Das ist eine mögliche Sichtweise, es ist aber eine privilegierte.
-
Aus der Erfahrung von 1,5 Jahren Passkey only in unzähligen Verwaltungen muss ich sagen, dass das die beste Technologieunterscheidung aus Unternehmenssicht war, das einzuführen.
Bei gemanagten Accounts hast du zwar immer ein Onboarding / Lost Account Problem, aber der Rest geht so smooth durch, das es für Nutzende die Frage ist, warum das nicht schon immer so war.
Das ist aber vielleicht ein anderer Nutzungskontext als der private Nutzungsusecase aus Sicht einer technisch kompetenten Person.
Das ist also das Entscheidende: Es gibt nicht den Passkey und es gibt nicht den einen Nutzungskontext.
In einem Szenario kann das des Teufels und eher Unsinn sein, im anderen Szenario mit anderer Konfiguration übliche Unternehmenssicherheitsprobleme radikal eindämmen.
Es kommt drauf an. So sollte der Post wohl auch gelesen werden, es war mir nur wichtig, das noch mal einzuordnen.
-
@bkastl Es sollte absolut keine Empfehlung sein - das ist lediglich meine (aktuelle) Sicht auf Passkeys. Niemand soll/muss meiner Ansicht hier folgen. Am besten jeder probiert Passkeys selbst aus - und prüft anschließend, ob es die eigenen Ansprüche abdeckt.
Unabhängig von der Diskussion merke ich immer wieder: Sobald ich etwas schreibe, wird das von vielen direkt als Empfehlung verstanden.
Danke dir für deine Einordnung Bianca.
@kuketzblog Gerne. Teile des Frustes kann ich auch nachvollziehen. Sowohl technisch als auch medial
-
@bkastl das mit dem Ökosystem lässt sich mit hardware tokens / Fido keys ja umgehen. Z.b. nitrokey usb a/c & nfc.
Ist dann aber wieder weniger userfreulich weil mitführen/bedienung und teuer weil 2-3 Geräte a 50€
@HeyRay gibt inzwischen auch zertifizierte 15 Euro NFC Varianten, bei denn ich aber noch rausfinden muss, wie die auch als Schlüsselkarte funktionieren könnten
Schlüsselkarten sind ja oft auch zumutbar -
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Das ist eine mögliche Sichtweise, es ist aber eine privilegierte.
Sichere Anmeldeverfahren in der hier empfohlenen Art sind leider für einen Großteil der Nutzenden nicht handhabbar.
Was Passkeys tatsächlich besser machen wollen, ist eben genau diese Nutzbarkeit zu verbessern.
Daher warne ich davor, das als Empfehlung zu nehmen und sollte vielleicht noch etwas anderes einbringen… ein Thread.
@bkastl hast du eine gute Infoseite zu Passkey? Ich habe mich letztes oder vorletztes Jahr mal oberflächlich informiert, aber war aus verschiedenen Gründen als Privatnutzer eher nicht so überzeugt. Im Kopf habe ich Hardware-Bindung, schlecht bis garnicht teilbar usw.
-
Was meine ich damit: In Organisationen werden Zugänge ohnehin gemanagt. Admins verteilen Zugänge, lassen Leute wieder rein, wenn irgendwer ein Passwort vergessen hat etc. Quasi jedes Unternehmen macht das.
Beschäftigt euch in dem Kontext unbedingt mit Passkeys.
Weil sie zwei Dinge bieten:
- Phishingresistenz - ein Passkey hat ein Hostbinding und ist nur für diesen Host nutzbar, damit ist Abgreifen über Phishing nutzlos
- eine wesentlich höhere Convenience und damit mehr echte Sicherheit@bkastl Ich habe mich nicht tiefgreifend mit Passkeys beschäftigt, daher meine Frage: Was bedeutet an den Host gebunden? Apple, so verstehe ich, synchronisiert Passkeys über Devices eines Accounts. Dann kann doch ein Bösewicht die auch auf sein Gerät „synchronisieren“ (abfangen, kopieren)?
-
@bkastl hast du eine gute Infoseite zu Passkey? Ich habe mich letztes oder vorletztes Jahr mal oberflächlich informiert, aber war aus verschiedenen Gründen als Privatnutzer eher nicht so überzeugt. Im Kopf habe ich Hardware-Bindung, schlecht bis garnicht teilbar usw.
