Vorteil von Passkeys - kann (noch) keinen erkennen

[Cassiuzz]

Befasst man sich zuuuu lange mit dem Thema, verliert man sich irgendwann im Grottenolmbau und der Zug fährt dann Richtung
Paranoia-Psychosen-Phantasialand

 

[Scum]

Noch ein Detail zu Fido2-Sticks:

Würdet ihr welche kaufen, die zusätzlich noch mit Fingerabdrucksensor, also einem biometrischen Merkmal, gesichert sind?
Oder findet ihr das übertrieben?

Zu meiner älteren Nachfrage hier im Thread, welcher Stick empfehlenswert ist, bzw. welcher nicht, hatte sich ja bisher keiner geäußert.

was ist den einer mitUSB-C und NFC der auch am iPhone verwendet werden kann ? Den braucht man doch nur dran halten und nicht einstecken oder irre ich mich da.

Das ganze ist ein sehr komplexes Thema.

 

[thulium]

Befasst man sich zuuuu lange mit dem Thema, verliert man sich irgendwann im Grottenolmbau und der Zug fährt dann Richtung
Paranoia-Psychosen-Phantasialand

An der Dauer liegt es nicht, sondern am Blickwinkel, an den Umgangsweisen.

@lisanet hat das Wesentliche ja hier im Thread schon mehrmals geschrieben: es kommt bei der Risikobewertung darauf an, sinnvolle Bezüge zu haben. Zu anderen Lebensbereichen, zu anderen IT-Sicherheitsthemen, ...

 

[lisanet]

Noch ein Detail zu Fido2-Sticks:

Würdet ihr welche kaufen, die zusätzlich noch mit Fingerabdrucksensor, also einem biometrischen Merkmal, gesichert sind?
Oder findet ihr das übertrieben?

Zu meiner älteren Nachfrage hier im Thread, welcher Stick empfehlenswert ist, bzw. welcher nicht, hatte sich ja bisher keiner geäußert.

Ehrliche Antwort? Ich halte gar nichts von diesen Sticks, da das alles langsam in Richtung Paranoia geht.

Wir kommen von User/Passwort-Logins, vielleicht noch bei einigen mit 2FA und sind nun bei passkeys, abgesichert gegen Verlust aller Geräte mit mehreren FIDO2-Sticks, abgesichert gegen Verlust des Sticks und gleichzeitiger Kenntnis der auf den Sticks gespeicherten Accounts

Was willst du noch? Deinen Fingerabruck absichern, dass der nicht von einem Glas oder ähnlichem abgenommen werden kann?

 

[thulium]

Ehrliche Antwort? Ich halte gar nichts von diesen Sticks, da das alles langsam in Richtung Paranoia geht.

Das leuchtet mir noch nicht ein.
Verstehe ich Dich richtig, dass Du es für Dich für so unwahrscheinlich hältst, dass Du den Zugriff auf alle Deine Passkey-Geräte (bei mir sind es übrigens nur 2, iPhone und MBP) verlierst, dass Du daher keine zusätzlichen Geräte (Fido2-Sticks) an weiteren Orten deponieren möchtest?

 

[lisanet]

@lisanet hat das Wesentliche ja hier im Thread schon mehrmals geschrieben: es kommt bei der Risikobewertung darauf an, sinnvolle Bezüge zu haben. Zu anderen Lebensbereichen, zu anderen IT-Sicherheitsthemen, ...

... aber du fragst nun nach mit Fingerabruckscanner versehenen FIDO2 Sticks.

Das passt doch alles nciht.

Gegen welches realistisches Scenario willst du mit dem Senser denn absichern?

 

[lisanet]

Das leuchtet mir noch nicht ein.
Verstehe ich Dich richtig, dass Du es für Dich für so unwahrscheinlich hältst, dass Du den Zugriff auf alle Deine Passkey-Geräte (bei mir sind es übrigens nur 2, iPhone und MBP) verlierst, dass Du daher keine zusätzlichen Geräte (Fido2-Sticks) an weiteren Orten deponieren möchtest?

Nein, du verstehst das nicht richtig, da du dich in irgendwelchen theoretischen Gedankengängen verstrickst, die nichts mit einer realistischen Situation zu tun haben.

Was hat ein Fingerabruckscanner auf einem FIDO-Stick damit zu tun, dass du deine 2 einzigen Geräte verlierst? Gar nichts. Kauf dir einfach einen beliebigen Stick.

