Vorteil von Passkeys - kann (noch) keinen erkennen

OmarDLittle schrieb:
Die brauchst du nur einmal zur Einrichtung und dann eigentlich gar nicht mehr, nur sicher verwahrt sollten sie natürlich sein. Wenn du zB ein neues Apple-Gerät kaufst und das einloggen willst, kannst du den Login dafür auf einem deiner bestehenden bereits eingeloggten Apple-Geräte bestätigen, ohne einen Yubikey zu benötigen. Ich hab den Yubikey einmal eingerichtet und für Apple seither nicht einmal genutzt.

Nur wenn du außerhalb der Apple-Welt auf icloud.com zugreifen willst, dann brauchst du den Yubikey. Also zB über einen anderen Browser als Safari, oder über einen Windows-Computer, oder ein Android-Smartphone, oder einen fremden Mac. Das ist genau die Absicht dahinter, dass ein fremder Dritter beim Login-Versuch mit deinem Konto nicht weiterkommt, weil er den Yubikey nicht hat.


Der Fingerabdruck ist nicht der Login. Der Fingerabdruck schaltet den internen Speicher des Geräts frei, der den Apple-ID-Passkey enthält. Und dieser Passkey sorgt dann im Safari für den Login. Die Prüfung vom Fingerabdruck bleibt lokal am Gerät und kann alleine keinen Login durchführen.

Du siehst die Passkeys nirgendwo extra aufgelistet, das Apple-Gerät hat aber immer einen Passcode für die Apple ID drauf. Das funktioniert ganz automatisch im Hintergrund und ist eigentlich die bestmögliche Form von Passkeys, nämlich weil der Anwender gar nichts mehr davon wissen oder manuell erstellen muss, Finger auf den Sensor halten und der Login ist erledigt. Gestohlen werden kann der Passkey auch nicht, nur das gesamte Gerät.
Zum Vergrößern anklicken....
Schöne einfache Erklärung! Danke.
 
Zitieren
  • Gefällt mir
Reaktionen: Titanic und OmarDLittle
lisanet schrieb:
Ich sichere meinen Apple-Account _nicht_ mit passkeys. Eben wegen der für mich nicht praktikablen Nutzung von FIDO2-Sticks. Da ich mich mit meiner Apple ID nur sehr selten einloggen muss
Zum Vergrößern anklicken....
Ich habe hier noch nicht verstanden, was Du als "nicht praktikable Nutzung von FIDO2-Sticks" empfindest.

Omar hat ja beschrieben, dass die Sticks nur initial verwendet werden, wenn man Passkeys für seine Apple-ID aktiviert. So war auch mein bisheriges Verständnis.

Aber wenn man sich sehr selten mit seiner Apple-ID einloggen muss und wenn man das auf seinen eigenen Apple-Geräten doch ohne Fido-Stick tun kann: was ist dann bitte nicht praktikabel?

Wie immer frage ich aus Neugier. Bitte lese aus der Frage keine Kritik heraus. Ich möchte nur gerne Dein Motiv verstehen.
 
... wenn ich die nur für den restore-Fall nutzen muss, und jedes andere Login (auf Apple-Devices) ohne FIDO-Stick funktioniert dann wäre es okay und auch eine Überlegung wert.

Das war mir so bisher nicht bewusst. Insofern haben passkeys für mich immer mehr Vorteile.

Danke für's "Aufklären"

Edit:

Allerdings ist, soweit ich bisher die infos von Apple verstanden habe, immer noch das Login mit Passwart+2FA vorhanden und der FIDO-Stick fungiert als 2. Faktor. Das ist aber nun genau das Szenario, dass ich für nicht sinnvoll halte. Mit passkeys darf es kein 2FA mehr geben.

Edit 2:
der FIDO2-Stick ist zwar 2FA, aber der bisherige 6-stellige entfällt dadurch. Insofern also passt es. Phishing-resistent und kein man-in-the-middle möglich. Dann werde ich mir also wohl auch noch 2 FiDO2-Sticks besorgen.

Nochmals Danke.
 
