Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Tue, 12 May 2026 13:32:34 GMT

cryptgoat@fedifreu.de — Tue, 12 May 2026 13:32:34 GMT

@kuketzblog Passkeys sind in ihrer Umsetzung leider ein einziger Clusterfuck. Vom Prinzip eher super., aber da alle es willkürlich umsetzen, ich die Benutzbarkeit insbesondere für Menschen in reinen FOSS- und Selfhosting-Umgebungen eine Zumutung: Nintendo: Oh schade, dein Browser wird nicht unterstützt. PayPal: Oh blöd, das geht leider nur mit Chrome auf Mobilgeräten. Und so weiter. Laien können teilweise 3 Optionen wählen. Wer soll da durchblicken? Im Google-Konto, lokal auf dem Gerät oder doch bei AP Es ist zum Heulen

Noch ein Problem: Passkeys sind mit ihrem asymmetrischen Verfahren und relativ komplexen Technik im Hintergrund furchtbar abstrakt. Wie Passwörter funktionieren – ein gemeinsames Geheimnis – verstehen Menschen viel leichter. Hängen bleibt oft: Es ist kompliziert.

Immerhin: Wenn sie unterstützt werden, läuft es super, egal ob mit KeepassXC/DX, BitWarden oder Security-Token (Yubi- odr Nitrokey).

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Tue, 12 May 2026 13:25:25 GMT

claudius@darmstadt.social — Tue, 12 May 2026 13:25:25 GMT

@kuketzblog ähnlich. Habe an ein paar Stellen Passkeys in KeePassXC. Benutzen tu' ich sie nicht.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Tue, 12 May 2026 07:35:02 GMT

liamthexpl0rer@troet.cafe — Tue, 12 May 2026 07:35:02 GMT

@NcamGnrvngu @kuketzblog Man muss ja nicht übertreiben. Ich habe zum Beispiel einen an meinem Schlüsselbund und der andere liegt Zuhause im Schrank.

Neue Accounts mache ich meist Zuhause und da habe ich ja dann beide Schlüssel parat. ^^

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Tue, 12 May 2026 06:19:06 GMT

layer8@layer8.space — Tue, 12 May 2026 06:19:06 GMT

@kuketzblog
Die Angst, dass man den Passkey "verliert" kann ich nicht teilen. Zumindest wenn man über keepassXC /DX arbeitet. Der Zugang über Passwort bleibt ja weiterhin möglich. Allerdings weiß ich bei passkey, dass ich nicht auf einer phishing Seite gelandet bin. Lediglich der aufpoppende windows Dialog für passkey nervt. Den kriege ich aktuell nicht deaktiviert.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 23:24:33 GMT

speisekarte@troet.cafe — Mon, 11 May 2026 23:24:33 GMT

@kuketzblog Baue gerade eine Web-App mit „Passkey Only“. Ist wie mit Karten- vs. Barzahlung: Es dauert eine Weile bis die Leute in der Fläche kapieren, dass das die Zukunft ist.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 22:43:07 GMT

mahabit@mastodontech.de — Mon, 11 May 2026 22:43:07 GMT

@kuketzblog
Passkeys. Im Passwortmanager oder Yubikey.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 21:50:36 GMT

ncamgnrvngu@nerdculture.de — Mon, 11 May 2026 21:50:36 GMT

@liamthexpl0rer @kuketzblog Was ich bei Hardware bisher immer Schwierig fand ist die Wiederherstellung. Ich hätte gerne ein zweites Token an einem sicheren Ort, mit dem ich im Zweifel auch rein kann. Das mit dem sicheren Ort wird aber schwieriger, wenn ich dafür bei jedem neuen Account an den Schlüssel muss