Doch was passiert dann, wenn du dieses 3. Gerät auch nicht mehr hast? Kauf dir ein 4. Gerät. Und was, wenn du das verlierst?

Finde deine persönlich Grenze bei der Anzahl an Geräten. Ob dies nun 2, 3, oder 100 sind. Egal. Bei nichts davon spielt ein Fingerabruckscanner eine Rolle.

 

[thulium]

... aber du fragst nun nach mit Fingerabruckscanner versehenen FIDO2 Sticks.

Gegen welches realistisches Scenario willst du mit dem Senser denn absichern?

Ich denke hier nur laut nach, ich habe keine konkrete Absicht einen Stick mit Fingerabrucksensor zu erwerben, sondern wollte durch meine Frage zu eurer Praxis meine eigene Skepsis zur Sinnhaftigkeit der Integration eines Fingerabdrucksensors zum Ausdruck bringen.
Sticks mit solchen Sensoren existieren. Also kann man sie diskutieren. Nicht mehr und nicht weniger.

 

[thulium]

Bei nichts davon spielt ein Fingerabruckscanner eine Rolle.

Natürlich nicht. Das ist doch klar.

Ein Fingerabdrucksensor könnte eine Rolle spielen, wenn ein Fido2-Stick gestohlen wird. Der Dieb könnte ihn direkt für einen Zugang verwenden.

Aber vielleicht verstehe ich auch den Umgang mit Sticks noch nicht richtig. Ich habe ja bisher keinen und habe auch noch nie eine volle Bedienung für einen Kontozugriff damit durchgeführt.

 

[OmarDLittle]

Gibt es die möglich mehr als 2 Yubikey zu verwenden also 3 oder4? Apple fordert ja 2.

Ja, du kannst 3 oder mehr verwenden.

Den braucht man doch nur dran halten und nicht einstecken oder irre ich mich da.

Ans iPhone dranhalten reicht aus, mit einem groben Nachteil der das fast unbenutzbar macht: Der Yubikey muss nach dem Dranhalten mit einem Passwort entsperrt werden, und während dieser Passworteingabe muss der Yubikey weiter ans iPhone gehalten werden. Die Stelle wo das iPhone den Yubikey erkennt ist aber ganz winzig (Vorderseite oben in etwa bei der Notch) und wenn der Yubikey nur ein paar mm verrutscht, schlägt der Login dann fehl. Das iPhone sagt dann, mal soll den Key nochmal dranhalten, aber es passiert nichts mehr.

Daher stecke ich den Yubikey bei mir immer mit USB-C an, da kann die Verbindung zwischendurch nicht abbrechen.

Wieder ein weiterer Nachteil der solche Sicherheitsschlüssel in der Praxis für den Otto Normalverbraucher unbedienbar macht, man muss den Yubikey mit einer Hand fest ans Display oben drücken und mit der anderen das Passwort eingeben. Auf der Rückseite vom iPhone wird der Yubikey sowieso nicht erkannt, wie es mit jedem x-beliebigen Androiden funktioniert.

Ist die iCloud aktuell überhaupt über Passkey zu sichern? Ich glaube nicht, oder?
Das würde ich auch nicht tun - eine kleine Lücke muss für mich sein. Undenkbar an gar nichts mehr ran zu kommen

Ja klar, deine Apple-Geräte haben automatisch einen Passkey drauf für deine Apple ID. Wenn du dir mindestens zwei Yubikeys zulegst kannst du den Login mittels Passwort komplett deaktivieren. Und du kannst auch problemlos beide Yubikeys verlieren, weil deine Apple-Geräte ja den Passkey haben. Erst wenn du alle eingeloggten Geräte ausloggst oder verlierst und zusätzlich alle Yubikeys auch, dann bist du wirklich ausgesperrt und zwar final - Apple sagt selbst sie können den Zugriff dann nicht für dich wiederherstellen.

Es gibt aber einen Recoverykey den du zwingend erstellen und notieren musst, ich weiß nicht ob der nicht doch in so einem Fall noch einen Zugang wiederherstellen kann. Stattdessen kann man auch einen Recovery-Kontakt mit Apple ID festlegen, wodurch auch eine Wiederherstellung möglich sein soll. Das will ich natürlich nicht testen...

 

[Scum]

Ja, du kannst 3 oder mehr verwenden.


