Vorteil von Passkeys - kann (noch) keinen erkennen

[lisanet]

Wenn ich den drücke, kommt ein Popup mit "TouchID" (Fingerprint).

ich habe doch geschrieben .... das Popoup abbrechen, wenn man wie ich bspw auf dem Mac Studio kein Keyboard mit Touc-ID hat.

abbrechen ist insoweit identisch mit "mit anderer ID anmelden"


Und solltest du pingelig auf das Wort "Popup" hinaus wollen, nenne es "Fenster", "Bereich" "Grafische Eingabeaufforderung" oder sonst wie. Muss ich wirklich für dich jeden Mausklick beschreiben, dass ich so einen Satz wie "kriege ich kein Popoup" nciht mehr lesen muss? Du kriegst es doch hin, warum also diese Haarespalterei... ich fasse es nicht...

 

[lisanet]

schon toll wenn du zumindest die Ergebnisse kurz mitteilen würdest

.... eher nein... zu große Gefahr von Haarespaltereien und 100te Fragen zu bereits beantworteten Dingen.

Da du ja auch FIDO-Stick kriegst, kannst du es ja alle Varianten durch testen und hier die Infos dazu geben und fragen beantworten. Wäre toll.

 

[jteschner]

wie du meinst ... ich lasse jetzt lieber weitere Kommentare

 

[thulium]

@jteschner

Sind Deine Sticks schon angekommen? Ich bin ja neugierig auf Deinen Bericht : )

Insbesondere interessiert mich, wie Yubico das Setzen und Zurücksetzen des Passwortes (PIN) für ihren Yubikey gelöst haben.
Aus meiner bescheidenen Sicht muss bei jedem Bedienweg, wo ein Faktor des Typs "Ich weiß etwas" im Spiel ist, auch betrachtet werden, wie dieser Faktor zurückgesetzt werden kann.



Mir ist noch ein weiterer Typ eines Hardware-Authentikators eingefallen, den wir hier im Thread noch nicht erwähnt hatten:

Einen Generator für ein TOTP, also ein Gerät mit eigener Tastatur.

Damit ist nicht gemeint, dass ich sowas vorschlage. Es würde jedenfalls die Aufgabe "Nutzer möchte keinen Faktor des Typs 'Ich weiß etwas' verwenden" lösen.

Unabhängig davon:
Bin gespannt, ob Apple künftig einen TOTP in iOS und macOS integrieren wird, damit das universell verwendbar ist, für beliebige Dienste, die diesen Faktor verwenden.



Einen anderen potentiellen Hardware-Authentikator als Teil einer Kette mehrerer Faktoren hatte ich weiter oben genannt:
Zum Identitätsnachweis kann in DE der "elektronische Personalausweis (nPA)" verwendet werden.

um die elektronische Authentisierung über das Internet mit dem neuen deutschen Personalausweis, dem elektronischen Aufenthaltstitel bzw. deren Online-Ausweisfunktion und der eID-Karte[2] nutzen zu können. Damit ist es Bürgern aus Deutschland und anderen EU-Staaten (nach §1 des eIDKG) möglich, sich einfach und sicher im Netz auszuweisen – etwa um Behördengänge online zu erledigen.

Zitat aus dem Artikel zu "AusweisApp"


Ob es Verfahrensketten zur /Authentifikation/ bei Onlinediensten (außer Behörden) gibt, wo ein solcher nPA als Hardware-Faktor (als zweiter Faktor?) eingesetzt werden kann, weiß ich nicht.

Lesen lässt er sich mit einem Smartphone mit Hilfe der kostenlosen App "Ausweisapp".

Ein Vorteil dieses potentiellen Hardware-Authentikators wäre:

Auch dieser Authentikator ist mit einer PIN als zusätzlichem Faktor gesichert. Zurückgesetzt werden kann diese PIN nur durch einen Gang zu
Behörde.

 

[troubadix2004]

ich fände es übersichtlicher wenn ihr euch zu dem Fido stick überlegen würdet einen eigenen Thread zu öffnen, das würde andere Interessenten einfacher das Thema finden lassen.

