Vorteil von Passkeys - kann (noch) keinen erkennen

[Inspector]

Mein Senf:
Ich finde Passkey genial da es geräteübergreifend funktioniert und ich mir nichts weiter als die E-Mail-Adresse merken muss, wenn man dann mehr wie zehn E-Mail-Adressen hat ist das schon echt eine Erlösung sozusagen.

Wie gesagt es funktioniert ja geräteübergreifend durch den iCloud Schlüssel ich verwende das schon seit es das bei Google gibt. Alle Geräte müssen natürlich auf dem selben iCloud Account eingeloggt sein dann kann man sich überall durch biometrische Verfahren verifizieren und ist sofort in dem Konto angemeldet.

Wer das einmal ausprobieren möchte kann das über diesen Link hier machen und sich dort in seinem Google Konto ein Passkey erstellen falls er ein Google Konto hat natürlich.

Passkey erstellen Google

Natürlich alles auf eigene Gefahr man muss schon wissen wie Passkey arbeitet damit man nicht irgendwann unterwegs ist und feststellt Upps ich hab gar kein verifiziertes Gerät dabei und kann mich dann dort nicht anmelden.

Also für mich auf jeden Fall eine riesige Erlösung von Passwörtern


Die Frage aller Fragen ist aber wenn das Worst Case Szenario eintritt, Apple sperrt den Account zum Beispiel dann hat man auf nichts mehr Zugriff, aber wie gesagt man muss halt an alles denken.

Allerdings gibt es noch ein Problem, wie loggt man sich dann mit Passkeys zum Beispiel über das Smart TV oder andere Dinge ein?
Wenn sie kein einloggen über das Smartphone oder sonstige Geräte anbieten, also das muss sich schon etwas weiter verbreiten damit das allgemein praktikabel und akzeptabel wird denke ich.

 

[lisanet]

Was aber zu lasten des Komforts geht. Habe drei Geräte (iPad, iPhone und ein MacBook Air), müsste also in dem Fall auf drei Geräten einen Pass erstellen. Was allerdings in Bezug auf Sicherheit natürlich wieder etwas besser ist.

Nein, so stimmt das nicht.

Ich habe mit plattformübergreifend Apple - Windows - Linux - whatever gemeint.

Gerät die über iCloud "verbunden" sind, werden darüber gesynct. Da kann man auch gar keine separaten passkeys anlegen.

Wenn viele user von plattformübergreifenden Passkey/Passwaort-Managern schreiben, meines sie genau so was: Apple - Windows - Android - Linux - whatever

 

[chris25]

Bei Yubikeys macht man sich halt von einem Hersteller abhängig.

Gerät die über iCloud "verbunden" sind, werden darüber gesynct. Da kann man auch gar keine separaten passkeys anlegen.

Hast Du das bei Playstation eigentlich hinbekommen? Das ist auch ein Thema was ich mit Kontrollverlust meine - es funktioniert nicht, und die Ursache ist nicht wirklich klar.

 

[lisanet]

Hier noch eine Meinung zu Passkeys von jemandem, dem ich Ahnung zuspreche:
https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/

Ja, Veränderung ist immer schwer und wird von vielen abglehent. Das war auch schon so beim Wechsel von Pferdekutschen zum Auto. Ist also nichts Neues.

 

[lisanet]

Hast Du das bei Playstation eigentlich hinbekommen? Das ist auch ein Thema was ich mit Kontrollverlust meine - es funktioniert nicht, und die Ursache ist nicht wirklich klar.

Nee und ich kann auch nicht sagen, warum es am MBA und auf iOS funktioniert, aber beim Mac Studio nicht.

Aber das ändert für mich nicht die grundsätzlichen Vorteile von passkeys.

 

[chris25]

Nee und ich kann auch nicht sagen, warum es am MBA und auf iOS funktioniert, aber beim Mac Studio nicht.

Aber das ändert für mich nicht die grundsätzlichen Vorteile von passkeys.

Das Problem dürfte auch eher an der Implementierung von Apple (und oder Sony) als dem Konzept von Passkeys liegen.

 

[Inspector]

Gerät die über iCloud "verbunden" sind, werden darüber gesynct. Da kann man auch gar keine separaten passkeys anlegen.

Das ist richtig, aber ich könnte auf der Seite bei Google zum Beispiel nehmen wir ein E-Mail-Account kann ich im Passkey Einstellungen für ein anderes Gerät ein Passkey konfigurieren das geht auch ohne weiteres.