Zuletzt bearbeitet:
lisanet schrieb:
Edit 2:
der FIDO2-Stick ist zwar 2FA, aber der bisherige 6-stellige entfällt dadurch. Insofern also passt es. Phishing-resistent und kein man-in-the-middle möglich. Dann werde ich mir also wohl auch noch 2 FiDO2-Sticks besorgen.

Nochmals Danke.
Zum Vergrößern anklicken....
Ja, so hatte ich die Apple Doku auch verstanden.
Allerdings muss dann auch der Fido-Stick bei jeder Anmeldung, die den zweiten Faktor erfordert eingesteckt/verbunden sein.
Kommt aber ja tatsächlich nicht sehr oft vor - bei mir zumindest.
Also wirklich eine Überlegung wert.

Was mich allerdings noch stört ist der recht hohe Preis für den Yubikey 5c von >60€/stk ... puuuhh
 
thulium schrieb:
Mich interessiert ja weiterhin, siehe #86, ob etwas gegen den Fido2-Stick "Titan" für 35€ von Google spricht.
Zum Vergrößern anklicken....
Ich habe mal etwas gelesen und fand folgende Unterschiede:
- Titan kann "nur" Fido2 und die Firmware stammt von Google
- Yubikey 5c NFC kann für wesentlich mehr genutzt werden

Aber rein für iCloud-Security (also Fido2) sollte der Titan mVn gehen.

Edit: ich glaube der Titan ist eher mit dem Yubikey C zu vergleichen - preismäßig auch.
 
thulium schrieb:
Gibt es denn irgendetwas (für Dich) Relevantes, was "Yubikey 5c NFC" kann, was "Titan" nicht kann? Was wäre das?
Zum Vergrößern anklicken....
Na ja - da fragst du echt nen Experten :)
Eigentlich kommt es für mich persönlich in der Hauptsache auf meine AppleID/iCloud/Mail Sicherheit an. Da hängt halt sehr viel dran.
Und da reicht der "kleine".
Dann kann der 5c ja noch OTP, PIV, ... was ja macOS login ermöglicht oder meine Keepass-Datenbank zusätzlich sichert. PGP nutze ich gar nicht.

Nun wäre für mich auch die Frage: brauche ich den ganzen "Schnickschnack" wirklich? Ist mir das den fast doppelten Preis wert?
Gerade würde ich sagen: der kleine tut was ich eigentlich möchte und 70€ für zwei Sticks ist auch genug.
Mich würde aber auch mal interessieren wie andere darüber denken.

Allerdings: ich würde den Titan nicht kaufen, sondern den Yubikey Security Key, den ich verlinkt habe.
 
thulium schrieb:
Wer von euch praktiziert das so?
Oder habt ihr euch bewußt gegen diese Form entschieden?

Falls noch jemand was zum Auswahlprozess/Vergleich von Fido2-Sticks schreiben möchte: ich würde mich freuen.
Zum Vergrößern anklicken....

Ich nutze zwei YubiKey 5C NFC, habe da unter anderem meinen Apple Account drüber abgesichert. Einen Yubikey habe ich daheim, der zweite liegt im Bankschließfach.
Passwörter (und Passkeys) verwalte ich über Strongbox, den dazugehörigen Cloudzugang habe ich auch über die Yubikeys abgesichert. So kann ich auch im Fall der Fälle, wenn ich tatsächlich mal alle meine Geräte verlieren sollte, wieder Zugriff und Passwörter und Passkeys erlangen. Ist für mich so ausreichend...
Bzgl. Passkey habe ich bisher eigentlich nur eine Implementierung gesehen, die mal wirklich alle Vorteile von den Passkeys ausgespielt hat, ich glaube es war bei github - da muss man dann nämlich gar keine Credentials eingeben, da reicht dann nur noch der Passkey zum Login aus.
 
