CryptGoatNov 5

🔑 Ich habe mich nach längerer Zeit anlässlich eines Vortrags wieder etwas intensiver mit #Passkeys befasst, nachdem ich schon selbst eine Hand voll davon im Einsatz hatte. Eigentlich sollen uns Passkeys ja das bequeme und vor allem sichere Authentifizieren gegenüber Diensten ermöglichen.

Boah, ist der aktuelle Zustand nach wie vor ernüchternd. 🫠

Ein Thread. (1/3)

#Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn #Security

Show threadCryptGoat

Die Liste der praktischen Probleme ist lang:

  • #Apple, #Microsoft, und #Google bieten alle Passkeys an, machen aber alle ihr eigenes Ding mit unterschiedlichen Workflows und Speicheroptionen. Aber Hauptsache die Nutzer nutzen ihre Dienste und man hat es möglichst schwer zu wechseln.
  • Einen sicheren Export und Import von Passkeys gibt es in der Praxis derzeit nicht. Offizielle Spezifikationen der FIDO-Allianz gibt es seit letztem Jahr, aber wirklich umgesetzt hat das niemand. Apple hat das für iOS und macOS 26 mal angekündigt, aber ich finde für die Umsetzung keine Anhaltspunkte. Edit: Apple hat das wohl tatsächlich schon umgesetzt.
  • Passkeys werden fast nirgends als echter Passwortersatz unterstützt. Dazu müsste man die Nutzung von Passwörtern unterbinden können. Geht bei Microsoft Entra ID, sonst fällt mir nix ein. Dann kann das Hacken und Phishing ja fröhlich weiter gehen!  

(2/3)

#Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

FIDO Alliance Publishes New Specifications to Promote User Choice and Enhanced UX for Passkeys | FIDO Alliance

The FIDO Alliance has published a working draft of a new set of specifications for secure credential exchange that, when standardized and implemented by

FIDO Alliance
Nov 5 at 3:00pmWeb
Show threadCryptGoatNov 5

Passwörter werden wohl zu unseren Lebzeiten nicht verschwinden, aber ich zweifel gerade, wann (und ob überhaupt jemals) Passkeys einfach genug sind, dass auch Nicht-Techies sie bequem benutzen können. Google, Microsoft und Apple haben jedenfalls einiges dazu beigetragen, dass alles wieder furchtbar kompliziert ist, weil jeder sein eigenes Süppchen kocht und es doch besser weiß, wie es geht.

(3/3)

#Apple #Microsoft #Google #Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

Passkey-Verzeichnis – Keeper Security

Wir haben eine Liste mit Webseiten und Plattformen zusammengestellt, die Passkeys unterstützen. Das Verzeichnis wird von uns regelmäßig erweitert, schauen Sie daher gern öfter vorbei.

Keeper® Passwort-Manager & Digitaler Tresor
Show threadlj·rkNov 5

@cryptgoat Jup. Am besten macht's da tatsächlich Apple, selbst der Export nach Dashlane & Bitwarden (bzw. jedem anderen PW Mgr der die API implementiert) funktioniert schon genau so wie man's erwarten würde:

Passwords -> ... -> Export Data to Another App

Mich nervt's auch total, dass das nicht als PW-Ersatz gebaut wird. Bei der @freieuniversitaet werde ich erst nach PW gefragt, dann nach meinem Passkey. Danke für nix.

An sich finde ich es ja fein, wenn man als weiteren Faktor nochmal FIDO2 einsetzt, und dann auch so, dass forciert wird, dass das ein separates Gerät (Smartphone, YubiKey, ...) ist. Nicht für 90% der Anwendungen, dort sollte ein softer Passkey ausreichen, aber wenn ich bei besonders sensiblen Anwendungen noch einen physischen FIDO2 Token als weiteren Faktor nutzen kann – warum nicht.

So wie's jetzt ist ist's Chaos.

Show threadCryptGoatNov 5
@ljrk Ah, immerhin hat Apple den Export dann tatsächlich wie spezifiziert umgesetzt. @freieuniversitaet
Show threadlj·rkNov 5
@cryptgoat @freieuniversitaet Yep. Und bin nun wirklich kein Apple Fan, muss jetzt seit 2 Jahren mich mit macOS rumschlagen. Aber hier haben die echt ordentliche Arbeit gemacht. Passkey-Systemintegration auf Linux ist auch bejammernswert. Ich hoffe, dass oo7 da gleich alles richtig macht, wenn's den secret-service ablöst.
Show threadAlexander 😷Nov 5
@cryptgoat Ich hatte bei Passkeys schon früh den Eindruck von "oh geil, Vendor-Lock-In für Zugangsdaten!" Klingt so, als hätte sich das bewahrheitet... 🫠
Show threadkaffeebär 🐻Nov 5
@alxndr @cryptgoat Ja sehe ich auch immer wieder und der Grund warum ich keine Passkeys nutze. Ich habe meinen Passwortmanager und keine Lust, die App der jeweiligen Anwendung auf dem Handy zu installieren.
Show threadCryptGoatNov 6
@diabhoil Musst du ja meistens nicht. Nimm den Passwortmanager deiner Wahl und nutze Passkeys da, wo es halt geht. @alxndr
Show threadKarl Voit  Nov 5
@cryptgoat Weiters wurden aus Gründen der Coolness Funktionen entwickelt, die den Phishingschutz ausgehebelt haben, von dem die meisten Leute weiterhin tlw. fälschlich schwärmen: https://karl-voit.at/FIDO2-vs-Passkeys/ 🙄
Authentifizierung mit FIDO2 und Passkeys

Show threadKevinNov 5

@cryptgoat platform-bound passkeys are an equivalent of OIDC-based “platform login” (like “login with Apple” or “login with Google”) for almost all practical purposes. They are even worse, because if an account is compromised and later recovered, the OIDC-based login remains secure, whereas stored passkeys are gone for good.

This explains why platforms are so interested in supporting passkeys and in the same time are so disinterested in allowing secure cross-platform migration. Passkeys are the way to bound users to the platform, not to provide security.

I think for corp IdP security teams will have to insist on using attested hardware keys. I am also to sure, if resident keys are any better then non-resident keys.