 

[jteschner]

@jteschner

Sind Deine Sticks schon angekommen? Ich bin ja neugierig auf Deinen Bericht : )

Nein. Und ich bin auch noch nicht sicher ob ich nicht die Annahme verweiger. lisanets Argumentation war schon überzeugend

Insbesondere interessiert mich, wie Yubico das Setzen und Zurücksetzen des Passwortes (PIN) für ihren Yubikey gelöst haben.
Aus meiner bescheidenen Sicht muss bei jedem Bedienweg, wo ein Faktor des Typs "Ich weiß etwas" im Spiel ist, auch betrachtet werden, wie dieser Faktor zurückgesetzt werden kann.

Das kann ich dir sagen grob sagen. Stichwort: Yubikey Manager - schau da mal nach. Mit diesem kann die PIN gesetzt werden. Ob jemand ander sie zurücksetzen kann weiß ich nicht.

 

[thulium]

Gerade stelle ich fest, dass Firefox 125 (seit 122) zwar Passkeys grundsätzlich unterstützt, aber der Dienst Paypal der Browser Firefox 125 für Passkeys nicht zulässt, sondern nur Safari und Chrome.

Ist das eine willkürliche Entscheidung, die die Diensteanbieter treffen, welche Browser sie zulassen möchten oder hat das plausible technische Gründe?

 

[peppermint]

folgendes versteh ich bei passkey nicht - oder hab ich nen denkfehler?

bei einer website (firma, die offenbar keinen mac nutzt) account erstellt "mit apple anmelden" + "email adresse verbergen" + passkey:

beim login kam ich erstmalig nicht in meinen account, da er die felder nicht automatisch ausfüllt
und ich die mail und den passkey manuell eingeben musste... also hab ich es irgendwie geschafft,
im schlüsselbund meine zufalls-mailadresse rauszufinden "xxxxxxx@privaterelay.appleid.com" und das passwort geändert. (ich bin kein icloud+ abonnent)

 

[jteschner]

Ohne genau aus deiner Beschreibung schlau zu werden:
Ich DENKE das hat nichts mit Denkfehler zu tun. Ich hatte es auch schon hin und wieder, dass Passwortänderungen nicht sofort im Schlüsselbund gespeichert/zugewiesen waren und ich dann manuell eingreifen musste. Beim nächsten Login war dann alles richtig.
Es ist vielleicht ein Timingpoblem oder auch wann ich wie mich wieder auslogge.
Bei ebay habe ich sogar zwei Einträge im Schlüsselbund: einen mit meinem Login/PW/2FA und einen weiteren mit eMail/Passkey - und das komische und für mich nicht erklärbare: beides wird benutzt und ich bekomme es nicht zu einem Eintrag verheiratet.

Nebenbei: wie gibt man denn einen Passkey manuell ein??

 

[thulium]

Mein bisheriges Verständnis der Intention von Passkeys ist:

Erhöhung der Sicherheit der Authentifizierung durch ein passwortloses Verfahren, welches das bisherige Verfahren mit Passwort ersetzt.


Gerade habe ich bei meinem Adobe-Konto (als erstes meiner Konten) die Anmeldevariante Passkey (sie nennen es "Hauptschlüssel") hinzugefügt.

Dabei stellte ich in der Admin-Oberfläche des Kundenkontos fest, dass einem nicht angeboten wird, die bisherige Anmeldevariante "Erster Faktor ist ein Passwort" zu deaktivieren.

Mir leuchtet das nicht ein.

Trauen sich die Diensteanbieter aktuell noch nicht, "voll auf das neue Pferd" zu setzen (bei den Nutzern, die sich für Passkey entscheiden)?
Haben sie Sorge, dass ihre Nutzer ohne die Anmeldevariante Passwort verunsichert wären?

Ist mein Verständnis der oben genannten Intention falsch?

 

[thulium]

Ist es richtig, dass man in "Systemeinstellungen > Passwörter" nicht gezielt nach allen Accounts filtern kann, für die ein Passkey eingerichtet wurde? Oder übersehe ich was?

