Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Mir sind Passkeys zu umständlich.Ich müsste ja eigentlich einen eigenen auf jedem Gerät haben. Spätestens wenn man das Handy wechselt, muss man dann alles neu anlegen.
Klar, ich kann die auch im Passwortmanager speichern und synchronisieren, aber dann sehe ich keinen Vorteil gegenüber OTP im Passwortmanager + Autofill.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Nutze ich wo möglich. Teils auf externen USB-Token teils intern (Android).
Leider ist das nicht überall auf eine sinnvolle Weise implementiert. Logins ohne User Verification (PIN, Fingerprint, etc) haben keinen Sinn. Nein, »preferred« reicht nicht!
Ich glaube ich stelle mir eine Liste von Diensten zusammen, wo man sich alleine mit Besitz des Tokens einloggen kann.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Obwohl ich technikaffin bin habe ich den Vorteil noch nicht verstanden. Daher nutze ich 3 oder 4 Passkeys, da die Websites kein anderes Verfahren mehr zulassen. Für alle anderen (ca. 400) Sites Username/Passwort mit oder ohne 2FA oder Login über Einmalpasswort per E-Mail. Passkeys und Passwörter im Proton Pass Passwort Manager gespeichert (Funktioniert meistens, auch geräte- und OS-übergreigend.)
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich bin da auch eher oldschool. Gerade mit einem Pw-Manager ist login + passwort ja kein Aufwand. Besserer Phishingschutz mag sein. Aber letztlich ist Passkey in der Regel optional und ich kann trotzdem gephisht werden, wenn ich mich blöd genug anstelle.
-
@leckse @kuketzblog Das Ding ist, dass man nach meinem Verständnis nur einen Passwort Provider festlegen kann. Wenn ich dann den Autofill von KeepassDX und meinen Yubikey verwenden möchte, funktioniert das nicht.
@toorero @kuketzblog Ich bekomme da die Option, einen anderen Credential Provider zu nutzen.
Der muss natürlich in den Einstellungen als Alternative aktiviert sein.
Beim Einloggen ist das ganz analog.
-
@kuketzblog ganz altmodisch....
Im Hirn
Sollte das mal nen Password vergessen.....
Dafür gibt's dann nen Link
@Willy_Wuff ich glaube wenn man wirklich komplexe unterschiedliche Passwörter jeden Dienst verwendet dann wird das schwer ausser man ist Sheldon Cooper. @kuketzblog
-
@kuketzblog Bislang keine Nutzung. Eher im Gegenteil: Ich wünschte mir, ich könnte die diversen aufdringlichen Passkey-Dialoge von Websites und Browsern deaktivieren.
@truhe @kuketzblog@social.tchncs.de.Immerhin besser als einloggen mit Link aus der Email. Mein Password Manager kann leider noch kein Passkey.
-
@kuketzblog Mich hat damals der Blog hier https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ dazu gebracht Passkeys nicht zu mögen. Daher bis heute der selbe Standpunkt.
Ich müsste die Aussage des Blogs nochmal neu bewerten, aber das wäre bei mir Status Quo.
@maunzCache @kuketzblog Viele Ansichten kann ich überhaupt nicht teilen, wie etwa die Ablehnung von Residence Keys. Ich benutze etwa für jeden Dienst eine separate Mailadresse und oft auch Benutzernamen. Soll ich mir die alle merken? Da kann ich auch gleich bei einem Passwort Manager bleiben.
Auch sehe ich keinen Grund, wieso Passkeys exportierbar sein sollten. Sinnvollerweise hat man Ersatzschlüssel. Nicht irgendwo ein Backup, das genauso wie ein Passwort gestohlen werden kann.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Habe bisher auch die Finger davon gelassen. Heißt: ich nutze keepassxc /dx, allerdings nur normale user/pass Kombinationen.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
Ich nutze KeePassXC und synchronisiere meine Passwortdatei über eine eigene Managed Nextcloud mit meinen Geräten. Für fast alle Anmeldungen nutze ich zudem 2FA mit OTP-App auf dem Handy.
Passkeys vertraue ich nicht.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich habe das alles irgendwann aufgegeben, da ich die Technik und Funktionsweise (Anwendung) nicht verstehe.
Irendwann hiess es, Yubikeys erlauben passwortloses anmelden. Pustekuchen, nein.
Dann hiess es, OTP sei toll, dann ist OTP wieder unsicher.
Und dann meldet sich auch noch der Browser, ob irgendwas hinterlegt werden soll.
Ich durchschaue das einfach alles nicht mehr.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Vor Passkey habe ich zu viel Respekt.