Ans iPhone dranhalten reicht aus, mit einem groben Nachteil der das fast unbenutzbar macht: Der Yubikey muss nach dem Dranhalten mit einem Passwort entsperrt werden, und während dieser Passworteingabe muss der Yubikey weiter ans iPhone gehalten werden. Die Stelle wo das iPhone den Yubikey erkennt ist aber ganz winzig (Vorderseite oben in etwa bei der Notch) und wenn der Yubikey nur ein paar mm verrutscht, schlägt der Login dann fehl. Das iPhone sagt dann, mal soll den Key nochmal dranhalten, aber es passiert nichts mehr.

Daher stecke ich den Yubikey bei mir immer mit USB-C an, da kann die Verbindung zwischendurch nicht abbrechen.

Wieder ein weiterer Nachteil der solche Sicherheitsschlüssel in der Praxis für den Otto Normalverbraucher unbedienbar macht, man muss den Yubikey mit einer Hand fest ans Display oben drücken und mit der anderen das Passwort eingeben. Auf der Rückseite vom iPhone wird der Yubikey sowieso nicht erkannt, wie es mit jedem x-beliebigen Androiden funktioniert.

Ok danke...die funktionsweise war mir so nicht bekannt. Damit ist das raus.

 

[jteschner]

Ja klar, deine Apple-Geräte haben automatisch einen Passkey drauf für deine Apple ID. Wenn du dir mindestens zwei Yubikeys zulegst kannst du den Login mittels Passwort komplett deaktivieren. Und du kannst auch problemlos beide Yubikeys verlieren, weil deine Apple-Geräte ja den Passkey haben. Erst wenn du alle eingeloggten Geräte ausloggst oder verlierst und zusätzlich alle Yubikeys auch, dann bist du wirklich ausgesperrt und zwar final - Apple sagt selbst sie können den Zugriff dann nicht für dich wiederherstellen.

Hmmm. Also ich kann mich mit Passwort an meine iCloud anmelden (+2FA natürlich).
Ich muss mir das nochmal anschauen ... ich wüsste gerade nicht, dass ich aktiv einen Passkey für iCloud eingerichtet habe.
Yubikey hab ich nicht und will ich nicht. Aber wer weiß wie weit ich noch verunsichert werde

 

[OmarDLittle]

Hmmm. Also ich kann mich mit Passwort an meine iCloud anmelden (+2FA natürlich).

Ja, um den Login per Passwort zu deaktivieren, brauchst du zwingend mind. 2 Yubikeys (oder andere physische Keys). Dann kann niemand mehr einloggen ohne den Yubikey in den Händen zu halten. Passkeys fürs Apple-Konto musst du nicht manuell erstellen, das geschieht automatisch wenn du dich auf einem Gerät von Apple mit deiner Apple ID anmeldest. Wenn du beispielsweise im Safari auf icloud.com gehst, kannst du dich dort einloggen, indem du den Gerätecode eingibst oder Face ID verwendest - im Hintergrund wird der Passkey verwendet und du bist sofort eingeloggt.

Ich hab mir auch nicht extra Yubikeys besorgt, mir hätte Passwort mit 2FA schon ausgereicht. Aber da ich die Yubikeys anderweitig zwingend benötige und sowieso schon habe, nutze ich sie jetzt auch überall, soweit unterstützt. Waren immerhin 2x30 Euro für die zwei Keys.

 

[jteschner]

Ja, um den Login per Passwort zu deaktivieren, brauchst du zwingend mind. 2 Yubikeys (oder andere physische Keys). Dann kann niemand mehr einloggen ohne den Yubikey in den Händen zu halten. Passkeys fürs Apple-Konto musst du nicht manuell erstellen, das geschieht automatisch wenn du dich auf einem Gerät von Apple mit deiner Apple ID anmeldest. Wenn du beispielsweise im Safari auf icloud.com gehst, kannst du dich dort einloggen, indem du den Gerätecode eingibst oder Face ID verwendest - im Hintergrund wird der Passkey verwendet und du bist sofort eingeloggt.

Ich hab mir auch nicht extra Yubikeys besorgt, mir hätte Passwort mit 2FA schon ausgereicht. Aber da ich die Yubikeys anderweitig zwingend benötige und sowieso schon habe, nutze ich sie jetzt auch überall, soweit unterstützt. Waren immerhin 2x30 Euro für die zwei Keys.