Natürlich kann man kein zweiten Passkey für den selben iCloud Account erstellen da hast du vollkommen recht

 

[agrajag]

Ja, Veränderung ist immer schwer und wird von vielen abglehent. Das war auch schon so beim Wechsel von Pferdekutschen zum Auto. Ist also nichts Neues.

Öhm, wenn ich es richtig verstehe, ist er früh auf den Zug aufgesprungen und aktiv an der Entwicklung beteiligt:

In 2019 I flew to my mates place in Sydney and spent a week starting to write what is now the Webauthn library for Rust. In that time I found a number of issues in the standard and contributed improvements to the Webauthn workgroup, even though it took a few years for those issues to be resolved. I started to review spec changes and participate more in discussions.

Daher ist dein Einwand völlig unberechtigt und unfair. Es dürfte hier im Forum eher wenig Leute geben, die so viel Detailwissen zum Thema Passkeys aufweisen können wie er. Ich weiß ja nicht, wie es bei dir aussieht...

 

[thulium]

Aus Neugier:

Wäre es eigentlich für die Zukunft machbar/sinnvoll, dass der "neue elektronische Personalausweis (nPA)" eine wichtige Rolle als "external Authenticator" bei Authentifizierungsprozessen (für Anwendungssoftware und Onlinedienste) spielt?

Oder ist das aufgrund der Architektur von FIDO2 und des nPA ausgeschlossen?

 

[Scum]

Mal zum Verständnis...ich würde gerne meine 2FA über einen Yubikey machen. Apple sagt man braucht 2 stück zur Einrichtung.
Falls man einen verliert oder so. Was ja auch gut ist.
Dann benutze ich den auch bei Paypal. Funktioniert auch.
Aber wie kriege ich denn den 2. dafür aktiviert wie bei Apple?
Oder muss ich da einen 2, Yubikey neu anlegen oder kann man das irgendwie kopieren?

 

[OmarDLittle]

Oder muss ich da einen 2, Yubikey neu anlegen oder kann man das irgendwie kopieren?

Du musst den zweiten Yubikey wie bei Apple als zusätzlichen neuen Token registrieren. Bei Paypal hab ich es nicht geschafft einen einzigen meiner beiden Yubikeys zu registrieren und habs aufgegeben, auch mit dem Safari meinte das Ding mein Browser sei nicht unterstützt und ich müsse Safari nutzen. Es würde mich gar nicht wundern, wenn Paypal es technisch noch nicht geschafft hat einen zweiten Yubikey zu ermöglichen... und bei einem einzelnen würde ich es nicht belassen wollen, nur eine Frage der Zeit bis man sich nachhaltig aussperrt.

Kopieren geht prinzipiell nicht, Passkeys können den Yubikey nicht verlassen, sonst wäre die Sicherheit nicht gegeben, wenn man den Yubikey klonen könnte.

 

[Scum]

Also Paypal geht bei mir ohne Probleme mit em Yubikey.
Bekomme da halt die Auswahl ob über Telefon oder Sicherheitsschlüssel

 

[lisanet]

Öhm, wenn ich es richtig verstehe, ist er früh auf den Zug aufgesprungen und aktiv an der Entwicklung beteiligt:

Daher ist dein Einwand völlig unberechtigt und unfair. Es dürfte hier im Forum eher wenig Leute geben, die so viel Detailwissen zum Thema Passkeys aufweisen können wie er. Ich weiß ja nicht, wie es bei dir aussieht...

... nachdem passkeys auf dem gleichen Prinzip basiert wie andere public-key-Verfahren, am bekanntesten wohl ssh (ich kann die Jahre seit ich das nutze gar nicht mehr ergründen), und ich u.a. meine Erfahrungen mit Yubikeys und den Möglichkeiten solcher Sicherheitsschlüssel und pubblic-key-Verfahren seit 2014 sammeln konnte (ich habe extra in den Kaufbelegen nachgesehen), denke ich schon, dass ich da durchaus mitreden kann.

 

[thulium]

Hier gibt es eine recht gut gepflegte Liste aller Dienste, die Passkeys anbieten:

https://passkeys.directory/

Bereitgestellt vom Anbieter des Passwortmanagers 1Password.




Wer von euch verwendet bewußt für die besonders schützenswerten Dienste wie Banking, Mail, ... einen Fido2-Key statt seines iPhones?

Bin noch unsicher, ob ich mir den Zusatzaufwand antun soll.