seby schrieb:
Ich nutze zwei YubiKey 5C NFC, habe da unter anderem meinen Apple Account drüber abgesichert. Einen Yubikey habe ich daheim, der zweite liegt im Bankschließfach.
Passwörter (und Passkeys) verwalte ich über Strongbox, den dazugehörigen Cloudzugang habe ich auch über die Yubikeys abgesichert. So kann ich auch im Fall der Fälle, wenn ich tatsächlich mal alle meine Geräte verlieren sollte, wieder Zugriff und Passwörter und Passkeys erlangen. Ist für mich so ausreichend...
Bzgl. Passkey habe ich bisher eigentlich nur eine Implementierung gesehen, die mal wirklich alle Vorteile von den Passkeys ausgespielt hat, ich glaube es war bei github - da muss man dann nämlich gar keine Credentials eingeben, da reicht dann nur noch der Passkey zum Login aus.
Zum Vergrößern anklicken....
Kurze Rückfrage:
so wie ich deine Anwendung der Yubikeys verstehe, wäre dabei aber ein 5C Modell nicht nötig, oder braucht die Strongbox-Cloud was spezielles vom 5C?

Edit: Habe gerade gesehen, dass Strongbox auf keepass aufsetzt und dann braucht man Challenge-Response Unterstützung, die der kleine yubikey nicht hat. Wäre genauso bei KeepassXC
 
jteschner schrieb:
Kurze Rückfrage:
so wie ich deine Anwendung der Yubikeys verstehe, wäre dabei aber ein 5C Modell nicht nötig, oder braucht die Strongbox-Cloud was spezielles vom 5C?
Zum Vergrößern anklicken....
Ich nutze da Onedrive, sprich Microsoft-Account. Ich glaube, da kann man auch andere Modelle nehmen. Da meine Geräte aber alle USB-C nutzen, macht so ein Key dann natürlich Sinn. :)
 
seby schrieb:
Ich nutze da Onedrive, sprich Microsoft-Account. Ich glaube, da kann man auch andere Modelle nehmen. Da meine Geräte aber alle USB-C nutzen, macht so ein Key dann natürlich Sinn. :)
Zum Vergrößern anklicken....
ok. Aber der Yubikey "Security Key" hat auch USB-C kann nur weniger als der 5C und kostet die hälfte. Deshalb meine Frage
 
jteschner schrieb:
ok. Aber der Yubikey "Security Key" hat auch USB-C kann nur weniger als der 5C und kostet die hälfte. Deshalb meine Frage
Zum Vergrößern anklicken....
Für Apple und z.B. Microsoft sollte der eigentlich funktionieren, da der auch FIDO-zertifiziert ist. Das ist da die einzige Voraussetzung.
 
Mir würde ein Fido2-Stick von Apple gefallen, der mit iCloud synchronisierbar ist.

Dann hätte man denselben Komfort mit dem "Gerät" Stick wie mit den Geräten iPhone, iPad, Macbook:

eine Erst-Anmeldung bei einem beliebigen Dienst, der Passkey anbietet, mit einem Apple-Fido2-Stick, würde dazu führen, das alle anderen Apple-Fido2-Sticks und alle anderen eigenen Apple-Geräte ebenfalls den "private key" bekämen.

Korrigiert mich bitte, wenn ich mit dieser Idee etwas übersehe.
 
lisanet schrieb:
Ein FIDO ist prinzipbedingt nicht kopierbar, somit ist kein Sync möglich.
Zum Vergrößern anklicken....
Mein Verständnis war bisher: einen Passkey-Zugang, den ich mit meinem iPhone anlege und der somit im Schlüsselbund verwaltet wird, kann ich auf meinem Macbook ebenso verwenden. Ist das falsch?
 
jteschner schrieb:
Edit: Habe gerade gesehen, dass Strongbox auf keepass aufsetzt und dann braucht man Challenge-Response Unterstützung, die der kleine yubikey nicht hat. Wäre genauso bei KeepassXC
Zum Vergrößern anklicken....

warum willst du einen alternative Passkeymanager nutzen? Wenn du den iCloud-Schlüsselbund nutzt für passkeys reicht das doch völlig. Und solltest du ein anderes Betriebssystem nutzen wollen (Linux, Windows) dann lege dort einen weiteren passkey für die Accounts an. Mit passkeys sind systemübergriefende Passkeymanager nicht nötig.

Aber ich wiederhole mich schon wieder...
 
Zurück
Oben Unten