Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch.
-
@martinrust Für uns ist das der beste Kompromiss zwischen Usability und Sicherheit. Passwörter gehen verloren oder werden wiederverwendet und sind somit anfällig. Passkeys wären eine bessere Alternative, allerdings in der Breite noch nicht gut angenommen, sieht man ja auch im Thread oben.
Wir beobachten das und überlegen, weitere Möglichkeiten anzubieten. Was wäre dir am liebsten?
@joinsteady Danke für die Frage. Ich hab ja nichts dagegen, dass ihr denjenigen Usern, denen das bei Passwörtern nötige Problembewusstsein fehlt, E-Mail-Tokens (oder meinetwegen per Messaging-App versendete Tokens) als Default nahelegt.
Für meinen Teil verwende ich #Passwortmanager und damit Passwörter, die ausreichend komplex sind, nicht wiederverwendet werden, und in meine Datensicherung einbezogen sind. Sicherheit m.E. viel höher als E-Mail-Token, Usability erste Sahne, da Anmeldung weitgehend automatisierbar und nicht von einem Dritt-Dienst abhängig. Zusätzlich verwende ich, wenn es um wichtige Daten geht und der Dienst es unterstützt, #TOTP., mit einem separaten Gerät. Das würde ich auch bei Steady machen, schließlich geht es um meine Kontodaten. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Ich hab immernoch nicht verstanden wo der Vorteil von Passkeys in keePass gegenüber Passwörtern in keePass liegt. Daher verwende ich auch bis auf einem yubikey in einem Kundensystem sonst halt (lange zufallsgenerierte) Passwörter (die ich nie gesehen habe). -
@toorero @kuketzblog Ich bekomme da die Option, einen anderen Credential Provider zu nutzen.
Der muss natürlich in den Einstellungen als Alternative aktiviert sein.
Beim Einloggen ist das ganz analog.
@leckse @kuketzblog Das sieht bei mir anders aus. Wenn ich mich auf einer Webseite mit U2F oder Passkeys anmelde, öffnet sich die DB in welcher ich einen Passkey Eintrag auswählen soll. In den Einstellungen kann ich keine Alternativen erlaube.
-
@Willy_Wuff ich glaube wenn man wirklich komplexe unterschiedliche Passwörter jeden Dienst verwendet dann wird das schwer ausser man ist Sheldon Cooper. @kuketzblog
@bjoern @kuketzblog die Kunst ist sich ein paar Kunstworte zu schaffen, die man sich merken kann.
Wenn man hingegen nen Dutzend krüptische Passworte nutzen muss.....
Stellt sich die Frage ob sie in einem Passwordmanager eines möglicherweise kompromittieren Systems sicherer sind, als im Berühmten kleinen schwarzen Büchlein.
Zu letzterem braucht man physischen Zugriff, grenzt die Zahl möglicher Diebe kollosal ein. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich hatte es auf einer Webseite mal ausprobiert. Aber beim nächsten Login bekam ich eine Fehlermeldung, der Key passe nicht zum Gerät, stimmte aber nicht! Damit war das Thema für mich durch. Ich habe auch gesehen, dass einige Webseiten es sowieso nur fürs Handy anbieten (und bei iOS habe ich auch noch keine Möglichkeit gefunden, sowas nicht bei iCloud abzuelegen). Nö, sowas muss auch auf dem Rechner funktionieren. Also für mich ist Passwort plus OTP die eindeutig bessere Wahl.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich versteh den Scheiß nicht. Daher keine Nutzung.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Ich nutze auch keepass. Ich habe mittlerweile alle Dienste die gehen auf Passskey umgestellt. Und fahre sehr gut damit. Auf Android mit KeepassDX und auf Linux mit KeepassXC.Ich hatte nur einmal das Problem, dass ich einen Passkey und somit den Zugriff auf einen Dienst verloren hatte.
Leider kann man dann gar nichts mehr machen. Zumindest auf discourse basierende Foren bieten keine Möglichkeiten zum zurücksetzen an. -
@martinrust Für uns ist das der beste Kompromiss zwischen Usability und Sicherheit. Passwörter gehen verloren oder werden wiederverwendet und sind somit anfällig. Passkeys wären eine bessere Alternative, allerdings in der Breite noch nicht gut angenommen, sieht man ja auch im Thread oben.
Wir beobachten das und überlegen, weitere Möglichkeiten anzubieten. Was wäre dir am liebsten?
Ihr könnt ja Passkey zusätzlich anbieten und die Mail aktivierung als zweiten Weg erlauben.
Klar, es bringt damit erstmal nur wenig zusätzliche Sicherheit. Aber ihr und eure User können Erfahrungen sammeln.
