Das ist eine mögliche Sichtweise, es ist aber eine privilegierte.

Im Unternehmenskontext ist es aber auch zumutbar, sich mit Details von Passkeys zu beschäftigen.

Du kannst mit dem gleichen Standard Passkeys erzwingen, die alles Richtung Apple / Google / MS syncen oder:
Passkeys erzwingen, die nur auf bestimmten FIDO Tokens laufen, die immer einen zweiten Faktor erfordern (also eine PIN), die keinen User brauchen oder doch einen etc.

Es geht so ziemlich alles.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Das ist eine mögliche Sichtweise, es ist aber eine privilegierte.

Sichere Anmeldeverfahren in der hier empfohlenen Art sind leider für einen Großteil der Nutzenden nicht handhabbar.

Was Passkeys tatsächlich besser machen wollen, ist eben genau diese Nutzbarkeit zu verbessern.

Daher warne ich davor, das als Empfehlung zu nehmen und sollte vielleicht noch etwas anderes einbringen… ein Thread.

Aus der Erfahrung von 1,5 Jahren Passkey only in unzähligen Verwaltungen muss ich sagen, dass das die beste Technologieunterscheidung aus Unternehmenssicht war, das einzuführen.

Bei gemanagten Accounts hast du zwar immer ein Onboarding / Lost Account Problem, aber der Rest geht so smooth durch, das es für Nutzende die Frage ist, warum das nicht schon immer so war.

Das ist aber vielleicht ein anderer Nutzungskontext als der private Nutzungsusecase aus Sicht einer technisch kompetenten Person.

@bkastl Es sollte absolut keine Empfehlung sein - das ist lediglich meine (aktuelle) Sicht auf Passkeys. Niemand soll/muss meiner Ansicht hier folgen. Am besten jeder probiert Passkeys selbst aus - und prüft anschließend, ob es die eigenen Ansprüche abdeckt.

Unabhängig von der Diskussion merke ich immer wieder: Sobald ich etwas schreibe, wird das von vielen direkt als Empfehlung verstanden.

Danke dir für deine Einordnung Bianca.

@bkastl das mit dem Ökosystem lässt sich mit hardware tokens / Fido keys ja umgehen. Z.b. nitrokey usb a/c & nfc.

Ist dann aber wieder weniger userfreulich weil mitführen/bedienung und teuer weil 2-3 Geräte a 50€

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Das ist eine mögliche Sichtweise, es ist aber eine privilegierte.

Sichere Anmeldeverfahren in der hier empfohlenen Art sind leider für einen Großteil der Nutzenden nicht handhabbar.

Was Passkeys tatsächlich besser machen wollen, ist eben genau diese Nutzbarkeit zu verbessern.

Daher warne ich davor, das als Empfehlung zu nehmen und sollte vielleicht noch etwas anderes einbringen… ein Thread.

Was meine ich damit: In Organisationen werden Zugänge ohnehin gemanagt. Admins verteilen Zugänge, lassen Leute wieder rein, wenn irgendwer ein Passwort vergessen hat etc. Quasi jedes Unternehmen macht das.

Beschäftigt euch in dem Kontext unbedingt mit Passkeys.

Weil sie zwei Dinge bieten:
- Phishingresistenz - ein Passkey hat ein Hostbinding und ist nur für diesen Host nutzbar, damit ist Abgreifen über Phishing nutzlos
- eine wesentlich höhere Convenience und damit mehr echte Sicherheit

@bkastl hast du eine gute Infoseite zu Passkey? Ich habe mich letztes oder vorletztes Jahr mal oberflächlich informiert, aber war aus verschiedenen Gründen als Privatnutzer eher nicht so überzeugt. Im Kopf habe ich Hardware-Bindung, schlecht bis garnicht teilbar usw.

@bkastl Ich habe mich nicht tiefgreifend mit Passkeys beschäftigt, daher meine Frage: Was bedeutet an den Host gebunden? Apple, so verstehe ich, synchronisiert Passkeys über Devices eines Accounts. Dann kann doch ein Bösewicht die auch auf sein Gerät „synchronisieren“ (abfangen, kopieren)?

@sequundi Die meistens einfachste Spielweise wäre https://webauthn.io/ (das mit den unterschiedlichen zusammenhängenden, aber anderen Standards ist allerdings so ne Sache)

Gut zusammengefasst hat das zum Beispiel die Verbraucherzentrale NRW https://www.verbraucherzentrale.nrw/wissen/digitale-welt/datenschutz/passkeys-als-alternative-zu-passwoertern-94842

@utrenkner Es ist zweierlei:
Ein Passkey ist für eine bestimmte Seite / eine Host Origin registriert. Also zum Beispiel ist der Passkey, den du auf securesite.com anlegst, nur auf securesite.com nutzbar. Das ist das Host Binding, was ich meinte.

Das andere ist, wo der Passkey gespeichert wird. Die speicherst du irgendwo, und je nachdem, ob der Passkey synchronisierbar ist, könnte das Szenario mit abfangen funktionieren (kann aber auch bei nem Cloud Passwortmanager passieren … (1/2)

@sequundi @bkastl Eine meiner Verständnisfragen (die mich schon ein paar Tage umtreiben): Wenn ich keine Biometrie nutzen will, bleibt ja nur die PIN.
Inwiefern habe ich damit ein passwortloses Login?

Mein Hirn will da nicht mitkommen.

@neonglitzer @sequundi Es lässt sich beides nutzen: Kein zweiter Faktor oder ein erzwungener zweiter Faktor. Da im Anmeldevorgang aber immer der zweite Faktor auf dem Device, dass die Anmeldung auslöst, bearbeitet wird, wird an die jeweilige Anmeldeseite nie ein Passwort etc. übermittelt, sondern immer eine neue Antwort auf eine individuelle Anfrage (also ein Challenge-Response-Verfahren). Es geht also nie ein persistentes Passwort übers Kabel

Das ist also das Entscheidende: Es gibt nicht den Passkey und es gibt nicht den einen Nutzungskontext.

In einem Szenario kann das des Teufels und eher Unsinn sein, im anderen Szenario mit anderer Konfiguration übliche Unternehmenssicherheitsprobleme radikal eindämmen.

Es kommt drauf an. So sollte der Post wohl auch gelesen werden, es war mir nur wichtig, das noch mal einzuordnen.