Folgen Sie dem Video unten, um zu sehen, wie Sie unsere Website als Icon auf Ihrem Homescreen erstellen.
Anmerkung: This feature may not be available in some browsers.
Noch ein Detail zu Fido2-Sticks:
Würdet ihr welche kaufen, die zusätzlich noch mit Fingerabdrucksensor, also einem biometrischen Merkmal, gesichert sind?
Oder findet ihr das übertrieben?
Zu meiner älteren Nachfrage hier im Thread, welcher Stick empfehlenswert ist, bzw. welcher nicht, hatte sich ja bisher keiner geäußert.
An der Dauer liegt es nicht, sondern am Blickwinkel, an den Umgangsweisen.Befasst man sich zuuuu lange mit dem Thema, verliert man sich irgendwann im Grottenolmbau und der Zug fährt dann Richtung
Paranoia-Psychosen-Phantasialand
Noch ein Detail zu Fido2-Sticks:
Würdet ihr welche kaufen, die zusätzlich noch mit Fingerabdrucksensor, also einem biometrischen Merkmal, gesichert sind?
Oder findet ihr das übertrieben?
Zu meiner älteren Nachfrage hier im Thread, welcher Stick empfehlenswert ist, bzw. welcher nicht, hatte sich ja bisher keiner geäußert.
Das leuchtet mir noch nicht ein.Ehrliche Antwort? Ich halte gar nichts von diesen Sticks, da das alles langsam in Richtung Paranoia geht.
@lisanet hat das Wesentliche ja hier im Thread schon mehrmals geschrieben: es kommt bei der Risikobewertung darauf an, sinnvolle Bezüge zu haben. Zu anderen Lebensbereichen, zu anderen IT-Sicherheitsthemen, ...
Das leuchtet mir noch nicht ein.
Verstehe ich Dich richtig, dass Du es für Dich für so unwahrscheinlich hältst, dass Du den Zugriff auf alle Deine Passkey-Geräte (bei mir sind es übrigens nur 2, iPhone und MBP) verlierst, dass Du daher keine zusätzlichen Geräte (Fido2-Sticks) an weiteren Orten deponieren möchtest?
Ich denke hier nur laut nach, ich habe keine konkrete Absicht einen Stick mit Fingerabrucksensor zu erwerben, sondern wollte durch meine Frage zu eurer Praxis meine eigene Skepsis zur Sinnhaftigkeit der Integration eines Fingerabdrucksensors zum Ausdruck bringen.... aber du fragst nun nach mit Fingerabruckscanner versehenen FIDO2 Sticks.
Gegen welches realistisches Scenario willst du mit dem Senser denn absichern?
Natürlich nicht. Das ist doch klar.Bei nichts davon spielt ein Fingerabruckscanner eine Rolle.
Ja, du kannst 3 oder mehr verwenden.Gibt es die möglich mehr als 2 Yubikey zu verwenden also 3 oder4? Apple fordert ja 2.
Ans iPhone dranhalten reicht aus, mit einem groben Nachteil der das fast unbenutzbar macht: Der Yubikey muss nach dem Dranhalten mit einem Passwort entsperrt werden, und während dieser Passworteingabe muss der Yubikey weiter ans iPhone gehalten werden. Die Stelle wo das iPhone den Yubikey erkennt ist aber ganz winzig (Vorderseite oben in etwa bei der Notch) und wenn der Yubikey nur ein paar mm verrutscht, schlägt der Login dann fehl. Das iPhone sagt dann, mal soll den Key nochmal dranhalten, aber es passiert nichts mehr.Den braucht man doch nur dran halten und nicht einstecken oder irre ich mich da.
Ja klar, deine Apple-Geräte haben automatisch einen Passkey drauf für deine Apple ID. Wenn du dir mindestens zwei Yubikeys zulegst kannst du den Login mittels Passwort komplett deaktivieren. Und du kannst auch problemlos beide Yubikeys verlieren, weil deine Apple-Geräte ja den Passkey haben. Erst wenn du alle eingeloggten Geräte ausloggst oder verlierst und zusätzlich alle Yubikeys auch, dann bist du wirklich ausgesperrt und zwar final - Apple sagt selbst sie können den Zugriff dann nicht für dich wiederherstellen.Ist die iCloud aktuell überhaupt über Passkey zu sichern? Ich glaube nicht, oder?
