Mastodawn

Kuketz-Blog 🛡

Ich spiele seit ein paar Tagen wieder mit Passkeys herum – und irgendwie bleibe ich skeptisch. Ja, ich kann sie mit KeePassDX und KeePassXC auf Smartphone und Desktop verwalten, und der erhöhte Schutz vor Phishing ist unbestritten. Trotzdem will der Funke nicht überspringen.

Wie seht ihr das? Nutzt ihr Passkeys bereits aktiv, oder lasst ihr die Finger davon? Und wenn ja: wo landen eure Keys – beim Hersteller, im eigenen Passwortmanager, oder ganz woanders?

/kuk

@kuketzblog Bislang keine Nutzung. Eher im Gegenteil: Ich wünschte mir, ich könnte die diversen aufdringlichen Passkey-Dialoge von Websites und Browsern deaktivieren.

einfachnurRoland 3d ago

@truhe @kuketzblog
Die Gefahr, seine Schlüssel zu verschlampen ist dadurch unheimlich groß.

Sicherer gegen phishing, unsicherer bez. Zuverlässigkeit.

Mit der IT-Security ist's wie mit den Schrauben: nach sicher kommt aus.

@einfachnurRoland Speichert man den Passkey im Passwortmanager, sind „Passkey verlieren“ und „Passwort verlieren“ dasselbe.
@truhe

@truhe @kuketzblog sollte man eigentlich in jedem Browser abschalten können. Musst mal gucken, das darunter liegende Protokoll heißt webauthn bzw. ctap2

@truhe @[email protected] besser als einloggen mit Link aus der Email. Mein Password Manager kann leider noch kein Passkey.

Martin Rust 3d ago

@thaodan
Unrühmlich finde ich, dass der bekannte Micropayment-Dienst #Steady #SteadyHQ E-Mail-Token als einziges Verfahren zur "Authentifizierung" anbietet. @truhe @joinsteady

Steady | Membership Platform 3d ago

@martinrust Für uns ist das der beste Kompromiss zwischen Usability und Sicherheit. Passwörter gehen verloren oder werden wiederverwendet und sind somit anfällig. Passkeys wären eine bessere Alternative, allerdings in der Breite noch nicht gut angenommen, sieht man ja auch im Thread oben.

Wir beobachten das und überlegen, weitere Möglichkeiten anzubieten. Was wäre dir am liebsten?

@joinsteady @martinrust Lass die Option Passwörter zu verwenden aber erzwinge TOTP. Meiner Meinung nach der beste Kompromiss. Ich mag Email aber Authentifizierung Nein danke.
Mit Passwörtern kann ich nebenbei mich auch immer schnell anmelden ohne irgendwelche Kekse oder ähnliches zu speichern.

@thaodan @joinsteady @martinrust
+1

Wirklich: Ich war schon ernsthaft am Überlegen, ob ich bestehende Abos überhaupt weiterführen soll, weil ich nur noch mit dieser extrem umständlichen E-Mail-Anmeldung ran komme (u. a. bei @Krautreporter). Der Artikel z.B. aus einem Newsletter (Full RSS gibt es ja auch nicht mehr …) muss mich schon _sehr_ interessieren, damit ich das auf mich nehme.

Martin Rust 3d ago

@joinsteady Danke für die Frage. Ich hab ja nichts dagegen, dass ihr denjenigen Usern, denen das bei Passwörtern nötige Problembewusstsein fehlt, E-Mail-Tokens (oder meinetwegen per Messaging-App versendete Tokens) als Default nahelegt.
Für meinen Teil verwende ich #Passwortmanager und damit Passwörter, die ausreichend komplex sind, nicht wiederverwendet werden, und in meine Datensicherung einbezogen sind. Sicherheit m.E. viel höher als E-Mail-Token, Usability erste Sahne, da Anmeldung weitgehend automatisierbar und nicht von einem Dritt-Dienst abhängig. Zusätzlich verwende ich, wenn es um wichtige Daten geht und der Dienst es unterstützt, #TOTP., mit einem separaten Gerät. Das würde ich auch bei Steady machen, schließlich geht es um meine Kontodaten.

𝕄𝕚𝕔𝕜𝕖𝕥 3d ago

@joinsteady @martinrust

Ihr könnt ja Passkey zusätzlich anbieten und die Mail aktivierung als zweiten Weg erlauben.

Klar, es bringt damit erstmal nur wenig zusätzliche Sicherheit. Aber ihr und eure User können Erfahrungen sammeln.

Es muss kein alles oder nichts sein.