Ich nutze cloudfrei mein iPhone-Schlüsselbund, mache Back-ups lokal auf meinem Mac Air und habe noch Notizbuch und Bleistift. (Old Fashion). -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog privat: keepass, bisher Sync via ownCloud zwischen Notebook und Mobiltelefon.
Beruflich: keepass, Sync zwischen mehreren Umgebungen gelegentlich von Hand. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Ich muss gestehen, Passkeys gingen komplett an mir vorbei, bis mir Microsoft das auf der Arbeit letztes Jahr mit Gewalt reingedrückt hat.Ich nutze Fido-USB-Keys als U2F und fahre damit ganz gut. Passkey wirkt auf mich als hätten Apple, Google und Microsoft sich zusammengesetzt und versucht, U2F nachzuahmen und das Ganze als Softwarelösung in ihre Devices zu integrieren. Und das nutzen sie dann... als single factor-Ersatz für Passwörter?
Es spielt in meinem Leben als Linux-Poweruser keine Rolle, ich befürchte langfristig wird U2F aber keine weitere Verbreitung finden, insofern fraglich wie lange ich Passkey noch ignorieren kann...
-
@kuketzblog
Ich muss gestehen, Passkeys gingen komplett an mir vorbei, bis mir Microsoft das auf der Arbeit letztes Jahr mit Gewalt reingedrückt hat.Ich nutze Fido-USB-Keys als U2F und fahre damit ganz gut. Passkey wirkt auf mich als hätten Apple, Google und Microsoft sich zusammengesetzt und versucht, U2F nachzuahmen und das Ganze als Softwarelösung in ihre Devices zu integrieren. Und das nutzen sie dann... als single factor-Ersatz für Passwörter?
Es spielt in meinem Leben als Linux-Poweruser keine Rolle, ich befürchte langfristig wird U2F aber keine weitere Verbreitung finden, insofern fraglich wie lange ich Passkey noch ignorieren kann...
@momo @kuketzblog Sind an mir ebenfalls vorbei gegangen, U2F allerdings auch, muss ich gestehen.
-
@truhe @kuketzblog@social.tchncs.de.Immerhin besser als einloggen mit Link aus der Email. Mein Password Manager kann leider noch kein Passkey.
@thaodan
Unrühmlich finde ich, dass der bekannte Micropayment-Dienst #Steady #SteadyHQ E-Mail-Token als einziges Verfahren zur "Authentifizierung" anbietet. @truhe @joinsteady -
@thaodan
Unrühmlich finde ich, dass der bekannte Micropayment-Dienst #Steady #SteadyHQ E-Mail-Token als einziges Verfahren zur "Authentifizierung" anbietet. @truhe @joinsteady@martinrust Für uns ist das der beste Kompromiss zwischen Usability und Sicherheit. Passwörter gehen verloren oder werden wiederverwendet und sind somit anfällig. Passkeys wären eine bessere Alternative, allerdings in der Breite noch nicht gut angenommen, sieht man ja auch im Thread oben.
Wir beobachten das und überlegen, weitere Möglichkeiten anzubieten. Was wäre dir am liebsten?
-
@publicvoit @kuketzblog Same but not same. Ich mag den Passkey Begriff einfach nicht, weil er so unkonkret ist.
Wo ich kann nutze ich ebenfalls FIDO2 mit Hardware Tokens, ob in KeePassXC oder bei Platformen die es anbieten. Ich mag all meine real-world Keys einfach lieber als die digitalen "Passkeys"
-
@thaodan
Unrühmlich finde ich, dass der bekannte Micropayment-Dienst #Steady #SteadyHQ E-Mail-Token als einziges Verfahren zur "Authentifizierung" anbietet. @truhe @joinsteady@martinrust @truhe @joinsteady Bitbucket macht das leider auch so..
-
@martinrust Für uns ist das der beste Kompromiss zwischen Usability und Sicherheit. Passwörter gehen verloren oder werden wiederverwendet und sind somit anfällig. Passkeys wären eine bessere Alternative, allerdings in der Breite noch nicht gut angenommen, sieht man ja auch im Thread oben.
Wir beobachten das und überlegen, weitere Möglichkeiten anzubieten. Was wäre dir am liebsten?
@joinsteady @martinrust Lass die Option Passwörter zu verwenden aber erzwinge TOTP. Meiner Meinung nach der beste Kompromiss. Ich mag Email aber Authentifizierung Nein danke.
Mit Passwörtern kann ich nebenbei mich auch immer schnell anmelden ohne irgendwelche Kekse oder ähnliches zu speichern.
