza per avrir in conto dal AGOV. L’archivaziun ha lieu sin in apparat supplementar (p.ex. ina clav USB FIDO2) u sco uschenumnads passkeys colliads cun il hardware, memorisads sin il chip da segirezza dal dispositiv final. Tals clavs da segirezza pon vegnir utilisads per in login segir en applicaziuns web tras il standard WebAuthn.

Infurmaziuns generalas

Tge signifitga FIDO e nua vegnan utilisadas las clavs da segirezza FIDO? ▼
×

FIDO stat per Fast IDentity Online. Quai èn plirs standards averts, senza licenza sco er protocols da la FIDO Alliance per l'autentificaziun segira e favuraivla per ils utilisaders en l'internet. I dat differentas implementaziuns da FIDO, tranter quellas FIDO U2F (Universal second Factor) e FIDO2, las qualas èn fitg derasadas en plattafurmas e webbrowsers moderns. Cun agid dals protocols è pussaivla in'autentificaziun senza pleds e resistenta a dus facturs sin basa da la criptografia public-Key.

Pertge sustegnain nus l'utilisaziun da las clavs da segirezza (FIDO2)? ▼
×

Sche Vus vulais u stuais lavurar cun AGOV senza smartphone, èn clavs da segirezza l'alternativa a l'app AGOV access. Quai vala er per persunas che han smartphones che na sustegnan betg l'app AGOV access (sistem operativ fauss, apparat antiquà, hardware senza elements da segirezza, midà en moda inadmissibla tras rooting u jailbreak).

AGOV utilisescha clavs da segirezza sco autentificaziun da dus facturs fitg segira. La clav fisica è en quest connex l'emprim factur, entant ch'il PIN u la verificaziun biometrica preschenta il segund factur per l'utilisaziun da clav. Supplementarmain recumandain nus a tut las utilisadras ed a tut ils utilisaders da l'app AGOV access da colliar ina clav da segirezza cun lur conto dad AGOV. Quai pudais Vus far sin la pagina . Cun far quai segirais Vus l'access ad AGOV en cas che Vus perdais il recovery code, en cas che Voss smartphone è defect u va a perder u sch'ina midada da smartphone n'è betg vegnida fatga correctamain (il transferiment simpel da l'app na basta betg per quai, consultai per plaschair Tips per utilisadras ed utilisaders). Er sche Vus possedais il recovery code, èn utils facturs da login supplementars sco clavs da segirezza, perquai che cun duvrar mo il recovery code è necessaria ina nova examinaziun da l'identitad en AGOV.

Pertgei AGOV sustegn mo clavs da segirtad FIDO2 cun certificaziun da nivel 2 ni pli ault? ▼
×

AGOV pretenda autas normas da segirtad per l’autenticaziun – specialmein per l’access a servetschs electronics d’autoritads cun basegn da protecziun ault. Per annunziaziuns cun il nivel da fidonza «aut» (Level of Assurance 3, LOA3) valan prescripziuns obligatoricas tenor la directiva ICT Si001 - Protezione di base delle TIC nell’Amministrazione federale.
  • Tgei significhescha FIDO2 Nivel 2 (L2) e pertgei ei quei in indispensabel?
    FIDO2 Nivel 2 (L2) ei in nivel da segirtad certificaus che pretenda mesiras supplementaras per la protecziun da datas d’autenticaziun sensiblas. Cun differenza al nivel 1 ston clavs da segirtad cunformas al nivel 2 contener in element da segirtad dedicau (Secure Element). Quel protegia il material criptografic cunter attaccas fisicas e software - schizun sche l’apparat ei vegnì compromiss. Mo cun questa protecziun verifitgabla e robusta ademplescha in autenticatur ils cundiziuns per l’utilisaziun en il context da l’administraziun federala sin nivel da fidonza «aut» (LOA3).
  • Pertgei ei ina clav FIDO2 da nivel 1 buca avunda?
    Il nivel 1 da FIDO2 permetta era autencicaturs pur software ni apparats senza protecziun da hardware specifica. Quels porschan in tschert grad da protecziun da basa, mo buca ina protecziun verifitgada cunter attaccas el medem context da sistem (p.ex. sin in sistem operativ compromiss). Tenor las directivas ICT pretenda AGOV ina protecziun da hardware certificada, sco quella che FIDO2 nivel 2 ni pli ault porscha.
  • Tgei vala per clavs da segirtad open source senza certificaziun?
    Clavs da segirtad sco la Nitrokey 3A mini pon tecnicamein satisfar standards da segirtad aults. Denton senza ina certificaziun formala manca la cumpetenza obligatorica. Per AGOV ei la certificaziun FIDO in indispensabel, perquei che ella documentescha la cumpetenza als standards da segirtad en moda transparenta ed unifitgada. Bucca certificau vul buca dir bucca segir – mo bucca certificau vul dir: bucca examinau tenor ils criteris obligatorics da AGOV.
Zusammenfassung

