Vorteil von Passkeys - kann (noch) keinen erkennen

[jteschner]

Also, ihr macht mich fertig :-/
Wenn ich das alles so lese muss ich zu dem Schluss kommen, dass es, gerade wenn es um eMail-Konto-Sicherheit geht, eigentlich nur zB ein Konto bei Proton/Tuta o.ä. in Frage kommt, also am besten ohne imap, mit eigenem Client und ohne 2fa.
Alles andere ist praktisch fix hackbar und potentiell als unsicher einzustufen.
Verstehe ich das richtig?

 

[lisanet]

Verstehe ich das richtig?

ja und nein.

ja, weil die Mail-Protokolle halt 2FA nicht unterstützen.

nein, weil ein Mail-Account nicht "fix" hackbar ist, wenn du ein einigermaßen sicheres Passwort (möglichst lang, zufällig generierte Zeichenfolgen, Sonderzeichen etc) hast

Du solltest alle Aspekte der Account-Sicherheit einbeziehen in deine Überlegungen und nicht anfangen mit theoretischen Szenarien zu hantieren. Sonst bist du schnell bei "alles kann man hacken", was wir vorhin schon hatten.

Also:

a) Mail-Konto wegen dieser dummer Passwort-Reset-Funktion mit sicheren (möglichst lang + zufällige Zeichen) Passwörtern versehen
b) sichere Account-Passwörter wählen
c) oder besser: Passwort-Logins mit 2FA absichern
d) oder noch besser: passkeys verwenden und Passwort-Login abschalten

Wenn d) von der Webseite korrekt implementiert ist (was halt bei vielen Diensten leider nicht der Fall ist, da die - verständlicherweise - die schiere Masse an eher uninformeirten Usern = Kunden nicht verlieren wollen) dann ist passkeys die Variante, bei der es keine Passwort-Reset-Funktion via Mail gibt und es somit unerheblich ist, das IMAP kein 2FA kann.

 

[thulium]

Darum ist es ja auch eine sehr ungünstige Idee, Passwort-Reset via Mail anzubieten, weil der nur PW-geschützte Mailaccount so zentral wichtig wird.

Genau.

Wie gehst Du denn mit Diensten um, die ein Passwort-Reset per Mail anbieten?
Verwendest Du ein IMAP-Mailkonto oder etwas anderes?

 

[lisanet]

Wie gehst Du denn mit Diensten um, die ein Passwort-Reset per Mail anbieten?

siehe #62

Ich verfalle definitv nicht in Horrorszenarien und die Gedanken "alles kann man hacken". Das scheinen manche hier als "naiv" zu bezeichnen. Ich habe beruflich sehr viele Jahre lang mit Einschätzung industrieller Risiken zu tun gehabt. Da lernt man, wie man soetwas im Kontext bewertet, Eintrittswahrscheinlichkeiten versucht einzubeziehen und vor allem sich nicht durch einzelne große, dramatische Ereignisse blenden lässt.

Beispiel: Wenn ich erzähle, dass ich am NAS ein RAID 0 mit 2 x 2,5"-USB-Festplatten verwende kommt sehr oft "das hat eine doppelt so hohe Ausfallwahrscheinlichkeit und ist daher blauäuigig" und ich werde daher gerne als "naiv", "nicht risikobewusst" oder "uninformiert" bezeichnet.

Die reine Mathematik und Wahrscheinlichkeitsrechnung sagt zudem auch, dass es zum einen rein mathematisch nicht doppelt so hoch ist, sondern etwas geringer, zum anderen ist es eine Wahrscheinlichkeit und keine Gewissheit. Ein RAID 0 kann länger problemlos laufen als ein RAID 1. Für ein einzelnes NAS sagt eine Wahrscheinlichkeit halt für den tatsächlich eintretenden Schaden nichts aus.

Dann der Kontext: wenn ich meine Daten auf dem RAID 0 auf ein zweites NAS versioniert backupe, ist zwar die Ausfallwahrscheinlichkeit des RAID 0 unverändert, aber mein Risiko einen Datenverlust zu erleiden, sinkt durch das Backup drastisch und ist kleiner als ein einzelnes RAID 1. Warum? Ein versioniertes Backup hilft auch bei Controller-Defekten und unbeabsichtigtem Löschen. Eine RAID 1 nicht.

