#FediTipp: Klar sind #Passkeys sicherer als Passwörter aber nicht alle #online Dienste bieten es.
-
#FediTipp: Klar sind #Passkeys sicherer als Passwörter aber nicht alle #online Dienste bieten es. Nutzt dann aber #Passphrases¹ oder Passwörter² über @keepassxc & Co.
1) «Diceware: Sicher & deutsch»
— @marcel
https://marcel-waldvogel.ch/2025/06/12/diceware-sicher-deutsch/2) «#NIST-Regeln zur Mindestlänge von Passwörtern: Mindestens 16 Zeichen.
Mit dem Aufkommen von #Quantencomputer'n müssen #Passwort'e länger - und komplexer - sein. Diese #Tipps helfen Ihnen, Ihre Online-Konten zu schützen.»
— @Tutanota
https://tuta.com/de/blog/minimum-password-length@kubikpixel @keepassxc @marcel @Tutanota warum sind passkeys sicherer als Passwörter?
-
@kubikpixel @keepassxc @marcel @Tutanota warum sind passkeys sicherer als Passwörter?
@walsonde weil diese generiert werden und nicht von menschen pseudo kreativ erstellt wird. deren transfer und struktur ist um einiges resistenter als nur simple passwörter. den privater zugangscode bleibt privat bei passwörtern sind die "gehascht" auf den servern gespeichert.
-
@keepassxc @marcel @Tutanota @kubikpixel
RE: https://chaos.social/@kubikpixel/116101448166455398
#Passkeys führen in die Abhängigkeit von den Betriebssystemanbietern Google, Samsung, Apple, MS & Co.
Immer noch aktuell
https://blogs.tu-berlin.de/datenschutz_notizen/2024/02/16/passwoerter-ade-wie-sicher-sind-passkeys/@dontpanic @keepassxc @marcel @Tutanota @kubikpixel ah stimmt, den artikel habe ich schonmal gebookmarked zum fact checking. der strotzt nur vor Fehlinformationen und Ungenauigkeiten. Allein schon, weil deren wichtigsten Contra-Argumente auch für jeden Passwortmanager gelten >.<
Ich wünschte technisch inkompetente Sicherheits- und Souveränitäts-Stammtisch-Rauner würden nicht solche absolut denkbefreiten Artikel schreiben.
-
@dontpanic @keepassxc @marcel @Tutanota @kubikpixel ah stimmt, den artikel habe ich schonmal gebookmarked zum fact checking. der strotzt nur vor Fehlinformationen und Ungenauigkeiten. Allein schon, weil deren wichtigsten Contra-Argumente auch für jeden Passwortmanager gelten >.<
Ich wünschte technisch inkompetente Sicherheits- und Souveränitäts-Stammtisch-Rauner würden nicht solche absolut denkbefreiten Artikel schreiben.
Alleine deren Fazit ist einfach schon Facepalm-Galore:
> Die klassische Nutzung von Logins mit verschiedenen (!) Passwörtern, unterstützt durch Geräte- und Browserunabhängigen Passwortmanager (z.B. KeePassXC)
Aha, also... ein System welches die gleichen Nachteile von "Hacker fokussieren sich mehr auf Ausnutzen von Schwachstellen im Client" hat nur zusätzlich auch verwundbar ggü. MitM, Phishing und gehackte PW-DBs ist. Ja, das ist bestimmt eine gute Empfehlung.
> Absicherung durch Multi-Faktor-Authentifizierung
MFA sichert nichts ab. MFA ist eine technische Maßnahme um die unenforcebare Policy "einzigartige" Passwörter umzusetzen. Hilft also primär gegen Password Stuffing – da reicht aber auch das einzigartige PW, kein MFA nötig – und Credential Harvesting. Letzteres wird aber durch moderne Phishing-Methoden die den OTP o.Ä. einfach replayen abgelöst, und da ist es Wumpe ob ich MFA hab, auf einem extra Gerät oder im PW Mgr.
Was hilft – oh wunder – ist mAuth/signierte Challenges mit public private key crypto. Also sowas wie SSH Keys. Oder Passkeys.
Es ist einfach nur peinlich was in dem Blog steht. Morgen meint man dann auch, man solle anstelle von SSH Keys lieber Passwörter nutzen, weil die Keys liegen ja auf der Festplatte (GEFAHR!!1elf).
