Vorteil von Passkeys - kann (noch) keinen erkennen

[lisanet]

Mein Verständnis war bisher: einen Passkey-Zugang, den ich mit meinem iPhone anlege und der somit im Schlüsselbund verwaltet wird, kann ich auf meinem Macbook ebenso verwenden. Ist das falsch?

Nein.

Aber du wolltest einen FIDO2-Stick kopieren. Das geht nicht.

 

[lisanet]

eine Erst-Anmeldung bei einem beliebigen Dienst, der Passkey anbietet, mit einem Apple-Fido2-Stick, würde dazu führen, das alle anderen Apple-Fido2-Sticks und alle anderen eigenen Apple-Geräte ebenfalls den "private key" bekämen.

Korrigiert mich bitte, wenn ich mit dieser Idee etwas übersehe.

So richtig verstehst du das noch nicht, habe ich den Eindruck.

Warum willst du einen Passkey für einen Account auf dem FIDO2-Stick speichern? Das geht, aber dann musst du immer diesen Stick verwenden, wenn du dich einloggen willst bei dem betreffenden Account.

Man kann zudem für einen Account auch mehrere passkeys hinterlegen. du könntest also (wobei das sinnlos wäre) einen passkey anlegen und ihn auf dem FIDO-Stick speichern, dann einen weiteren passkey, den du auf dem 2. FIDO-Stick anlegst, und dann einen weiteren passkey, den du im iCloud-Schlüsselbund speicherst.

Die Besonderheit beim iCloud-Schlüsselbund ist, dass dieser die passkeys auf andere Apple Geräte synct.

Fazit:

Die passkeys auf dem FIDO2-Stick zu speichern ist wenig sinnstiftend, da unpraktisch beim Login.

Besser wäre:

Für alle Accounts passkeys im iCloud-Schlüsselbund speichern. Somit auf allen Geräten verfügbar.

Den Apple-Account mit passkeys + 2 FIDO-Sticks sichern.

Mehr muss nicht sein. Die FIDO-Sticks benötgst du dann nur im restore-Fall oder beim Einloggen auf dem Apple-Account via Web von einem Nicht-Apple-Geräte und wenn du auch kein iPhone dabei hast.

 

[BEASTIEPENDENT]

Mehr muss nicht sein. Die FIDO-Sticks benötgst du dann nur im restore-Fall oder beim Einloggen auf dem Apple-Account via Web von einem Nicht-Apple-Geräte und wenn du auch kein iPhone dabei hast.

Oh, danke! Es beginnt sich für mich wieder etwas zu erhellen. Ich muss gestehen, ich dachte schon, über diesen Yubikey/FIDO-Stick ginge dann fast alles und man müsse den immer dabei haben.
Wenn die „normalen Zugänge“ im iCloud-Keychain sind und der Yubikey nur eine Notfallversicherung, falls man seine Apple-Geräte vierliert, DAS klingt dann doch sinnvoll für mich.
Wollte diesen Stick nicht auch noch dauernd mit rumschleppen müssen… Wohin damit, damit er sicher ist? iPhone habe ich immer in der Tasche, Brieftasche oder Schlüssel nicht mehr unbedingt immer und überall.

EDIT: Kann ein älteres iPhone dann nicht genauso die Rolle eines FIDO-Sticks einnehmen?

 

[jteschner]

warum willst du einen alternative Passkeymanager nutzen? Wenn du den iCloud-Schlüsselbund nutzt für passkeys reicht das doch völlig. Und solltest du ein anderes Betriebssystem nutzen wollen (Linux, Windows) dann lege dort einen weiteren passkey für die Accounts an. Mit passkeys sind systemübergriefende Passkeymanager nicht nötig.

Aber ich wiederhole mich schon wieder...

Wahrscheinlich haben wir uns falsch verstanden.
Ich will keinen anderen PW-Manager für passkeys nutzen. Das geht bei mir alles über den Schlüsselbund. Alles. Auch 2FA. Standardmäßig. Und ich bin da sehr zufrieden mit. Und das soll auch alles so bleiben.
Was ich für mich, meinen Bauch, aus Übersicht, aus Paranoia/Backup tue: ich nutze KeepassXC, um zusätzlich meine Passworte, Lizenzen, ... manuell zu verwalten. Und das ist auch praktisch, wenn ich mal zB Firefox nutze, der keinen Zugriff auf den Schlüsselbund hat - da gibt es eine Keepass-Extension.

Zum Thema "Challenge-Response" und KeePassKC:
Ich hatte mir zur Info zwei Dinge angeschaut:
1. Wie verbindet man KeePassXC mit einem Yubikey (Handbuch)
2. Auf der Yubikey-Seite unter "Unterstützte Software" -> KeePassXC -> Kompatible Sticks.
Ergebnis: der kleine Stick kann nicht verwendet werden. Man benötigt einen 5C, denn der hat erst das notwendige Protokoll. Und ich hatte verstanden, und das mag falsch sein, dass das "Challenge-Response" ist (ist halt ein nicht ganz einfaches Thema)
Aber nochmal: Ich würde den Yubikey gar nicht dafür einsetzen wollen.

