Die Liste der praktischen Probleme ist lang:

• #Apple, #Microsoft, und #Google bieten alle Passkeys an, machen aber alle ihr eigenes Ding mit unterschiedlichen Workflows und Speicheroptionen. Aber Hauptsache die Nutzer nutzen ihre Dienste und man hat es möglichst schwer zu wechseln.
• Einen sicheren Export und Import von Passkeys gibt es in der Praxis derzeit nicht. Offizielle Spezifikationen der FIDO-Allianz gibt es seit letztem Jahr, aber wirklich umgesetzt hat das niemand. Apple hat das für iOS und macOS 26 mal angekündigt, aber ich finde für die Umsetzung keine Anhaltspunkte. Edit: Apple hat das wohl tatsächlich schon umgesetzt.
• Passkeys werden fast nirgends als echter Passwortersatz unterstützt. Dazu müsste man die Nutzung von Passwörtern unterbinden können. Geht bei Microsoft Entra ID, sonst fällt mir nix ein. Dann kann das Hacken und Phishing ja fröhlich weiter gehen!  

(2/3)

#Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

• Eigentlich lassen sich Passkeys u.a. über einen plattformübergreifenden Passwortmanager wie #Bitwarden bequem nutzen. Aber viele Dienste - u.a. PayPal und Nintendo - wollen, dass ich a) bitte ein Smartphone nutze und b) dann Chrome oder Safari am Start habe. 😩
• Mal werden Passkeys als Alternative zum Passwort angeboten, weniger oft ausschließlich als weiterer Faktor, und manchmal auch beides. Wer soll da durchblicken? 😵‍💫
• Und dann lässt #KeePassXC einfach den Export des Passkeys (also den geheimen Schlüssel) im Klartext zu. Ich verstehe den Gedanken, die Nutzer*innen sollen möglichst frei in ihren Entscheidungen sein - dazu nutzen viele den #KeePass-Standard. Aber irgendwie kommt das ganz schön mit den angedachten Grundprinzipien von Passkeys in Konflikt.

Passwörter werden wohl zu unseren Lebzeiten nicht verschwinden, aber ich zweifel gerade, wann (und ob überhaupt jemals) Passkeys einfach genug sind, dass auch Nicht-Techies sie bequem benutzen können. Google, Microsoft und Apple haben jedenfalls einiges dazu beigetragen, dass alles wieder furchtbar kompliziert ist, weil jeder sein eigenes Süppchen kocht und es doch besser weiß, wie es geht.

(3/3)

#Apple #Microsoft #Google #Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

@cryptgoat Jup. Am besten macht's da tatsächlich Apple, selbst der Export nach Dashlane & Bitwarden (bzw. jedem anderen PW Mgr der die API implementiert) funktioniert schon genau so wie man's erwarten würde:

Passwords -> ... -> Export Data to Another App

Mich nervt's auch total, dass das nicht als PW-Ersatz gebaut wird. Bei der @freieuniversitaet werde ich erst nach PW gefragt, dann nach meinem Passkey. Danke für nix.

An sich finde ich es ja fein, wenn man als weiteren Faktor nochmal FIDO2 einsetzt, und dann auch so, dass forciert wird, dass das ein separates Gerät (Smartphone, YubiKey, ...) ist. Nicht für 90% der Anwendungen, dort sollte ein softer Passkey ausreichen, aber wenn ich bei besonders sensiblen Anwendungen noch einen physischen FIDO2 Token als weiteren Faktor nutzen kann – warum nicht.

So wie's jetzt ist ist's Chaos.