Heißer Flamewar und Hot Takes in den Kommentaren
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp seit episode 109 hat sich meine damals schon ablehnende Haltung nur noch verstärkt.
Das ist nun bald 3 Jahre her.
0d109 - Passwörter sind tot, hoch leben Passkeys
Der Podcast für Informationssicherheit und Datenschutz In der heutigen Episode berichtet Sven über seine Erkenntnisse über Passkeys, was sie sind, wozu sie dienen, was Vor- und Nachteile sind und wem er sie empfehlen, bzw. über eine Empfehlung nachdenken würde. Stefan versucht währenddessen, die Weltherrschaft an sich zu reißen… Disclaimer In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.
0d - Zeroday (0x0d.de)
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp "In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist."
Huh?
Offener Standard, welche Daten wo verarbeitet/benötigt werden steht da drin.
L1 ist software, mitnehmen/transfer der Keys möglich
L2 ist hardware gebunden - explizit kein extrahieren möglich.Recovery Szenario ist registrieren mehrerer keys
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp 2 Fragen:
1) Was spricht dagegen, Passkeys dort zu verwenden, wo sie als Alternative zu User/Pass/TOTP eingesetzt werden können - und die dann im Vaultwarden abzulegen? Geht z.B. bei GitHub einwandfrei.
2) Warum QR Codes archivieren und nicht gleich einen TOTP Generator verwenden, der die Secrets direkt wegsichern kann?
-
@ennopark @isotopp maybe i‘m wrong, aber das von FIDO entwickelte CXP soll doch genau diesen Ökosystem-Lock-In aufbrechen oder? Dann exportierst du deinen gesamten Vault und schiebst ihn in das neue Tool der Wahl. Inklusive Passkeys. Bitwarden hat’s offenbar schon implementiert. 1Password leider noch nicht.
@goebelmeier @ennopark
Meinem Bauchgefühl nach ist das alles weiterhin viel zu kompliziert gemacht.¹Ich mag die Grundidee hinter Passkey, finde aber die aktuelle Umsetzung schrecklich. In sofern volle Zustimmung zu @isotopp: das sollten einfach Public/Private Key Exchanges sein (ob SSH oder PGP² oder whatever), optimalerweise noch mit eingebauter Anonymisierung und ohne daß ich bei Plattform A und B als die selbe Persona identifizierbar bin.³
Aber was ich aktuell bekomme: danke, nein.
Password-Manager sind endlich so weit, halbwegs zu funktionieren, und jetzt die ganze Scheiße nochmal?
__
¹und meist noch mit irgendwelchem 2fa vermengt, weil why not.
²ja, das macht andere schreckliche Erinnerungen an
³was mit etwas Hashing billig zu haben wäre -
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp seh ich genauso. Insbesondere weil es nur was bringen *könnte* wenn man andere Auth deaktivieren kann *und* gleichzeitig mehrere hinterlegen. Und das geht praktisch nirgendwo.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp
Warum die QR Codes archivieren? Du kannst doch in Bitwarden einfach das Secret editieren? -
@isotopp "In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist."
Huh?
Offener Standard, welche Daten wo verarbeitet/benötigt werden steht da drin.
L1 ist software, mitnehmen/transfer der Keys möglich
L2 ist hardware gebunden - explizit kein extrahieren möglich.Recovery Szenario ist registrieren mehrerer keys
@isotopp L1 ist der Scheiß, den Microsoft/Apple/Google ins OS eingebaut haben - da stimme ich dir zu, dass das intransparent ist, wohin die kritischen privatekeys abfließen.
Für L2, also Sticks (z.B. Token2 mit 300 passkeys) ist das Szenario dass man an einer Seite mit mindestens 2 Sticks registriert, den, den man 2go dabei hat und den Backup Stick an einem sicheren Ort - da fließt nichts irgendwo hin ab.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp @kuketzblog Vernünftige Einstellung. 2FA mit OTP ist für viele Menschen immer noch schwer genug, oft immer noch nicht gelernt. Hab mal erlebt, wie 2FA+OTP eine komplette Remote-Fortbildung einen ganzen Vormittag beschäftigt hat, weil da beim Onboarding Nutzerkonten für Miro und Atlassian benötigt wurden, was aber zwei Drittel der TN komplett überforderte…
-
Ich nutze überall Passkeys mit Bitwarden. Klappt wunderbar.
-
Ich nutze Waterfox und Firefox unter MacOS (x64 / ARM64), Fennec unter GrapheneOS und Firefox unter Fedora und die Bitwarden Erweiterung verrichtet in Verbindung mit Vaultwarden hervorragend ihren Dienst.