Es muss kein alles oder nichts sein.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Meine persönliche Bewertung:
Hardware-Token kommen für mich nicht infrage, weil das Handling zu umständlich ist. Einer für den täglichen Gebrauch, einer als Backup im Tresor. Bei einem neuen Zugang muss ich den Token aus dem Tresor holen, einrichten und wieder wegschließen. Das geht naturgemäß nur zu Hause. Wird ein Token unbrauchbar, muss ich den bei allen Diensten zurückziehen und einen neuen Token kaufen und einrichten. (1/x) -
@kuketzblog Meine persönliche Bewertung:
Hardware-Token kommen für mich nicht infrage, weil das Handling zu umständlich ist. Einer für den täglichen Gebrauch, einer als Backup im Tresor. Bei einem neuen Zugang muss ich den Token aus dem Tresor holen, einrichten und wieder wegschließen. Das geht naturgemäß nur zu Hause. Wird ein Token unbrauchbar, muss ich den bei allen Diensten zurückziehen und einen neuen Token kaufen und einrichten. (1/x)@kuketzblog Wenn, dann würde ich einen Hardware-Token zur zum Entsperren meiner Keepass-Datenbank verwenden.
Passkeys in KeepassXC: Habe ich getestet, funktioniert. Ich verwende auf dem Telefon Keepass2Android, das unterstützt Passkeys meines Wissens nicht.
Ich habe Passkeys mit meiner Nextcloud getestet. Funktioniert. Da aber die Passwort-Authentisierung nicht abschaltbar ist, muss aus meiner Sicht 2FA mit TOTP aktiv bleiben. Bei der Anmeldung per Passkey brauche ich dann auch TOTP. (2/3) -
@kuketzblog Wenn, dann würde ich einen Hardware-Token zur zum Entsperren meiner Keepass-Datenbank verwenden.
Passkeys in KeepassXC: Habe ich getestet, funktioniert. Ich verwende auf dem Telefon Keepass2Android, das unterstützt Passkeys meines Wissens nicht.
Ich habe Passkeys mit meiner Nextcloud getestet. Funktioniert. Da aber die Passwort-Authentisierung nicht abschaltbar ist, muss aus meiner Sicht 2FA mit TOTP aktiv bleiben. Bei der Anmeldung per Passkey brauche ich dann auch TOTP. (2/3)@kuketzblog Mit diesem Status habe ich dann aufgehört zu probieren. So ergibt das wenig Sinn für mich. Der Vorteil der einfachen Anmeldung ist damit hinfällig, der einzige verbleibende Vorteil wäre die höhere Resistenz gegen Phishing. Das ist mir dann zu wenig.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
-
@truhe @kuketzblog@social.tchncs.de.Immerhin besser als einloggen mit Link aus der Email. Mein Password Manager kann leider noch kein Passkey.
-
@OlafInDerSchweiz @truhe Geht darum das es nicht praktisch bzw halt nicht wirklich zwei Faktor ist. Klar ist es sicher mit gpg keine Frage.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Ich nutze PassKey sehr gern. Da ich die Keys auf meinem Vaultwarden speichere (selbst geghostet) denke ich, dass sie ganz gut in meiner Hand liegen.Selbstverständlich habe ich aber auch nicht den Security-Überblick wie du.
Mein größter Benefit: sollte ich mich doch mal auf fremder Hardware iwo anmelden muß, beleibt die Eingabe der Passwörter aus.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich finde, Passkeys ergeben nur Sinn, wenn man einen Hardware-Schlüssel wie den @nitrokey hat. Man sollte aber dann zwei haben, falls man einen verliert und den aus allen Accounts entfernen muss.
-
@kuketzblog Ich finde, Passkeys ergeben nur Sinn, wenn man einen Hardware-Schlüssel wie den @nitrokey hat. Man sollte aber dann zwei haben, falls man einen verliert und den aus allen Accounts entfernen muss.
@liamthexpl0rer @kuketzblog @nitrokey Hmm ich finde ein Passkey ergibt auch sinn, wenn er ein Passwort aus dem Passwortmanager ersetzt. Eine anständige 2FA brauchts dann aber natürlich auch noch.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog ich sehe das auch ambivalent. Ich hatte bereits vor Passkeys einen Fido Stick und fand es irgendwie schick. Aber solange man nur einen hat, bleibt das Risiko sich auszusperren. Defacto braucht man also mehr als einen, das geht aber ins Geld. Da sind Passkeys doch ganz nett. Da aber praktisch kein Dienst den Login mit Passwort verhindert, wenn man Passkeys hat, bleibt die Unsicherheit bestehen und dann ist es fast nutzlos.
-
@kuketzblog Ich finde, Passkeys ergeben nur Sinn, wenn man einen Hardware-Schlüssel wie den @nitrokey hat. Man sollte aber dann zwei haben, falls man einen verliert und den aus allen Accounts entfernen muss.
@kuketzblog Ich entferne übrigens auch jegliche Wiederherstellungsoptionen für meine Accounts. Sonst hat das ganze auch keinen Sinn, da der Angreifer dann trotzdem meist nur Zugriff auf dein E-Mail Postfach oder SMS braucht um Zugriff zu bekommen.
-
@liamthexpl0rer @kuketzblog @nitrokey Hmm ich finde ein Passkey ergibt auch sinn, wenn er ein Passwort aus dem Passwortmanager ersetzt. Eine anständige 2FA brauchts dann aber natürlich auch noch.
@NcamGnrvngu @kuketzblog Ich vertraue da noch nicht einmal meinem lokalen Vaultwarden Passkeys an. xD
Das Problem was ich halt sehe, ist nicht das speichern von Passkeys in Software per se, sondern dass man die bei manchen Diensten dann noch synchronisieren kann (was eigentlich nicht das Ziel war). Ich sage nur Apple und Google.