 

[agrajag]

Ich habe dem Entwickler gar nichts vorgeworfen.

Anders ist dein Posting (#44) IMHO nicht zu verstehen.

Ich finde aber dass ein Rant gegen eine Veränderung von alt zu neu auch hier allzu schnell gemacht wird

Wen meinst du damit? Das trifft weder auf mich zu, der stets und ständig auf Betas und Alphas geht und auch sonst großes Interesse an neuen Dingen hat. Nur muss es auch in irgendeiner Form eine praktischen Sinn für mich haben. r weil etwas neu ist, ist es nicht automatisch gut. Und wenn mir eines in den letzten Jahrzehnten klar war: Hypes sollte man sehr mißtrauisch beäugen. Denn idR sind die Treiber welche, die ein großes geschäftliches Interesse daran haben. Das ist grundsätzlich erstmal nichts verwrfliches. Aber in der Praxis war das eher gegen die Interesse der Nutzer und hatte sehr häufig schnell mehr was von einem Schnbeeballsystem.

Und alleine schon, daß ich mich für Tools wie Nix und NixOS interessiere, sollte wohl Hinweis genug darauf sein, daß ich mich gerne mit neuen Dingen auseinandersetze. Und das sind nun wirklich keine trivialen Themen.

, auch von dir durch dein verlinken eines ablehnenden Artikels, anstatt sich mit neuen Möglichkeiten auseinander zu setzen,

Wer sagt denn, daß sich keiner von uns nicht damit auseinander gesetzt hat? Der Artikel beschreibt doch wunderbar, daß er sich definitiv damit auseinander gesetzt hat. Er findet dide Sache eigentlich sogar sehr gut. Er formuliert nur seinen Unmut wegen der realen Umsetzungen der Teilnehmer. Und ich hab mich damit zumindest soweit auseinander gesetzt, als daß mich die Probleme, die es bis jetzt gab, nur davon abgeschreckt hat.

Er gibt nunmal Dinge, wo es NICHT angesagt ist, sich sofort auf alles neue zu stürzen: da wären mindest mal Dateisysteme und für mich auch Passwortverwaltungen. Ich MUSS mich unbedingt darauf verlassen können, daß die Daten sicher sind. Und dazu muß ich auch bis zu einem bestimmten Grad verstanden haben, wie etwas funktioniert und wo die Grenzen sind.

hier: User zu unterstützen zur Weiterbildung, Websites und Dienste zu ermöglichen, das fehlerfrei zu implementieren. Das wäre sinnvoll.

Die Normal-Nutzer verstehen ja kaum sinnvoll mit Passörtern umzugehen. Wie sollen die denn bitte Passkeys und seinen Eigenheiten umgehen können? Passwörter und Passwortmanager sind bei weitem einfacher zu verstehen, wie sie funktionieren. Gerade weil es aktuell so viel Inkonsistenzen in der Benutzung gibt.

Nur weil etwas grundsätzlich toll wäre, bedeutet es nicht, daß es das in der Realität auch wirklich so ist.

Aber als Fazit zu sagen: taugt nichts, weil zu umständlich, springt gerade für Entwickler zu kurz.

Wieso sollte ein Entwickler nicht zu diesem Urteil kommen können?

Was würdest du denn für bessere Maßnahmen als passkeys empfehlen, wenn es um die zwei Angriffsvektoren "PW hacken" und "Phishing" geht? 2FA ist nun mal nicht phishing-resistent.

Nun, so wie es bei den Passkeys derzeit ausschaut, scheinen die mir jedenfalls noch nicht das Richtige zu sein. Vielleicht wird das ja noch was und ich steige auch darauf um, aber aktuell fehlt mir da schlicht das Vertrauen.

 

[agrajag]

Also, ihr macht mich fertig :-/
Wenn ich das alles so lese muss ich zu dem Schluss kommen, dass es, gerade wenn es um eMail-Konto-Sicherheit geht, eigentlich nur zB ein Konto bei Proton/Tuta o.ä. in Frage kommt, also am besten ohne imap, mit eigenem Client und ohne 2fa.

