Vorteil von Passkeys - kann (noch) keinen erkennen

lisanet schrieb:
Und der wohl kleinste gemeinsame Nenner ist eine Mail mit einem Link zu einem Passwort-Reset.
Zum Vergrößern anklicken....
Ja, leider.
Man kann nur hoffen, dass Passkeys dazu führt, dass mehr und mehr Dienste keinen Passwort-Reset mehr allein per Mail anbieten.

Und dass mehr und mehr Dienste, die Passkeys anbieten, mindestens optional, dem Nutzer erlauben, das Loginverfahren per Passwort komplett zu deaktivieren.
 
jteschner schrieb:
Interessieren tut mich das schon. Ich habe auch mal angefangen etwas zu lesen - aber dann aufgegeben weil es mir zu kompliziert war/erschien. Wenn du da eine gute verständliche Lektüre/Umsetzung empfehlen kannst, mache ich mich nochmal ran - ich habe ja in den letzten 6 Monaten etwas dazugelernt (wie du weisst :) )
Zum Vergrößern anklicken....

S/MIME ist schon sehr einfach. Wenn mal die Tage wieder schlechter werden können wir uns ja unterhalten.
 
  • Gefällt mir
Reaktionen: jteschner
thulium schrieb:
Ja, leider.
Man kann nur hoffen, dass Passkeys dazu führt, dass mehr und mehr Dienste keinen Passwort-Reset mehr allein per Mail anbieten.
Zum Vergrößern anklicken....

Wenn die passkeys anbieten, könne die machen was sie wollen. Da interessieren dann Passwörter und der PW-Reset nicht mehr.
 
jteschner schrieb:
Ich glaube, ich nutze keine App, die Zugriff auf meine Apple-ID geschützten Daten habe will
Zum Vergrößern anklicken....

Wenn du nie ein Problem mit iCloud-Diensten Mail, Kalender und Kontakte hattest, dann brauchst du auch keine app-spezifischen Passwörter. Denn nur so könntest du überhaupt Drittanbieter-Software dafür verwenden.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und jteschner
OmarDLittle schrieb:
Ich hab mir das mit meinem Yubikey eingerichtet, aber als einfacher Anwender scheitert es schon daran den richtigen Yubikey zu kaufen, von 4 verschiedenen Modellen entspricht nur einer den Anforderungen.
Zum Vergrößern anklicken....
Welchen Fido2-Stick könnt ihr aktuell empfehlen?

Ich erwäge, einen solchen Stick als Backup-Hardware für die wichtigsten per Passkeys abgesicherten Dienste zu verwenden.
Man könnte ihn dann außerhalb der Wohnung deponieren.
Falls dann beide Apple-Geräte (bei mir sind es iPhone und MB) nicht mehr nutzbar sind (Diebstahl, Verlust, Defekt, Wasser, Brand, ...) hätte man den Stick.

Ist es richtig, dass der Fido2-Stick "Titan" von Google die größte Kapazität an Passkeys pro Geldeinheit bietet (250 Passkeys für 35€)? Hat er relevante Nachteile gegenüber anderen Sticks?

PS: Lustige Antwort von dem KI-Dienst "Copilot":
"Der Google Titan unterstützt den FIDO2-Standard nicht, während der YubiKey dies tut"
"bist du sicher, dass "titan" nicht kompatibel zu fido2 ist?"
"Entschuldigung für die Verwirrung. Du hast recht. Der Google Titan Sicherheitsschlüssel ist tatsächlich mit dem FIDO2-Standard kompatibel123. Ich bedauere den Fehler in meiner vorherigen Nachricht. Vielen Dank, dass du mich darauf hingewiesen hast."
 
Zuletzt bearbeitet:
lisanet schrieb:
Wenn du nie ein Problem mit iCloud-Diensten Mail, Kalender und Kontakte hattest, dann brauchst du auch keine app-spezifischen Passwörter. Denn nur so könntest du überhaupt Drittanbieter-Software dafür verwenden.
Zum Vergrößern anklicken....
Deshalb bin ich wohl auch nie darüber gestolpert - ich verwende Apple-SW wo immer es geht, hatte noch nie (essentielle) Probleme damit und sehe meine eigenen privaten Anforderungen von denen mehr als erfüllt an. Aber natürlich gibt es da auch andere Nutzer
 