Mehr als ein "works for me" kann ich nicht anbieten, weil meine Erfahrung mit Passkeys durchgängig positiv ist und in einigen Threads zum Thema verschiedene Möglichkeiten zur Speicherung von Passkeys durcheinander gewürfelt werden (lokal/Hardware/Passwort Manager...)
-
@isotopp seh ich genauso. Insbesondere weil es nur was bringen *könnte* wenn man andere Auth deaktivieren kann *und* gleichzeitig mehrere hinterlegen. Und das geht praktisch nirgendwo.
-
@isotopp hebst du den QR Code oder den Schlüssel auf?
@derlinzer
„Screenshot“ klingt sehr nach QR.Und genauso mach ich es auch. Ich verschlüssele jeden Screenshot mit gnupg, da sie ja maximal für den Recoveryfall nochmal gebraucht werden.
-
@goebelmeier @ennopark
Meinem Bauchgefühl nach ist das alles weiterhin viel zu kompliziert gemacht.¹Ich mag die Grundidee hinter Passkey, finde aber die aktuelle Umsetzung schrecklich. In sofern volle Zustimmung zu @isotopp: das sollten einfach Public/Private Key Exchanges sein (ob SSH oder PGP² oder whatever), optimalerweise noch mit eingebauter Anonymisierung und ohne daß ich bei Plattform A und B als die selbe Persona identifizierbar bin.³
Aber was ich aktuell bekomme: danke, nein.
Password-Manager sind endlich so weit, halbwegs zu funktionieren, und jetzt die ganze Scheiße nochmal?
__
¹und meist noch mit irgendwelchem 2fa vermengt, weil why not.
²ja, das macht andere schreckliche Erinnerungen an
³was mit etwas Hashing billig zu haben wäre@goebelmeier @ennopark @isotopp @Lapizistik So sehe ich es auch: Mit funktionierendem PW Manager ist der Leidensdruck nicht da, mich dringend auf das Experiment einzulassen.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp fünf bis zehn Jahre warten finde ich noch in Ordnung, aber die Rechtschreibreform war vor 30 Jahren!
-
@isotopp L1 ist der Scheiß, den Microsoft/Apple/Google ins OS eingebaut haben - da stimme ich dir zu, dass das intransparent ist, wohin die kritischen privatekeys abfließen.
Für L2, also Sticks (z.B. Token2 mit 300 passkeys) ist das Szenario dass man an einer Seite mit mindestens 2 Sticks registriert, den, den man 2go dabei hat und den Backup Stick an einem sicheren Ort - da fließt nichts irgendwo hin ab.
Ich bin ja selbst IT-affin (ich habe praktisch mein ganzes Berufsleben Software entwickelt) und sehe durchaus die Vorteile von Passkeys in der Theorie.
Für mich als Anwenderin ist das ein Wust von Begriffen und Anwendungen mit denen ich mich gar nicht beschäftigen will.
So weit ich weiß, kann ich die ja noch nicht einmal auf Linux-Geräten *einfach* verwenden (oder doch?).
Für 95 % aller Menschen zu kompliziert.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp Amen!
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp Ich empfehle nach wie vor immer diese beiden Blogposts:
-
@goebelmeier @ennopark @isotopp @Lapizistik So sehe ich es auch: Mit funktionierendem PW Manager ist der Leidensdruck nicht da, mich dringend auf das Experiment einzulassen.
@cd_home KeepassXC-Datenbank mit langem Kennwort und mit allem drin* ist irgendwie immernoch das beste, wird es aber nicht bleiben.
*ohne 2FA, falls doch, dann mit OTP
@goebelmeier @ennopark @isotopp @Lapizistik -
@isotopp
Warum die QR Codes archivieren? Du kannst doch in Bitwarden einfach das Secret editieren?@koehntopp um den 2FA code in $2FA app zu bekommen. Dann hast du noch ein Quäntchen mehr Sicherheit falls mal das vault leaked (und die QR codes natürlich nicht da drin sind) @isotopp
-
@isotopp (Ergänzung zum OTP-Management: Mit zum Beispiel Aegis kann man die OTP-Secrets als erstklassige Secrets managen und exportieren etc. Dann braucht man die QR-Code-Krücke nicht. Wobei Aegis natürlich auch QR-Codes zum Importieren woanders anzeigen kann.)
@henryk wie wechselst du dann die 2FA App? Bin aktuell auch bei Aegis, aber AFAIK kann ich die Backups nur bei Aegis wieder einspielen.
