Vorteil von Passkeys - kann (noch) keinen erkennen

thulium schrieb:
Liest jemand mit, dem überhaupt schonmal ein Dienst begegnet ist, wo man die die Anmeldevariante "Passwort" deaktivieren kann?
Zum Vergrößern anklicken....
Ich glaub bei Microsoft ist das so .. da kann man das Passwort löschen ?
 
Hier noch eine längere Argumentation gegen Passkeys:

https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/

Der Autor sieht besonders die Abhängigkeit von einer Plattform als problematisch an.

Meine Meinungsbildung ist noch nicht abgeschlossen. Was für ein komplexes Thema!

Ich habe gestern versucht eine ausführliche Stellungnahme des CCC zu Passkeys/FIDO2 zu finden, aber ohne Erfolg. Ist euch was bekannt?
 
Nein nicht.
Ich denke für den unbedarften Nutzer sind die aktuellen Sicherheitsmechanismen eh böhmische Dörfer. D. h. die können und wollen sich aus verschiedensten Gründen nicht um diese Dinge kümmern und tun es auch nicht. Entweder es ist einfach zu nutzen und eingängig erlernbar (simpel), oder die digitale Welt bleibt weiterhin ein Einfallstor für Idioten aus der kriminellen Szene, die nur eines können: Schaden anrichten. Menschen die die Welt nicht braucht. Schauen wir mal wie es mit Passkeys weiter geht.
 
@BEASTIEPENDENT

Hast Du bereits einen Entschluss in Bezug auf Passkeys/FIDO2-Sticks gefasst? Vermeiden oder verwenden?
 
thulium schrieb:
Der Autor sieht besonders die Abhängigkeit von einer Plattform als problematisch an.
Zum Vergrößern anklicken....
Damit hat er ja auch durchaus Recht. Nutze ich die Passkey Funktion auf einem Apple-Gerät, so habe ich später ausschließlich mit einem Apple-Gerät wieder Zugriff auf die Ressource. Daher verwende ich seit einigen Jahren Bitwarden und als Server die Vaultwarden-Implementierung. Damit habe ich alles unter meiner Kontrolle und Bitwarden Clients gibts auf iOS, Android, Windows, macOS etc.

Und ja, man merkt es: zwischendurch schummelt Apple immer wieder mal und aktiviert die eigenen Passwörter und dann kommt direkt Safari angeschissen, und will gerne selbst Passkeys anbieten. Hier wurde etwas wirklich praktisches gleich wieder durch Corporate Greed in der Funktionalität beschnitten. Schade.
 
  • Gefällt mir
Reaktionen: thulium und PiaggioX8
@mr.vince

Verstehe ich Dich richtig, dass Du alle Passkeys in Deine eigene Vaultvarden-Cloud synchronisierst?

Oder verwendest Du für einige hochrangige Dienste ausschließlich FIDO2-Sticks als Passkey-Container?

Sicherst Du den Vaultvarden-Server mit den Passkeys gegen Datenverlust? Wenn ja, wie machst Du das bitte?

Wie gehst Du mit der Tatsache um, dass die Dienste, die Passkey anbieten, weiterhin per Passwort nutzbar sind und auch ein Passwort-Reset per Mail anbieten? Nimmst Du es schlicht hin oder hat es Dich anfangs auch zögern lassen überhaupt zu Passkeys zu wechseln?

Teilst Du auch die Bedenken des Autors von https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ bezüglich der UX?
Er hält ja einen Passwortmanager für ausreichend in der Sicherheit und für überlegen in der Gesamtbetrachtung der UX.
Wie siehst Du das mit Deinen Erfahrungen, die Du bisher gesammelt hast?
 
thulium schrieb:
@mr.vince

Verstehe ich Dich richtig, dass Du alle Passkeys in Deine eigene Vaultvarden-Cloud synchronisierst?

Oder verwendest Du für einige hochrangige Dienste ausschließlich FIDO2-Sticks als Passkey-Container?

Sicherst Du den Vaultvarden-Server mit den Passkeys gegen Datenverlust? Wenn ja, wie machst Du das bitte?