  • Gefällt mir
Reaktionen: troubadix2004 und thulium
thulium schrieb:
Ich erwäge, einen solchen Stick als Backup-Hardware für die wichtigsten per Passkeys abgesicherten Dienste zu verwenden.
Man könnte ihn dann außerhalb der Wohnung deponieren.
Falls dann beide Apple-Geräte (bei mir sind es iPhone und MB) nicht mehr nutzbar sind (Diebstahl, Verlust, Defekt, Wasser, Brand, ...) hätte man den Stick.
Zum Vergrößern anklicken....

kann man tun, aber denke mal dein Szenario durch:

Apple speichert passkeys im iCloud-Schlüsselbund und synct den so. Wenn du nun alle deine Apple-Geräte verlierst, dann wirst du dir sicher zumindest 1 neues Gerät kaufen, mit dem du dann auf deine Accounts zugreifen kannst. Wenn du da ein Apple-Gerät kaufst und iCloud einrichtest... ja, dann brauchst du ein weiteres Teil/Gerät. Das ist aber bei 2FA auch nicht anders. Wenn man alle seine Geräte mit den keys / 2FA verliert, dann sind die Accounts weg. Das ist ja auch der eigentliche Sinn dieser Maßnahmen. Ohne key/2FA kein Zugriff.

Hast du dieses Szenario jetzt auch schon "abgesichert"? Verfalle bei passkeys nun nicht in die 100%-Sicherheit für alle denkbaren Varianten. Es wird immer irgendein Restrisiko bleiben. Siehe oben -> Risikowahrnehmung / Fokus
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT
lisanet schrieb:
Wenn die passkeys anbieten, könne die machen was sie wollen. Da interessieren dann Passwörter und der PW-Reset nicht mehr.
Zum Vergrößern anklicken....
Leider wird das von manchen Anbietern parallel zum bestehenden Login mittels Passwort angeboten. Mit Amazon hab ich es gerade erfolgreich getestet, die Anmeldung mittels Passkey wird mir nach Eingabe der E-Mailadresse zwar vorgeschlagen, prominent bleibt aber das Passwortfeld angezeigt und damit bin ich jetzt ohne den Passkey reingekommen. Wenn der Otto Normalverbraucher zu diesem Login kommt wird er garantiert in mehr als 50% der Fälle das Passwort eingeben, so wie die Anmeldemaske gestaltet ist. Und es verhindert die Anmeldung unberechtigter Dritter nicht, die an das Passwort gekommen sind.

Ich probier es jetzt nicht extra aus, aber ich wette ich könnte den Passkey einfach herauslöschen, ohne überhaupt nochmal authentifizieren oder im Besitz des Geräts mit Passkey sein zu müssen.
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT
lisanet schrieb:
Ich habe es aufgegeben bei Mails für Verschlüsselung zu werben. Das ist niemand wichtig. (aber Werbung im Webbrowser blocken, dass macht jeder, weil es ja soo böse ist. Typischer Fall von falscher Risikowahrnehmung und falschem Fokus)
Zum Vergrößern anklicken....
Ich leider auch. Ich hatte zumindest während des Studiums, anfang der 2000er genug Leute um mich herum, die auch PGP/GPG benutzt hatten. Irgendwann hatte ich das dann auch eingestellt, weil ich irgendwann keine Gegenseite die ebenfalls PGP/GPG nutzte. :/
 
  • Gefällt mir
Reaktionen: tom555
thulium schrieb:
Falls dann beide Apple-Geräte (bei mir sind es iPhone und MB) nicht mehr nutzbar sind (Diebstahl, Verlust, Defekt, Wasser, Brand, ...) hätte man den Stick.
Zum Vergrößern anklicken....
Sofern du auch dein Apple-Konto darüber absichern möchtest, musst du zwei physische Sicherheitsschlüssel haben, Apple setzt zwingend voraus, dass du einen zweiten Key registrierst und als Backup sicher verwahrst.

agrajag schrieb:
PGP/GPG
Zum Vergrößern anklicken....
Das ist in meinen Augen schlechter als gar keine Verschlüsselung zu haben. Das geht nämlich genau solange gut, bis eine Person der Unterhaltung unabsichtlich eine Antwort unverschlüsselt schickt und dann die gesamte Unterhaltung im Mailzitat unverschlüsselt offenbart wird. Ein Klassiker dafür wäre zB ein Verschlüsselungsaddon im Mailclient, das nach einem Update inkompatibel ist und im Hintergrund deaktiviert wurde.

Ganz abgesehen davon dass die wichtigste Info immer im Klartext vorliegt, nämlich wer sich mit welchen E-Mailadressen unterhält und dass es absichtlich verschlüsselt wurde. Falls man dann am Ende doch an einen der private Keys gelangt, kann man sämtliche Mail-Kommunikation der letzten Jahre sehen...