Du kannst die Sicherheit zumindest dadurch erhöhen, indem du z.B. App-Keys für den Mail-Account benutzt. Mindestens ein eigenes per Device, wenn nicht sogar eines per App. Normalerweise kannst du bei jedem App-Key festlegen, auf was darüber zugegriffen werden kann. Also IMAP, SMTP, CalDAV, CartDAV, LDAP und dergleichen. Mit App-Keys kann man sich nicht am Web-interface einloggen. Man kommt so auch nicht an die Konfiguration dran.

Ich bin gerade nicht sicher, aber ich meine Fastmail erzwingt sogar den Zugriff den Zugriff auf z.B. IMAP die Nutzung von App-Keys. Ich kann mich nicht mehr daran erinnern. Es ist schon lange her, daß ich alles auf App-Keys umgestellt habe.

Natürlich schützt es nur bedingt vor Phishing.

 

[thulium]

Ich verfalle definitv nicht in Horrorszenarien und die Gedanken "alles kann man hacken". Das scheinen manche hier als "naiv" zu bezeichnen.

Ich teile hier völlig Deinen Ansatz. Im rationalen Umgang mit Risiken aus einem spezifischen Bereich müssen Risiken aus anderen Lebensbereichen dazu in Bezug gesetzt werden. Das findet leider oft nicht statt, weil es offenbar in unserer menschlichen Natur liegt, bevorzugt emotional mit Risiken umzugehen. Aber es ist schon viel gewonnen, wenn das erkannt wird.

 

[thulium]

Um den Zugriff richtig abzusichern, gehen Tuta und Proton den Weg, eigene Mailclients anzubieten bzw. sogar zu forcieren, sodass darüber die Sicherheit gewährleistet wird. IMAP ist bei den Anbietern gar nicht möglich. Nur für den Desktop-Computer bietet Proton eine lokale Software an, die mit 2FA usw. Mails entgegennimmt und dann lokal per IMAP an den gewohnten Mailclient durchreicht. Am Smartphone ist man an deren Mailclients gebunden.

Vielen Dank für den Hinweis. Die Dienste kannte ich noch nicht.

In meiner persönlichen Abwägung sind die "Kosten" der Zwangs zu einem Client des Anbietes zu hoch. Bedauerlich, dass das Mailprotokoll IMAP nicht weiterentwickelt wird (ob es weiterentwickelt werden könnte, weiß ich jedoch nicht, daher schreibe ich das unter diesem Vorbehalt).

 

[troubadix2004]

Um den Zugriff richtig abzusichern, gehen Tuta und Proton den Weg, eigene Mailclients anzubieten bzw. sogar zu forcieren, sodass darüber die Sicherheit gewährleistet wird. IMAP ist bei den Anbietern gar nicht möglich

Das ist so nicht korrekt aus meiner Sicht. Die Mails liegen verschlüsselt beim Anbieter weswegen eigene Clients bereitgestellt werden auf den mobilen Plattformen wie iOS. Für Windows oder Mac gibt es sogenannte Bridges die die Mails entschlüsseln können und diese dann wiederum über imap für Outlook und co bereitstellen. Direktes anbinden per imap geht wie geschrieben nicht da imap nicht die Mails entschlüsseln kann.

 

[troubadix2004]

Genau.

Wie gehst Du denn mit Diensten um, die ein Passwort-Reset per Mail anbieten?
Verwendest Du ein IMAP-Mailkonto oder etwas anderes?

Richtige Dienste verwenden Applikationpasswörter, diese dienen lediglich dazu sich mit imap anzumelden. Diese erhöhen aus meiner Sicht die Sicherheit da sie unabhängig vom normalen Passwort gesetzt werden und auch gelöscht/bzw. ausgetauscht werden können.

 

[jteschner]

Du kannst die Sicherheit zumindest dadurch erhöhen, indem du z.B. App-Keys für den Mail-Account benutzt. Mindestens ein eigenes per Device, wenn nicht sogar eines per App. Normalerweise kannst du bei jedem App-Key festlegen, auf was darüber zugegriffen werden kann. Also IMAP, SMTP, CalDAV, CartDAV, LDAP und dergleichen. Mit App-Keys kann man sich nicht am Web-interface einloggen. Man kommt so auch nicht an die Konfiguration dran.

Ich bin gerade nicht sicher, aber ich meine Fastmail erzwingt sogar den Zugriff den Zugriff auf z.B. IMAP die Nutzung von App-Keys. Ich kann mich nicht mehr daran erinnern. Es ist schon lange her, daß ich alles auf App-Keys umgestellt habe.