Das würde ich auch nicht tun - eine kleine Lücke muss für mich sein. Undenkbar an gar nichts mehr ran zu kommen
Ja, du kannst 3 oder mehr verwenden.
Ans iPhone dranhalten reicht aus, mit einem groben Nachteil der das fast unbenutzbar macht: Der Yubikey muss nach dem Dranhalten mit einem Passwort entsperrt werden, und während dieser Passworteingabe muss der Yubikey weiter ans iPhone gehalten werden. Die Stelle wo das iPhone den Yubikey erkennt ist aber ganz winzig (Vorderseite oben in etwa bei der Notch) und wenn der Yubikey nur ein paar mm verrutscht, schlägt der Login dann fehl. Das iPhone sagt dann, mal soll den Key nochmal dranhalten, aber es passiert nichts mehr.
Daher stecke ich den Yubikey bei mir immer mit USB-C an, da kann die Verbindung zwischendurch nicht abbrechen.
Wieder ein weiterer Nachteil der solche Sicherheitsschlüssel in der Praxis für den Otto Normalverbraucher unbedienbar macht, man muss den Yubikey mit einer Hand fest ans Display oben drücken und mit der anderen das Passwort eingeben. Auf der Rückseite vom iPhone wird der Yubikey sowieso nicht erkannt, wie es mit jedem x-beliebigen Androiden funktioniert.
Hmmm. Also ich kann mich mit Passwort an meine iCloud anmelden (+2FA natürlich).Ja klar, deine Apple-Geräte haben automatisch einen Passkey drauf für deine Apple ID. Wenn du dir mindestens zwei Yubikeys zulegst kannst du den Login mittels Passwort komplett deaktivieren. Und du kannst auch problemlos beide Yubikeys verlieren, weil deine Apple-Geräte ja den Passkey haben. Erst wenn du alle eingeloggten Geräte ausloggst oder verlierst und zusätzlich alle Yubikeys auch, dann bist du wirklich ausgesperrt und zwar final - Apple sagt selbst sie können den Zugriff dann nicht für dich wiederherstellen.
Ja, um den Login per Passwort zu deaktivieren, brauchst du zwingend mind. 2 Yubikeys (oder andere physische Keys). Dann kann niemand mehr einloggen ohne den Yubikey in den Händen zu halten. Passkeys fürs Apple-Konto musst du nicht manuell erstellen, das geschieht automatisch wenn du dich auf einem Gerät von Apple mit deiner Apple ID anmeldest. Wenn du beispielsweise im Safari auf icloud.com gehst, kannst du dich dort einloggen, indem du den Gerätecode eingibst oder Face ID verwendest - im Hintergrund wird der Passkey verwendet und du bist sofort eingeloggt.Hmmm. Also ich kann mich mit Passwort an meine iCloud anmelden (+2FA natürlich).
Also, sorry, aber offensichtlich schnalle ich es nicht ...Ja, um den Login per Passwort zu deaktivieren, brauchst du zwingend mind. 2 Yubikeys (oder andere physische Keys). Dann kann niemand mehr einloggen ohne den Yubikey in den Händen zu halten. Passkeys fürs Apple-Konto musst du nicht manuell erstellen, das geschieht automatisch wenn du dich auf einem Gerät von Apple mit deiner Apple ID anmeldest. Wenn du beispielsweise im Safari auf icloud.com gehst, kannst du dich dort einloggen, indem du den Gerätecode eingibst oder Face ID verwendest - im Hintergrund wird der Passkey verwendet und du bist sofort eingeloggt.
Ich hab mir auch nicht extra Yubikeys besorgt, mir hätte Passwort mit 2FA schon ausgereicht. Aber da ich die Yubikeys anderweitig zwingend benötige und sowieso schon habe, nutze ich sie jetzt auch überall, soweit unterstützt. Waren immerhin 2x30 Euro für die zwei Keys.
Nein. Will ich natürlich nicht.Tja, das war zentral wohl auch der Grund, warum es nun einen Passwort-Reset via Mail gibt.
