Fido2 und KeyPass: Einsatz ohne zusaetzliche Hardware auf macOS

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.779
Punkte Reaktionen
238
Hat jemand von euch Erfahrung mit der Verwendung von Fido2 inVerbindung mit KeyPass - ohne zusätzliche Hardware auf macOS? *

Es geht um die Vermeidung der Eingabe des Master Key.

Ein zusätzlicher Stick soll nicht verwendet werden.

Ist das mit KeyPass möglich?
Wie bewertet ihr eine solche Handhabung?

Ich helfe manchmal Freunden mit Windows-PCs und würde das Ganze erstmal auf meinem Mac und später dann auf einem PC ausprobieren.
 

ab78ni

Mitglied
Dabei seit
20.08.2021
Beiträge
214
Punkte Reaktionen
66
Was ist KeyPass? 🤔

Ich kenne nur KeePass…falls du das meinen solltest, dann zukünftig bitte auf die richtige Schreibweise achten, da sonst die Suche nicht funktioniert 🤷
 

tbo

Mitglied
Dabei seit
29.05.2005
Beiträge
196
Punkte Reaktionen
73
Was ist KeyPass? 🤔

Ich kenne nur KeePass…falls du das meinen solltest, dann zukünftig bitte auf die richtige Schreibweise achten, da sonst die Suche nicht funktioniert 🤷
Ich vermute, der OP meint Apple Passkeys, dies wird ein neues Feature mit macOS 13 und iOS 16 sein. Daher wird kaum jemand Erfahrungen damit haben, weil es aktuell noch nicht nutzbar ist. Wird jedoch spannend, ob das so funktioniert wie Apple (und andere) sich das vorstellen.

FIDO2 ist noch etwas anderes, damit und WebAuthn kann man ebenfalls ein passwort-loses Login ermöglichen, mit Microsoft funktioniert dies schon.
 
Zuletzt bearbeitet:

win2mac

Aktives Mitglied
Dabei seit
07.09.2004
Beiträge
3.943
Punkte Reaktionen
1.011
Keepass gibts doch gar nicht für Mac :unsure:
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.425
Punkte Reaktionen
7.080
FIDO2 ist noch etwas anderes, damit und WebAuthn kann man ebenfalls ein passwort-loses Login ermöglichen, mit Microsoft funktioniert dies schon.
Apples Passkey ist der Marketingname für eine Implementation von FIDO2. FIDO2 nutzt WebAuthn.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.779
Punkte Reaktionen
238
Nochmal genauer zu meiner Frage:

https://www.heise.de/select/ct/2019/22/1571743995528045
Darüber hinaus gibt es interne Authenticatoren. Damit ist eine Software gemeint, die den Krypto-Chip Ihres PCs, Smartphones oder Tablets für FIDO2 nutzt. Den Kauf eines externen FIDO2-Sticks können Sie sich damit sparen. Als internen Authenticator können Windows 10 und Android ab Version 7 arbeiten, unter macOS klappt es in Kombination mit Google Chrome.
Hat jemand von euch diese Verwendung eines Mac als "interner Authenticator" schonmal ausprobiert in Verbindund mit KeePass(XC)?
Oder auch mit Windows 11?
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.425
Punkte Reaktionen
7.080
dort steht doch was von Chrome bei macOS.

Und nein, ich habe es nicht probiert.

Edit:

aber ich verstehe dein Ansinnen auch nicht. Was hat den KeyPass mit FIDO2 / Passkey zu tun? KeyPass ist ein klassischer PasswortManager. FIDO2 ersetzt Passwörter und arbeitet für _Web_Passwörter. Nicht für Anwendungspasswörter.

Wenn du nicht möchtest, dass du ein Anwendungspasswort für deinen PasswortManager ingibts, hat das nichts mit FIDO2 zu tun. Da musst du sehen, ob der PasswortManager deiner Wahl die Tastatureingabe alternativ auch durch FaceID / TouchID / SecureCard / YubiKey oder sonst was unterstützt.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.779
Punkte Reaktionen
238
Der Text ist ja 3 Jahre alt.
Gut, hier liest offenbar niemand mit, der in der erwähnten Richtung mit FIDO2 schonmal experimentiert hat.

Ich frage im Forum von KeePass nach. Sollte ich was rauskriegen, werde ich hier berichten.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.425
Punkte Reaktionen
7.080
Der Text ist ja 3 Jahre alt.
Gut, hier liest offenbar niemand mit, der in der erwähnten Richtung mit FIDO2 schonmal experimentiert hat.

Ich frage im Forum von KeePass nach. Sollte ich was rauskriegen, werde ich hier berichten.

