Hallo zusammen. Nutzt Ihr Passkey’s zum Anmelden bei Diensten und Websites ?
Wenn ja wie, über Appel, Google, Bitwarden oder Proton Pass zum Beispiel ?
Wie sind eure Erfahrungen damit ?

Ich nutze gerne Passkeys mit Bitwarden.
Leider läuft das noch nicht überall rund, wenn man das nicht gerade mit Google oder Apple macht.
Chromium-basierte Browser, wie z.B. Brave unterstützen das unter Android leider nicht richtig.
Eine Zeit lief das bei mir mal, nachdem ich einige flags gesetzt habe. Dann ist es vor ein paar Wochen wieder zerbrochen.
Mit Firefox bzw. Fennec klappt das wunderbar.
Am PC funktioniert das auch super.

Bei den Webseiten gibt es aber wohl unterschiedliche Implementierung. Bei GitHub läuft das z.B. richtig gut. Da muss man nicht mal die E-Mail-Adresse eingeben zum Anmelden. Login with Passkey → fertig.
Bei Amazon muss man bei aktiviertem 2FA auch nach dem Login mit einem Passkey zusätzlich noch den TOTP-Key eingeben. Das ist eher unüblich, soweit ich weiß.

Und ich meine, PayPal unterstützt nur Chromium/Safari. Mit Fennec wird der Login mit Passkeys gar nicht angeboten. Zumindest bei mir mit Bitwarden und ohne Google-Dienste auf dem Smartphone. Im FAQ steht auch, dass die nur Chrome+Safari unterstützen. Also irgendwie eine künstliche Einschränkung von PayPal.

Aber WENN es funktioniert, sind Passkeys super komfortabel und deutlich sicherer als ein Passwort.

Ich benutze keine Passkeys.

Grund: Die Authentizierung erfolgt über einen lokalen Schlüssel, welcher von Windows verwaltet wird und einen öffentlichen Schlüssel, welcher vom Dienstanbieter (z.B. einer Webseite) verwaltet wird.
Damit hat Windows (also Microsoft) Zugriff auf sämtliche Daten, um sich an jeder Stelle, für die ich einen Passkey eingerichtet habe, als ich zu authentifizieren.
Da mein Vertrauen in Microsoft überschaubar ist (und in den letzten Monaten weiter gesunken ist), nutze ich keine Passkeys.

Wann überall möglich

Selbst Microsoft verwendet Ende-zu-Ende-verschlüsselung für Passwörter und Passkeys. Zudem können sie in nahezu jedem Passwort-Manager gespeichert werden, oder lokal via TPM-Binding oder in einem Security-Key.

Da steckt viel Unwissenheit und Paranoia drin. Du musst nicht Microsoft als Authenticator benutzen. Du kannst auch KeePassXC oder einen externen Hardware Authenticator wie YubiKey verwenden.

Wenn du mit Passwörtern und/oder MFA arbeitest, hast du zwei Instanzen, die deine Zugangsdaten kennen. Du und der Dienst bei dem du dich authentifizierst. Außerdem werden beide über das Internet übertragen. Beides ist bei Passkey nicht der Fall.

Und wenn du schon im Pranoia-Modus bist, kannst du deinem Windows auch unterstellen, dass es deine eingegebenen Passwörter kennt.

Nutze es in Bitwarden wann möglich.
Aber sofern ich es richtig verstanden habe, macht es nur Sinn, wenn der normale Log In mit Passwort und Co. danach auch deaktiviert wird.

Dies geht meiner Erfahrung nach noch so gut wie nie.

Da ich keine neuen Account momentan benötige, wäre mir auch noch kein Dienst untergekommen, der nur mit Passkey einen Account registriert.

Manchmal muss man vielleicht einen provokanten Post erstellen, um ein paar Antworten auf „Wie sind eure Erfahrungen damit?“ zu bekommen…

Nein, solange der Passwort Login nicht verwendet wird und ein ausreichend starkes Passwort gesetzt ist, ändert es nichts an der Sicherheit des Passkey Logins. Entscheidend bei Passkey ist, dass beim Login keine sensiblen Daten über das Internet übertragen werden. Solange man Passkey benutzt, bleibt das auch so, egal ob zusätzlich ein Passwort Login aktiv ist oder nicht.

Natürlich könnte man jetzt argumentieren, dass ein Sicherheitsvorfall beim Betreiber des Dienstes die Passwörter ausspionieren könnte, aber dieses Argument ändert nichts an der Sicherheit von Passkey.

Aber du hast doch gar nicht gefragt…

Aber wäre Passkey nicht genau deswegen sicherer?

Selbst wenn die Passkeys beim Betreiber geleakt würden, könnte man sich dennoch nicht dort anmelden oder?