 

[thulium]

Konkrete Bedienschritte beim Adobe-Account in Bezug auf Passkey (Firefox und Chrome auf macOS):

1. adobe.com
   Der Browser erkennt, dass zur Domain ein Passkey in "Systemeinstellungen > Passwörter" existiert.
   Aufforderung zum Authentifizieren für den Passkey-Container auf macOS per Touch-ID
2. Finger auflegen
   Angebot des Passkeys zu meinem Adobekonto, weil in "Systemeinstellungen > Passwörter" sowohl die Domain des Dienstes als auch die Benutzer-ID (Mailadresse) gespeichert sind. Eine manuelle Eingabe der Mailadresse kann also entfallen.
   Es wird auch kein OTP (per SMS) zusätzlich angefordert, wie es beim klassischen Login nötig ist.

Ich bin ehrlich begeistert (keine Ironie).
Das ist der stromlinienförmigste, bequemste Typ eines sicheren Logins, der mir bisher untergekommen ist.

Genauso stromlinienförmig hätte ich es übrigens auch gerne bei einem Login per FIDO2-Stick:

1. FIDO2-Stick anstecken
2. adobe.com
   Dem Browser wird von macOS übermittelt, dass ein FIDO2-Stick angesteckt ist.
   Aufforderung, den Stick per PIN (des Sticks) zu entsperren
3. Eingabe der PIN
   Angebot des Passkeys zu meinem Adobekonto, weil sowohl die Domain des Dienstes als auch die Benutzer-ID (Mailadresse) gespeichert sind.
   Wenn es nur einen Passkey zur Domain gibt: Aufforderung den Taster des Sticks zu betätigen.
   (Falls es mehrere Passkeys zur Domain auf dem Stick gäbe, käme noch ein Zwischenschritt zum Auswählen dazu.)
4. Tastendruck am Stick

Hier nochmal die Bedienschritte mit klassischem Login per Passwort und zweitem Faktor zum Vergleich:

1. adobe.com
2. Anmelden
   Feld für Mailadresse wird angeboten
3. Eingabe der Mailadresse
   "SMS mit einem OTP wurde an die hinterlegte Nummer gesendet"
4. Entsperren des Mobiltelefons
5. Öffnen der Nachrichten-App um das OTP zu lesen
6. Eingabe des OTP

 

[BEASTIEPENDENT]

Trauen sich die Diensteanbieter aktuell noch nicht, "voll auf das neue Pferd" zu setzen (bei den Nutzern, die sich für Passkey entscheiden)?
Haben sie Sorge, dass ihre Nutzer ohne die Anmeldevariante Passwort verunsichert wären?

Das ist ja mehrfach weiter vorne diskutiert worden. Dass es eben unlogisch und unsicherer ist, parallel die Passwort-Variante weiterlaufen zu lassen. Gründe sind verschiedene denkbar.

Nein, Dein Verständnis ist richtig, eigentlich ist das so widersinnig.

 

[thulium]

Habe jetzt die Anmeldung beim Adobekonto auf dem iOS-Gerät ausprobiert.
Wie erwartet wurde der Passkey (initial auf dem macOS eingerichtet) via iCloud synchronisiert.

Konkrete Bedienschritte bei Safari auf iOS:

1. adobe.com
2. Anmelden
3. Cursor in Mailfeld setzen
   Der Browser erkennt, dass zur Domain ein Passkey existiert und bietet in einem Popupfenster am unteren Bildschirmrand die Benutzer-ID des Adobekontos zur Auswahl an - für eine Anmeldung mit Passkey
4. Auswahl der Adobe-ID
   Face-ID startet

 

[PiaggioX8]

@chris25
Genau.... Du müsstest dann doch jetzt eigentlich auch auf dem Mac einen zweiten Passkey erstellen, können, wenn ich die Antworten vorher richtig verstandanden habe...

Einen zweiten Passkey auf dem gleichen Gerät erstellen ist aber nicht sinnvoll.