Natürlich schützt es nur bedingt vor Phishing.

Sorry, "App-Keys" sind Neuland für mich. Kannst du mal auf mehr Infos verweisen? Eine kurze Internet Suche ergab für mich nichts wirklich erhellendes ...

 

[troubadix2004]

Sorry, "App-Keys" sind Neuland für mich. Kannst du mal auf mehr Infos verweisen? Eine kurze Internet Suche ergab für mich nichts wirklich erhellendes ...

Das ganze nennt sich auch applikationsspezifische Passwörter, bei welchem Mail Anbieter bist du denn?

 

[jteschner]

Das ganze nennt sich auch applikationsspezifische Passwörter, bei welchem Mail Anbieter bist du denn?

Immer noch bei Apple. Mit einer angeschlossenen eigenen Domain.
Nutze Mail.app. Mails bleiben aber in der Regel nicht auf dem Server - ich speichere sie wenn wichtig lokal oder lösche sie sofort.
Apple-ID mit 20-stelligem kryptischen Passwort und 2FA.
Andere Logins im Internet mit eigenen/unterschiedlichen Logins(-email) und jeweils eigenen kryptischen Passwörtern oder/und Passkeys wo möglich.
Ich nutze eigentlich alle Sicherheitsfeatures, die iCloud+ so hergibt.

 

[troubadix2004]

Immer noch bei Apple. Mit einer angeschlossenen eigenen Domain.
Nutze Mail.app. Mails bleiben aber in der Regel nicht auf dem Server - ich speichere sie wenn wichtig lokal oder lösche sie sofort.
Apple-ID mit 20-stelligem kryptischen Passwort und 2FA.
Andere Logins im Internet mit eigenen/unterschiedlichen Logins(-email) und jeweils eigenen kryptischen Passwörtern oder/und Passkeys wo möglich.
Ich nutze eigentlich alle Sicherheitsfeatures, die iCloud+ so hergibt.

Damit bist du schon mal gut unterwegs, wie man applikationsbezogene Passwörter einrichtet ist hier beschrieben:

https://www.heise.de/ratgeber/Zwei-Faktor-Authentifizierung-3335937.html?seite=5

Und natürlich bei Apple

https://support.apple.com/de-de/102654

 

[lisanet]

wie man applikationsbezogene Passwörter einrichtet ist hier beschrieben:

... die man nur dann braucht und nutzen kann, wenn man auf iCloud-Dienste nicht mit Apple-Software zugreift, sondern Drittanbieter-Software nutzt.

 

[lisanet]

Mails bleiben aber in der Regel nicht auf dem Server - ich speichere sie wenn wichtig lokal oder lösche sie sofort.

Ein Geandkenanstoß dazu:

Ich kann mir vorstellen, dass du bei diesem Vorgehen denkst, dass es die "Sicherheit" erhöhen würde. Daher nimmst du diesen Mehraufwand in Kauf und bemühst dich immer dran zu denken.

Nur...

Alle Mails liegen immer bei 2 Kommunikationspartnern, bei dir und bei denen, die dir Mails senden oder denen du Mails sendest. Und auf deren Mailsever, auf deren Sicherheitsdenken, auf deren Verhalten hast du keinerlei Einfluss.

Ergo: Mehraufwand für eine Scheinsicherheit, die nicht gegeben ist.

Das große Manko ist IMO: kaum jemand den ich kenne interessiert sich wirklich für das Thema Verschlüsselung von Mails, sprich S/MIME oder PGP/GnuPG. Da schlägt entweder die Geiz-ist-geil-Mentailtät zu (S/MIME) oder man hat keine Lust sich mit IT zu befassen, was man aber leider benötigt, wenn man mehr macht als im Internet zu surfen und Messenger zu nutzen.

Ohne Verschlüsselung sind Mails halt einfach Postkarten, die irgendwo rum liegen.

Ich habe es aufgegeben bei Mails für Verschlüsselung zu werben. Das ist niemand wichtig. (aber Werbung im Webbrowser blocken, dass macht jeder, weil es ja soo böse ist. Typischer Fall von falscher Risikowahrnehmung und falschem Fokus)

 

[Cassiuzz]

Ich vermute mal, dass ein Großteil der User einfach E2E Messenger benutzt, wenns um vll. etwas sensitivere Dokumente geht!
Geht es um reinen Text, dann nutzt man z.B. einfach den Messenger Signal mit Timer auf 5 Sekunden für "verschwindenden Nachrichten""!