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 21:44:31 GMT

mono@mastodon.world — Mon, 11 May 2026 21:44:31 GMT

@kuketzblog 2 Probleme: 1. der Tresor ist nun viel gefährlicher da er direkten Zugang ermöglicht und die Integration von passkeys ist unterirdisch im allgemeinen. Funktionieren teilweise wie Passwörter, teilweise kann man sie per SMS zurücksetzen oder man braucht trotzdem 2FA. Die Umsetzung ist insgesamt so schlecht dass es einfach nicht brauchbar ist. Für den DAU, was die meisten User sind, ist es selbst in dieser schlechten Form ein unglaubliches Upgrade für die Sicherheit.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 21:36:39 GMT

liamthexpl0rer@troet.cafe — Mon, 11 May 2026 21:36:39 GMT

@NcamGnrvngu @kuketzblog Ich finde Passkeys, egal welcher Art besser als Benutzername und Passwort. Als das ganze losging habe ich mir halt angeschaut, was für Möglichkeiten der Authentifizierung dadurch entstehen und mittlerweile nurnoch mit Hardware Schlüsseln unterwegs.

Ein PW Manager ist keine schlechte Wahl, nur gibt es dort wieder einige Aspekte mehr, die man sich anschauen sollte. Einem Cloud Anbieter würde ich das nicht mehr anvertrauen, da man nie weiß, ob er nicht doch mitlesen kann.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 21:30:30 GMT

liamthexpl0rer@troet.cafe — Mon, 11 May 2026 21:30:30 GMT

@NcamGnrvngu @kuketzblog Das macht, meine ich, keinen Unterschied. Die Frage ist dann halt, ob du noch sicherer unterwegs sein willst oder ob dir ein synchronisierter Passkey reicht.

Es besteht halt jederzeit die Möglichkeit, dass dein Passkey durch eine Sicherheitslücke gekapert wird (oder jemand mitliest). Bei einer selber gehosteten Lösung, die man nur Intern (VPN) erreichen kann ist natürlich wieder was anderes. Ich habe bei meinem Kommentar eher an die nicht so affinen Leute gedacht.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 20:45:39 GMT

mikameck17@mastodon.de — Mon, 11 May 2026 20:45:39 GMT

@kuketzblog bei Proton Pass

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 20:44:50 GMT

ncamgnrvngu@nerdculture.de — Mon, 11 May 2026 20:44:50 GMT

@liamthexpl0rer @kuketzblog Hmm wenn ich aber statt einem Passkey eh mein Passwort und Username synchronisiere, dann macht das ja keinen Unterschied, oder?

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 20:27:48 GMT

liamthexpl0rer@troet.cafe — Mon, 11 May 2026 20:27:48 GMT

@NcamGnrvngu @kuketzblog Ich vertraue da noch nicht einmal meinem lokalen Vaultwarden Passkeys an. xD

Das Problem was ich halt sehe, ist nicht das speichern von Passkeys in Software per se, sondern dass man die bei manchen Diensten dann noch synchronisieren kann (was eigentlich nicht das Ziel war). Ich sage nur Apple und Google.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 20:20:47 GMT

liamthexpl0rer@troet.cafe — Mon, 11 May 2026 20:20:47 GMT

@kuketzblog Ich entferne übrigens auch jegliche Wiederherstellungsoptionen für meine Accounts. Sonst hat das ganze auch keinen Sinn, da der Angreifer dann trotzdem meist nur Zugriff auf dein E-Mail Postfach oder SMS braucht um Zugriff zu bekommen.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:49:17 GMT

flori_man@det.social — Mon, 11 May 2026 19:49:17 GMT

@kuketzblog ich sehe das auch ambivalent. Ich hatte bereits vor Passkeys einen Fido Stick und fand es irgendwie schick. Aber solange man nur einen hat, bleibt das Risiko sich auszusperren. Defacto braucht man also mehr als einen, das geht aber ins Geld. Da sind Passkeys doch ganz nett. Da aber praktisch kein Dienst den Login mit Passwort verhindert, wenn man Passkeys hat, bleibt die Unsicherheit bestehen und dann ist es fast nutzlos.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:37:23 GMT

