Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch.
-
@kuketzblog Keine Passkeys. Ganz altmodisch Passwortmanager und lange+komplexe Passwörter. Und wo möglich 2FA über TOTP
@AlienJay @kuketzblog mach ich auch so ... alles über Bitwarden Server (inkl. Backup)
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich nutze Passkeys im eigenen Passwortmanager über mehrere Geräte hinweg. Das funktioniert super. Konnte mit Passkeys auch schon Authentifizierungsprobleme mit dem normalen Login umgehen, d.h. sie sind in meiner Erfahrung zuverlässiger.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich kann das keinem Nicht-Tecchi erklären. Viele sind schon mit einem Passwortmanager überfordert und haben Notizbücher. Und dann noch je Gerät ein Key hinterlegen.
Was wenn beide Geräte den Geist aufgeben oder ich das Gerät wechsele - ich muss einen neuen Passkey anlegen. Das ist für Obige Menschen, die ich mag, nicht praktikabel - da ist schon der Smartphonewechsel ein Horror.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Auf einem Hardware Token und im Passwortmanager (2 Passkeys). -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog wenn mich eine website zu drängt, wird der passkey im PWM gespeichert. Ansonsten nicht
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog und wenn der Passkey weg ist was dann? Das schreckt mich ab, nutze KeePass, dann habe ich alles selbst in der Hand. Hauptsache genug Kopien und hoffentlich gutes Masterpasswort.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Verwende sie wo es möglich ist, leider aber nur auf sehr wenigen der von mir genutzten Websites (insb. keine Banken, sehr schade). Die Passkeys liegen auf meinem Nitrokey. Ich habe wenn möglich immer noch irgendein anderes (2FA-)Loginverfahren aktiviert, als Backup.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich nutze sie aus Neugier mit Speicherung im lokalen Passwortmanager. Mal wird mir dann die Möglichkeit des Logins über Passkeys angeboten und mal nicht. Ich durchschaue das Ganze noch nicht.
Passwort & OTP fühlt sich "normaler" an. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog
Selbstgehosteter Passwortmanager -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Du sprichst mir aus der Seele. Ganz genau so geht es mir auch. Ich sehe den Mehrwert, aber irgendwie kann ich mich selber nicht überzeugen.
Zumal ich ein Durcheinander von Betriebssystemen und Browser verwende. Linux, iPadOS, GrapheneOS. Ich habe dann immer die Sorge, dass ich nur noch von diesem einen Gerät mit diesem einen Browser auf das Konto zugreifen kann. Ich glaube, wäre ich nur im Apple-Biotop mit iPhone, iPad und Mac OS wäre das einfacher. -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Mich hat damals der Blog hier https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ dazu gebracht Passkeys nicht zu mögen. Daher bis heute der selbe Standpunkt.
Ich müsste die Aussage des Blogs nochmal neu bewerten, aber das wäre bei mir Status Quo.
-
@kuketzblog Ich finde die Passkeys super frustrierend unter KeepassDX. Ich habe mehrere Yubikeys und wenn ich KeepassDX als Passwortprovider auswähle, kann ich nicht mehr meinen Yubikey verwenden...
@toorero @kuketzblog Kann ich unter Graphene OS nicht nachvollziehen. Aber ich benutze auch HW Fido2 Provider als »Additional Service« und nicht Googles Implementierung.
-
@toorero @kuketzblog Kann ich unter Graphene OS nicht nachvollziehen. Aber ich benutze auch HW Fido2 Provider als »Additional Service« und nicht Googles Implementierung.
@leckse @kuketzblog Das Ding ist, dass man nach meinem Verständnis nur einen Passwort Provider festlegen kann. Wenn ich dann den Autofill von KeepassDX und meinen Yubikey verwenden möchte, funktioniert das nicht.
-
@truhe @kuketzblog
Die Gefahr, seine Schlüssel zu verschlampen ist dadurch unheimlich groß.Sicherer gegen phishing, unsicherer bez. Zuverlässigkeit.
Mit der IT-Security ist's wie mit den Schrauben: nach sicher kommt aus.
@einfachnurRoland Speichert man den Passkey im Passwortmanager, sind „Passkey verlieren“ und „Passwort verlieren“ dasselbe.
@truhe -
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Mir sind Passkeys zu umständlich.Ich müsste ja eigentlich einen eigenen auf jedem Gerät haben. Spätestens wenn man das Handy wechselt, muss man dann alles neu anlegen.
Klar, ich kann die auch im Passwortmanager speichern und synchronisieren, aber dann sehe ich keinen Vorteil gegenüber OTP im Passwortmanager + Autofill.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Nutze ich wo möglich. Teils auf externen USB-Token teils intern (Android).
Leider ist das nicht überall auf eine sinnvolle Weise implementiert. Logins ohne User Verification (PIN, Fingerprint, etc) haben keinen Sinn. Nein, »preferred« reicht nicht!
Ich glaube ich stelle mir eine Liste von Diensten zusammen, wo man sich alleine mit Besitz des Tokens einloggen kann.
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Obwohl ich technikaffin bin habe ich den Vorteil noch nicht verstanden. Daher nutze ich 3 oder 4 Passkeys, da die Websites kein anderes Verfahren mehr zulassen. Für alle anderen (ca. 400) Sites Username/Passwort mit oder ohne 2FA oder Login über Einmalpasswort per E-Mail. Passkeys und Passwörter im Proton Pass Passwort Manager gespeichert (Funktioniert meistens, auch geräte- und OS-übergreigend.)
-
Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.
Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?
/kuk
@kuketzblog Ich bin da auch eher oldschool. Gerade mit einem Pw-Manager ist login + passwort ja kein Aufwand. Besserer Phishingschutz mag sein. Aber letztlich ist Passkey in der Regel optional und ich kann trotzdem gephisht werden, wenn ich mich blöd genug anstelle.
-
@leckse @kuketzblog Das Ding ist, dass man nach meinem Verständnis nur einen Passwort Provider festlegen kann. Wenn ich dann den Autofill von KeepassDX und meinen Yubikey verwenden möchte, funktioniert das nicht.
@toorero @kuketzblog Ich bekomme da die Option, einen anderen Credential Provider zu nutzen.
Der muss natürlich in den Einstellungen als Alternative aktiviert sein.
Beim Einloggen ist das ganz analog.
-
@kuketzblog ganz altmodisch....
Im Hirn
Sollte das mal nen Password vergessen.....
Dafür gibt's dann nen Link
@Willy_Wuff ich glaube wenn man wirklich komplexe unterschiedliche Passwörter jeden Dienst verwendet dann wird das schwer ausser man ist Sheldon Cooper. @kuketzblog