 

[agrajag]

... nachdem passkeys auf dem gleichen Prinzip basiert wie andere public-key-Verfahren, am bekanntesten wohl ssh (ich kann die Jahre seit ich das nutze gar nicht mehr ergründen), und ich u.a. meine Erfahrungen mit Yubikeys und den Möglichkeiten solcher Sicherheitsschlüssel und pubblic-key-Verfahren seit 2014 sammeln konnte (ich habe extra in den Kaufbelegen nachgesehen), denke ich schon, dass ich da durchaus mitreden kann.

Das ändert allerdings nichts daran, daß dein Vorwurf and den betreffenden Lib-Entwickler völlig unangebracht war. Rein gar nichts.

Ich hatte übrigens auch schon vor Ewigkeiten mit Yubi-Keys zu tun gehabt und nutze ebenfalls SSH-Keys. Und?

 

[OmarDLittle]

Am Ende stimmt die Kritik schon, jeder Service, jedes Konto, jeder Anbieter implementiert es wie er will, die einen verlangen zusätzlich das Passwort, die anderen ersetzen das Passwort durch den Passkey, aber das Passwort gibt es dann noch weiter und es wird weiterhin benötigt (Paradebeispiel Apple, wo du trotz Passkey/Yubikey weiterhin im Appstore am iPhone dein Passwort eintippen musst obwohl das iPhone selbst als Apple-ID-Passkey fungieren sollte)....

Da wird selbstverständlich für den einfachen Anwender die Komplexität nur erhöht.

Wir haben hier in Ö die ID Austria (ehemals Handysignatur), die deine Unterschrift ersetzt und per Yubikey erfolgen kann. Ich hab mir das mit meinem Yubikey eingerichtet, aber als einfacher Anwender scheitert es schon daran den richtigen Yubikey zu kaufen, von 4 verschiedenen Modellen entspricht nur einer den Anforderungen. Ich selbst hatte unabsichtlich zuerst einen falschen gekauft und bin darüber gestolpert, dabei wusste ich was ich wollte. Aber: Beide Keys schauen ganz identisch aus, wenn man sie nebeneinander liegen hat muss man auch mit trial/error einstecken und probieren welcher der richtige ist.

Meinen Eltern in ihren 70ern hab ich das auch mit Yubikeys eingerichtet. Da hatten wir das zuerst gemeinsam versucht, damit sie das auch lernen mit dem Ergebnis, dass die Einrichtung abbrach, weil sie zulange brauchten die Anleitung zu verstehen und die Schritte durchzugehen, sodass im Hintergrund das ganze Ding in ein Timeout lief. Die Fehlermeldung war aber nicht "du hast zulange gebraucht, bitte nochmal von Anfang an" sondern irgendein nichtssagender Fehlercode. Und sowas liefert man der österr. Bevölkerung als modernisierte IT-Infrastruktur aus.

Man käme sonst auch ohne das ganze Key-Zeugs mit einer App hin, aber das eine Handy hat die App erst gar nicht unterstützt und beim anderen war es so umständlich, dass wir das gleich wieder aufgegeben hatten, das ist für ältere Menschen einfach nicht mehr leicht erlernbar.

Vor ein paar Wochen hatte ich die am Beispiel der Chat-App Discord die Entdeckung gemacht wie gut die Passkeys funktionieren:

Wenn man sich mit einem Passkey anmeldet, loggt die App kurz ein, stürzt sofort ab und ist beim nächsten Öffnen wieder beim Loginbildschirm. Weder am iPad noch am iPhone ist eine Anmeldung möglich. Auch mit Yubikey stürzt die App sofort nach dem Login ab und ist ausgeloggt. Wähle ich stattdessen den Login per Passwort, funktioniert es. Nun habe ich es soeben wieder probiert, ist ja schon einige Zeit her, und es stürzt immer noch ab.

Also eins ist klar, die Entwickler der Software dürften die selbst nicht in Verwendung haben, sonst hätte das längst als schwerer Bug erkannt werden müssen.

für die besonders schützenswerten Dienste wie Banking, Mail, ... einen Fido2-Key statt seines iPhones?

Gerade da geht es nicht. Meines Wissens bieten Banken es gar nicht an, weder für den Login noch für die Transaktions-Freigabe. Und eine TAN darf es sowieso nicht ersetzen, weil TANs/Freigaben transaktionsgebunden sein müssen. Das heißt die Bestätigung darf nur für die eine Transaktion gültig sein. Ein Key erfüllt diese Voraussetzung nicht, der generiert keinen neuen Key speziell für jeden Vorgang, sondern ist eher wie eine Unterschrift mit der du alles Mögliche absegnen kannst.

