Vorteil von Passkeys - kann (noch) keinen erkennen

[jteschner]

Jepp. Und ich hätte auch kein Problem damit eine zu setzen.
Wenn mir die PIN sowieso egal ist und ich keine setzen wollen würde, dann kann ich sie mir auch auf den Stick schreiben/kleben um sie nicht vergessen zu können - das ist dann genauso gut wie keine zu haben.
Und da ich sie sowieso vielleicht nur einmal im Jahr brauche, ist auch ein tippen von 0000 kein riesen Ding

 

[lisanet]

Wenn mir die PIN sowieso egal ist und ich keine setzen wollen würde, dann kann ich sie mir auch auf den Stick schreiben/kleben um sie nicht vergessen zu können - das ist dann genauso gut wie keine zu haben.
Und da ich sie sowieso vielleicht nur einmal im Jahr brauche, ist auch ein tippen von 0000 kein riesen Ding

Ja, die PIN drauf schreiben ist identisch mit keiner PIN hinsichtlich der Sicherheit, aber nicht der Praktikabilität.

Da das Szenario _für mich_ lediglich dafür bestand, Zugang zum Apple-Account zu haben, wenn ich _alle_ Apple-Geräte nicht mehr habe oder mich auf fremden Geräte einlogge während ich gleichzeitig kein Apple-Gerät habe (beides also sehr seltene Fälle) sieht die Sache wie folgt aus

mit FIDO-Stick

--> Apple-ID + Passwort + FIDOStick (als 2FA) + FIDO-PIN eingeben + FIDO touchen

Sichere ich den Apple-Account mit 2FA und einer vertrauenswürdigen Rufnummer eines Falmilienmitgliedes

--> Apple-ID + Passwort + Rufnummer als 2FA + 2FA eingeben

Wo ist da nun der Vorteil eines FIDO2-Sticks? Für mich nirgends. Ich komme also wieder zurück zu meiner zu allererst genannten Vorgehensweise (für die ich dann als naiv bezeichnet wurde, da ich erwähnte, dass 2FA hier hinreichend sicher ist)

1) online-Accounts mit passkeys sichern + passkeys im iCloud-Keychain sichern + über alle Apple-Geräte (derzeit 4) syncen

2) Apple-Account (und damit Zugriff auf iCloud-Keychain bei Verlust von 5 Geräten) + 2FA + vertrauenswürde Rufnummer eines Familienmitlgiedes

Tja, dann habe ich mich von den ganzen Argumenten eines FIDO2-Sticks seit #88 wohl blenden lassen.

Obwohl ich noch in #138 eindeutig schon gegen FIDO2-Sticks für die Apple-ID war, bin ich dann mit einem nicht ganz vollständigen Argument (die Sticks wären nur für den Restore-Fall und würden den 2FA ersetzen, ohne Rede von einer PIN-Eingabe) dann in #143 zu einem "Ja" für FIDO-Sticks gekommen.

Naja, ich lerne daraus: meine ursprüngliche (über längere Zeit erworbene) Sichtweise zur Sicherung von Accounts ist _für mich_ sinnvoller.

 

[jteschner]

Ja, die PIN drauf schreiben ist identisch mit keiner PIN hinsichtlich der Sicherheit, aber nicht der Praktikabilität.

Da das Szenario _für mich_ lediglich dafür bestand, Zugang zum Apple-Account zu haben, wenn ich _alle_ Apple-Geräte nicht mehr habe oder mich auf fremden Geräte einlogge während ich gleichzeitig kein Apple-Gerät habe (beides also sehr seltene Fälle) sieht die Sache wie folgt aus

mit FIDO-Stick

--> Apple-ID + Passwort + FIDOStick (als 2FA) + FIDO-PIN eingeben + FIDO touchen

Sichere ich den Apple-Account mit 2FA und einer vertrauenswürdigen Rufnummer eines Falmilienmitgliedes

--> Apple-ID + Passwort + Rufnummer als 2FA + 2FA eingeben

Wo ist da nun der Vorteil eines FIDO2-Sticks? Für mich nirgends. Ich komme also wieder zurück zu meiner zu allererst genannten Vorgehensweise (für die ich dann als naiv bezeichnet wurde, da ich erwähnte, dass 2FA hier hinreichend sicher ist)

1) online-Accounts mit passkeys sichern + passkeys im iCloud-Keychain sichern + über alle Apple-Geräte (derzeit 4) syncen

2) Apple-Account (und damit Zugriff auf iCloud-Keychain bei Verlust von 5 Geräten) + 2FA + vertrauenswürde Rufnummer eines Familienmitlgiedes

Tja, dann habe ich mich von den ganzen Argumenten eines FIDO2-Sticks seit #88 wohl blenden lassen.