Criteri FIDO2 Nivel 1 FIDO2 Nivel 2 (pretensiun da AGOV)
Protecziun da datas d’autenticaziun Opcionala / basada sin software Basada sin hardware (Secure Element)
Certificaziun tenor FIDO2 gea, nivel da basa gea, cun profil da protecziun augmentau
Permissiun per l’utilisaziun en AGOV na gea

Pertge na funcziunan betg ils passkeys sincronisabels cun AGOV? ▼
×

Passkeys èn ina metoda moderna e segira per s’annunziar senza pled-clav, nua che ina clav criptografica vegn memorisada sin il dispositiv da l’utilisader.

Per motivs da segirezza e regulaziuns, AGOV permetta dentant be clav criptograficas che vegnan memorisadas localmain en in chip da segirezza* - per exempel sin ina clav da segirezza FIDO2 u directamain sin il dispositiv.

Passkeys che vegnan sincronisadas tranter plirs apparats sur servetschs da cloud sco iCloud u Google vegnan consideradas sco main fidablas, perquai che ellas pon potenzialmain vegnir exportadas. Per garantir en mintga mument l’origin e l’integritad da las clavs, AGOV accepta be clavs colliadas cun il hardware, che na pon ni vegnir transferidas, ni exportadas, ni sincronisadas. L’app AGOV access e l’app swiyu per l’e-ID svizra adempleschan gia cumplettamain quests resquists.

* Cun «chip da segirezza» vegnan chapidas unitads da memorisaziun dedicadas e betg exportablas per clavs – sco ils Trusted Platform Modules (TPM), la Secure Enclave (Apple), il Titan M (Google) u ils moduls da segirezza en las clavs da segirezza FIDO2.

Nua survegn jau ina clav da segirezza e tge custa quella? ▼
×

Clavs da segirezza (FIDO2) sto l'utilisadra u l'utilisader final cumprar sezza u sez en ina butia d'electronica. Tut tenor producent e tut tenor gener (tip da colliaziun, PIN, biometric) custan questas clavs da segirezza tranter 20 e 120 francs.

Pertge na funcziuna mia clav da segirtad (FIDO2) sin Mac betg adina? ▼
×

Apple sustegna ils standards FIDO2/WebAuthn mo là nua che quai correspunda a lur ecosistem.

En la pratica, quai maina ad incompatibilitads u restricziuns, spezialmain cun apparats u navigaturs d’auters furniturs. Formalmain sa tegna Apple als standards - però betg cun la medema avertadad u profunditad sco Microsoft u Linux.

Recommondaziuns per il diever quotidian, inclus AGOV:
Per l'annunzcha cun üna clav da sgürezza FIDO2 sün MacOS computer pro agov.ch racumandain nus Google Chrome (o Microsoft Edge) sül Mac. Quists browers sustegnan la tecnologia da FIDO2/WebAuthn a moda la plü fidada – impustüt in cumbinaziun cun las clavs da sgürezza USB o Touch ID. Firefox nu vain racumandà, pervi cha quai po dar restricziuns o cumportaments sbagliats in cas da l'utilisaziun da FIDO2 sün MacOS. Eir Safari spordscha be ün sustegn limità.

Duvrai perquai da preferenza in chrom per la registraziun e per la login cun FIDO2 sin agov.ch.

Glista da las clavs da segirezza (security key / FIDO token), che pon vegnir utilisadas en AGOV

Glista da las clavs da segirezza cumpatiblas che pon vegnir duvradas en AGOV. ▼
×

Tut las clavs da segirezza FIDO2 che vegnan inditgadas cun ils suandants criteris da filter èn cumpatiblas cun AGOV:
  • Protocol = fido2
  • Certification = FIDO_CERTIFIED_L2
  • Key Protection = hardware
La suandanta glista è disponibla mo en lingua englaisa ed ils criteris da filter menziunads qua survart ston Vus sezs far.

➪ FIDO MDS Explorer (opotonniee.github.io)

Exclusiun da responsabladad:
Las clavs da segirezza FIDO2 menziunadas duessan esser cumpatiblas cun AGOV, ma ellas n'èn betg vegnidas testadas. La funcziun irreproschabla da clavs da segirezza ch' èn cumpatiblas cun il FIDO2 na po betg vegnir garantida.


