Hi! Ich bin neu hier und der Grund meiner Anmeldung ist Folgender: Ich frage mich, ob es eine praktikable Möglichkeit gibt, dass Passkey-Verfahren ohne Cloudzwang und nach Möglichkeit auch ohne Hardware-Token zu nutzen?
Ich benutze ein iPhone (mit Adguard Pro), weitestgehend ohne iCloud und einen Linux-Rechner. Meine Passwörter verwalte ich mit KeePassXC und dem iOS-Pendant KeePassium. Die PW-Datenbank wird regelmäßig manuell synchronisiert, ich möchte diese nicht (dauerhaft) in einer Cloud speichern.
Ein solches Prinzip wünsche ich mir auch für Passkeys. Aber ich habe keine Ahnung, mit welchen Mitteln und Wegen das zu realisieren wäre… Hier geht es auch darum, wie sicher ein Passkey (privater Schlüssel) überhaupt über eine Software gespeichert werden kann. Standardmäßig werden die ja im Secure Element abgelegt.
Ist diese Art der Nutzung überhaupt irgendwie möglich oder muss ich bei Passwörtern bleiben?
Hatte die gleichen Anforderungen und nutze seit 2 Jahren Yubikey. Trage diesen an meinem phyischen Schlüsselbund und nutze ihn sowohl als Passkey als auch für 2FA via TOTP. Der Vorteil dabei ist, dass mein Private Key nicht in der Cloud gespeichert wird und auch nicht an ein bestimmtes Gerät gebunden ist. Nutze den Key auf Linux, Windows und Android (USB C/ NFC). Darüber hinaus habe ich auf all meinen Devices den Yubikey Authenticator installiert, heisst meine TOTPs werden auf den jeweiligen Geräten angezeigt, sobald ich den Key mit dem Device verbinde. Meine PWs verwalte ich via Keepass und synchronisiere diese via private Cloud.
Wenn du keinen Hardware-Token verwenden möchtest und auch keine Synchronisation eines Passkeys über eine Cloud möchtest, kannst du für jedes deiner Geräte einen eigenen Passkey erstellen. Wenn ein Online-Dienst dies nicht unterstützt, liegt das an der Implementierung des Standards. Der FIDO-Standard selbst ist für dieses Konzept mit mehreren Passkeys für ein Benutzerkonto bei einem Online-Dienst ausgelegt.
Hi Tuxar! Ja, genau das mit dem einen Gerät, das ich immer dabei haben muss, um mich irgendwo einzuloggen, kann ich mir nicht vorstellen. Das stelle ich mir zu umständlich vor. Wenn ich abends im Bett noch irgendwas am Telefon mache, will ich nicht meinen Schlüssel holen müssen um den Login beim Onlineshop zu machen.
Zumal die meisten FIDO Sticks nicht so viele Passkeys speichern können, sodass man ggf. auch noch mehrere davon braucht… Immerhin gibt’s mittlerweile auch schon welche, die mehr als nur 50 Passkeys speichern können (z.B. hier)
Hi Ohlee.be
Ja, das kann ich nachvollziehen. Security geht schnell zu Lasten von Usability (und vice versa). Da für mich das Speichern meiner Private Keys, Passwörter und 2FA in der Cloud nicht in Frage kommt und ich mit unterschiedlichsten Geräten/ Betriebssystemen (GrapheneOS, div. Linux Distros, Windows, FreeBSD) arbeite, ist der Yubikey für mich eine sehr gute Lösung. Wenn immer möglich nutze ich den Key (Passkey) für passwortlose Anmeldung oder als 2FA. Auf dem Key kann ich zusätzlich 64 TOTPs speichern und das reicht mir längstens. Und ja, selbstverständlich habe ich einen identisch konfigurierten Backup-Key. Sollte ich meinen Main Key verlieren, wäre das ohne BackupKey ziemlich „ungemütlich“.
LG
P.S. Auf den aktuellen YubikKeys /Firmware 5.7.1 kannst du 100 Passkeys speichern.
Hier geht es auch darum, wie sicher ein Passkey (privater Schlüssel) überhaupt über eine Software gespeichert werden kann. Standardmäßig werden die ja im Secure Element abgelegt.