Obwohl ich noch in #138 eindeutig schon gegen FIDO2-Sticks für die Apple-ID war, bin ich dann mit einem nicht ganz vollständigen Argument (die Sticks wären nur für den Restore-Fall und würden den 2FA ersetzen, ohne Rede von einer PIN-Eingabe) dann in #143 zu einem "Ja" für FIDO-Sticks gekommen.

Naja, ich lerne daraus: meine ursprüngliche (über längere Zeit erworbene) Sichtweise zur Sicherung von Accounts ist _für mich_ sinnvoller.

Hmmmm ... nur so ganz spontan und aus meiner Erinnerung:
Hattest du nicht am Anfang gesagt, dass dir die Sticks nicht passen, weil du sie immer einstecken müsstest? -> unpraktikabel
Dann stellte sich raus, dass das eigentlich nicht nötig ist und du meintest, dass das ja super wäre und wolltest nochmal überdenken.
Dann meintest du, dass Fido-Stick sicherer ist als 2FA (#143 wegen Man-in-the-middle, Phishing, .... bin da aber natürlich kein Experte)
Und dann wolltest dir welche besorgen.

Wenn ich das falsch in Erinnerung habe, mögest du mir verzeihen.

Aber mal ehrlich: sollte man alle paar Monate oder im Notfall mal eine PIN eingeben müssen wie 0000, ist das echt soooo unpraktikabel?
Das dauert ungefähr 2s (und geht wahrscheinlich schneller als eine "vertrauenswürdeige Telefonnummer eines Familienmitglieds" zu bemühen)
Und wenn der Stick wirklich sicherer ist, dann sollte dieser geringe Aufwand doch nicht ins Gewicht fallen.

_Meine_ Meinung.
_Ich_ hätte auch Probleme mit einer vertrauenswürdigen Telefonnummer eines Familienmitglieds - nicht wegen fehlendem Vertrauen, sondern mit deren Verfügbarkeit :-/

 

[thulium]

--> Apple-ID + Passwort + FIDOStick (als 2FA) + FIDO-PIN eingeben + FIDO touchen

Ich dachte, man wir das Passwort los und der FIDOStick wird - statt des Passwortes - zum ersten Faktor.

 

[lisanet]

Hmmmm ... nur so ganz spontan und aus meiner Erinnerung:
Hattest du nicht am Anfang gesagt, dass dir die Sticks nicht passen, weil du sie immer einstecken müsstest? -> unpraktikabel
Dann stellte sich raus, dass das eigentlich nicht nötig ist und du meintest, dass das ja super wäre und wolltest nochmal überdenken.
Dann meintest du, dass Fido-Stick sicherer ist als 2FA (#143 wegen Man-in-the-middle, Phishing, .... bin da aber natürlich kein Experte)
Und dann wolltest dir welche besorgen.

Wenn ich das falsch in Erinnerung habe, mögest du mir verzeihen.

ja, stimmt. Ich sage doch, dass ich mich in #143 habe blenden lassen und diese Entscheidung falsch war.

Nachdem ich nun, bedingt durch die Sache mit der PIN, das Ganze nochmals durchdacht habe, ist eben genau das für mich overkill, Paranoia und falsch risikobewertet.

Mein Szenario bei 4 vorhandenen Geräte, die allesamt gleichzeitig weg sein müssen, ist schon sehr selten. Und nur in diesem seltenen Fall käme der Vorteil einer Phishing-Resitenz und kein man-in-the-middle zum Tragen. Dafür dann 2 FIDO-Sticks kaufen, PIN merken oder drauf kleben, FIDO-Sticks zustätzlich zu den 4 Geräten sicher und wiederauffindbar aufbewahren, das Alles steht für mich in keinem Verhältnis zu meinem Vorgehen. Eben overkill, Paranoia und falsch risikobewertet.

 

[jteschner]

ja, stimmt. Ich sage doch, dass ich mich in #143 habe blenden lassen und diese Entscheidung falsch war.

Nachdem ich nun, bedingt durch die Sache mit der PIN, das Ganze nochmals durchdacht habe, ist eben genau das für mich overkill, Paranoia und falsch risikobewertet.

Mein Szenario bei 4 vorhandenen Geräte, die allesamt gleichzeitig weg sein müssen, ist schon sehr selten. Und nur in diesem seltenen Fall käme der Vorteil einer Phishing-Resitenz und kein man-in-the-middle zum Tragen. Dafür dann 2 FIDO-Sticks kaufen, PIN merken oder drauf kleben, FIDO-Sticks zustätzlich zu den 4 Geräten sicher und wiederauffindbar aufbewahren, das Alles steht für mich in keinem Verhältnis zu meinem Vorgehen. Eben overkill, Paranoia und falsch risikobewertet.