Also ich hab das so eingerichhtet (wenn möglich) dass eine Anwendung mit Passkey eine Pin an eine hinterrlegte Telefonnummer oder email schickt. Und erst durch Eingabe diser PIN wird der Login aktiv.
Steam und ebay machen das schon von Haus aus. Startet man seinen Account von einem anderen Rechner geht ohne die zugesendete PIN gar nichts.
Also so wie beim Banking schon. Meines erachtens ist das der grösstmögliche Schutz den man haben kann. Und relativ einfach ists auch.
Sollte also der unwahrscheinliche Fall auftreten, dass der Passkey bei der Eingabe oder Übertragung abgegriffen wird, so nutzt einem das nichts wenn man keinen Zugriff auf das Smartphone oder Mailadresse hat, wo die PIN hingeschickt wird.

 

[thulium]

Sollte also der unwahrscheinliche Fall auftreten, dass der Passkey bei der Eingabe oder Übertragung abgegriffen wird, so nutzt einem das nichts wenn man keinen Zugriff auf das Smartphone oder Mailadresse hat, wo die PIN hingeschickt wird.

Ein Passkey wird nicht eingegeben. Und er wird auch nicht an den Diensteanbieter übertragen.
Er kann also gar nicht "abgegriffen" werden.
Es wird nur der "Beweis", dass die "Challenge" gelungen ist, die der Anbieter mit seinem "öffentlichen Schlüssel" gestellt hat, übertragen.

Mit PIN meinst Du vermutlich ein TOTP, richtig?

Über die Feinheiten der Sicherheit der verschiedenen Typen eines zusätzlichen Faktors kann man sicher diskutieren.
Klar ist: Prinzipiell gibt es Angriffstypen, wo SMS-Inhalte abgefangen werden. Relevant für Privatanwender dürfte das nicht sein.

Bei der Verwendung eines Passkeys mit einem Smartphone hat man automatisch einen biometrischen zusätzlichen Faktor drin: Beim iPhone ist das Face-ID.
Mir genügt das. Ich möchte nicht umständlich wie bisher auf ein TOTP warten und es mühsam eingeben.

Bei der Verwendung eines Passkeys mit einem FIDO2-Stick hat man auch automatisch einen zusätzlichen Faktor drin: Die PIN des Sticks UND/ODER einen Fingerabdrucksensor, falls der Stick ihn integriert hat.

 

[thulium]

Dass es eben unlogisch und unsicherer ist, parallel die Passwort-Variante weiterlaufen zu lassen.

Gerade habe ich bei einem weiteren Dienst Passkey hinzugefügt: bei Nextcloud. Klappte problemlos.

Auch dort kann man die Anmeldevariante "Passwort" nicht deaktivieren.

Liest jemand mit, dem überhaupt schonmal ein Dienst begegnet ist, wo man die die Anmeldevariante "Passwort" deaktivieren kann?

 

[thulium]

Zum Einrichtungsprozess eines Passkeys

Bei den Anbietern Nextcloud und Adobe sehen die Einrichtungsprozesse für Passkey sehr verschieden aus. Normale Nutzer werden mit Sicherheit Schwierigkeiten haben, die vielen Informationen zu interpretieren.

Ich möchte noch herausfinden, ob das W3C für den Einrichtungsprozess eines Passkeys einen Standardprozess bzw. Standardformularfelder plant.

Ideal wäre wohl, dass alle Dialogfelder zum Einrichten vom OS bereitgestellt werden. Dann wäre sichergestellt, dass sie immer gleich aussehen.

 

[jteschner]

Liest jemand mit, dem überhaupt schonmal ein Dienst begegnet ist, wo man die die Anmeldevariante "Passwort" deaktivieren kann?

Ich nicht. Und eigentlich das schlimmste ist, dass dann auch noch Passwortreset über eMail angeboten wird.
Also: den Haupt-eMail-Account so sicher wie möglich machen - am besten dort auch noch auf imap verzichten.

 

[thulium]

Und eigentlich das schlimmste ist, dass dann auch noch Passwortreset über eMail angeboten wird.

Ja, sehe ich auch so.

Ich habe für mein Nextcloudkonto gerade testweise einen solchen Passwortreset vollzogen.

Aus Neugier habe ich noch ausprobiert, ob der Passkey dadurch ungültig geworden ist. Ist er nicht.

Ein Angreifer müsste also nach einem erfolgreichen PW-Reset in den Einstellungen des Webinterfaces schnell die Zugriffsart "Passkey" entfernen.