Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog bei Proton Pass
-
@liamthexpl0rer @kuketzblog Hmm wenn ich aber statt einem Passkey eh mein Passwort und Username synchronisiere, dann macht das ja keinen Unterschied, oder?
@NcamGnrvngu @kuketzblog Das macht, meine ich, keinen Unterschied. Die Frage ist dann halt, ob du noch sicherer unterwegs sein willst oder ob dir ein synchronisierter Passkey reicht.
Es besteht halt jederzeit die Möglichkeit, dass dein Passkey durch eine Sicherheitslücke gekapert wird (oder jemand mitliest). Bei einer selber gehosteten Lösung, die man nur Intern (VPN) erreichen kann ist natürlich wieder was anderes. Ich habe bei meinem Kommentar eher an die nicht so affinen Leute gedacht.
-
@liamthexpl0rer @kuketzblog Hmm wenn ich aber statt einem Passkey eh mein Passwort und Username synchronisiere, dann macht das ja keinen Unterschied, oder?
@NcamGnrvngu @kuketzblog Ich finde Passkeys, egal welcher Art besser als Benutzername und Passwort. Als das ganze losging habe ich mir halt angeschaut, was für Möglichkeiten der Authentifizierung dadurch entstehen und mittlerweile nurnoch mit Hardware Schlüsseln unterwegs.
Ein PW Manager ist keine schlechte Wahl, nur gibt es dort wieder einige Aspekte mehr, die man sich anschauen sollte. Einem Cloud Anbieter würde ich das nicht mehr anvertrauen, da man nie weiß, ob er nicht doch mitlesen kann.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog 2 Probleme: 1. der Tresor ist nun viel gefährlicher da er direkten Zugang ermöglicht und die Integration von passkeys ist unterirdisch im allgemeinen. Funktionieren teilweise wie Passwörter, teilweise kann man sie per SMS zurücksetzen oder man braucht trotzdem 2FA. Die Umsetzung ist insgesamt so schlecht dass es einfach nicht brauchbar ist. Für den DAU, was die meisten User sind, ist es selbst in dieser schlechten Form ein unglaubliches Upgrade für die Sicherheit.
-
@NcamGnrvngu @kuketzblog Ich finde Passkeys, egal welcher Art besser als Benutzername und Passwort. Als das ganze losging habe ich mir halt angeschaut, was für Möglichkeiten der Authentifizierung dadurch entstehen und mittlerweile nurnoch mit Hardware Schlüsseln unterwegs.
Ein PW Manager ist keine schlechte Wahl, nur gibt es dort wieder einige Aspekte mehr, die man sich anschauen sollte. Einem Cloud Anbieter würde ich das nicht mehr anvertrauen, da man nie weiß, ob er nicht doch mitlesen kann.
@liamthexpl0rer @kuketzblog Was ich bei Hardware bisher immer Schwierig fand ist die Wiederherstellung. Ich hätte gerne ein zweites Token an einem sicheren Ort, mit dem ich im Zweifel auch rein kann. Das mit dem sicheren Ort wird aber schwieriger, wenn ich dafür bei jedem neuen Account an den Schlüssel muss
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Passkeys. Im Passwortmanager oder Yubikey. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Baue gerade eine Web-App mit „Passkey Only“. Ist wie mit Karten- vs. Barzahlung: Es dauert eine Weile bis die Leute in der Fläche kapieren, dass das die Zukunft ist.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Die Angst, dass man den Passkey "verliert" kann ich nicht teilen. Zumindest wenn man über keepassXC /DX arbeitet. Der Zugang über Passwort bleibt ja weiterhin möglich. Allerdings weiß ich bei passkey, dass ich nicht auf einer phishing Seite gelandet bin. Lediglich der aufpoppende windows Dialog für passkey nervt. Den kriege ich aktuell nicht deaktiviert. -
@liamthexpl0rer @kuketzblog Was ich bei Hardware bisher immer Schwierig fand ist die Wiederherstellung. Ich hätte gerne ein zweites Token an einem sicheren Ort, mit dem ich im Zweifel auch rein kann. Das mit dem sicheren Ort wird aber schwieriger, wenn ich dafür bei jedem neuen Account an den Schlüssel muss
@NcamGnrvngu @kuketzblog Man muss ja nicht übertreiben. Ich habe zum Beispiel einen an meinem Schlüsselbund und der andere liegt Zuhause im Schrank.
Neue Accounts mache ich meist Zuhause und da habe ich ja dann beide Schlüssel parat. ^^
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog ähnlich. Habe an ein paar Stellen Passkeys in KeePassXC. Benutzen tu' ich sie nicht.
-
@kuketzblog ähnlich. Habe an ein paar Stellen Passkeys in KeePassXC. Benutzen tu' ich sie nicht.
@kuketzblog Passkeys sind in ihrer Umsetzung leider ein einziger Clusterfuck. Vom Prinzip eher super., aber da alle es willkürlich umsetzen, ich die Benutzbarkeit insbesondere für Menschen in reinen FOSS- und Selfhosting-Umgebungen eine Zumutung: Nintendo: Oh schade, dein Browser wird nicht unterstützt. PayPal: Oh blöd, das geht leider nur mit Chrome auf Mobilgeräten. Und so weiter. Laien können teilweise 3 Optionen wählen. Wer soll da durchblicken? Im Google-Konto, lokal auf dem Gerät oder doch bei AP Es ist zum Heulen
Noch ein Problem: Passkeys sind mit ihrem asymmetrischen Verfahren und relativ komplexen Technik im Hintergrund furchtbar abstrakt. Wie Passwörter funktionieren – ein gemeinsames Geheimnis – verstehen Menschen viel leichter. Hängen bleibt oft: Es ist kompliziert.
Immerhin: Wenn sie unterstützt werden, läuft es super, egal ob mit KeepassXC/DX, BitWarden oder Security-Token (Yubi- odr Nitrokey).
-
R relay@relay.infosec.exchange shared this topic