Unter dieser Betrachtung ist die Entscheidung nachvollziehbar.

 

[thulium]

1. Quelloffenheit der Hardware: ja/nein
2. Wasserdicht vergossen: ja/nein
3. USB-C: ja/nein
4. NFC: ja/nein
5. Verwaltung der Passkeys möglich: ja/nein
6. Anzahl der speicherbaren Passkeys
7. Preis

8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

 

[jteschner]

8. Zusätzlicher biometrischer Faktor Fingerabdrucksensor: ja/nein
9. Falls der Stick als zusätzlichen Faktor einen Fingerabdrucksensor anbietet: besteht dennoch ein Zwang zum Setzen des Faktors PIN?
10. Methoden zum Zurücksetzen der zusätzlichen Faktoren

Ich würde anregen wollen für das Thema "Fido-Stick: was soll er können, welcher ist der beste, und ja oder nein" einen neuen Thread aufzumachen.
Hier geht das unter und hat auch nichts/wenig mehr mit dem ursprünglichen Thema "Vorteil von Passkeys" zu tun.

 

[Scum]

Es ist doch alles geschrieben...wieso alles wiederholen?
Übersichtlicher wird das nicht mehr.

 

[jteschner]

MIR ist das egal. Ich dachte nur an den Kollegen, der hier HW/SW-Tiefenanalyse/-auswahl von Fido-Sticks anfängt. Das ist für mich ein weiteres Thema.
ABER: seine Entscheidung.

 

[Boogaboo]

Ich würde anregen wollen für das Thema "Fido-Stick: was soll er können, welcher ist der beste, und ja oder nein" einen neuen Thread aufzumachen.
Hier geht das unter und hat auch nichts/wenig mehr mit dem ursprünglichen Thema "Vorteil von Passkeys" zu tun.

Finde ich gut, aber warum anregen? Mach doch einfach.
Ich finde die Idee mit den "Erfahrungen, Tipps und Austausch" Themen hier gar nicht schlecht.
Warum also nicht: "Fido Sticks - Erfahrungen, Tipps und Austausch" oder Security Sticks oder wie auch immer....

 

[thulium]

@jteschner
Du kannst gerne zu dem Thema Sticks einen neuen Thread eröffnen : )
Dann poste ich Weiteres zu Sticks gerne nur noch dort.

 

[jteschner]

Nee, mache ich nicht. Warum?
ICH habe nur Interesse an einem Fido-Stick, der nur meinen iCloud-Account absichert - und nicht mehr. Kein Speichern von Passkeys, absichern von anderen Passwortdatenbanken, Unlock Mac, ....
Und mein "Bedürfnis" ist mit dem Yubikey Security Key bedient. Er ist bestellt, wird morgen geliefert, dann werde ich testen, nochmal überlegen (gerade vor den letzten Erklärungen von @lisanet ) und dann entscheiden, ob es mir 70€ wert ist oder nicht (behalten oder zurückschicken).
Damit ist das Thema _für mich_ am Wochende beendet.

@thulium hat offensichtlich andere, weitergehende Anforderungen / Einsatzgebiete - zumindest entnehme ich dies seinen "Listen und Vergleichen"

Wenn also ein neuer Thread eröffnet werden sollte, dann nicht von mir, da ich kein Eigeninteresse mehr habe.
Also: es war von mir eine gutgemeinte Anregung an jemanden, der vielleicht ein breiteres Publikum ansprechen möchte und ein Eigeninteresse hat.

 

[rudluc]

@jteschner
Du kannst gerne zu dem Thema Sticks einen neuen Thread eröffnen : )
Dann poste ich Weiteres zu Sticks gerne nur noch dort.

Ja, bitte! Meine allgemeine Frage zu Passkeys #136 wurde ja leider noch nicht beantwortet.
Die FIDO-Sticks interessieren mich jetzt nicht so wahnsinnig.

 

[jteschner]

Ja, bitte! Meine allgemeine Frage zu Passkeys #136 wurde ja leider noch nicht beantwortet.
Die FIDO-Sticks interessieren mich jetzt nicht so wahnsinnig.

siehe #233

 

[lisanet]

Und mein "Bedürfnis" ist mit dem Yubikey Security Key bedient. Er ist bestellt, wird morgen geliefert, dann werde ich testen, nochmal überlegen (gerade vor den letzten Erklärungen von @lisanet ) und dann entscheiden, ob es mir 70€ wert ist oder nicht (behalten oder zurückschicken).
Damit ist das Thema _für mich_ am Wochende beendet.

Yep.