Ich fange an Passkeys zu nutzen. Habe erst einmal mit einem Account angefangen und bisher keine Probleme in der Nutzung gehabt diese auch Geräteübergreifend nutzen zu können. Als Speicherort verwende ich meinen Enpass Passwort-Manager der über WebDAV zwischen meinen IT-Geräten (macOS, iPhone, iPad) synchronisiert.

Worüber ich mir noch nicht im Klaren bin, ist was im Nachgang der Aktivierung von Passkeys für Schritte zur weiteren Absicherung der Account-Sicherheit folgen sollten:

• Kann ich den Passwort-Login deaktivieren und wenn ja bei welchen Anbietern funktioniert dieses?

• Wie kann ich bei Dienste-Anbietern die Account-Rücksetz-Funktion (zumeist über E-Mail) weiter absichern?

• Macht es Sinn nach der Aktivierung von Passkeys und Deaktivierung eines Passwort-Logins noch die Zwei-Faktor-Authentisierung aktiv zu lassen?

Absicherung der Account-Rücksetz-Funktion

Für die Absicherung der Account-Rücksetz-Funktion nutze das Verschlüsselte Postfach von mailbox.org, sodass die eingehenden Passwort-Rücksetz-Emails nur PGP-verschlüsselte in meinem Postfach ableget werden. Hierdurch kann jemand mit Zugriff auf mein IMAP-Passwort die Inhalte der E-Mails nicht einsehen. Die Konfiguration der mailbox.org Einstellungen zum Verschlüsselten Postfachs kann ich die Web-Oberfläche nur über einen Yubikey stark-authentisierten Login an Mailbox.org verändern.

Gedanken zur Zwei-Faktor-Authentisierung nach Passkey Einsatz

Für die Frage nach dem Sinn einer Zwei-Faktor-Authentisierung habe ich derzeit die folgenden Überlegungen:

• Die Idee hinter dem zweiten Faktor ist es ja, dass neben dem ersten Faktor „Wissen des Passwortes“ auch noch ein zweiter Faktor „Besitz“ (z. B. eines TOTP-Schlüssels) für eine Anmeldung notwendig ist. Dieser zweite Faktor schützt die Authentisierung gegen das Abgreifen des Benutzerpasswortes z. B. durch mitlesen, -filmen, Passwort-DB-Diebstahl beim Dienste-Anbieter.

• Wenn der Account im Besten Fall keinen Passwort-Login mehr besitzt, dann sollte der Einsatz von Passkeys eine hinreichende Absicherung besitzen, da in diesem Verfahren ein „Besitz“ in Form des Private Keys des Passkeys vorhanden ist und der Zugang zum Passkey wiederum durch ein „Sein“ (biometrische Authentisierung) oder „Wissen“ (Sperrcode) geschützt ist. Die Bedrohungen des Mitlesens, -filmen oder eines Passwort-DB-Diebstahl beim Dienste-Anbieter wären durch den Passkey ja weiterhin abgesichert.

• Gegen ein zwingend verbleibendes Passwort beim Dienst-Anbieter trotz Passkey-Aktivierung, sollte ein individuelles und maximal langes / komplexes Zufallskennwort ausreichend schützen. Die Komplexität und Individualität schützt gegen den Passwort-DB-Diebstahl bei diesem oder anderen Dienste-Anbietern. Die Nicht-Verwendung des Passwortes zur Authentisierung durch den Benutzer schützt vor einem Mitlesen und -filmen. Da der Benutzer ja Passkeys verwendet, müsste das Passwort nicht einmal dem Benutzer selbst bekannt sein und er könnte dieses nach der Änderung einfach nicht in seinem Passwort-Safe speichern. Durch diese Maßnahmen sollte eigentlich ein Verzicht auf den zweiten Faktor keine Verschlechterung der Account-Sicherheit darstellen.

Mein persönliche Strategie sähe daher wie folgt aus:

1. Sorge dafür, dass Du Passkeys sicher mit Backup und ggf. Synchronisation zwischen Deinen Geräten zur Authentisierung verwenden kannst.

2. Aktiviere bei jedem geeigneten Dienste die Passkey-Authentisierung und teste die Anmeldemöglichkeit über den Passkey.

3. Ändere Dein bisheriges Passwort durch ein zufällig generiertes, maximal langes und komplexes Passwort, was Du Dir jedoch nicht auf Deinen täglich genutzten Geräten speicherst.

4. Deaktiviere die bisherige Zwei-Faktor-Authentisierung des Dienste-Accounts, da Du ja keine Passwort-Authentisierung mehr nutzt.

Macht das aus Euer Sicht so Sinn?