Für mich ist es absolute Prio meine AppleID/iCloud und damit auch Mail-Zugang so sicher wie möglich zu machen (oft genug besprochen )
Der Rest? .... ich würde es nicht umständlicher machen wollen durch einen Stick, den ich immer bei mir tragen müsste.
Und genau dafür suche ich nach einer "preiswerten" Lösung, Und das scheint mit 35€ der Yubikey Security Stick zu sein - nun auch schon mehrfach genannt)

 

[lisanet]

EDIT: Kann ein älteres iPhone dann nicht genauso die Rolle eines FIDO-Sticks einnehmen?

Wenn das iPhone aktuelle SW hat, dann kannst du damit passkeys verwenden.

Logisch gesehen, kann ein iPhone einen FIDO2 Stick für einen Fall nicht ersetzen -> Verlust des iPhone. Ohne weiter Möglichkeite (sei es ein zweites iPhone, Mac, FIDO2-Stick) kämst du nicht mehr an deine Apple-ID

Generell:

iPhone -> passkeys für logins zu webseiten, gesycnt via iCloud auf alle Apple-Geräte

FIDO2-Stick -> Absicherung der Apple-ID, somit solltest du alle Apple-Geräte verlieren, kannst du für eine neues iPhone/Mac die Apple-ID "entsperren" und somit wieder alle deine passkeys erhalten

 

[BEASTIEPENDENT]

Vielen Dank, @lisanet! D.h., für den Fall der Fälle wäre es nicht doof, neben den Backups in der Wohnung noch im Keller zum Dritt-Backup einen FIDO2-Stick mit einem Passkey für die Apple-ID zu legen.

(das iPhone SE von 2016 wird vermutlich demnächst SW-seitig nicht mehr geeignet sein, außerdem stimmt ja Dein Punkt: _zweites_ Apple-Gerät).

 

[lisanet]

Für mich ist es absolute Prio meine AppleID/iCloud und damit auch Mail-Zugang so sicher wie möglich zu machen

Du denkst schon noch dran, dass Mail nichts mit dem FIDO2-Stick zu tun hat. IMAP kann man arüber und nciht über 2FA sichern.

 

[jteschner]

Du denkst schon noch dran, dass Mail nichts mit dem FIDO2-Stick zu tun hat. IMAP kann man arüber und nciht über 2FA sichern.

Logo - hatten wir ja auch schon oft genug ;-)
IMAP ist immer außen vor - ich war da gedanklich bei web-mail.

 

[thulium]

Warum willst du einen Passkey für einen Account auf dem FIDO2-Stick speichern? Das geht, aber dann musst du immer diesen Stick verwenden, wenn du dich einloggen willst bei dem betreffenden Account.

Nein, da missverstehst Du noch meine Intention/Idee.

"eine Erst-Anmeldung bei einem beliebigen Dienst, der Passkey anbietet, mit einem Apple-Fido2-Stick, würde dazu führen, das alle anderen Apple-Fido2-Sticks und alle anderen eigenen Apple-Geräte ebenfalls den "private key" bekämen."

Damit ist gemeint, dass ein "Aple-Fido2-Stick" sich verhalten sollte wie ein Apple Gerät: Sync des Passkeys mit iCloud.

Also ein günstiges Minimal-Gerät mit exakt dem Komfort in Bezug auf Passkeys wie ein "großes Gerät" (iPhone, iPad, MacBook).

Die Besonderheit beim iCloud-Schlüsselbund ist, dass dieser die passkeys auf andere Apple Geräte synct.

Eben, das gefällt mir.

Für alle Accounts passkeys im iCloud-Schlüsselbund speichern. Somit auf allen Geräten verfügbar.

Den Apple-Account mit passkeys + 2 FIDO-Sticks sichern.

Genau so hatte ich es vor, da es den hier nur "gedachten" Apple-Fido2-Key eh

Mehr muss nicht sein.

Wir können schon Usecases besprechen, wo einem die 2 Fido-Sticks erstmal nix nützen.
Beispiel: Auf einer Fernreise wird man ausgeraubt. Beide Apple-Geräte sind futsch. Die 2 Fido-Keys liegen wohlbehütet im Heimatland. Einer gut versteckt im Keller, der andere bei Freunden.
Im Internetcafé in seinen iCloud-Account einloggen um "wichtige Dinge mit wichtigen Accounts zu regeln" ist nicht.

Da hätte der von mir visionierte "Apple-Fido2-Key", eingenäht in den Jackensaum, helfen können.

Aber korrigiert mich gerne, wenn ich Nachteile bei der Idee übersehe.

 

[jteschner]

Also ich zumindest verstehe deine Idee nicht. Du kannst doch auch einen Yubikey in den Jackensaum nähen.
Oder kann man den nicht an einem fremden Rechner nutzen? Dachte, der ist an meinen iCloud-Account/AppleID gebunden und nicht an meine spezielle Apple-HW.

