Vorteil von Passkeys - kann (noch) keinen erkennen

lisanet schrieb:
es ist aber so nicht. Es entspräche auch eher Paranoia als Sicherheit, denn dann kann man auch fordern, dass man die PIN wo speichern können muss, damit man sie für die seltenen Fälle nicht vergisst, wodurch man wiederum diese Speicherstelle sichern muss, am besten mit passkeys durch einen Hardware-Faktor wie einen Yubikey, der durch eine PIN gesichert ist, die man wieder speichern sollte gegen Vergessen ...

Das genau ist das nicht Klare und nicht Eindeutge deiner Frage. Neben der Aussage, dass du ja nichts von passkeys erwähnt hättest. Was speichert den so ein Yubikey?

Aber vergiss es einfach. Ich gebe keine Infos mehr zu passkeys.
Zum Vergrößern anklicken....
Ich verstehe zwar immer noch nicht was an meiner Frage "Kann ich im Internet-Shop einfach ...." soooo unklar ist, dass man nicht einfach Ja/nein sagen kann - aber egal.
Ich warte nun bis meine Sticks da sind, werde sie einrichten und dann selbst einfach an meiner Linux-Büchse testen.
 
lisanet schrieb:
können schon, ich _will_ nicht, da alles bereits beanwortet wurde und ich mir dadurch vera.... vorkomme.
Zum Vergrößern anklicken....
Tja, nichts liegt mir ferner als dich ver.... zu wollen - du kennst mich doch inzwischen etwas.
Und "alles ist bereits beantwortet" - bestimmt ist das richtig - aber Antworten muss man auch verstehen/einordnen können - Stichwort: Antwort vom Experten vs. Verständnis eines Nutzers.
Will nur sagen:
Wir hätten uns dieses ganze Hickhack sparen können, wenn du einfach auf meine obige Frage geantwortet hättest: "Ja, kannst du, Erklärungen/Hintergründe bereits in diesem Thread gegeben" bzw. "Nein, kannst du nicht, lies noch mal nach"

Nochmal: egal nun. Ich werde warten und probieren - denn das geht über studieren :)
 
Ich liste mal einige Merkmale von Fido2-Sticks auf, ohne Gewichtung und Wertung:

  1. Quelloffenheit der Hardware: ja/nein
  2. Wasserdicht vergossen: ja/nein
  3. USB-C: ja/nein
  4. NFC: ja/nein
  5. Verwaltung der Passkeys möglich: ja/nein
  6. Anzahl der speicherbaren Passkeys
  7. Preis
Ist für euch Quelloffenheit der Hardware ein Kriterium, was euch wichtig ist?

Wikipedia schreibt zu Yubikey:
"Da die YubiKey-Hardware – im Unterschied zu Konkurrenzprodukten wie der Nitrokey-Familie von Nitrokey[4] oder der Solo-Familie von SoloKeys[5] – nicht quelloffen ist, sind unabhängige Prüfungen nach Hintertüren oder Sicherheitslücken kaum möglich."

Zwei weitere Texte las ich heute noch zum Thema:

Die Kapazität der Yubikey-5-Reihe erhöht sich auf 100 Passkeys.

Ein Stick des Herstellers "Token2" kostet 24€ in der USB-C-Variante.
Er bietet eine Kapazität von 300 Passkeys an und erlaubt ein gezieltes Löschen einzelner Passkeys, was mit dem Stick von Google nicht möglich ist.
 
Zuletzt bearbeitet:
thulium schrieb:
Ich liste mal einige Merkmale von Fido2-Sticks auf, ohne Gewichtung und Wertung:

  1. Quelloffenheit der Hardware: ja/nein
  2. Wasserdicht vergossen: ja/nein
  3. USB-C: ja/nein
  4. NFC: ja/nein
  5. Verwaltung der Passkeys möglich: ja/nein
  6. Anzahl der speicherbaren Passkeys
  7. Preis
Ist für euch Quelloffenheit der Hardware ein Kriterium, was euch wichtig ist?