Was mir an Apple aber einfach nicht klar wird, ist dass nach den ganzen Support-Dokumenten, der FISO-Stick lediglich als 2FA dient, also die vorherige Eingabe eines Passwortes erfordert, ich mich aber selbst auf iCloud.com _ohne Passwort_ anmelden kann, nur mit dem vorgeschlagenen Passkey.

Ich habe das gerade auf dem Mac Studio ausprobiert_

- iCloud.com aufgerufen in Safari
- das Popup mit der Aufforderung zur Passwort-Eingabe abbrechen
- dann erscheint das Standard-Login-Fenster
- wenn man dort ins Eingabe-Feld klickt, kann man sich mit dem intern von iOS/macSO erzeugten Passkey anmelden

Warum dann ein FIDO-Stick nur "FA bietet ist für mich nicht verständlich.

Das passt nicht zusammen. Ob dann die Support-Dokumente noch nicht aktualisiert sind (was bei Apple unüblich wäre), es kein auffindbares Support-Dokument dazu gibt, oder es erst mit dem nächsten macOS implementiert wird.... keine Ahnung.

Am Samstag kommen auch meine keys.

Das reizt mich jetzt, dass zu ergründen, was geht, was nicht und wo die Grenzen sind. (ob ich dann angesichts der 10-Punkte-Hardware-Analyse-Umfrage nochmals Infos zum Thema poste ist echt fraglich. Das geht zu weit, wobei noch die 11.Frage fehlt: Welche Farbe? blau oder schwarz?)

 

[lisanet]

Ja, bitte! Meine allgemeine Frage zu Passkeys #136 wurde ja leider noch nicht beantwortet.

nur weil's du bist, eine Ausnahme:

Mein Kenntnisstand: eine Auswahl geht nicht.

Mehrere Passkey-Manager auf Apple-Geräten sind nicht nötig und bringen keinerlei Mehrwert. Auf Apple-Geräte wird alles gesynct, auf anderen Betriebssystemen (Windows, Linux, sonstwas) erstellt man einfach einen weiteren passkey für die betreffenden Accounts. Somit besteht keinerlei Notwendigkeit für einen betriebssystem-übergreifenden "passkey-Manager".

Die Hersteller von Passwort-Managern wollen dir natürlich einreden, dass ihr Produkt auch weiterhin wegen dieser übergreifenden Sync-Funktion sinnvoll sei, auch für passkeys. Die sehen genau, dass ihre Produkte zunehmend obsolet werden, wenn sich passkeys durchsetzen und Passwort-Logins nicht mehr notwendig sind. Ob dann die paar "Zusatzfunktionen" noch den Aufwand und Preis lohnen, ist ein anderes Thema.

Das war's von meiner Seite.

 

[thulium]

Warum dann ein FIDO-Stick nur "FA bietet ist für mich nicht verständlich.

Für mich auch nicht.

Ich habe soeben telefonisch beim Apple-Support zum Support-Dokument 102637 angefragt, ob man einen Fido-Key wirklich nur als zweiten Faktor für die Apple-ID verwenden kann und nicht als ersten Faktor (also den Ersatz des Passwortes).

Das wurde mir bestätigt.

Solange das so bleibt ist für mich der Fido-Key für die Anmeldung mit der Apple-ID aus dem Spiel. Schade.

An https://www.apple.com/feedback/ habe ich heute den Vorschlag gesendet, einen Fido-Key als ersten Faktor für die Apple-ID einrichten zu können (also als Ersatz für das Passwort).

 

[jteschner]

Das reizt mich jetzt, dass zu ergründen, was geht, was nicht und wo die Grenzen sind.

Aber wenn du dem Reiz nachgibst fände ich es schon toll wenn du zumindest die Ergebnisse kurz mitteilen würdest (wie auch immer).

 

[jteschner]

Ich habe das gerade auf dem Mac Studio ausprobiert_

- iCloud.com aufgerufen in Safari
- das Popup mit der Aufforderung zur Passwort-Eingabe abbrechen
- dann erscheint das Standard-Login-Fenster
- wenn man dort ins Eingabe-Feld klickt, kann man sich mit dem intern von iOS/macSO erzeugten Passkey anmelden

Interessant. Wenn _ich_ iCloud.com aufrufe bekomme ich kein Popup, sondern ein Fenster mit einem Anmeldebutton. Wenn ich den drücke, kommt ein Popup mit "TouchID" (Fingerprint). Finger auf den Sensor und ich bin drin. Das ist wohl meiner HW (MBP 14") und "Passkey" geschuldet.
Wenn ich in dem Popup "Mit anderer AppleID anmelden" wähle, dann bekomme ich die Möglichkeit eine AppleID einzugeben oder Passkey zu benutzen.