@martinrust @truhe @joinsteady Bitbucket macht das leider auch so..

@thaodan
Das kommt darauf an. Wenn die Mail mit GPG verschlüsselt ist, ist das ein sehr sicherer Weg. Bietet nur so gut wie niemand an.
@truhe

@OlafInDerSchweiz @truhe Geht darum das es nicht praktisch bzw halt nicht wirklich zwei Faktor ist. Klar ist es sicher mit gpg keine Frage.

Julius Rüberg 3d ago

@kuketzblog Ich finde die Passkeys super frustrierend unter KeepassDX. Ich habe mehrere Yubikeys und wenn ich KeepassDX als Passwortprovider auswähle, kann ich nicht mehr meinen Yubikey verwenden...

@toorero @kuketzblog Kann ich unter Graphene OS nicht nachvollziehen. Aber ich benutze auch HW Fido2 Provider als »Additional Service« und nicht Googles Implementierung.

hw-fido2-provider

hw-fido2-provider

Codeberg.org

Julius Rüberg 3d ago

@leckse @kuketzblog Das Ding ist, dass man nach meinem Verständnis nur einen Passwort Provider festlegen kann. Wenn ich dann den Autofill von KeepassDX und meinen Yubikey verwenden möchte, funktioniert das nicht.

@toorero @kuketzblog Ich bekomme da die Option, einen anderen Credential Provider zu nutzen.

Der muss natürlich in den Einstellungen als Alternative aktiviert sein.

Beim Einloggen ist das ganz analog.

Julius Rüberg 3d ago

@leckse @kuketzblog Das sieht bei mir anders aus. Wenn ich mich auf einer Webseite mit U2F oder Passkeys anmelde, öffnet sich die DB in welcher ich einen Passkey Eintrag auswählen soll. In den Einstellungen kann ich keine Alternativen erlaube.

maybeanerd 3d ago

@kuketzblog ich ersetze immer, wenn ich kann, totp oder sogar login selbst (ohne 2fa) mit passkeys
Ich selfhoste bitwarden (vaultwarden) und bin damit sehr zufrieden alles darin zu halten.

Meinem Zugang zum Passwort Manager sichere ich mit yubikeys, um das Risiko Zugang zu den passkeys zu geben zu reduzieren (ist aber mmn. das gleiche Risiko, wie generell totp und Passwort beides im gleichen manager zu haben)

@kuketzblog Ich habe neulich damit angefangen. Das Datenbankfile ist auf meiner NextCloud, die gesynct wird. Aber nur auf Linux-Desktop. Da ich kein Android (sondern SailfishOS) nutze, müßte ich per Hand syncen, was ich (noch) nicht tue.
Mir fehlt im Grunde ein verbessertes Handling auf dem LInux-Desktop (Debian 13/XFCE4), wo KeepassXC als weggeklicktes Fenster im Hintergund läuft. Besser wäre ein Desktop-Button und wenn ich es irgendwo mal brauche, poppt ein Fenster auf, das nach meinem (erneuten) Password fragt. So muß ich das jedes Mal selbst vorholen.... naja..

Daniel Siepmann 3d ago

@kuketzblog Ich nutze sie in teilen als weiteren Faktor, nicht als Ersatz, und speicher sie mit in keepass.

@kuketzblog Ich nutze den ein oder anderen Passskey und bei mir wird es in geräteübergreifend (Android, iPadOS, Windows11) in Enpass gespeichtert.

BlueWaggon 3d ago

@kuketzblog Was genau bedeutet denn 'skeptisch' bleiben?

Gehts um Bequemlichkeit/Einfachheit? Da kann ich zustimmen. Gerade das Synchronisieren hakt bei mir gerne noch. Ansonsten bin ich (als Laie) vollauf überzeugt von KeePass

Thommie Rother 3d ago

Es geht mir ähnlich. Bis auf weiteres fühle ich mich mit Yubikeys am (realen) Schlüsselbund in Kombination mit Passbolt (selfhosted) oder KeepassXC (für offline Szenarien) sicher genug.

Willy_Wuff 3d ago

@kuketzblog ganz altmodisch....
Im Hirn
Sollte das mal nen Password vergessen.....
Dafür gibt's dann nen Link 🤣

BjoernAusGE 3d ago

@Willy_Wuff ich glaube wenn man wirklich komplexe unterschiedliche Passwörter jeden Dienst verwendet dann wird das schwer ausser man ist Sheldon Cooper. @kuketzblog

Willy_Wuff 3d ago

@bjoern @kuketzblog die Kunst ist sich ein paar Kunstworte zu schaffen, die man sich merken kann.
Wenn man hingegen nen Dutzend krüptische Passworte nutzen muss.....
Stellt sich die Frage ob sie in einem Passwordmanager eines möglicherweise kompromittieren Systems sicherer sind, als im Berühmten kleinen schwarzen Büchlein.
Zu letzterem braucht man physischen Zugriff, grenzt die Zahl möglicher Diebe kollosal ein.