Wikipedia schreibt zu Yubikey:
"Da die YubiKey-Hardware – im Unterschied zu Konkurrenzprodukten wie der Nitrokey-Familie von Nitrokey[4] oder der Solo-Familie von SoloKeys[5] – nicht quelloffen ist, sind unabhängige Prüfungen nach Hintertüren oder Sicherheitslücken kaum möglich."

Zwei weitere Texte las ich heute noch zum Thema:

Die Kapazität der Yubikey-5-Reihe erhöht sich auf 100 Passkeys.

Ein Stick des Herstellers "Token2" kostet 24€ in der USB-C-Variante.
Er bietet eine Kapazität von 300 Passkeys an und erlaubt ein gezieltes Löschen einzelner Passkeys, was mit dem Stick von Google nicht möglich ist.
Zum Vergrößern anklicken....
Ich habe mir zwei Yubikey Security Key bestellt (34,xx€/stk). Mich interessiert es auch nicht ob und wieviel Passkeys gespeichert werden können. Das Ding soll nur meine AppleID und ggf Google/MS-Account absichern und ich will nichts darauf speichern.
Ich habe keine Lust das Teil immer mitnehmen und einzustecken zu müssen nur weil meine Passkeys u.a. darauf gespeichert sind.
Aber jeder wie er/sie mag.
 
Zum Thema "PIN auf Yubikey" - ich habe gefunden was ich gelesen hatte - zwar nicht bei Apple sondern bei Yubikey-Support.
Link s.u.
jteschner schrieb:
weil es so in der Apple-Doku steht, dass man es tun sollte bzw. das man dazu sogar bei der Einrichtung der Fido-Keys dazu aufgefordert wird.
Ich habe es ja noch nicht real durchführen können (meine Yubikeys sind noch unterwegs)
Aber ich denke mir, falls jemand in Besitz meiner AppleID und dem Passwort ist, dass er/sie nicht einfach auch noch meinen Stick so einfach ohne weitere Sicherung nutzen kann.
Zum Vergrößern anklicken....
lisanet schrieb:
es ist aber so nicht. Es entspräche auch eher Paranoia als Sicherheit, denn dann kann man auch fordern, dass man die PIN wo speichern können muss, damit man sie für die seltenen Fälle nicht vergisst, wodurch man wiederum diese Speicherstelle sichern muss, am besten mit passkeys durch einen Hardware-Faktor wie einen Yubikey, der durch eine PIN gesichert ist, die man wieder speichern sollte gegen Vergessen ...
Zum Vergrößern anklicken....
Unter Punkt 10 des Dokuments:
https://support.yubico.com/hc/en-us/articles/7449189070620-Protecting-Apple-iCloud-with-YubiKeys

If there is a FIDO2 PIN previously set, enter the PIN when prompted and click Continue button, then tap the Security Key again. Alternatively, if no PIN has been set previously - you will be asked to create one.

Leider kann ich es immer noch nicht nachprüfen. Lieferdatum für die bestellten Sticks: 18.5. (warum auch immer)
 
Weiß jemand, ob Apple sich schon geäußert hat, ob sie für die Zukunft planen, das Entsperren eines iPhones per Fido-Key anzubieten?
 
thulium schrieb:
Weiß jemand, ob Apple sich schon geäußert hat, ob sie für die Zukunft planen, das Entsperren eines iPhones per Fido-Key anzubieten?
Zum Vergrößern anklicken....
Ich nicht. Aber mit dem YK 5c kann man wohl einen Mac entsperren.
Darf ich den Hintergrund der Frage verstehen? Warum willst du ein iPhone mit einem Fido-Key entsperren? Wäre das nicht arg aufwendig? Und wäre das in irgendeiner Art sicherer als PIN oder FaceID?
 
jteschner schrieb:
Das Ding soll nur meine AppleID und ggf Google/MS-Account absichern und ich will nichts darauf speichern.
Ich habe keine Lust das Teil immer mitnehmen und einzustecken zu müssen nur weil meine Passkeys u.a. darauf gespeichert sind.
Zum Vergrößern anklicken....
Zunächst plane ich, meinen Fido-Key ebenso wie Du einzusetzen: Ausschließlich zur Absicherung des iCloud-Accounts.