-
Alleine deren Fazit ist einfach schon Facepalm-Galore:
> Die klassische Nutzung von Logins mit verschiedenen (!) Passwörtern, unterstützt durch Geräte- und Browserunabhängigen Passwortmanager (z.B. KeePassXC)
Aha, also... ein System welches die gleichen Nachteile von "Hacker fokussieren sich mehr auf Ausnutzen von Schwachstellen im Client" hat nur zusätzlich auch verwundbar ggü. MitM, Phishing und gehackte PW-DBs ist. Ja, das ist bestimmt eine gute Empfehlung.
> Absicherung durch Multi-Faktor-Authentifizierung
MFA sichert nichts ab. MFA ist eine technische Maßnahme um die unenforcebare Policy "einzigartige" Passwörter umzusetzen. Hilft also primär gegen Password Stuffing – da reicht aber auch das einzigartige PW, kein MFA nötig – und Credential Harvesting. Letzteres wird aber durch moderne Phishing-Methoden die den OTP o.Ä. einfach replayen abgelöst, und da ist es Wumpe ob ich MFA hab, auf einem extra Gerät oder im PW Mgr.
Was hilft – oh wunder – ist mAuth/signierte Challenges mit public private key crypto. Also sowas wie SSH Keys. Oder Passkeys.
Es ist einfach nur peinlich was in dem Blog steht. Morgen meint man dann auch, man solle anstelle von SSH Keys lieber Passwörter nutzen, weil die Keys liegen ja auf der Festplatte (GEFAHR!!1elf).
@ljrk @dontpanic @marcel @kubikpixel Ich hab neulich angefangen, Passkeys einfach auch in KeePassXC abzulegen. Schützt natürlich nicht gegen die Kompromittierung der Passwort-DB, entkräftigt aber ja deren Argument, dass Passkeys Geräteabhängig wären.
-
@walsonde weil diese generiert werden und nicht von menschen pseudo kreativ erstellt wird. deren transfer und struktur ist um einiges resistenter als nur simple passwörter. den privater zugangscode bleibt privat bei passwörtern sind die "gehascht" auf den servern gespeichert.
@kubikpixel ok, das überzeugt noch nicht. meine Passwörter werden vom Computer (Passwortsafe) erstellt. warum ist das schlechter als ein vom Computer erstellter Passkey? Was ist an Transfer und Struktur anders? vom hash kommt man nicht zurück aufs Passwort also bleibt nur brute force wie bei passkeys auch. Ich sehe bisher keinen Unterschied.
-
Alleine deren Fazit ist einfach schon Facepalm-Galore:
> Die klassische Nutzung von Logins mit verschiedenen (!) Passwörtern, unterstützt durch Geräte- und Browserunabhängigen Passwortmanager (z.B. KeePassXC)
Aha, also... ein System welches die gleichen Nachteile von "Hacker fokussieren sich mehr auf Ausnutzen von Schwachstellen im Client" hat nur zusätzlich auch verwundbar ggü. MitM, Phishing und gehackte PW-DBs ist. Ja, das ist bestimmt eine gute Empfehlung.
> Absicherung durch Multi-Faktor-Authentifizierung
MFA sichert nichts ab. MFA ist eine technische Maßnahme um die unenforcebare Policy "einzigartige" Passwörter umzusetzen. Hilft also primär gegen Password Stuffing – da reicht aber auch das einzigartige PW, kein MFA nötig – und Credential Harvesting. Letzteres wird aber durch moderne Phishing-Methoden die den OTP o.Ä. einfach replayen abgelöst, und da ist es Wumpe ob ich MFA hab, auf einem extra Gerät oder im PW Mgr.
Was hilft – oh wunder – ist mAuth/signierte Challenges mit public private key crypto. Also sowas wie SSH Keys. Oder Passkeys.
Es ist einfach nur peinlich was in dem Blog steht. Morgen meint man dann auch, man solle anstelle von SSH Keys lieber Passwörter nutzen, weil die Keys liegen ja auf der Festplatte (GEFAHR!!1elf).
@dontpanic @marcel @kubikpixel Oder das hier:
> Die vom BSI verlinkte Liste von Diensten, die mit passkeys funktionieren, wird von 1Password publiziert, einem Online-Passwort-Manager.
