Ich finde das Passkey/FIDO2 Verfahren mehr als interessant. Was mich allerdings bisher abschreckt, ist die Zwangseinbindung von Apple, Microsoft und Co.?
Zwar soll z.B. der Schlüsselbund bei Apple Ende-zu-Ende verschlüsselt sein, wodurch das Unternehmen nicht auf den Inhalt zugreifen können soll. Doch wie sicher ist das wirklich?
Gibt es hier jemand, der dazu Erfahrung hat und eine fundierte Meinung abgeben kann?
FIDO2 heisst nicht, dass damit eine Zwangsbindung an Apple, Microsoft, … einhergeht. Du kannst du z.B. Dropbox direkt mit FIDO2 nutzen und brauchst dafuer die oben genannten Firmen nicht.
Mir geht es doch nicht um FIDO2, sondern um das Passkey-Verfahren! Dies ist eine Initiative von Apple, Microsoft und Google, die FIDO2 benutzerfreundlicher (Stichwort: Geräteübergreifend) machen soll. Bei Apple wird dabei vorausgesetzt, dass der Schlüsselbund in der iCloud gesichert wird. Und das heißt: man muss der Firma absolut vertrauen.
Ich frage, ob die Ende-zu-Ende Verschlüsselung wirklich so sicher ist, wie es immer behauptet wird. Ich frage nicht, was FIDO2 ist.
Bei der Kritik an der Zwangsanbindung bin ich bei dir, und denke dass darueber hinaus auch das Benutzerverhalten auch regisriert / analysiert wird (sicherlich zum Schutz des Users und fuer die User Experience …); Wenn loggt sich wer mit welchem Geraet wo ein …
Die Frage der Ende zu Ende Verschluesselung ist fuer mich nicht der springende Punkt, die setze ich voraus.
Kritisch sehe ich hingegen die Technik das Schluesselmaterial ueber die Cloud zwischen den einzelnen Endgeraeten zu synchroniseren, denn man muss hier Apple, Google und Co. vetrauen. Dieses Vertrauen habe ich nicht (Stichwort Cloud Act), und zwar nicht erst seit Einfuehrung von Passkey und deswegen nutzen unsere Apfelgeraete daheim auch kein iCloud und Passkey ohne das auf allen Geraeten nutzen zu koennen macht auch kein Sinn.
Mehr Sicherheit hat man meiner Meinung nach mit einem HW Key weil man da die Keys nicht synchronsieren muss.
Zu dem Schluss (mit dem HW Key) bin ich bisher auch gekommen - nur bequem ist was anderes und noch zu selten einsetzbar. Wenn man wie ich am Tag gefühlte hunderte Mal ein Passwort eingeben muss (und ja, ich verwende Passwort-Manager), wäre man über eine einfachere, aber sichere Lösung glücklich.
Da in der ct das Passkey-Verfahren so überschwenglich als das kommende Ding beschrieben wurde, dachte ich, es wäre an der Zeit meinen Kenntnisstand hierbei zu hinterfragen.
Was den Komfort beim Thema Password angeht bin ich auch bei dir und denke, dass es gut ist, dass es hier auch Fortschritte gibt. Was dann aber die Sicherheit der Daten in der Cloud der Anbieter angeht bin ich eher Skeptiker. Den ct Bericht Ende-zu-Ende-Verschlüsselung der iCloud: Verdient Apple schon jetzt Lob dafür? habe ich gelesen und man darf gespannt sein, wie Apple dies - inbesondere in China - ausgestalten will.
Ein anderes Thema ist noch die Frage: Werden meine Passkey Aktivitaeten von Apple getrackt? Diese Frage wuerde ich mit „hoechstwahrscheinlich ja“ beantworten, denn ich kann mir schlecht vorstellen, dass sich die grossen Firmen dies entgehen lassen und begruenden dies sicher damit, dass man den Nutzer schuetzen will und ihm eine bessere User Experience bieten will. Hierzu sei noch auf den ct Artikel Sicherheitsforscher: Apple trackt App-Store-Nutzer trotz Opt-out verwiesen, Stichwort „Sonderlocken fuer Apple“.
Nur bin ich armer Tropf nun so schlau als all davor…
Folge ich meiner Erfahrung bzw. Paranoia, so sind alle Zusagen von Firmen, dass sie meine Privatsphäre achten, für die Tonne. Schließlich wird so was jemals von einer vertrauenswürdigen Drittseite überprüft? Immer dieses Henne und Ei Problem.
Für mich ist es zunehmend frustrierend, selbst an allen Ecken und Enden gegängelt und „gesetzelt“ zu werden, der Staat selbst oder große Firmen sich aber einen Dreck darum scheren und damit immer durchkommen.
Ich bin quasi wieder geerdet - etwas mehr Komfort ade - willkommen zurück Paranoia.
In Ergaenzung zu dem bereits oben genannten wuerde ich noch folgendes aus dem Artikel zusammenfassen wollen:
Bei Apple laesst sich der Keyring wiederherstellen und zwar mittels Telefon und SMS. Da geht meiner Meinung nach die gewonnene Sicherheit verloren. Wer bis heute schwache Passwoerter nutzt und jetzt auf Passkey umsteigt, der wird eher ein Opfer von Cyberkriminellen die ihm die notwendigen Informationen (SMS, …) rauben um an seinen Keyring zu kommen.
Das ganze hat aktuell nur einen Vorteil wenn ich im Oekosystem eines Anbieters bleibe, sobald es darueber hinausgeht steigt der Aufwand. Und genau das war ja eines der Argumente die fuer Passkey und gegen FIDO2 sprachen.
Passkey wird noch vielen Jahre brauchen bis es sich durchsetzt, weil das muss flaechdeckend geschehen (2FA zeigt das ja). Wer hohe Sicherheit braucht der nimmt HW Keys.