NetzRadler / RIP #Natenom 3d ago

@kuketzblog ich finde Passkeys intransparent für den Nutzer gelöst. Ich denke, viele benutzen es und sind sich nicht klar darüber, was sie da machen.

komaspieler 3d ago

@kuketzblog Bin da lieber mit klassischem MFA unterwegs - meist TOTP und in kritischen Bereichen Yubikey.

@kuketzblog Ich benutze Passkeys überall, wo sie angeboten werden und speichere sie in Bitwarden. Finde ich persönlich vom Workflow her praktischer als Passwörter mit Passwortmanager

@kuketzblog
Teilweise, fühle mich aber nicht wohl damit.

Passwort und 2fa hab ich ohne große Erklärung verstanden. Deshalb bei mir erste Wahl.

Die Zeit die Funktionsweise von Passkeys zu verstehen hab ich mir bisher nicht genommen

Michael Schramm 3d ago

@Eskalator @kuketzblog geht mir genau so.

Herr Jemineh 🌻3d ago

@kuketzblog Ich nutze Passkeys noch nicht wirklich. Da ich wild zwischen Betriebssystemen und Geräten hin und her switche, finde ich laaaaaange Passwörter und Passwortmanager plus Ente-Auth sehr praktikabel und hoffentlich auch ausreichend sicher.

@kuketzblog noch nicht im Alltag, wenn dann aber nur mit Token2 oder Nitrokey

Phoebe Klein 3d ago

@kuketzblog
Nicht wirklich, ich habe meinen KeePassXC zusätzlich mit dem Passwort von meinem PC verknüpft. Das läuft über Passkeys, wenn ich mich recht erinnere.
Auf dem Handy habe ich keine Passkeys. Ich wollte zwar die biometrische Erkennung aktivieren, aber das hat nicht geklappt.

notutner 3d ago

@kuketzblog Bin auch noch nicht praktisch im Thema drin, weil ich es halt auch auf verschiedensten Geräten brauch und k.A. hab, wie das am besten zu bewerkstelligen ist. Und außerdem noch viel zu wenig über die technischen Details weiß. Meinen YubiKey hab ich seit 2020 unbenutzt herumliegen 🤦‍♂️

@kuketzblog
Ich nutze sie bei Diensten, die sie anbieten. Am Desktop und unter Android landen sie jeweils in KeePass. Damit bin ich völlig fein.
Nachtrag: Die Datenbank liegt in einer selbst gehosteten Nextcloud und wird darüber zwischen Linux und Android synchronisiert.

Ronald Löser 3d ago

@kuketzblog ich habe jetzt alle Passwörter in der Passwort-App meiner privat gehostetenNextCloud. Und Sie kommen auch auf allen verschiedenen Geräten an, die ich benutzen muss.

Marc Riese 3d ago

@kuketzblog Ich habe bisher die Finger davon gelassen. Bleibe aktuell bei der Kombination Keepass + YubiKey.

@kuketzblog ich nutze sie wo immer möglich und speichere sie in ProtonPass und Proton ist dann wiederum mit YubiKey als zweiter Faktor gesichert. Passwörter sind einfach nicht für Menschen geeignet und müssen weg.

Fruitless Tux 🐧3d ago

Ich kann damit auch nicht viel anfangen.
Ein paar habe ich in meinem Passwort Manager. Das funktioniert, aber warum das jetzt sicher sein soll, verstehe ich einfach nicht.

shadowwwind 3d ago

@kuketzblog Landen in Protonpass und sind toll.
Wenn die website das richtig macht, wie bahn.de oder github sind sie auch so viel schneller.

Philippe 3d ago

@kuketzblog Ich kann die Skepsis nachvollziehen. Tatsächlich versuche ich, Passkeys zu nutzen, wo es nur geht. Manchmal komme ich auch durcheinander, weil manche Passkeys irgendwie an Geräte oder Apps gebunden sind und andere nicht. Weiter bleibt ja der Zugang mit Benutzernamen und Passwort bestehen, der ja angegriffen werden kann.