Braucht man einen schriftlichen Nachweis, oder geht es aus beruflichen oder rechtlichen Gründen nur per Email, dann bleibt nur der Weg via S/MIME, PGP/GnuPG!

 

[thulium]

@lisanet
Sehe ich alles genauso.

Ich werbe im Kreis von Bekannten und Verwandten, wenn ihnen der Schutz von Inhalten einer Konversation wichtig ist, für den Kanal Signal. Damit kommen die normalen Nutzer sehr gut klar.

 

[lisanet]

@lisanet
Sehe ich alles genauso.

Ich werbe im Kreis von Bekannten und Verwandten, wenn ihnen der Schutz von Inhalten einer Konversation wichtig ist, für den Kanal Signal. Damit kommen die normalen Nutzer sehr gut klar.

Alles schön und gut.

Aber wer war so clever und hat als erster diese Idee mit dem Passwort-Reset via Mail erfunden? Das waren nicht dumme Entwickler, sondern ich kann mir gut vorstellen, dass viel zu viele User immer wieder die Hotlines der Webseiten/Dienste kontaktiert haben, und man sich daher was einfallen lassen musste für User, die schon mit der Speicherung der Passwörter oder der Nutzung von Passwort-Managern überfordert sind. Und der wohl kleinste gemeinsame Nenner ist eine Mail mit einem Link zu einem Passwort-Reset.

Ein Passwort-Reset via Messenger wäre dagegen ein Fortschritt. Aber bei der deutschen und europäischen Phobie mit Datenschutz von solchen top-secret-Daten wie einer Telefonnummer für WhatsApp, klappt das nicht.

Echt eine super Idee. So "trainiert" man User zumindest gleich auch noch darauf, dass sie auf Links in Mails klicken, wenn die von Webseiten kommen, bei denen sie Accounts haben.

 

[jteschner]

Ein Geandkenanstoß dazu:

Ich kann mir vorstellen, dass du bei diesem Vorgehen denkst, dass es die "Sicherheit" erhöhen würde. Daher nimmst du diesen Mehraufwand in Kauf und bemühst dich immer dran zu denken.

Nein. Absolut nicht. Punkt ist: ich mag keine Unordnung und bin kein Jäger und Sammler.
Darum lösche ich alles unwichtige und speicher mir die wichtigen Dinge als pdf in meine mehrfach gesicherte Ordnerstruktur auf Mac/NAS

...

Das große Manko ist IMO: kaum jemand den ich kenne interessiert sich wirklich für das Thema Verschlüsselung von Mails, sprich S/MIME oder PGP/GnuPG. Da schlägt entweder die Geiz-ist-geil-Mentailtät zu (S/MIME) oder man hat keine Lust sich mit IT zu befassen, was man aber leider benötigt, wenn man mehr macht als im Internet zu surfen und Messenger zu nutzen.

Interessieren tut mich das schon. Ich habe auch mal angefangen etwas zu lesen - aber dann aufgegeben weil es mir zu kompliziert war/erschien. Wenn du da eine gute verständliche Lektüre/Umsetzung empfehlen kannst, mache ich mich nochmal ran - ich habe ja in den letzten 6 Monaten etwas dazugelernt (wie du weisst )

Ohne Verschlüsselung sind Mails halt einfach Postkarten, die irgendwo rum liegen.

I know.

Ich habe es aufgegeben bei Mails für Verschlüsselung zu werben. Das ist niemand wichtig. (aber Werbung im Webbrowser blocken, dass macht jeder, weil es ja soo böse ist. Typischer Fall von falscher Risikowahrnehmung und falschem Fokus)

Aber ist es nicht so, dass es eigentlich egal ist, ob ich was verschlüsselt verschicke wenn meine Bank/Versicherung/Finanzamt, ... alles unverschlüsselt schickt?
Ich selbst verschicke vielleicht 3 mal im Jahr irgendwas "geheimes" ... und dann verschlüssel ich ein pdf und sage dem Empfänger zB : "Nimm mein Geburtsdatum in der Form ..." oder meine alte Personlanummer o.ä.