Heißer Flamewar und Hot Takes in den Kommentaren

@isotopp
Ein von mir vermutetes Problem beim Rollout ist der 2FA Fetisch: Passkeys fühlen sich deutlich weniger 2FA an. Daher dann sowas wie PW+Passkey, Passkey+OTP, etc. und auch die Einstellung einiger Vendors das unter 2FA zu verstecken oder per Flag Hardware-Token zu verlangen. Das ist alles entgegen der Empfehlungen von den Passkey-Leuten, aber die Leute wollen halt ihre 2 Faktoren ohne darüber nachzudenken, dass die eigentliche Sicherheit von

1. mutual auth,
2. pub/priv crypto challenge anstatt shared secret
3. strong key material

kommt.

Ich persönlich habe meinen PW-Manager bei FIDO2-Token abgesichert und speichere darin Passkeys (wo geht). Und wenn irgendwann noch Vendors anbieten, Software-Passkey als 1. Faktor und zusätzlich einen Hardware-FIDO2-Stick als 2. für besonders sensible Aktionen zu enrollen, bin ich wirklich glücklich.

@isotopp Streng genommen ist das mit dem hardware token nicht korrekt. Es gibt undiscoverable WebAuthn credentials, da hat man einen Key für alles, die sind für den Use Case hardware token (bspw. als 2. Faktor) gedacht

Discoverable Credentials sind für den software Token Einsatz gedacht.

Auch nicht ganz korrekt ist, dass das unterstandarsiert ist (mit der Ausnahme von Transfer, das kommt gerade). Leider ist *trotz* des echt guten Standards es so, dass super viele Vendors das kacke implementieren, weshalb ich – genauso wie du – meinen Eltern gerade keine Passkeys andrehe. Aber das ist kein Fehler der Technologie selber, wie du auch schon richtig sagtest – und was ich bei Kuketz grob falsch finde. Und seine lapidare Formulierung, dass ja OTPs hinreichend schützen und die Implikation, dass er keinen Schutz vor Phishing braucht... ist absurd.

1/2

RE: https://digitalcourage.social/@arti/116037461861048749

[x] Hat Initialpost nicht gelesen, oder
[x] sieht sich als weniger Phishing-Anfällig als den Anti-Phishing-Forscher hinter HaveIBeenPwned

Alter Falter, so viel geballte Überheblichkeit.