>
> Deshalb der warnende Hinweis:
>
> > Passwörter und Passkeys sollten NICHT in Online-Passwort-Managern gespeichert werden.
>
> Dort sind sie in keinen guten Händen* – da die Daten nach einem Hack Dritten offenstehen, so wie bei lastPass bereits geschehen.
>
> *) Die vertraulichen Zugangsdaten sollten nicht Dritten zugänglich sein, und ein Online-Passwort-Manager ist eine dritte Partei.Eine dritte Partei? Wenn ich ein lokal verschlüsseltes Bundle an Daten wo hochlade? Da bin ich gespannt...
> Diese unabhängigen Online-Dienste sind aus sicherheitstechnischer Sicht (noch) kritischer zu sehen als die „hauseigenen“ Online-Passwortmanager von Apple, Google und Microsoft. Dort sind die Daten zumindest durch das Betriebssystem und im Account geschützt.
Aha. Und bei 1P sind die nicht geschützt sondern liegen dort offen herum. Logo. Aber Google, welche standardmäßig btw. Zugangsdaten nicht E2E abspeichern, soll sicherer sein?!
Hat das Ding irgendjemand mit technischer Expertise Mal gereviewed?!
-
@ljrk @dontpanic @marcel @kubikpixel Ich hab neulich angefangen, Passkeys einfach auch in KeePassXC abzulegen. Schützt natürlich nicht gegen die Kompromittierung der Passwort-DB, entkräftigt aber ja deren Argument, dass Passkeys Geräteabhängig wären.
@vger Jop. Und wenn gleichzeitig für Passworr-DBs getrommelt wird ist ja auch dieser Faktor weg und Passkeys mindestens gleich sicher.
Aber halt eben zusätzlich sogar sicherer, weil es ein seit den 80 Jahren beschissenen Auth-Mechanismus (Shared Secrets) ersetzt durch etwas, was schon seit Jahrzehnten state-of-the-art ist. Und FIDO "soll" nicht nur sicher sein, sondern ist es. Das Zeug ist so alt und gehört seit deren Erfindung zu jeder crypto party.
-
@keepassxc @marcel @Tutanota @kubikpixel
RE: https://chaos.social/@kubikpixel/116101448166455398
#Passkeys führen in die Abhängigkeit von den Betriebssystemanbietern Google, Samsung, Apple, MS & Co.
Immer noch aktuell
https://blogs.tu-berlin.de/datenschutz_notizen/2024/02/16/passwoerter-ade-wie-sicher-sind-passkeys/@dontpanic @keepassxc @marcel @Tutanota @kubikpixel Leute tun alles um keine 2 (main + backup) FIDO2-Hardware-Tokens kaufen zu müssen.
Keylogger + Keepass = Doom
-
@kubikpixel ok, das überzeugt noch nicht. meine Passwörter werden vom Computer (Passwortsafe) erstellt. warum ist das schlechter als ein vom Computer erstellter Passkey? Was ist an Transfer und Struktur anders? vom hash kommt man nicht zurück aufs Passwort also bleibt nur brute force wie bei passkeys auch. Ich sehe bisher keinen Unterschied.
-
@dontpanic @keepassxc @marcel @Tutanota @kubikpixel Leute tun alles um keine 2 (main + backup) FIDO2-Hardware-Tokens kaufen zu müssen.
Keylogger + Keepass = Doom
@g0rb @dontpanic @marcel @Tutanota @kubikpixel A key logger is always “doom”. If it records USB devices, a YubiKey won’t help you either.
-
@g0rb @dontpanic @marcel @Tutanota @kubikpixel A key logger is always “doom”. If it records USB devices, a YubiKey won’t help you either.
@keepassxc @dontpanic @marcel @Tutanota @kubikpixel yeah, No.
TOKEN2 Sàrl is a Swiss cybersecurity company specialized in the area of multifactor authentication. We are a FIDO Alliance member.
FIDO2 USB Key, U2F USB Key, Cheap Yubico alternative, FIDO2, fido alliance certified security keys Replace your mobile authenticator with secure hardware OTP token! Easily programmed via NFC. Designed to use with Google, Facebook, Dropbox, GitHub, Wordpress, Office 365, Azure MFA etc.
(www.token2.uk)
-
R relay@relay.infosec.exchange shared this topic