ncamgnrvngu@nerdculture.de — Mon, 11 May 2026 19:37:23 GMT

@liamthexpl0rer @kuketzblog @nitrokey Hmm ich finde ein Passkey ergibt auch sinn, wenn er ein Passwort aus dem Passwortmanager ersetzt. Eine anständige 2FA brauchts dann aber natürlich auch noch.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:33:21 GMT

liamthexpl0rer@troet.cafe — Mon, 11 May 2026 19:33:21 GMT

@kuketzblog Ich finde, Passkeys ergeben nur Sinn, wenn man einen Hardware-Schlüssel wie den @nitrokey hat. Man sollte aber dann zwei haben, falls man einen verliert und den aus allen Accounts entfernen muss.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:19:54 GMT

strahli30@leipzig.town — Mon, 11 May 2026 19:19:54 GMT

@kuketzblog
Ich nutze PassKey sehr gern. Da ich die Keys auf meinem Vaultwarden speichere (selbst geghostet) denke ich, dass sie ganz gut in meiner Hand liegen.

Selbstverständlich habe ich aber auch nicht den Security-Überblick wie du.

Mein größter Benefit: sollte ich mich doch mal auf fremder Hardware iwo anmelden muß, beleibt die Eingabe der Passwörter aus.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:17:01 GMT

thaodan@mastodon.social — Mon, 11 May 2026 19:17:01 GMT

@OlafInDerSchweiz @truhe Geht darum das es nicht praktisch bzw halt nicht wirklich zwei Faktor ist. Klar ist es sicher mit gpg keine Frage.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 19:03:07 GMT

olafinderschweiz@social.anoxinon.de — Mon, 11 May 2026 19:03:07 GMT

@thaodan
Das kommt darauf an. Wenn die Mail mit GPG verschlüsselt ist, ist das ein sehr sicherer Weg. Bietet nur so gut wie niemand an.
@truhe

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 18:32:59 GMT

ck@chaos.social — Mon, 11 May 2026 18:32:59 GMT

RE: https://infosec.exchange/@neilmadden/116557281664023579

@kuketzblog

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 18:28:31 GMT

pdl@social.anoxinon.de — Mon, 11 May 2026 18:28:31 GMT

@kuketzblog Mit diesem Status habe ich dann aufgehört zu probieren. So ergibt das wenig Sinn für mich. Der Vorteil der einfachen Anmeldung ist damit hinfällig, der einzige verbleibende Vorteil wäre die höhere Resistenz gegen Phishing. Das ist mir dann zu wenig.

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 18:26:15 GMT

pdl@social.anoxinon.de — Mon, 11 May 2026 18:26:15 GMT

@kuketzblog Wenn, dann würde ich einen Hardware-Token zur zum Entsperren meiner Keepass-Datenbank verwenden.
Passkeys in KeepassXC: Habe ich getestet, funktioniert. Ich verwende auf dem Telefon Keepass2Android, das unterstützt Passkeys meines Wissens nicht.
Ich habe Passkeys mit meiner Nextcloud getestet. Funktioniert. Da aber die Passwort-Authentisierung nicht abschaltbar ist, muss aus meiner Sicht 2FA mit TOTP aktiv bleiben. Bei der Anmeldung per Passkey brauche ich dann auch TOTP. (2/3)

Reply to Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. on Mon, 11 May 2026 18:21:42 GMT

pdl@social.anoxinon.de — Mon, 11 May 2026 18:21:42 GMT

@kuketzblog Meine persönliche Bewertung:
Hardware-Token kommen für mich nicht infrage, weil das Handling zu umständlich ist. Einer für den täglichen Gebrauch, einer als Backup im Tresor. Bei einem neuen Zugang muss ich den Token aus dem Tresor holen, einrichten und wieder wegschließen. Das geht naturgemäß nur zu Hause. Wird ein Token unbrauchbar, muss ich den bei allen Diensten zurückziehen und einen neuen Token kaufen und einrichten. (1/x)