Wie gehst Du mit der Tatsache um, dass die Dienste, die Passkey anbieten, weiterhin per Passwort nutzbar sind und auch ein Passwort-Reset per Mail anbieten? Nimmst Du es schlicht hin oder hat es Dich anfangs auch zögern lassen überhaupt zu Passkeys zu wechseln?

Teilst Du auch die Bedenken des Autors von https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ bezüglich der UX?
Er hält ja einen Passwortmanager für ausreichend in der Sicherheit und für überlegen in der Gesamtbetrachtung der UX.
Wie siehst Du das mit Deinen Erfahrungen, die Du bisher gesammelt hast?
Zum Vergrößern anklicken....

Passkeys sind immer sicherer. Das ist unabhängig von PW-Reset per Mail. Da ist 2FA der Accounts ausreichend, sofern man nicht auf Phishing, SIM-swapping herein fällt. Steht auch schon x mal im Thread.
 
thulium schrieb:
@mr.vince

Verstehe ich Dich richtig, dass Du alle Passkeys in Deine eigene Vaultvarden-Cloud synchronisierst?
Zum Vergrößern anklicken....
Genau. Eigener Server, eigene Instanz, alles bei mir.
thulium schrieb:
Oder verwendest Du für einige hochrangige Dienste ausschließlich FIDO2-Sticks als Passkey-Container?
Zum Vergrößern anklicken....
Nope, alles bei mir, auf dem Server, im Vault.
thulium schrieb:
Sicherst Du den Vaultvarden-Server mit den Passkeys gegen Datenverlust? Wenn ja, wie machst Du das bitte?
Zum Vergrößern anklicken....
Aber absolut. Läuft in einer Docker Instanz. RAID 5, 8 Laufwerke. Jede Nacht Snapshot. Jede Nacht Backup auf externes Medium. Rotation des externen Mediums gegen zweites Exemplar, off-site, alle 2-3 Wochen. Alles Backups sind natürlich noch einmal per Cert verschlüsselt. Das Cert dazu liegt in einer Cloud, unabhängig vom Rest.
thulium schrieb:
Wie gehst Du mit der Tatsache um, dass die Dienste, die Passkey anbieten, weiterhin per Passwort nutzbar sind und auch ein Passwort-Reset per Mail anbieten? Nimmst Du es schlicht hin oder hat es Dich anfangs auch zögern lassen überhaupt zu Passkeys zu wechseln?
Zum Vergrößern anklicken....
Dagegen kann ich ja nichts tun. Ich habe eine eigene Domain mit eigenem Webspace; ja, es bleibt das Risiko, dass der von mir beauftragte Provider böse ist. Ich verwende aber allgemein auch Passwörter, alphanumerisch mit Sonderzeichen, mit einer Länge von 64 Byte (nicht Bit!). Dazu 2FA via OTP. Auch in Bitwarden. Bitwarden selbst hat auch noch ein OTP als Alternative zur Biometrie; dafür gibt's einen weiteren OTP-Manager, nur dafür.
thulium schrieb:
Teilst Du auch die Bedenken des Autors von https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ bezüglich der UX?
Zum Vergrößern anklicken....
Wenn ich darüber nachdenke, was ich alles getan habe bzw. mache, siehe oben, ja klar, für den normalen Otto ist das totaler Overkill und baut er auch nur irgendwo entlang der Kommandokette Mist, ist sein ganzer Passwort-Safe weg. Puff. Der Server selbst will ja auch noch abgesichert werden.
thulium schrieb:
Er hält ja einen Passwortmanager für ausreichend in der Sicherheit und für überlegen in der Gesamtbetrachtung der UX.
Wie siehst Du das mit Deinen Erfahrungen, die Du bisher gesammelt hast?
Zum Vergrößern anklicken....
Ja, ich würde sagen, ein guter Passwortmanager (Bitwarden mit Vaultwarden Instanz), langen Passwörtern und noch 2FA via OTP ist vermutlich schon ausreichend und, sobald eingerichtet, für den normalen Anwender gut nutzbar.

