Mastodawn

🔑 Ich habe mich nach längerer Zeit anlässlich eines Vortrags wieder etwas intensiver mit #Passkeys befasst, nachdem ich schon selbst eine Hand voll davon im Einsatz hatte. Eigentlich sollen uns Passkeys ja das bequeme und vor allem sichere Authentifizieren gegenüber Diensten ermöglichen.

Boah, ist der aktuelle Zustand nach wie vor ernüchternd. 🫠

Ein Thread. (1/3)

#Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn #Security

Show thread

CryptGoat Nov 5

Die Liste der praktischen Probleme ist lang:

#Apple, #Microsoft, und #Google bieten alle Passkeys an, machen aber alle ihr eigenes Ding mit unterschiedlichen Workflows und Speicheroptionen. Aber Hauptsache die Nutzer nutzen ihre Dienste und man hat es möglichst schwer zu wechseln.
Einen sicheren Export und Import von Passkeys gibt es in der Praxis derzeit nicht. Offizielle Spezifikationen der FIDO-Allianz gibt es seit letztem Jahr, aber wirklich umgesetzt hat das niemand. Apple hat das für iOS und macOS 26 mal angekündigt, aber ich finde für die Umsetzung keine Anhaltspunkte. Edit: Apple hat das wohl tatsächlich schon umgesetzt.
Passkeys werden fast nirgends als echter Passwortersatz unterstützt. Dazu müsste man die Nutzung von Passwörtern unterbinden können. Geht bei Microsoft Entra ID, sonst fällt mir nix ein. Dann kann das Hacken und Phishing ja fröhlich weiter gehen!

(2/3)

#Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

FIDO Alliance Publishes New Specifications to Promote User Choice and Enhanced UX for Passkeys | FIDO Alliance

The FIDO Alliance has published a working draft of a new set of specifications for secure credential exchange that, when standardized and implemented by

FIDO Alliance

Show thread

CryptGoat Nov 5

Eigentlich lassen sich Passkeys u.a. über einen plattformübergreifenden Passwortmanager wie #Bitwarden bequem nutzen. Aber viele Dienste - u.a. PayPal und Nintendo - wollen, dass ich a) bitte ein Smartphone nutze und b) dann Chrome oder Safari am Start habe. 😩
Mal werden Passkeys als Alternative zum Passwort angeboten, weniger oft ausschließlich als weiterer Faktor, und manchmal auch beides. Wer soll da durchblicken? 😵‍💫
Und dann lässt #KeePassXC einfach den Export des Passkeys (also den geheimen Schlüssel) im Klartext zu. Ich verstehe den Gedanken, die Nutzer*innen sollen möglichst frei in ihren Entscheidungen sein - dazu nutzen viele den #KeePass-Standard. Aber irgendwie kommt das ganz schön mit den angedachten Grundprinzipien von Passkeys in Konflikt.

Passwörter werden wohl zu unseren Lebzeiten nicht verschwinden, aber ich zweifel gerade, wann (und ob überhaupt jemals) Passkeys einfach genug sind, dass auch Nicht-Techies sie bequem benutzen können. Google, Microsoft und Apple haben jedenfalls einiges dazu beigetragen, dass alles wieder furchtbar kompliziert ist, weil jeder sein eigenes Süppchen kocht und es doch besser weiß, wie es geht.

(3/3)

#Apple #Microsoft #Google #Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

Passkey-Verzeichnis – Keeper Security

Wir haben eine Liste mit Webseiten und Plattformen zusammengestellt, die Passkeys unterstützen. Das Verzeichnis wird von uns regelmäßig erweitert, schauen Sie daher gern öfter vorbei.

Keeper® Passwort-Manager & Digitaler Tresor

Show thread

Alexander 😷

@cryptgoat Ich hatte bei Passkeys schon früh den Eindruck von "oh geil, Vendor-Lock-In für Zugangsdaten!" Klingt so, als hätte sich das bewahrheitet... 🫠

Show thread

kaffeebär 🐻Nov 5

@alxndr @cryptgoat Ja sehe ich auch immer wieder und der Grund warum ich keine Passkeys nutze. Ich habe meinen Passwortmanager und keine Lust, die App der jeweiligen Anwendung auf dem Handy zu installieren.

Show thread

CryptGoat Nov 6

@diabhoil Musst du ja meistens nicht. Nimm den Passwortmanager deiner Wahl und nutze Passkeys da, wo es halt geht. @alxndr