Also, sorry, aber offensichtlich schnalle ich es nicht ...
Ich wollte nun nachschauen, ob ich Passkey für meine AppleID verwende .
Also gehe ich im Safari (MBP) auf iCloud.com, drücke auf Anmelden und kann mich mit Fingerprint anmelden. Passkey?
Wenn ich dann unter appleid.apple.com nachschaue, sind unter Account-Sicherheit 2FA, 2 Tel-Nummern und 4 Geräte eingetragen.
Nix mit Passkey.
In Einstellungen -> Passworte auf dem MBP finde ich auch nix zum Thema "AppleID, iCloud, ..."

Wo sehe ich nun was ich verwende?
Sorry für meine doofen Fragen aber ich würde es gern verstehen.

 

[jteschner]

... und es geht weiter:
Nehme ich den Firefox für den iCloud Login, dann bekomme ich das normale login über Applid + Passwort + 2FA
Nix mit Passkey.
Wie gesagt: ich verstehe es nicht :-/

Edit: ok, ich denke, da der Firefox keinen Zugriff auf den iCloud Schlüsselbund hat

 

[rudluc]

Ich habe mal eine Frage an die Passkey-Experten:
Wenn man mehrere Passwortmanager bzw. Authenticatoren installiert hat, kann es dann nicht zu Konflikten zwischen ihnen kommen? Muss man nicht auswählen können, welches dann der Standard-Passkey-Aufbewahrer sein soll?

 

[jteschner]

Tja, das war zentral wohl auch der Grund, warum es nun einen Passwort-Reset via Mail gibt.

Du willst also, dass die Zugangssicherheit all deiner Accounts an einem einzigen, zentralem Service liegt, der schwächer abgesichert ist, als deine Accounts.

Nein. Will ich natürlich nicht.

Wenn du das willst, bleib beim bisherigen System mit Passwort-Reset via Mail und schreibe dir die Zugangsadten des Mailaccounts aus und lege den in ein Schließfach bei deiner Bank.

Du musst dich halt entscheiden: Ein keines Stückchen Sicherheit das leicht knackbar ist (Phishing, brute force, Passwort-Listen), dafür aber auch dir Zugriff im Verlustfall erlaubt, oder sichere Accounts, die dann aber weg sind, wenn du alle Geräte verlierst.

Aber es ist doch offensichtlich so, dass ich mit einem Passkey bei Apple meine AppleID (automatisch) gesichert habe und dass PW + 2FA trotzdem da ist und nicht gelöscht werden kann (ohne 2 Fido Keys). Muss wohl irgendwie so sein, denn nicht jeder Browser kann den Passkey aus iCloud/Schlüsselbund lesen und irgendwie muss ich mich ja einloggen können - auch ohne Safari.
Also noch mehr Sicherheit ginge nur mit mind. 2 Fido-Keys.
Bei einigen Anbietern nutze ich auch Passkeys, wobei Login/PW/2FA auch weiterhin existiert (hatten wir alles bereits).

Ich wüsste nun nicht mehr wie ich ohne 2 Fido-Keys zu kaufen die Sicherheit bei meiner AppleID noch erhöhen könnte.
Oder sehe ich das schon wieder falsch?

 

[lisanet]

Ich wüsste nun nicht mehr wie ich ohne 2 Fido-Keys zu kaufen die Sicherheit bei meiner AppleID noch erhöhen könnte.
Oder sehe ich das schon wieder falsch?

Nein.

Aber nochmal: bleibe realistisch. Bitte.

Das mit dem "autoamtisch passkeys" ist doch vollkommen egal, solange man sich am Account mit 2FA und Passwort anmelden kann. Wie Apple das aus Beqeumlichkeit intern realisiert hat doch nichts mit dem zu tun, was man "passkeys" nennt. Das "niedrigste " Sicherheitsniveau ist entschiedend.

Und wenn du den Zugang zu deinem Apple-Account phishing resistent machen willst, dann musst du passkeys verwenden. Das ist der Vorteil. Der Nachteil sind 2 kleine Stückchen Hardware, die du mit dir rum schleppen musst und welche in der Bedienung nicht so bequem sind.

Entscheide dich.

Wenn es dir hilft von mir zu hören.

Ich sichere meinen Apple-Account _nicht_ mit passkeys. Eben wegen der für mich nicht praktikablen Nutzung von FIDO2-Sticks. Da ich mich mit meiner Apple ID nur sehr selten einloggen muss und das auch im Grunde nur innerhalb von Apple-Software ist das Phishing-Risiko zwar vorhanden, aber in meiner Risikobewertung für mich nicht so hoch, dass ich daran was ändern müsste.