Ich nutze Passkeys eigentlich nur aus Neugier und um mir das anzusehen. Meine langen Passwörter mit 2FA halte ich aber für mindestens gleich sicher in der Anwendung.
 
  • Gefällt mir
Reaktionen: thulium
lisanet schrieb:
Passkeys sind immer sicherer. Das ist unabhängig von PW-Reset per Mail. Da ist 2FA der Accounts ausreichend.
Zum Vergrößern anklicken....
Es geht um die Abwägung des Gesamtaufwandes für das zusätzliche Mittel Passkey.
Weil man das unsicherere (in Bezug auf Passkeys) bestehende System Passwort nicht deaktivieren kann, kann man nur ein zusätzliches zweites System Passkeys einrichten. Naturgemäß hat man für das zusätzliche System alle Facetten der UX an der Backe, die man ausprobieren, verstehen und um die man sich kümmern muss.
Für mich ist es wieder offen, ob sich der Gesamtaufwand lohnt.

Du hast Deine Abwägung ja bereits vollzogen.
 
@mr.vince
Vielen Dank für den Einblick. Sehr interessant Dein Setting.

Zum Nachbauen fehlt mir die Kompetenz und auch die Ambition.

Ich kenne bisher nur einen - sehr umständlichen - Weg, unabhängig von iCloud in Bezug auf Passkeys zu sein:
Für jeden Dienst für den man einen Passkey in iCloud besitzt, je einen zusätzlichen Passkey auf Stick 1 und einen weiteren Passkey auf Stick 2 anzulegen. Aber das wäre ein Riesenaufwand. Nicht praktikabel.

Und man hätte damit nicht einmal das Ziel erreicht, was Du mit Bitwarden erreichst: Plattformübergreifende Verwendbarkeit aus der Cloud heraus.
Denn bei einem Plattformwechsel hätte man zwar Zugriff auf seine Konten per Stick, aber wenn man es wieder bequem per Cloud haben wollte, müsste man für alle Dienste einen neuen Passkey auf einer neuen Cloud anlegen, die auf der neuen Plattform verwendbar ist.
 
thulium schrieb:
Für mich ist es wieder offen, ob sich der Gesamtaufwand lohnt.
Zum Vergrößern anklicken....
Wer soll das außer dir für dich und dein Risikoprofil beurteilen können?
Ich für mich würde nach den ganzen Diskussionen und Informationen sagen: man kann es auch übertreiben.
Und: ich denke inzwischen, dass ich genug für die Sicherheit tue und es schon fast das Wichtigste ist, Risiken zu kennen und bei allem was man tut den Kopf einzuschalten.
 
jteschner schrieb:
Wer soll das außer dir für dich und dein Risikoprofil beurteilen können?
Zum Vergrößern anklicken....
Ich habe eine Feststellung getroffen und nicht darum gebeten, dass jemand mir sagt, was tun soll.

Da diverse kluge Köpfe kontrovers zum Thema diskutieren, werde ich mir für die Meinungsbildung noch Zeit lassen.
Foren sind einer von mehreren Orten, wo eine Meinungsbildung stattfinden kann.
 
thulium schrieb:
Ich habe eine Feststellung getroffen und nicht darum gebeten, dass jemand mir sagt, was tun soll.

Da diverse kluge Köpfe kontrovers zum Thema diskutieren, werde ich mir für die Meinungsbildung noch Zeit lassen.
Foren sind einer von mehreren Orten, wo eine Meinungsbildung stattfinden kann.
Zum Vergrößern anklicken....
Na dann: viel Spass noch bei deiner weiteren Tiefen-Recherche. Ich werde dich nicht weiter mit meinen Äußerungen belästigen.
 
  • Gefällt mir
Reaktionen: M001 und lisanet
thulium schrieb:
Weil man das unsicherere (in Bezug auf Passkeys) bestehende System Passwort nicht deaktivieren kann, kann man nur ein zusätzliches zweites System Passkeys einrichten. Naturgemäß hat man für das zusätzliche System alle Facetten der UX an der Backe, die man ausprobieren, verstehen und um die man sich kümmern muss.
Für mich ist es wieder offen, ob sich der Gesamtaufwand lohnt.