Daher sind E-Mails für mich von vornherein Postkarten.
 
OmarDLittle schrieb:
Das ist in meinen Augen schlechter als gar keine Verschlüsselung zu haben. Das geht nämlich genau solange gut, bis eine Person der Unterhaltung unabsichtlich eine Antwort unverschlüsselt schickt und dann die gesamte Unterhaltung im Mailzitat unverschlüsselt offenbart wird. Ein Klassiker dafür wäre zB ein Verschlüsselungsaddon im Mailclient, das nach einem Update inkompatibel ist und im Hintergrund deaktiviert wurde.
Zum Vergrößern anklicken....
Das Problem hättest du bei S/MIME aber auch. Um aber plötzlich die Konversation plötzlich ohne Verschlüsselung fortzuführen, müsstest du sie explizit, also du selbst, abschalten. Der Client würde von sich aus immer automatisch die Antworten verschlüsseln. Und vrmtl. auch warnen, wenn man die Verschlüsselung selbst abschaltet. Zumindest bei MailMate gibt es dazu auch einen visuellen Feedback.

Wer natürlich nur eine dieser Elends-Mail-Clients benutzt… nunja… könnte pech haben, daß das Ding einen nicht warnt.

OmarDLittle schrieb:
Ganz abgesehen davon dass die wichtigste Info immer im Klartext vorliegt, nämlich wer sich mit welchen E-Mailadressen unterhält und dass es absichtlich verschlüsselt wurde. Falls man dann am Ende doch an einen der private Keys gelangt, kann man sämtliche Mail-Kommunikation der letzten Jahre sehen...
Zum Vergrößern anklicken....
Ja, aber das ist ein grundsätzliches Problem. Ich würde mich auch freuen, wenn man mal beim Thema Mail weiter voran käme. Aber auch hier darf man wieder einmal auf die großen Companies verweisen, die systematisch auf alle Standards kacken, nur um ihr Ding durchzuziehen. Sehr viel war in diesem Bereich nämlich schon mal besser. Aber dank Microsoft, Google, Yahoo und weiß der Geiwer wer noch alles.

Es gibt schon länger von Fastmail die Initiative zu JMAP, eine modernisierte Variante von IMAP:
Leider zieht die SW-Landschaft bislang noch zögerlich an, was mich ein bisschen ärgert, wo doch alle die Situation so bemängeln. Es scheint mal wieder besonders an den großen Companies zu hängen, die schlicht nicht wollen.

Es könnte also schon lange besser sein. :/ Aber trotz aller unzulänglichkeiten, hat es bislang keiner der anderen Ansätze geschafft der eMail auch nur annähernd das Wasser zu reichen. Punktuell vielleicht. Aber nicht in allen seinen positiven Eigenschaften.
 
  • Gefällt mir
Reaktionen: thulium
agrajag schrieb:
könnte pech haben, daß das Ding einen nicht warnt.
Zum Vergrößern anklicken....
Du hast dann auch Pech, schließlich kannst du dir nicht aussuchen wie dein Gegenüber IT-technisch ausgerüstet ist. Dass ein kompletter Mailverlauf durch unabsichtlich unverschlüsseltes Weiterschicken exponiert wird, ist nicht erfunden, das ist einer der gröbsten Gründe warum Mailverschlüsselung nicht funktioniert. Auch S/MIME ist nicht zuverlässig, da hatte zB der Outlook mal einen Bug der solche Mails unverschlüsselt rausgeschickt hat. Das kann dich dein Leben kosten, wenn du Journalist bist oder zB Whistleblower, bei Boeing sind gerade mehrere weggestorben...
 
Irgendwie habe ich den Eindruck, das die digitale Industrie uns in die infrastrukturelle Irre führt.

In dem Sinne wie:
"Bis Ende der 90erJahre baute man Straßen mit Asphalt und Gehsteigkanten. Nun wird jedes Jahr eine andere Bautechnik verwendet; erst Randschienen, dann Spur Russlandbreite, dann Europa Standard und nun baut man zur Sicherheit zwei doppelgleisige Spuren in Größe H0 ein, damit das Fahren sicherer wird."
Die Folge war und ist, das nach verlassen des schönen Parkplatzes auf seinem Grundstück irgendwie sich die Reifen beim Abbiegen, später Anfang der 2000er Jahre auch beim einfädeln in eine andere Straße und nun aktuell nach Corona ein abbiegen aus den Schienenrillen neumodischer Spurbreiten gar nicht mehr geht. Das Auto ist nicht mehr nutzbar obwohl mit Elektrostrom betrieben just gekauft - kurz nach dem Auffahren in die Straße fährt das Auto immer geradeaus gegenüber in Nachbars Garten, weil es die sicheren Doppelschienenstränge nicht verlassen kann: die Reifengröße passt obwohl zugelassen nicht mehr.
 
