Microsoft Entra の登録キャンペーンを理解する ～パスキー導入に向けた挙動と展開のポイント～
https://qiita.com/carol0226/items/4ad04ffe2141f43ad6a1?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Microsoft #Security #passkey #パスキー #EntraID

So, erste Erfahrungen mit #Passkey und Hardware-Token gesammelt.

Für meinen J+S Baspo NDS Login habe ich bislang CH-Login verwendet, aber dieses weist in letzter Zeit penetrant auf den AGOV-Login hin. Da ich mich erstens an keine App und schon gar nicht an ein Google/Apple-Gerät binden will, fiel meine Wahl auf ein Hardware-Token. Ich hatte schon etwas Erfahrung mit Yubikeys gemacht, bin unterdessen aber auf token2.swiss gestossen und wollte das mal ausprobieren. Dabei ist mir aufgefallen, das die explizit Token für #AGOV führen [1] und habe diese Chance wahrgenommen und mir so einen bestellt (PINPlus Dual Slim FIDO2.1 Key USB).

Schwierigkeit war vor allem, dass ich das mit Firefox unter Debian Linux verwenden will, es dafür jedoch keine Dokumentation gibt (die gibt es für Windows und OSX mit Chrome und Safari). Also habe ich mich da mal etwas länger informiert wie das alles zusammen wirkt.

Als erstes habe ich den sowieso mal notwendigen Upgrade von Debian Bookworm auf Trixie durchgeführt, damit ist die Software schon mal etwas aktueller. Unter Debian Trixie gibt es die libfido2 in Version 1.15.0, welche mit solchen USB-Sticks funktionieren sollte. Das Zusatzpaket fido2-tools liefert noch das Command fido2-token für die Verwaltung. Beides entstammt Yubico.

Für das Setzen eines PIN gibt es von eine von Token2 abgeänderte libfido2-Variante genannt fido2-manage [2]. Diese lässt sich unter Debian Trixie problemlos bauen, worauf sich dann mit fido2-manage.sh der PIN setzen lässt. Da dieses Paket das von Yubico [3] als Basis hat, hat man schliesslich zwei fast identische libfido2 in Version 1.15.0 vor sich. Das bringt unter anderen Schwierigkeiten mit sich, dass sich dieses nicht ohne grössere Anpassungen paketieren lässt, da sich so die beiden libfido2-1 ins Gehege kommen und man erste nicht deinstallieren will, weil u.a. OpenSSH davon abhängt.

Ich habe aber gesehen, dass die von Debian gelieferte libfido2 von Yubico auch mit dem Token2 Token funktioniert. Ausserdem funktioniert in Firefox die #FIDO2 Infrastruktur und Passkey gut mit dem Token zusammen (nachdem ich den PIN gesetzt habe). Der Wechsel von CH-Login nach AGOV hat damit dann problemlos geklappt.

Als nächstes versuche ich herauszufinden, inwiefern sich die libfido2 von Yubico und Token2 unterscheiden und ob diese nicht zusammengeführt werden könnten.

[1] https://agov.token2.ch/
[2] https://github.com/token2/fido2-manage
[3] https://github.com/Yubico/libfido2

Both Microsoft and Google are reporting passkeys alone are not the panacea solution being sold by vendors. This is a recurring reminder that no one solution exists in protecting user identities and security systems.

There exists no silver bullet in a world of cybersecurity. Security requires defense in depth and constant vigilance on behalf of every person from the end users to admins and executives.

Keep safe out there!

#passkey #cybersecurity

Anyone got a working solution for passkeys? I have my keepass db on nextcloud and sync to desktop and phone (grapheneOs). It's very per-device.

#passkey #keepass #NextCloud #grapheneos

Just watched my daughter signing into an app on her phone that she’d previously only used on her tablet. Almost literal account of her process:

“Oh, I don’t remember the password… oh, I can use my #passkey! Oh, I’m in - that’s magic!”

I have never talked to her about passkeys or helped her set them up.

Ho provato per settimane le YubiKey 5 NFC e 5C NFC, ecco com’è andata

https://yoota.it/ho-provato-per-settimane-le-yubikey-5-nfc-e-5c-nfc-ecco-come-andata/