Nochmal: FIDO2 ist für Web-Passwörter gedacht, nicht für Anwendungspasswörter. Und ja, ich habe jahrelang mit einem YubiKey als 2FA mein MacBook abgesichert. Accountabsicherung mit einer FIDO2-artigen Challenge-Response, FileFault und Admin-Passworteingaben via gespilttetem Passwort (teil per Tastatur, tewil per YubiKey)

Das hat aber halt nichts mit FIDO2 zu tun.
 

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.779
Punkte Reaktionen
238
Nochmal: FIDO2 ist für Web-Passwörter gedacht
Damit ist ja schon viel gewonnen, wenn Web-Logins von KeePass (oder künftig auch auf Macs direkt ohne Zusatzsoftware) gehandhabt werden können und man - dank einem Macbook als interner Authenticator - den Masterkey nicht mehr eingeben muss.
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.425
Punkte Reaktionen
7.080
Damit ist ja schon viel gewonnen, wenn Web-Logins von KeePass (oder künftig auch auf Macs direkt ohne Zusatzsoftware) gehandhabt werden können und man - dank einem Macbook als interner Authenticator - den Masterkey nicht mehr eingeben muss.

So ganz verstehst du es echt nicht, sorry.

Du musst _immer_ den sog. Authenticator "freigeben / dich authentifizeiren". Das kann auf die unterschiedlichsten Weisen passieren: AccountPasswort, TouchID, FaceID, SecureCard, YubiKey oder was auch immer. Bei Apple wird es halt AccoutPasswort/TouchID/FaceID sein.

Das hat aber rein gar nichts mit FIDO2 zu tun.

Beispiel:

Safari kann schon jetzt Passwortfelder bei Web-Accounts automatisch ausfüllen. Da musst du auch kein "Masterpasswort" dafür eingeben. Das hat aber rein gar nichts mit FIDO2 zu tun, da eben noch immer zur Authentifizierung gegenüber dem Server das klassische User/Passwort verwendet wird.

Edit:

FIDO2 regelt die Authentifzierung zwischen dem Server und dem Mac. Es wird nicht mehr User/Passwort verwendet, sondern der Server sendet eine kryptografische Challenge, die nur der vorher "verbundene" FIDO2-Authenticator lösen kann und dann die Antwort an den Server sendet.

Da wird dann ein KeyPass für diese Accounts komplett obsolet und null mehr verwendet.
 

ruerueka

Aktives Mitglied
Dabei seit
04.04.2004
Beiträge
1.935
Punkte Reaktionen
544
FIDO2 ist für Web-Passwörter gedacht, nicht für Anwendungspasswörter.
Wie grenzt du das ab, da ja immer mehr "Anwendungen" mittlerweile im Browser bedient werden(z.B. SAP)?
"Intranet" vs. "nicht so wichtiges Extranet" (Shops und Foren)? Wozu gehört SaaS (Confluence, Jira, Git, ...), das je nach Anbieter über das Microsoft-Konto oder Azure-AD zugänglich gemacht wird und in der Regel MFA über eine Authenticator-App, Telefon/SMS oder Hardware verlangt?

Edit: Extranet eingegrenzt
 

lisanet

Aktives Mitglied
Dabei seit
05.12.2006
Beiträge
6.425
Punkte Reaktionen
7.080
Wie grenzt du das ab, da ja immer mehr "Anwendungen" mittlerweile im Browser bedient werden(z.B. SAP)?
"Intranet" vs. "nicht so wichtiges Extranet" (Shops und Foren)? Wozu gehört SaaS (Confluence, Jira, Git, ...), das je nach Anbieter über das Microsoft-Konto oder Azure-AD zugänglich gemacht wird und in der Regel MFA über eine Authenticator-App, Telefon/SMS oder Hardware verlangt?

Edit: Extranet eingegrenzt

Ein Server sendet an einen Client eine Challenge. Ist die Response vom Client korrekt erfolgt das Login.

Edit:

FIDO2 für Einsteiger -> https://loginwithfido.com

FIDO = Fast IDentity Online
 

tbo

Mitglied
Dabei seit
29.05.2005
Beiträge
196
Punkte Reaktionen
73

thulium

Aktives Mitglied
Thread Starter
Dabei seit
12.11.2011
Beiträge
2.779
Punkte Reaktionen
238
Nutzt jemand von euch KeePass oder verwendet ihr alle Schlüsselbund.app?
Ich selber verwende nur 2 Geräte, ein iPhone und ein Macbook. Seht ihr bei so einer Situationen irgendeinen relevanten Vorteil bei der Nutzung von KeePass statt Schlüsselbund?

Am Rande:
Kann man eine Exceldatei (die Zugangsdaten aufnehmen könnte) mit Bordmitteln von macOS sinnvoll verschlüsseln und in iCloud speichern?
 
Oben Unten