lisanet schrieb:
Wenn du nun alle deine Apple-Geräte verlierst, dann wirst du dir sicher zumindest 1 neues Gerät kaufen, mit dem du dann auf deine Accounts zugreifen kannst. Wenn du da ein Apple-Gerät kaufst und iCloud einrichtest... ja, dann brauchst du ein weiteres Teil/Gerät.
Zum Vergrößern anklicken....
Genau, so lautet der Plan. Die Entscheidung ist aber noch nicht gefallen, ich erwäge es, wie erwähnt, nur und muss noch ein besseres Verständnis der Sticks haben, muss die Fallstricke verstanden haben, etc.
lisanet schrieb:
Hast du dieses Szenario jetzt auch schon "abgesichert"?
Zum Vergrößern anklicken....
Nein, hatte ich bisher nicht.
Da die Hardware in Form eines Sticks sehr günstig ist - im Vergleich zu einem gebrauchten iPhone, was man theoretisch auch außerhalb der Wohnung hätte deponieren könnte - ist das aus meiner Sicht eine attraktive Option.
lisanet schrieb:
Verfalle bei passkeys nun nicht in die 100%-Sicherheit für alle denkbaren Varianten. Es wird immer irgendein Restrisiko bleiben. Siehe oben -> Risikowahrnehmung / Fokus
Zum Vergrößern anklicken....
ACK. Das Streben nach 100% wäre vollkommen sinnlos würde einen fehlleiten. Ich versuche rational und pragmatisch mit dem Thema IT-Sicherheit umzugehen und setze auch andere Lebensrisiken und den Umfang von Schutzmaßnahmen dazu in Bezug.
 
agrajag schrieb:
Es gibt schon länger von Fastmail die Initiative zu JMAP, eine modernisierte Variante von IMAP:
[...]
Leider zieht die SW-Landschaft bislang noch zögerlich an, was mich ein bisschen ärgert, wo doch alle die Situation so bemängeln. Es scheint mal wieder besonders an den großen Companies zu hängen, die schlicht nicht wollen.

Es könnte also schon lange besser sein. :/ Aber trotz aller unzulänglichkeiten, hat es bislang keiner der anderen Ansätze geschafft der eMail auch nur annähernd das Wasser zu reichen. Punktuell vielleicht. Aber nicht in allen seinen positiven Eigenschaften.
Zum Vergrößern anklicken....
Vielen Dank für den Hinweis. JMAP kannte ich noch nicht.
Marktkräfte scheinen nicht selten Innovationen und Evolution zu verhindern. Die Nutzer tragen natürlich auch gut dazu bei.
 
  • Gefällt mir
Reaktionen: Brettsegler und thulium
OmarDLittle schrieb:
Sofern du auch dein Apple-Konto darüber absichern möchtest, musst du zwei physische Sicherheitsschlüssel haben, Apple setzt zwingend voraus, dass du einen zweiten Key registrierst und als Backup sicher verwahrst.
Zum Vergrößern anklicken....
Wer von euch praktiziert das so?
Oder habt ihr euch bewußt gegen diese Form entschieden?

Falls noch jemand was zum Auswahlprozess/Vergleich von Fido2-Sticks schreiben möchte: ich würde mich freuen.
 
S/MIME gestern spaßeshalber mal getestet (fix Zertifikat geholt, installiert, und los gehts ...).
Ist ja echt gar kein Problem - größte Hürde: wie ist das mit dem Zertifikat, wofür brauche ich das und wie bekomme ich das ...

Nun schaue ich mal wer das überhaupt nutzt :-/ ...
Aber zumindest: wieder was gelernt :)
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT und lisanet
jteschner schrieb:
S/MIME gestern spaßeshalber mal getestet (fix Zertifikat geholt, installiert, und los gehts ...).
Ist ja echt gar kein Problem - größte Hürde: wie ist das mit dem Zertifikat, wofür brauche ich das und wie bekomme ich das ...

Nun schaue ich mal wer das überhaupt nutzt :-/ ...
Aber zumindest: wieder was gelernt :)
Zum Vergrößern anklicken....
Plot Twist:
NIEMAND aus deinem Bekannten-/Freundeskreis
pika.png

:LOL:
 
  • Gefällt mir
Reaktionen: BEASTIEPENDENT
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten