Ich finde das Passkey/FIDO2 Verfahren mehr als interessant. Was mich allerdings bisher abschreckt, ist die Zwangseinbindung von Apple, Microsoft und Co.?
Zwar soll z.B. der Schlüsselbund bei Apple Ende-zu-Ende verschlüsselt sein, wodurch das Unternehmen nicht auf den Inhalt zugreifen können soll. Doch wie sicher ist das wirklich?
Gibt es hier jemand, der dazu Erfahrung hat und eine fundierte Meinung abgeben kann?
FIDO2 heisst nicht, dass damit eine Zwangsbindung an Apple, Microsoft, … einhergeht. Du kannst du z.B. Dropbox direkt mit FIDO2 nutzen und brauchst dafuer die oben genannten Firmen nicht.
Mir geht es doch nicht um FIDO2, sondern um das Passkey-Verfahren! Dies ist eine Initiative von Apple, Microsoft und Google, die FIDO2 benutzerfreundlicher (Stichwort: Geräteübergreifend) machen soll. Bei Apple wird dabei vorausgesetzt, dass der Schlüsselbund in der iCloud gesichert wird. Und das heißt: man muss der Firma absolut vertrauen.
Ich frage, ob die Ende-zu-Ende Verschlüsselung wirklich so sicher ist, wie es immer behauptet wird. Ich frage nicht, was FIDO2 ist.
Bei der Kritik an der Zwangsanbindung bin ich bei dir, und denke dass darueber hinaus auch das Benutzerverhalten auch regisriert / analysiert wird (sicherlich zum Schutz des Users und fuer die User Experience …); Wenn loggt sich wer mit welchem Geraet wo ein …
Die Frage der Ende zu Ende Verschluesselung ist fuer mich nicht der springende Punkt, die setze ich voraus.
Kritisch sehe ich hingegen die Technik das Schluesselmaterial ueber die Cloud zwischen den einzelnen Endgeraeten zu synchroniseren, denn man muss hier Apple, Google und Co. vetrauen. Dieses Vertrauen habe ich nicht (Stichwort Cloud Act), und zwar nicht erst seit Einfuehrung von Passkey und deswegen nutzen unsere Apfelgeraete daheim auch kein iCloud und Passkey ohne das auf allen Geraeten nutzen zu koennen macht auch kein Sinn.
Mehr Sicherheit hat man meiner Meinung nach mit einem HW Key weil man da die Keys nicht synchronsieren muss.
Zu dem Schluss (mit dem HW Key) bin ich bisher auch gekommen - nur bequem ist was anderes und noch zu selten einsetzbar. Wenn man wie ich am Tag gefühlte hunderte Mal ein Passwort eingeben muss (und ja, ich verwende Passwort-Manager), wäre man über eine einfachere, aber sichere Lösung glücklich. 
Da in der ct das Passkey-Verfahren so überschwenglich als das kommende Ding beschrieben wurde, dachte ich, es wäre an der Zeit meinen Kenntnisstand hierbei zu hinterfragen.
Was den Komfort beim Thema Password angeht bin ich auch bei dir und denke, dass es gut ist, dass es hier auch Fortschritte gibt. Was dann aber die Sicherheit der Daten in der Cloud der Anbieter angeht bin ich eher Skeptiker. Den ct Bericht Ende-zu-Ende-Verschlüsselung der iCloud: Verdient Apple schon jetzt Lob dafür? habe ich gelesen und man darf gespannt sein, wie Apple dies - inbesondere in China - ausgestalten will.
Ein anderes Thema ist noch die Frage: Werden meine Passkey Aktivitaeten von Apple getrackt? Diese Frage wuerde ich mit „hoechstwahrscheinlich ja“ beantworten, denn ich kann mir schlecht vorstellen, dass sich die grossen Firmen dies entgehen lassen und begruenden dies sicher damit, dass man den Nutzer schuetzen will und ihm eine bessere User Experience bieten will. Hierzu sei noch auf den ct Artikel Sicherheitsforscher: Apple trackt App-Store-Nutzer trotz Opt-out verwiesen, Stichwort „Sonderlocken fuer Apple“.
Danke für die Links.
Nur bin ich armer Tropf nun so schlau als all davor…
Folge ich meiner Erfahrung bzw. Paranoia, so sind alle Zusagen von Firmen, dass sie meine Privatsphäre achten, für die Tonne. Schließlich wird so was jemals von einer vertrauenswürdigen Drittseite überprüft? Immer dieses Henne und Ei Problem.
Für mich ist es zunehmend frustrierend, selbst an allen Ecken und Enden gegängelt und „gesetzelt“ zu werden, der Staat selbst oder große Firmen sich aber einen Dreck darum scheren und damit immer durchkommen. 
Ich bin quasi wieder geerdet - etwas mehr Komfort ade - willkommen zurück Paranoia.
Aktuell gibt es von heise zu diesem Thema den Artikel Passwörter abschaffen mit Passkeys: Was sie ausmacht und wie sie funktionieren, allerdings hinter Paywall.
In Ergaenzung zu dem bereits oben genannten wuerde ich noch folgendes aus dem Artikel zusammenfassen wollen:
Bisher habe ich mich gescheut, HW Keys zu kaufen/nutzen - Hardware geht auch einmal kaputt, oder wird gestohlen. Und als Lösung unterwegs mit dem Handy kann ich mir die Anwendung der Hardware schlecht vorstellen.