Aber vielleicht werde ich in Zukunft einige Dienste, wo ich ein hohes Bedürfnis an Sicherheit aber ein geringes an Komfort habe - Beispiel Tagesgeldkonto bei Bank X - ebenfalls ausschließlich per Fido-Key absichern und nicht per Passkey im Schlüsselbund in der iCloud.

Ich habe mir dazu noch keine Meinung gebildet. Wirklich relevant sind Szenarien in Weltgegegenden, wo ein Ausrauben deutlich wahrscheinlicher ist als hier. Da ist es schon denkbar, dass zum Ausrauben gehört: Geldüberweisungen per Face-ID des festgehaltenen Opfers tätigen.
 
jteschner schrieb:
Darf ich den Hintergrund der Frage verstehen? Warum willst du ein iPhone mit einem Fido-Key entsperren? Wäre das nicht arg aufwendig?
Zum Vergrößern anklicken....
FaceID würde natürlich bleiben, ansonsten wäre ein Smartphone nicht mehr praxistauglich, da man ja viele Male täglich drauf zugreift.

Es geht mir um die Zugriffe, wo das iOS die Eingabe des Entsperrcodes verlangt. Selten genug, dass man die Komforteinbuße des Einstecken-Müssens/In-die-Nähe-des-NFC-Sensors-Haltens eines Fido2-Keys vom Schlüsselbund nicht verschmerzen könnte.

Und wäre das in irgendeiner Art sicherer als PIN [...]
Zum Vergrößern anklicken....
Natürlich. Kryptografische Authentifikatoren sind sicherer als eine PIN.
 
jteschner schrieb:
Aber mit dem YK 5c kann man wohl einen Mac entsperren.
Zum Vergrößern anklicken....
Zum Entsperren des Mac wünsche ich mir für die Zukunft eine Option, dass man ausschließlich per in der Nähe befindlichem iPhone oder per eingestecktem Fido-Key entsperren kann. Ein Entsperren per Passwort soll deaktiviert werden.
 
Verstanden. Danke. Allerdings nicht mein Ding.
Raub (iPhone vor das Gesicht halten): ganz ehrlich? Unter Gewaltandrohung von entsprechenden kriminellen Gestalten ist mir mein iPhone und mein Bargeld auf dem Konto eher total egal. Ob sie nun einen Finger gewaltsam auf mein iPhone pressen, mich zu FaceID zwingen, mich mit Schlägen zur herausgabe einer PIN "bitten" oder sonstiges ... meine Gesundheit ist mir wichtiger. Und was tun die Strategen erst, wenn ich einen Fido-Key habe und deren Bemühungen keinen Erfolg haben??
Ich habe zur Sicherheit sehr geringe Überweisungslimits eingestellt. Dann hält sich ein finanzieller Schaden in Grenzen.
 
jteschner schrieb:
If there is a FIDO2 PIN previously set, enter the PIN when prompted and click Continue button, then tap the Security Key again. Alternatively, if no PIN has been set previously - you will be asked to create one.

Leider kann ich es immer noch nicht nachprüfen. Lieferdatum für die bestellten Sticks: 18.5. (warum auch immer)
Zum Vergrößern anklicken....

... dann werde ich meine wieder retoure schicken. So ist es für mich unpraktikabel für eine Situation die im Notfall eintritt und für die ich die PIN nicht vergessen darf nach x Jahren.

Ich denke ich muss meine Ansicht über FIDO2-Sticks/Cards revidieren. Schade.