KRISÚ クリス 🏴‍☠️3d ago

@kuketzblog ich werde einfach nicht warm damit🤷‍♂️

Kettwachsler 3d ago

@kuketzblog ich nutze sie sporadisch, speichern in Keepass.

Ich habe mich mit Passkeys bisher nicht näher beschäftigt und verstehe daher die konkreten Vorteile nicht. Vielleicht ist das ein Fehler – oder einfach Abneigung gegenüber Neuem, Unbekanntem?

Meine Passwörter sind lang, enthalten Groß-/Kleinschreibung, Zahlen und Sonderzeichen, und sind in Bitwarden gespeichert – damit synchronisiert auf allen Geräten. Auch Brave speichert sie. Jede Anfrage, einen Passkey zu erstellen, lehne ich ab. Fingerabdrücke funktionieren bei mir ohnehin nur wenige Tage, danach erkennt mich kein Gerät mehr daran. Sie sind wohl dynamisch.

Bin ich damit in großer Gefahr? Bisher nicht: Über 30 Jahre ohne Hack. Zufall, oder nur Glück?

@kuketzblog

Nutze Sie wenn möglich überall. Hoste die Keys auch selbst mit Vaultwarden.

Bei selbst gehostetn Diensten versuche ich überdies OIDC mittels Passkey authtentifizierung zu enforcen (mittels Pocket-ID). Der OIDC Anbieter unterstützt tatsächlich auch gar keine klassische Benutzername / Password Kombi mehr.

War anfangs ungewöhnlich aber mittlerweile will ich nicht mehr weg davon.

CaptainMalu 3d ago

@kuketzblog Als ich das letzte mal geschaut habe konnte mein Passwortmanager die noch nicht und ich meine auch auf Linux war da was, dass man dann immer das smartphone braucht, weil die browser es da noch nicht richtig machen.

@kuketzblog Ich werde mit den Passkeys auch nicht warm. Mir genügt aber der "Gundfunktion" von Keepass.

@kuketzblog Problem ist die schlechte Portabilität der Passkeys. Und das ist von google und co auch gewollt. Teilweise funktionieren die nur auf dem handy. aber ich will die exportierbar haben, so dass die mit bitwarden überall funktionieren. dann gibt es keine guten browser schnittstellen zur zentralen verwaltung. und und und.

daher: idee gut, verwende ich auch. aber gerade im beruflichen umfeld eine vollkatastrophe. denn ich kriege meinen passkey von bitwarden beispielsweise nicht in den browser auf arbeit.

Der Andreas 3d ago

@kuketzblog Ich nutze kein Passkey! Ich bleibe vorerst bei Bentzername, Kennwort und 2FA. Nach meinem Kenntnisstand sind bei den meisten Unternehmen trotz Passkey noch Benutzername Kennwort aktiv, dann muss ich beides „verwalten“.
Ich bin zwar IT-Affin aber kein Profi daher scheue ich mich irgendwas selbst zu hosten, meine Synology NAS ist vom I-net nicht erreichbar. Alles selbst zu hosten zum SinglePointOfFailure zu werden, nein Danke. Zumal ich Windows, Linux & Apple nutze.

Michael Schramm 3d ago

@kuketzblog ich habe Passkey noch nicht ganz verstanden. Ich nutze KeypassXC mit externen Key im verschlüsselten USB physisch an meinem Schlüsselbund.

@kuketzblog
Ich nutze Passkeys nur zögerlich und habe aktuell nur zwei in Gebrauch.
Die landen, wie meine Passwörter auch, in meinem Passwortmanager "Bitwarden".

@kuketzblog
Bei mir ist Bitwarden/Vaultwarden mit Sync und Backup im Einsatz.
Passkeys nutze ich manchmal, geht mit dem setup genau so easy wie jedes Passwort.

Suspicious person 3d ago

@kuketzblog Ich sehe das wie du. Leider habe ich zwei Anbieter, die mir 2FA vorschreiben (grundsätzlich positiv zu sehen; manche Menschen muss man zu ihrem Glück halt zwingen) aber als 2F nur Passkeys anbieten. Lieber wäre mir ein Yubikey, wie ich ihn auch auf der Arbeit verwende um meine Admin-Accounts zusätzlich abzusichern.

Jörg 🇩🇪🇬🇧🇪🇺3d ago

@kuketzblog Keine Passkeys. Ganz altmodisch Passwortmanager und lange+komplexe Passwörter. Und wo möglich 2FA über TOTP

Joachim 🍀3d ago

@AlienJay @kuketzblog mach ich auch so ... alles über Bitwarden Server (inkl. Backup)