Bei einem gestohlenen Smartphone als zweiten Faktor kaufe ich ein Neues, und bestelle eine Ersatz-SIM-Karte. Dann ist man relativ schnell wieder im Netz (solange der Diebstahl nicht im Ausland geschah).
Wenn ich ein USB-FIDO2-Stick als zweiten Faktor mit dem gestohlenen Handy als zweiten Faktor genutzt hätte, müsste ich einen öffentlichen PC aufsuchen, an dem der USB-Port offen ist (was ein guter Admin hoffentlich abriegeln wird).
Gab gerade erst einen brauchbaren Podcast von c’t zu dem Thema:
https://www.heise.de/news/Passkey-statt-Passwort-c-t-uplink-9235126.html
Aus dem Grund nimmt zwei, die gleich konfigurierte sind.
Es gibt Security Keys, die auch NFC können und mit Handys funktionieren.
Wenn die SMS dein zweiter Faktor ist, dann geht das, wenn du aber eine Authenicator App auf deinem Handy eingerichtet hat’s, dann nicht. Es sei denn du hast ein funktionierendes Backup. Bei beiden sollte es aber so sein, dass diese deinem Sicherheitsanforderungen genügen. So ist gerade SMS nicht mehr Stand der Technik.
Und was machst du in diesem Fall?
Das kommt darauf an. In den Feld-, Wald- und Wieseninternetcafes dieser Welt wirst du eher keine blockierten USB Ports finden, möchtest aber vielleicht auch gar nicht den Rechner nutzen, aber eventuell kommst du an einen Rechner, den du mit Tails booten kannst. Wenn der Aufenthalt länger ist lohnt es sich eventuell ein Notebook oder Handy vom Kistenschieber zu kaufen.
Hmm… die Nutzung von Passkey im Sinne von Apple, Microsoft und Co. ist an sich nicht die Intention meines Themes. Mit geht es um die „Basics“ des momentanen Angebots, dass einen zwingt seine Passwörter etc. auf einem US Server zu hinterlegen, an den die US Behörden schon per Gesetz jederzeit Zugriff haben. Und ich kenne US Behörden. Denen sind die Rechte von Ausländern vollkommen egal.
Ich bin der Meinung, das man A. selbst sein Passkey-Backup einrichten können sollte oder B. auf EU-Ebene eine „unabhängige“ Instanz eingerichtet werden sollte, wo man ein solches Backup betreiben kann. Stichwort DSVGO - falls es die EU damit Ernst meint.
Die Versprechen eines kapitalistischen Konzerns sind im Sinne von Datenschutz und Privatsphäre nur Makulatur. Das Nicht-Interesse der europäischen Regierungen heirbei was zu ändern spricht für sich.
Kennt den Jemand eine ernst zu nehmende Untersuchung, wie gut die Passkey-Sicherheit bei Apple und Co. wirklich ist? Heise ist dafür kein Tipp: die gehen über diesen Punkt einfach hinweg.
Das ist das gleiche wie bei icloud Verschlüsselung, dem Schlüsselbund (in dem passkeys ja integriert ist) oder auch dem bitdefender - es gibt nichts handfestes was auf technische Mängel hinweist, aufgrund closed source ist es aber aktuell entsprechend aufwändig bis unmöglich das abschließend zu klären.
Danke. Ja klar, war mir schon bewußt. Da ich zu dieser Frage, trotz eingehender Recherche, nichts finden konnte, habe ich sie halt mal hier gestellt.
Ich finde es ziemlich erschreckend, dass in Punkto Sicherheit alle scheuklappenmäßig auf 3 US Firmen setzen und deren (schon gefühlt 1 Mio. mal gebrochenen) Versprechen glauben, alles wäre sooo sicher.
Das stimmt so nicht. Es ist ein offener Standard und die meisten großen Passwortmanager arbeiten an Passkey-Integration, bspw. Bitwarden.
Die E2EE ist so sicher wie beim entsprechenden Passwortmanager und Passwortmanager zu verwenden war bisher ja auch empfohlen. Die Verwendung von Passkeys ist allerdings viel sicherer als Passwörter, u.a. weil sie Phishing-Resistent sind. Eine Verwendung empfiehlt sich daher.
Status jetzt: Die „großen“ Anbieter von Passwort-Mangern mögen an der Integration von Passkey arbeiten, doch verwenden die meisten ebenfalls nur ihre eigenen Server zur Synchronization an. Darauf sind alle primär ausgerichtet. Self-Hosting ist eine ganz andere Baustelle.
Das das Passkey-Verfahren seine Vorzüge hat, habe ich auch nie in Frage gestellt! Doch seine Passwörter, in welcher Form auch immer, bei einem Dritten speichern zu müssen, dies ist für mich der kritische Punkt oder anders gesagt ein No-GO!!
Solange es gut implementiert mit E2EE ist wie bei Bitwarden sehe ich da kein Problem. Wie machst du das bisher?
Musst du doch nicht, kauf ein USB device das FIDO2/WebAuthn unterstützt - und deine Daten bleiben genau da. Ich würde mir den Aufwand nicht antun (allein die Backup Geräte…) aber zwingen tut dich keiner irgendwas an eine 3rd Party abzugeben.
Verwende den ENPass Manager, der mir ein interne Synchronization aller Geräte via WebDAV bietet.
Und natürlich benutze ich längst FIDO/FIDO2 USB Sticks, was aber nicht immer der Weisheit letzter Schluß ist. Aber das ist nicht das Thema.