Das kenne ich

https://fidoalliance.org/how-fido-works/

Enrolling a Passkey with an Online Service
  • User is prompted to create a passkey
  • User verifies the passkey creation via local authentication method such as biometrics, local PIN or touching their FIDO security key
...

Using a Passkey for Subsequent Sign-in
  • User is prompted to sign in with a passkey
  • User verifies the sign in with passkey via local authentication method such as biometrics, local PIN or touching their FIDO security key
 
lisanet schrieb:
... dann werde ich meine wieder retoure schicken. So ist es für mich unpraktikabel für eine Situation die im Notfall eintritt und für die ich die PIN nicht vergessen darf nach x Jahren.

Ich denke ich muss meine Ansicht über FIDO2 revidieren. Schade.
Zum Vergrößern anklicken....
Na ja, "you will be asked for" heißt ja noch nicht zwingend, dass man "muss". Vielleicht gibt es ja einen Risikohinweis und man kann ohne PIN weitermachen. Sag Bescheid, wenn du deine Sticks vor mir hast - oder es meldet sich hier mal jemand, der die Prozedur durch hat.

Ansonsten würde ich meine PIN zB auf meine Bank-Karten PIN o.ä. setzen. Die vergisst man nicht (so einfach).

Edit: gerade habe ich mir nochmal das Yubico-Video angesehen (Install für iCloud). Da sieht man nix von einer PIN
 
lisanet schrieb:
User verifies the passkey creation via local authentication method such as biometrics, local PIN or touching their FIDO security key
Zum Vergrößern anklicken....
Interpretiert ihr das so, dass einfach ein Taster (ohne Biometrie) am Key betätigt werden muss? Und das genügt.

Sollte es wirklich einen Zwang zu einer PIN geben, werde ich mich wohl auch gegen die Keys entscheiden.

Ich war bisher der Überzeugung, dass es ja gerade der Witz eines "Hardware Security Tokens", dass es ohne jede weitere Authentifikation funktioniert.

Auch bei Nitrokey heißt es:

https://docs.nitrokey.com/de/fido2/windows/

"Nun müssen Sie eine PIN für Ihren Nitrokey FIDO2 festlegen."

Mist!
 
lisanet schrieb:
... doch. "you will be asked to create one" = "wirst du aufgefordert, einen zu erzeugen"
Zum Vergrößern anklicken....
stimmt.
Ich habe meinen Beitrag oben noch ergänzt:
gerade habe ich mir nochmal das Yubico-Video angesehen (Install für iCloud). Da sieht man nix von einer PIN-Eingabe-Aufforderung
Ich weiss nun auch nicht mehr - also ausprobieren
 
Und da es mir keine Ruhe lässt .... hier noch ein Yubico-Doc zum Thema "PINs"
https://support.yubico.com/hc/en-us/articles/4402836718866-Understanding-YubiKey-PINs

Darin steht auch irgendwo sinngemäß: "ob ein PIN eingegeben muss obliegt dem Service Provider" - bei webauthn

Why they appear

FIDO2 is made up of two components - WebAuthn on the service provider end, and CTAP2 on the YubiKey end.
PIN prompts are a result of a WebAuthn setting known as User Verification. This setting is controlled by each service provider.
If a service provider does not specify a setting for User Verification, most modern browsers will default setting it to Preferred (as per the WebAuthn spec), which may result in a PIN prompt.
If you prefer not to be prompted for a PIN, try disabling the YubiKey's FIDO2 function, and see if that eliminates the PIN prompt, while still allowing you to sign in. Note that FIDO2 is required for certain services (e.g. personal Microsoft accounts), so disabling the function on the YubiKey will cause it to not work or not be recognized by those services.
Zum Vergrößern anklicken....

Es wäre aber toll, wenn jemand der die Keys bereits nutzt mal was dazu sagen könnte.
 
Zuletzt bearbeitet von einem Moderator:
Zurück
Oben Unten