Du willst also, dass die Zugangssicherheit all deiner Accounts an einem einzigen, zentralem Service liegt, der schwächer abgesichert ist, als deine Accounts.
Aber es ist doch offensichtlich so, dass ich mit einem Passkey bei Apple meine AppleID (automatisch) gesichert habe und dass PW + 2FA trotzdem da ist und nicht gelöscht werden kann (ohne 2 Fido Keys). Muss wohl irgendwie so sein, denn nicht jeder Browser kann den Passkey aus iCloud/Schlüsselbund lesen und irgendwie muss ich mich ja einloggen können - auch ohne Safari.Wenn du das willst, bleib beim bisherigen System mit Passwort-Reset via Mail und schreibe dir die Zugangsadten des Mailaccounts aus und lege den in ein Schließfach bei deiner Bank.
Du musst dich halt entscheiden: Ein keines Stückchen Sicherheit das leicht knackbar ist (Phishing, brute force, Passwort-Listen), dafür aber auch dir Zugriff im Verlustfall erlaubt, oder sichere Accounts, die dann aber weg sind, wenn du alle Geräte verlierst.
Nein.Ich wüsste nun nicht mehr wie ich ohne 2 Fido-Keys zu kaufen die Sicherheit bei meiner AppleID noch erhöhen könnte.
Oder sehe ich das schon wieder falsch?
Danke. Dann habe ich das wenigstens richtig verstanden.Nein.
Aber nochmal: bleibe realistisch. Bitte.
Das mit dem "autoamtisch passkeys" ist doch vollkommen egal, solange man sich am Account mit 2FA und Passwort anmelden kann. Wie Apple das aus Beqeumlichkeit intern realisiert hat doch nichts mit dem zu tun, was man "passkeys" nennt. Das "niedrigste " Sicherheitsniveau ist entschiedend.
Und wenn du den Zugang zu deinem Apple-Account phishing resistent machen willst, dann musst du passkeys verwenden. Das ist der Vorteil. Der Nachteil sind 2 kleine Stückchen Hardware, die du mit dir rum schleppen musst und welche in der Bedienung nicht so bequem sind.
Entscheide dich.
Wenn es dir hilft von mir zu hören.
Ich sichere meinen Apple-Account _nicht_ mit passkeys. Eben wegen der für mich nicht praktikablen Nutzung von FIDO2-Sticks. Da ich mich mit meiner Apple ID nur sehr selten einloggen muss und das auch im Grunde nur innerhalb von Apple-Software ist das Phishing-Risiko zwar vorhanden, aber in meiner Risikobewertung für mich nicht so hoch, dass ich daran was ändern müsste.
Die Risikoeinschätzung ist ebenso unterschiedlich bei meinen anderen Accounts. Accounts mit "Werten" wie playstation, oder Zahlungsmitteln sind passkeys-relevant. Ein Account wie macuser.de wiederum nicht.
Aber denke dran: ich wurde hier schon wegen 2FA als naiv bezeichnet.
Die brauchst du nur einmal zur Einrichtung und dann eigentlich gar nicht mehr, nur sicher verwahrt sollten sie natürlich sein. Wenn du zB ein neues Apple-Gerät kaufst und das einloggen willst, kannst du den Login dafür auf einem deiner bestehenden bereits eingeloggten Apple-Geräte bestätigen, ohne einen Yubikey zu benötigen. Ich hab den Yubikey einmal eingerichtet und für Apple seither nicht einmal genutzt.Ist mir auch zu umständlich.
Der Fingerabdruck ist nicht der Login. Der Fingerabdruck schaltet den internen Speicher des Geräts frei, der den Apple-ID-Passkey enthält. Und dieser Passkey sorgt dann im Safari für den Login. Die Prüfung vom Fingerabdruck bleibt lokal am Gerät und kann alleine keinen Login durchführen.Also gehe ich im Safari (MBP) auf iCloud.com, drücke auf Anmelden und kann mich mit Fingerprint anmelden. Passkey?
Wenn ich dann unter appleid.apple.com nachschaue, sind unter Account-Sicherheit 2FA, 2 Tel-Nummern und 4 Geräte eingetragen.
Nix mit Passkey.