Ja, aber wenn du dort noch ein Login-Passwort hinterlegt hast, ist das nicht optimal, aber auch nicht schlimm, wenn dein Passwort sicher ist. Meistens werden nur gehashte Passwörter gestohlen und die müsste man erst durch Ausprobieren herausfinden. Leicht zu erratende Passwörter sind heutzutage aber kein großes Problem mehr. Du kannst auch immer eine Zweifaktorauthentifizierung dahinter schalten, wenn der Betreiber das anbietet. Das schließt sich nicht gegenseitig aus. Passwort, 2FA, Passkey, theoretisch ist alles zusammen möglich.

Der Betreiber, bei dem du dich anmeldest, kennt den Passkey nicht. Nur du kennst ihn. Der Betreiber hat deinen öffentlichen Schlüssel und erzeugt damit eine Nachricht (Challenge genannt), die du mit deinem privaten Schlüssel signierst und an den Betreiber zurückschickst. Der Betreiber überprüft die Signatur und wenn sie gültig ist, weiß er, dass du es bist. Der private Schlüssel verlässt nie dein Gerät und die Challange ist nur für diese eine Sitzung gültig. Wenn du dich erneut einloggst, wird eine neue Challenge generiert. Es ist resistent gegen Phishing und nur du kennst den Schlüssel. Das macht Passkey so sicher.

Danke für die ausführliche Darstellung! Ich hänge derzeit noch sehr an gut generierten komplexen Passwörtern und TOTP als zweitem Faktor, finde das Passkey-Konzept aber trotzdem spannend.

Das eine scheint mir sich (leider) mit dem anderen zu beißen. Wenn ein Passkey das Kriterium Besitz erfüllt, muss er fest an die Hardware gebunden sein (TPM oder FIDO-Key), was die Synchronisierung ausschließt und das Backup erschwert. Bei TPM geht das Klonen by design gar nicht, und bei hardwaregebundenen Schlüsseln nur durch mehrfache Exemplare.

TOTP-Seeds lassen sich hingegen gut klonen (was sie im Umkehrschluss unsicherer macht). Eine selbst gestrickte Synchronisation per Cloud ist mir bei Keepass XC wichtig, weswegen ich im Moment noch nicht recht motiviert bin, Passkeys anzulegen und sie in XC abzulegen. Gegenüber TOTP sehe ich da für meinen Usecase nicht den großen Vorteil, vom Phishing-Schutz einmal abgesehen, für den Passkeys zugegebenermaßen unschlagbar sind.

Von der reinen Leere des Einsatzes als „Starke Authentisierung“ bei dem ein Faktor technisch vor einer möglichen Kopie geschützt ist hast Du Recht.

Man könnte jedoch bei TOTP oder Passkeys trotz fehlender Hardware-Ablage von einem „Besitz“ sprechen, da die Faktoren bei der Authentisierung im Gegensatz zu einem Passwort eben nicht übertragen werden und damit beim Authentisierungsablauf kopiert werden können.

Der Punkt den ich bei dem Einsatz von Passkeys anmerken wollte ist der, dass wenn ich die Passkeys und TOTP-Seeds auf dem Endgerät speichere mit dem ich die Authentisierungs durchführe, dann bringt aus meiner Sicht der zusätzliche TOTP-Einsatz keinen Sicherheitsvorteil mehr. Ein Angreifer mit Zugriff auf das Endgerät könnte sowohl den privaten Passkey wie auch den TOTP-Seed kopieren, sodass aus meiner Sicht der doppelte Einsatz beider Verfahren keinen Mehrwert bietet. Wenn hingegen der TOTP-Seed auf einem anderen, getrennten Gerät genutzt wird, dann besteht noch ein Vorteil - jedoch dann wieder mit dem Problem des Schutzes vor Geräteverlust.

P. S. Übrigens kann auch TOTP IMHO nicht das Ziel eines „Besitz“ erfüllen, da dieses Verfahren den entsprechenden Schlüssel immer an zwei Enden aufbewahren muss - beim Anwender und beim Dienst - damit das aktuell gültige One-Time-Passwort an beiden Enden generiert werden kann.

Selbst wenn also der TOTP-Seed beim Anwender in Hardware aufbewahrt wird bedeutet dieses nicht, dass diese beim Dienste-Betreiber nicht in Software abgelegt sind und damit vor einem Kopieren geschützt sind. Bei Passkeys besteht dieses grundsätzliche Problem aufgrund des Public / Private Key Ansatzes nicht.