Du hast Deine Abwägung ja bereits vollzogen.
Zum Vergrößern anklicken....

... fehlerhaftes Verständnis meiner Entscheidung.

Du unterstellst mir eine generelle Entscheidung getroffen zu haben, was in keinster Weise zutrifft. Es ist wohl schwer, die Facetten einer Abischerung von Logins und das Prinzip von passkeys zu verstehen, okay, spreche ich dir zu.

Unterstelle mir aber bitte nichts derart allgemeines hinsicht "System Passwort" und/oder "System Passkeys", sondern lies den Thread nochmals.
 
thulium schrieb:
Hast Du bereits einen Entschluss in Bezug auf Passkeys/FIDO2-Sticks gefasst? Vermeiden oder verwenden?
Zum Vergrößern anklicken....
Jo. Passkeys benutze ich – wo sie mir neu angeboten werden, bisher noch nicht viel. FIDO-Stick habe ich wieder aus dem Warenkorb gelegt (warte jetzt ohne Prime bei Amazon immer, bis die ollen 39 € voll sind, einfach ein Buch dazubestellen reicht ja heute nicht mehr).
 
  • Gefällt mir
Reaktionen: thulium
jteschner schrieb:
Es wäre aber toll, wenn jemand der die Keys bereits nutzt mal was dazu sagen könnte.
Zum Vergrößern anklicken....
PIN wird bei mir immer abgefragt um dem Yubikey ein Passwort zu entlocken, wenn du das Passwort nicht kennst kannst du es im Manager zurücksetzen, aber damit werden alle vom Yubikey gespeicherten Daten auch zurückgesetzt. Sonst könnten fremde Dritte an die Daten gelangen.
 
  • Gefällt mir
Reaktionen: thulium und jteschner
@OmarDLittle
Vielen Dank für die Info. Ich hatte schon vermutet, dass es so zu handhaben ist.

OK, man benötigt also einen Weg, die PIN an mindestens 2 "sicheren Stellen" zu hinterlegen, damit man die Gefahr bannt, sich aus all den Konten, deren Passkeys auf dem Yubikey sind, auszusperren, falls man die PIN vergisst.

Und man muss sich an die "sicheren Stellen" erinnern. Gegebenenfalls nach Jahren.

Meine Neugier ist geweckt, ob es Stickanbieter gibt, die bereits andere Verfahren zum Zurücksetzen der PIN implementiert haben.
Gesponnen:
Der Nutzer des Yubikey autorisiert einen FIDO2-Stick einer vertrauenswürdigen Person, die PIN zurückzusetzen. Dafür muss der Stick der vertrauenswürdigen Person per NFC mit dem Yubikey verbunden werden.

All das gilt natürlich nicht nur für eine PIN eines Yubikeys, sondern für jeden Faktor des Typs "Ich weiß etwas" in jedem Autentisierungs-System.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

cmo
So eine gemeinsame Zwischenablage hat Vorteile... aber nicht nur...
Antworten
5
Aufrufe
194
BEASTIEPENDENT
BEASTIEPENDENT
derdiedasnicolas
Kann mich von nix trennen - kennt ihr das auch?
Antworten
16
Aufrufe
277
Hotze
Hotze
I
Die E-Mail kann nicht von einem Postfach in ein anderes bewegt werden.
Antworten
12
Aufrufe
85
Der Reisende
Der Reisende
NilZ
XProtect.yara: TotalAV erkennt es als Gefahr
Antworten
7
Aufrufe
176
dg2rbf
D
carsten_h
Wie erkennt man das Laden mit Magsafe?
Antworten
9
Aufrufe
394
blino
blino
MilesVorkosigan
App, die halbwegs "intelligent" mehrere Fotos in einem Scan erkennt?
Antworten
18
Aufrufe
527
maba_de
maba_de
S
iPhone defekt, Backup noch möglich?
Antworten
9
Aufrufe
255
maccoX
maccoX
T
iPad Pro Wlan oder doch noch Cellular?
Antworten
18
Aufrufe
664
mcmrks
mcmrks
Zurück
Oben Unten