Vorteil von Passkeys - kann (noch) keinen erkennen

thulium schrieb:
eine Erst-Anmeldung bei einem beliebigen Dienst, der Passkey anbietet, mit einem Apple-Fido2-Stick, würde dazu führen, das alle anderen Apple-Fido2-Sticks und alle anderen eigenen Apple-Geräte ebenfalls den "private key" bekämen.

Korrigiert mich bitte, wenn ich mit dieser Idee etwas übersehe.
Zum Vergrößern anklicken....

So richtig verstehst du das noch nicht, habe ich den Eindruck.

Warum willst du einen Passkey für einen Account auf dem FIDO2-Stick speichern? Das geht, aber dann musst du immer diesen Stick verwenden, wenn du dich einloggen willst bei dem betreffenden Account.

Man kann zudem für einen Account auch mehrere passkeys hinterlegen. du könntest also (wobei das sinnlos wäre) einen passkey anlegen und ihn auf dem FIDO-Stick speichern, dann einen weiteren passkey, den du auf dem 2. FIDO-Stick anlegst, und dann einen weiteren passkey, den du im iCloud-Schlüsselbund speicherst.

Die Besonderheit beim iCloud-Schlüsselbund ist, dass dieser die passkeys auf andere Apple Geräte synct.

Fazit:

Die passkeys auf dem FIDO2-Stick zu speichern ist wenig sinnstiftend, da unpraktisch beim Login.

Besser wäre:

Für alle Accounts passkeys im iCloud-Schlüsselbund speichern. Somit auf allen Geräten verfügbar.

Den Apple-Account mit passkeys + 2 FIDO-Sticks sichern.

Mehr muss nicht sein. Die FIDO-Sticks benötgst du dann nur im restore-Fall oder beim Einloggen auf dem Apple-Account via Web von einem Nicht-Apple-Geräte und wenn du auch kein iPhone dabei hast.
 
Zitieren
  • Gefällt mir
Reaktionen: Brettsegler und Scum
lisanet schrieb:
Mehr muss nicht sein. Die FIDO-Sticks benötgst du dann nur im restore-Fall oder beim Einloggen auf dem Apple-Account via Web von einem Nicht-Apple-Geräte und wenn du auch kein iPhone dabei hast.
Zum Vergrößern anklicken....
Oh, danke! Es beginnt sich für mich wieder etwas zu erhellen. Ich muss gestehen, ich dachte schon, über diesen Yubikey/FIDO-Stick ginge dann fast alles und man müsse den immer dabei haben.
Wenn die „normalen Zugänge“ im iCloud-Keychain sind und der Yubikey nur eine Notfallversicherung, falls man seine Apple-Geräte vierliert, DAS klingt dann doch sinnvoll für mich.
Wollte diesen Stick nicht auch noch dauernd mit rumschleppen müssen… Wohin damit, damit er sicher ist? iPhone habe ich immer in der Tasche, Brieftasche oder Schlüssel nicht mehr unbedingt immer und überall.

EDIT: Kann ein älteres iPhone dann nicht genauso die Rolle eines FIDO-Sticks einnehmen?
 
Zuletzt bearbeitet:
lisanet schrieb:
warum willst du einen alternative Passkeymanager nutzen? Wenn du den iCloud-Schlüsselbund nutzt für passkeys reicht das doch völlig. Und solltest du ein anderes Betriebssystem nutzen wollen (Linux, Windows) dann lege dort einen weiteren passkey für die Accounts an. Mit passkeys sind systemübergriefende Passkeymanager nicht nötig.

Aber ich wiederhole mich schon wieder...
Zum Vergrößern anklicken....
Wahrscheinlich haben wir uns falsch verstanden.
Ich will keinen anderen PW-Manager für passkeys nutzen. Das geht bei mir alles über den Schlüsselbund. Alles. Auch 2FA. Standardmäßig. Und ich bin da sehr zufrieden mit. Und das soll auch alles so bleiben.
Was ich für mich, meinen Bauch, aus Übersicht, aus Paranoia/Backup tue: ich nutze KeepassXC, um zusätzlich meine Passworte, Lizenzen, ... manuell zu verwalten. Und das ist auch praktisch, wenn ich mal zB Firefox nutze, der keinen Zugriff auf den Schlüsselbund hat - da gibt es eine Keepass-Extension.

Zum Thema "Challenge-Response" und KeePassKC:
Ich hatte mir zur Info zwei Dinge angeschaut:
1. Wie verbindet man KeePassXC mit einem Yubikey (Handbuch)
2. Auf der Yubikey-Seite unter "Unterstützte Software" -> KeePassXC -> Kompatible Sticks.
Ergebnis: der kleine Stick kann nicht verwendet werden. Man benötigt einen 5C, denn der hat erst das notwendige Protokoll. Und ich hatte verstanden, und das mag falsch sein, dass das "Challenge-Response" ist (ist halt ein nicht ganz einfaches Thema)
Aber nochmal: Ich würde den Yubikey gar nicht dafür einsetzen wollen.

Für mich ist es absolute Prio meine AppleID/iCloud und damit auch Mail-Zugang so sicher wie möglich zu machen (oft genug besprochen :) )
Der Rest? .... ich würde es nicht umständlicher machen wollen durch einen Stick, den ich immer bei mir tragen müsste.
Und genau dafür suche ich nach einer "preiswerten" Lösung, Und das scheint mit 35€ der Yubikey Security Stick zu sein - nun auch schon mehrfach genannt)
 
BEASTIEPENDENT schrieb:
EDIT: Kann ein älteres iPhone dann nicht genauso die Rolle eines FIDO-Sticks einnehmen?
Zum Vergrößern anklicken....

Wenn das iPhone aktuelle SW hat, dann kannst du damit passkeys verwenden.

Logisch gesehen, kann ein iPhone einen FIDO2 Stick für einen Fall nicht ersetzen -> Verlust des iPhone. Ohne weiter Möglichkeite (sei es ein zweites iPhone, Mac, FIDO2-Stick) kämst du nicht mehr an deine Apple-ID

Generell:

iPhone -> passkeys für logins zu webseiten, gesycnt via iCloud auf alle Apple-Geräte

FIDO2-Stick -> Absicherung der Apple-ID, somit solltest du alle Apple-Geräte verlieren, kannst du für eine neues iPhone/Mac die Apple-ID "entsperren" und somit wieder alle deine passkeys erhalten
 
Vielen Dank, @lisanet! D.h., für den Fall der Fälle wäre es nicht doof, neben den Backups in der Wohnung noch im Keller zum Dritt-Backup einen FIDO2-Stick mit einem Passkey für die Apple-ID zu legen.

(das iPhone SE von 2016 wird vermutlich demnächst SW-seitig nicht mehr geeignet sein, außerdem stimmt ja Dein Punkt: _zweites_ Apple-Gerät).
 
Zurück
Oben Unten