Qua sut chattais ina glista da clav da segirezza FIDO2 che han fin ussa gì success cun AGOV.



Token2 T2F2-NFC-Slim
Token2 T2F2-NFC-Slim

Token2 T2F2-NFC-Slim

DESIGNAZIUN DA PRODUCTS: Token2 T2F2-PIN+ NFC-Slim
PROTECZIUN: Tasta da contact cun PIN integrada
PUSSAIVLADADS DA COLLIAZIUN: NFC, USB-A / USB Typ-C
PREMI: CHF ca. 21.00
SUSTEGN: FIDO2/WebAuthn, U2F e TOTP/HOTP

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «Token2 T2F2-NFC-Slim»



Token2 T2F2-Bio2
Token2 T2F2-Bio2

Token2 T2F2-Bio2

DESIGNAZIUN DA PRODUCTS: Token2 T2F2-Bio2
PROTECZIUN: Lectura d'impront cun PIN
PUSSAIVLADADS DA COLLIAZIUN: USB-A / USB-C
PREMI: CHF 36.00
SUSTEGN: FIDO2/WebAuthn, U2F e TOTP (cun app companion)

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «Token2 T2F2-Bio2»



Identiv uTrust FIDO2 NFC
Identiv uTrust FIDO2 NFC

Identiv uTrust FIDO2 NFC

DESIGNAZIUN DA PRODUCTS: Identiv uTrust FIDO2 NFC
PROTECZIUN: Tasta da contact cun PIN integrada
PUSSAIVLADADS DA COLLIAZIUN: NFC / USB-A / USB-C
PREMI: CHF 36.00
SUSTEGN: FIDO2/WebAuthn, U2F e TOTP/HOTP

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «Identiv uTrust FIDO2 NFC»



Swissbit iShield Key (FIDO2 / Pro)
Swissbit iShield Key (FIDO2 / Pro)

Swissbit iShield Key (FIDO2 / Pro)

DESIGNAZIUN DA PRODUCTS: Swissbit iShield Key (FIDO2 / Pro)
PROTECZIUN: Tasta da contact cun PIN integrada
PUSSAIVLADADS DA COLLIAZIUN: NFC / USB-A / USB-C
PREMI: CHF 52.00 - 85.00
SUSTEGN: FIDO2/WebAuthn, U2F, TOTP/HOTP e PIV (Pro Version)

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «Swissbit iShield Key»



YubiKey Security Key Series
YubiKey Security Key Series

YubiKey Security Key Series

DESIGNAZIUN DA PRODUCTS: YubiKey Security Key Series
PROTECZIUN: Tasta da contact cun PIN integrada
PUSSAIVLADADS DA COLLIAZIUN: NFC / USB-A / USB-C
PREMI: CHF 35.00 - 65.00
SUSTEGN: FIDO2/WebAuthn e U2F

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «YubiKey Security Key Series»



YubiKey Bio Serie
YubiKey Bio Serie

YubiKey Bio Serie

DESIGNAZIUN DA PRODUCTS: YubiKey Bio Serie
PROTECZIUN: Lectura d'impront cun PIN
PUSSAIVLADADS DA COLLIAZIUN: USB-A / USB-C
PREMI: CHF 100.00 - 120.00
SUSTEGN: FIDO2/WebAuthn e U2F

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «YubiKey Bio Serie»



Cryptnox FIDO2 Card
Cryptnox FIDO2 Card

FIDO2 Smartcard

DESIGNAZIUN DA PRODUCTS: Cryptnox FIDO2 Card
PROTECZIUN: PIN
PUSSAIVLADADS DA COLLIAZIUN: Smartcard-reader e NFC
PREMI: CHF 40.00
SUSTEGN: FIDO2/WebAuthn, U2F e RFID Mifare Desfire EV2 4K

Per chattar funtaunas da referenza, inditgai Vus en la maschina da retschertga
d'internet da Vossa tscherna il suandant: «Cryptnox FIDO2 Card». Cryptnox porscha in'app da FIDO2 Card Manager per l'iPhone.



Infurmaziun impurtanta:
Sche Vus n'avais pli nagin factur login per Vossa AGOV, p.ex. pervia da perdita u da defect, perdais Vus tut Voss access sur AGOV e stuais far ina restauraziun pretensiusa ina AGOV. Quest cas pudais Vus evitar, sche Vus registrais supplementarmain in u plirs apparats mobils cun la AGOV access app ubain in'ulteriura clav da segirezza (FIDO2) en Voss conto dad AGOV.