Und IMAP unterstützt es auch nicht bzw. auch kein 2FA, daher geht das für E-Mails nicht, höchstens wenn man einen Mailanbieter wie Microsoft mit O365 hat, deren proprietäres Exchangeprotokoll erlaubt 2FA. Wird sich aber im privaten Umfeld selten finden ggü. IMAP/POP.

 

[thulium]

Gerade da geht es nicht. Meines Wissens bieten Banken es gar nicht an, weder für den Login

Danke für Deine Infos. Schade, dass gerade Banken das nicht unterstützen.

Und eine TAN darf es sowieso nicht ersetzen

Das ist klar.

Und IMAP unterstützt es auch nicht bzw. auch kein 2FA,

Es gibt ja diverse IMAP-Mail-Provider, die für ihr Mail-Webinterfaces 2FA anbieten. Das typische Vorgehen für den Abruf der Mails mit einem Client ist: Festlegen eines "App-Passwortes".

Wäre denn keine "technische Schicht" um den IMAP-Server des Anbieters "herum" möglich, die, im Zusammenspiel mit "geeigneten Techniken im Client", einen zweiten Faktor ermöglicht?

Der Kanal Mail spielt ja für viele Authentifizierungen eine zentrale Rolle und es wäre daher wünschenswert, wenn man den Zugriff gut absichern könnte.

 

[OmarDLittle]

Bei Webinterface mit 2FA muss man beim Anbieter auch den IMAP/POP-Zugriff deaktivieren können, sonst ist das Postfach darüber weiterhin ohne 2FA erreichbar. Das könnte ich bei meinem Anbieter einstellen, aber so restriktiv möchte ich den Mailabruf nicht gestalten.

Um den Zugriff richtig abzusichern, gehen Tuta und Proton den Weg, eigene Mailclients anzubieten bzw. sogar zu forcieren, sodass darüber die Sicherheit gewährleistet wird. IMAP ist bei den Anbietern gar nicht möglich. Nur für den Desktop-Computer bietet Proton eine lokale Software an, die mit 2FA usw. Mails entgegennimmt und dann lokal per IMAP an den gewohnten Mailclient durchreicht. Am Smartphone ist man an deren Mailclients gebunden.

App-Passwort bedeutet, dass für den Mailclient ein eigenes Passwort vergeben wird. So kann man das App-Passwort nachher jederzeit entfernen/sperren und so einem Client den Zugriff entziehen, ohne das Haupt-Passwort fürs Konto ändern und dann überall mühsam bei jedem Mailclient nachtragen zu müssen.

 

[lisanet]

Danke für Deine Infos. Schade, dass gerade Banken das nicht unterstützen.


Das ist klar.


Es gibt ja diverse IMAP-Mail-Provider, die für ihr Mail-Webinterfaces 2FA anbieten. Das typische Vorgehen für den Abruf der Mails mit einem Client ist: Festlegen eines "App-Passwortes".

Wäre denn keine "technische Schicht" um den IMAP-Server des Anbieters "herum" möglich, die, im Zusammenspiel mit "geeigneten Techniken im Client", einen zweiten Faktor ermöglicht?

Der Kanal Mail spielt ja für viele Authentifizierungen eine zentrale Rolle und es wäre daher wünschenswert, wenn man den Zugriff gut absichern könnte.

Webinterface und IMAP sind komplett andere Dinge.

IMAP unterstützt kein 2FA. Darum ist es ja auch eine sehr ungünstige Idee, Passwort-Reset via Mail anzubieten, weil der nur PW-geschützte Mailaccount so zentral wichtig wird.

Das kommt davon, wenn User sich nicht mit anderen Maßnahmen auseinandersetzen und die Anbieter sich dann auf das DAU Niveau einlassen.

 

[lisanet]

Das ändert allerdings nichts daran, daß dein Vorwurf and den betreffenden Lib-Entwickler völlig unangebracht war. Rein gar nichts.

Ich habe dem Entwickler gar nichts vorgeworfen. Ich finde aber dass ein Rant gegen eine Veränderung von alt zu neu auch hier allzu schnell gemacht wird, auch von dir durch dein verlinken eines ablehnenden Artikels, anstatt sich mit neuen Möglichkeiten auseinander zu setzen, hier: User zu unterstützen zur Weiterbildung, Websites und Dienste zu ermöglichen, das fehlerfrei zu implementieren. Das wäre sinnvoll.

Aber als Fazit zu sagen: taugt nichts, weil zu umständlich, springt gerade für Entwickler zu kurz.

Was würdest du denn für bessere Maßnahmen als passkeys empfehlen, wenn es um die zwei Angriffsvektoren "PW hacken" und "Phishing" geht? 2FA ist nun mal nicht phishing-resistent.