Edit:
Ach nee - geht wohl nicht ... ein Apple-Device muss wohl vorhanden sein wenn ich die Doku richtig verstehe

 

[lisanet]

"eine Erst-Anmeldung bei einem beliebigen Dienst, der Passkey anbietet, mit einem Apple-Fido2-Stick, würde dazu führen, das alle anderen Apple-Fido2-Sticks und alle anderen eigenen Apple-Geräte ebenfalls den "private key" bekämen."

Damit ist gemeint, dass ein "Aple-Fido2-Stick" sich verhalten sollte wie ein Apple Gerät: Sync des Passkeys mit iCloud.

Also ein günstiges Minimal-Gerät mit exakt dem Komfort in Bezug auf Passkeys wie ein "großes Gerät" (iPhone, iPad, MacBook).

Genau das geht nicht. Und es ist auch gut so, dass es nicht geht.

Ein FIDO2-Stick kann prinzip-bedingt nicht kopiert werden. Das ist eine Design-Entscheidung und essentielle Grundlage des FIDO2-Standards. Daher kann ein solches Hardware-Teil auch nicht mit irgendetwas anderem gesynct werden.

Die Sicherheit eines solchen Hardware-Teils (ob USB-Stick oder Security Card) ist eben, dass der passkey an die Hardware gebunden ist und diese nicht verlassen kann.

iCloud funktioniert komplett anders.

Der passkeys ist im Schlüsselbund gespeichert. Dieser ist kryptografisch gesichert (mit deinem Passwort) und wir über die iCloud gesynct, welche mit deiner Apple-ID + Passwort + 2FA gesichert ist. Dadurch ist ein vergleichbares Sicherheitsniveau, wie bei einem Hardware-Teil gegeben. Das Hardware-Teil kann nicht kopiert werden, der Schlüsselbund kann zwar kopiert werden, allerdings müsste dazu erst mal die Verschlüsselung der iCloud geknackt werden und dann auch noch die Verschlüsselung des Schlüsselbundes selber genknackt werden.

Insoweit ist dein gesamgtes Ansinnen: intial einen passkey auf einem FIDO2-Stick zu speichern möglic, ABER danach geht es ncith weiter. Ein Sync ist eben prinzipbedingt / design-Bedingt ausgeschlossen.

 

[lisanet]

Also ich zumindest verstehe deine Idee nicht. Du kannst doch auch einen Yubikey in den Jackensaum nähen.
Oder kann man den nicht an einem fremden Rechner nutzen? Dachte, der ist an meinen iCloud-Account/AppleID gebunden und nicht an meine spezielle Apple-HW.

Edit:
Ach nee - geht wohl nicht ... ein Apple-Device muss wohl vorhanden sein wenn ich die Doku richtig verstehe

Du kannst den FIDO2-Stick, mit dem du deine Apple-ID gesichet hast, natürlich auf jedem anderen Computer, sie es Windows oder Linux, verwenden. genau dafür ist er ja da.

Du sicherst mit so einem Teil nicht eine Apple-Hardware ab, sondern den Apple-Account, den du mit deiner Apple-ID hast.

 

[lisanet]

Wir können schon Usecases besprechen, wo einem die 2 Fido-Sticks erstmal nix nützen.

Darum geht es aber nicht. Das was du nun meinst mit "Usecases besprechen", ist vergleichbar mit Uscases, wo ein Tasse Kaffe nichts taugt, für das Login in einen account"

Die gesamte Sache mit den hier diskutierten FIDO2-Sticks beruht auf der Möglichkeit den Apple-Account abzusichern.

Und wie bei jedem Schlüssel, egal ob fürs Auto, deine Wohnung oder einen Apple-Account, wenn du den Schlüssel nicht dabei hast, kannst du das dazugehörende verschlossenen Auto/Schloss/Account nicht aufsperren. Das ist Sinn und Zweck der Kombination von Schloss und Schlüssel: ohne Schlüssel geht das Schloss nicht auf.

Somit erfüllt der Schlüssel / FIDO2-Key exakt den Sinn, für den er da ist. Auch in deinem "Usecase" wenn er weg ist.

Ich höre aber jetzt auf, solche in meinen Augen, konstruierten "Usecases" mit Banalitäten zu antworten zu müssen, nur weil du dir irgendwelche Szenarien zusammen fantasierst und sie als "nix nützen" definierst.

Jede weitere Diskussion über deine Szenarien sind für mich daher nicht weiter erstrebenswert. Mag jemand anderes weiter diskutieren.

 

[lisanet]

der Yubikey nur eine Notfallversicherung, falls man seine Apple-Geräte vierliert

er ist _auch_ eine Notfallversicherung, nicht "nur".

In der Hauptsache ist er _Voraussetzung_ um den Apple-Account mit deiner Apple-ID mit passkey zu sichern.