@sequundi Die meistens einfachste Spielweise wäre https://webauthn.io/ (das mit den unterschiedlichen zusammenhängenden, aber anderen Standards ist allerdings so ne Sache)
Gut zusammengefasst hat das zum Beispiel die Verbraucherzentrale NRW https://www.verbraucherzentrale.nrw/wissen/digitale-welt/datenschutz/passkeys-als-alternative-zu-passwoertern-94842
-
@bkastl Ich habe mich nicht tiefgreifend mit Passkeys beschäftigt, daher meine Frage: Was bedeutet an den Host gebunden? Apple, so verstehe ich, synchronisiert Passkeys über Devices eines Accounts. Dann kann doch ein Bösewicht die auch auf sein Gerät „synchronisieren“ (abfangen, kopieren)?
@utrenkner Es ist zweierlei:
Ein Passkey ist für eine bestimmte Seite / eine Host Origin registriert. Also zum Beispiel ist der Passkey, den du auf securesite.com anlegst, nur auf securesite.com nutzbar. Das ist das Host Binding, was ich meinte.Das andere ist, wo der Passkey gespeichert wird. Die speicherst du irgendwo, und je nachdem, ob der Passkey synchronisierbar ist, könnte das Szenario mit abfangen funktionieren (kann aber auch bei nem Cloud Passwortmanager passieren
… (1/2) -
@sequundi Die meistens einfachste Spielweise wäre https://webauthn.io/ (das mit den unterschiedlichen zusammenhängenden, aber anderen Standards ist allerdings so ne Sache)
Gut zusammengefasst hat das zum Beispiel die Verbraucherzentrale NRW https://www.verbraucherzentrale.nrw/wissen/digitale-welt/datenschutz/passkeys-als-alternative-zu-passwoertern-94842
-
@utrenkner Es ist zweierlei:
Ein Passkey ist für eine bestimmte Seite / eine Host Origin registriert. Also zum Beispiel ist der Passkey, den du auf securesite.com anlegst, nur auf securesite.com nutzbar. Das ist das Host Binding, was ich meinte.Das andere ist, wo der Passkey gespeichert wird. Die speicherst du irgendwo, und je nachdem, ob der Passkey synchronisierbar ist, könnte das Szenario mit abfangen funktionieren (kann aber auch bei nem Cloud Passwortmanager passieren
… (1/2)@utrenkner Es gibt aber auch device bound Passkeys. die sich nicht synchronisieren lassen. Das lässt sich im Standard auch erzwingen, wenn das wer will. Dann müsste dir schon wer genau das Gerät klauen, auf dem du den Passkey registriert hast.
Die kannst du nicht abfangen, weil kein Sync stattfindet.
Es geht also auch noch sehr viel sicherer, wenn das wer mit Passkeys bauen will
-
@neonglitzer @sequundi Es lässt sich beides nutzen: Kein zweiter Faktor oder ein erzwungener zweiter Faktor. Da im Anmeldevorgang aber immer der zweite Faktor auf dem Device, dass die Anmeldung auslöst, bearbeitet wird, wird an die jeweilige Anmeldeseite nie ein Passwort etc. übermittelt, sondern immer eine neue Antwort auf eine individuelle Anfrage (also ein Challenge-Response-Verfahren). Es geht also nie ein persistentes Passwort übers Kabel
-
@neonglitzer @sequundi Es lässt sich beides nutzen: Kein zweiter Faktor oder ein erzwungener zweiter Faktor. Da im Anmeldevorgang aber immer der zweite Faktor auf dem Device, dass die Anmeldung auslöst, bearbeitet wird, wird an die jeweilige Anmeldeseite nie ein Passwort etc. übermittelt, sondern immer eine neue Antwort auf eine individuelle Anfrage (also ein Challenge-Response-Verfahren). Es geht also nie ein persistentes Passwort übers Kabel
-
Das ist also das Entscheidende: Es gibt nicht den Passkey und es gibt nicht den einen Nutzungskontext.
In einem Szenario kann das des Teufels und eher Unsinn sein, im anderen Szenario mit anderer Konfiguration übliche Unternehmenssicherheitsprobleme radikal eindämmen.
Es kommt drauf an. So sollte der Post wohl auch gelesen werden, es war mir nur wichtig, das noch mal einzuordnen.
@bkastl Danke für diese Einschätzung!
-
R ActivityRelay shared this topic