Die Risikoeinschätzung ist ebenso unterschiedlich bei meinen anderen Accounts. Accounts mit "Werten" wie playstation, oder Zahlungsmitteln sind passkeys-relevant. Ein Account wie macuser.de wiederum nicht.

Aber denke dran: ich wurde hier schon wegen 2FA als naiv bezeichnet.

 

[jteschner]

Nein.

Aber nochmal: bleibe realistisch. Bitte.

Das mit dem "autoamtisch passkeys" ist doch vollkommen egal, solange man sich am Account mit 2FA und Passwort anmelden kann. Wie Apple das aus Beqeumlichkeit intern realisiert hat doch nichts mit dem zu tun, was man "passkeys" nennt. Das "niedrigste " Sicherheitsniveau ist entschiedend.

Und wenn du den Zugang zu deinem Apple-Account phishing resistent machen willst, dann musst du passkeys verwenden. Das ist der Vorteil. Der Nachteil sind 2 kleine Stückchen Hardware, die du mit dir rum schleppen musst und welche in der Bedienung nicht so bequem sind.

Entscheide dich.

Wenn es dir hilft von mir zu hören.

Ich sichere meinen Apple-Account _nicht_ mit passkeys. Eben wegen der für mich nicht praktikablen Nutzung von FIDO2-Sticks. Da ich mich mit meiner Apple ID nur sehr selten einloggen muss und das auch im Grunde nur innerhalb von Apple-Software ist das Phishing-Risiko zwar vorhanden, aber in meiner Risikobewertung für mich nicht so hoch, dass ich daran was ändern müsste.

Die Risikoeinschätzung ist ebenso unterschiedlich bei meinen anderen Accounts. Accounts mit "Werten" wie playstation, oder Zahlungsmitteln sind passkeys-relevant. Ein Account wie macuser.de wiederum nicht.

Aber denke dran: ich wurde hier schon wegen 2FA als naiv bezeichnet.

Danke. Dann habe ich das wenigstens richtig verstanden.
Und nein - ich habe auch nicht vor Fido2-Sticks zu verwenden. Ist mir auch zu umständlich.

 

[OmarDLittle]

Ist mir auch zu umständlich.

Die brauchst du nur einmal zur Einrichtung und dann eigentlich gar nicht mehr, nur sicher verwahrt sollten sie natürlich sein. Wenn du zB ein neues Apple-Gerät kaufst und das einloggen willst, kannst du den Login dafür auf einem deiner bestehenden bereits eingeloggten Apple-Geräte bestätigen, ohne einen Yubikey zu benötigen. Ich hab den Yubikey einmal eingerichtet und für Apple seither nicht einmal genutzt.

Nur wenn du außerhalb der Apple-Welt auf icloud.com zugreifen willst, dann brauchst du den Yubikey. Also zB über einen anderen Browser als Safari, oder über einen Windows-Computer, oder ein Android-Smartphone, oder einen fremden Mac. Das ist genau die Absicht dahinter, dass ein fremder Dritter beim Login-Versuch mit deinem Konto nicht weiterkommt, weil er den Yubikey nicht hat.

Also gehe ich im Safari (MBP) auf iCloud.com, drücke auf Anmelden und kann mich mit Fingerprint anmelden. Passkey?
Wenn ich dann unter appleid.apple.com nachschaue, sind unter Account-Sicherheit 2FA, 2 Tel-Nummern und 4 Geräte eingetragen.
Nix mit Passkey.

Der Fingerabdruck ist nicht der Login. Der Fingerabdruck schaltet den internen Speicher des Geräts frei, der den Apple-ID-Passkey enthält. Und dieser Passkey sorgt dann im Safari für den Login. Die Prüfung vom Fingerabdruck bleibt lokal am Gerät und kann alleine keinen Login durchführen.

Du siehst die Passkeys nirgendwo extra aufgelistet, das Apple-Gerät hat aber immer einen Passcode für die Apple ID drauf. Das funktioniert ganz automatisch im Hintergrund und ist eigentlich die bestmögliche Form von Passkeys, nämlich weil der Anwender gar nichts mehr davon wissen oder manuell erstellen muss, Finger auf den Sensor halten und der Login ist erledigt. Gestohlen werden kann der Passkey auch nicht, nur das gesamte Gerät.