Der FIDO2 Standard hat dies mit der Einführung der Multi-device FIDO Credentials etwas aufgeweicht und damit benutzerfreundlicher gemacht. So ist der Passkey nicht mehr an eine Hardware gebunden, sondern kann auch synchronisiert werden. Für die meisten von uns ist das akzeptabel und immer noch deutlich sicherer als Passwort mit 2FA. [1]

Der Dienst, bei dem man sich mit dem Passkey authentifiziert (Realying Party), kann aber festlegen, welche Kriterien der Authenticator erfüllen muss. So kann z.B. in Hochsicherheitsumgebungen festgelegt werden, dass nur bestimmte Geräte oder Protokolle zugelassen sind. [2]

[1] https://fidoalliance.org/white-paper-multi-device-fido-credentials/
[2] https://fidoalliance.org/metadata/

Leider ist die Landschaft Stand jetzt noch sehr fragmentiert: Die Apple-only-User sind fein raus, die Android-only-User auch (also die angeblich steigende Zahl von Menschen ganz ohne Desktopsystem) – wer aber Linux oder Windows plus mobile Geräte nutzt, muss sich den Sync selber basteln (kann das Bitwarden schon übernehmen?) oder mit QR-Code/Bluetooth leben und am Desktop ständig sein Handy in die Hand nehmen.

Hier ein Plan für meinen ganz persönlichen Passkeyeinstieg mit einem systemübergreifenden Geräte-Zoo: einfach gar nicht syncen, sondern mir im Secure Element des jeweiligen Geräts für denselben Dienst einen neuen Passkey erzeugen. Könnte unnötig Arbeit machen, ist von der Spezifikation her AFAIK aber möglich (das mit mehreren Passkeys pro Dienst, was dann hoffentlich auch bei allen Diensten unbeschränkt geht).

Edith – schon beantwortet:

Ich verwende Passkey in KeePassXC derzeit überall dort, wo ich mein KeePass uneingeschränkt nutzen kann und einen Browser habe, der die WebAuthn-API implementiert. Zum Beispiel auf meinem Laptop, MacBook und iMac. Ich synchronisiere die Datenbank über meinen eigenen Nextcloud Server. Abgesichert durch ein lokal gespeichertes Keyfile als zweiten Faktor.

Auf meinem iPhone und auf Systemen, wo mein KeePass entweder nicht verfügbar ist oder das Speichern des Keyfiles zu gefährlich ist, habe ich bisher auf Passkey verzichtet. Angeregt durch diese Diskussion habe ich mir jetzt einen YubiKey 5C NFC bestellt und versuche damit meine Mobilität mit Passkey zu erweitern.

Aber ja, es stimmt, hier muss man sich die doppelte Mühe machen, denn YubiKey ist ein „echter“ WebAuthn-Authenticator im Sinne des FIDO2-Standards. Hier ist eine Synchronisation oder ein Export nicht erlaubt. Wer weiß, vielleicht kann ich langfristig auch auf den KeePass für Passkey verzichten. Vor allem die NFC-Funktionalität reizt mich. Aber ich brauche auch ein Backup und da bietet sich KeePass derzeit für mich an.

Ich habe mir das Thema jetzt mal etwas genauer angesehen.
Lohnt sich für mich derzeit nicht so recht, weil es (für meinen Bedarf) einfach zu wenig Dienste gibt, bei denen ich passkeys nutzen könnte. Aber das mag sich ja künftig ändern.

Ja Bitwarden kann den Passkey synchronisieren.

Daher hab ich einen hinterlegt wenn möglich.
Leider wird der je nach Betriebssystem und Browser nicht immer unterstützt.
Ist zumindest meine Erfahrung.

Aber langfristig wird es wohl der Standard.

Die Ökosystem-übergreifende Synchronisation von Passwort-Manager / TOTP Seeds / Passkeys waren für mich vor Jahren der Grund warum ich Enpass gekauft habe.

Es gab damals kaum Passwort-Manager die über WebDAV und damit einer großen Bandbreite von NAS-Filern, public oder private Clouddiensten synchronisieren konnten und vor allem alle großen Betriebssystem-Plattformen unterstützten. Ein Sync zwischen Android, iOS, Linux, macOS und Windows über eine per WebDAV angesprochene Nextcloud war damit kein Problem oder Gebastel und wird heute noch Plattformübergreifend genutzt.

Für mich ist der stabile Sync über meine genutzten Geräte die Kernanforderung für eine solche Anwendung da ich PC, Smartphone und Tablet gleich stark nutze.

Um auch mal eine andere Sicht auf Passkeys zu präsentieren, hier ein Video und ein Blog-Artikel dazu:

Video darüber, welche Schwierigkeiten es (noch) in der Praxis bei Passkeys gibt (auch die zwei im Video erwähnten vorherigen Videos zu Passkeys sind ganz empfehlenswert):
https://youtube.com/watch?v=u7Ti-Jc-b3A

Artikel, bei dem der Autor die Zukunft von Passkeys im Mainstream pessimistisch entgegensieht:
https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/