Hier wurde vor allem darauf verwiesen, dass es für Passkeys derzeit noch kein spezifiziertes Verfahren für Export / Import gibt und derzeit bei der Verwendung großen Betriebssystem- / Browser-Anbietern Apple, Google, Microsoft ein Ökosystem-Lock-In entsteht, da die generierten Passkeys nur innerhalb des Ökosystems synchronisiert werden können.
Wenn man jedoch die Passkeys in Ökosystem-Übergreifenden Passwort-Managern speichert, dann kann dieses Problem schon heute vermieden werden.
AFAIK bietet Microsoft noch gar keinen Sync an, sondern nur die lokale Speicherung im TPM des Geräts. Ein Plus an Sicherheit, ein Minus bei der geräteübergreifenden Nutzung.
Ich frage mich, wie sicher dann die passkey-geschützten Accounts sind, falls die Datenbank des Passwortmanagers abgegriffen wird. Wäre dann nicht ein zweiter Faktor wie TOTP sicherer? Vorausgesetzt natürlich, TOTP-Seeds sind nicht in derselben Datenbank wie die Passwörter gespeichert.
Leider geht der Trend (aus Komfortgründen) genau in die entgegengesetzte Richtung: Generierung der TOTP-Codes direkt im PW-Manager statt in einer separaten Anwendung. Nochmal auf ‚Soft-Passkeys‘ bezogen (also solche, die sich mit Bitwarden, Keepass XC etc. synchronisieren lassen): Legt man da nicht ‚alle Eier in einen Korb‘ und beraubt sich eines separaten 2. Faktors?
Das Problem an Diskussionen über Sicherheitsmaßnahmen ist, dass häufig in Extrempositionen diskutiert wird und die Sicherheitsmaßnahmen nicht in Hinsicht auf die unterschiedlichen Bedrohungen bewertet werden gegen diese wirken. Dieses verhindert dann häufig eine Verbesserung, da ja die absolute Sicherheit nicht erreicht wird.
Ein weiterer Aspekt der betrachtet werden muss ist die Benutzerfreundlichkeit. Wenn diese kein hinreichendes Niveau erreicht, werden Anwender die Maßnahmen nicht akzeptieren oder im schlimmsten Fall Wege drum herum suchen.
Für das Thema Authentisierung fallen mir die verschiedenen Authentisierungsverfahren mit Abkürzung ein:
p = Passwort ohne Synchronisation
t = TOTP ohne Synchronisation
k = Passkey ohne Synchronisation
P = Passwort-Manager-Synchronisation
T = TOTP -Manager-Synchronisation
K = Passkey-Manager-Synchronisation
H = Hardware-Element (Krypto-Karte, Stick, TOTP Hardware Generator)
Diese würde man gegen Bedrohungen zu prüfen, ob diese geeignet sind der Bedrohung zu begegnen.
Mitschneiden bei der Eingabe und Wiederverwendung (t,T,k,K,H)
Mitschneiden bei der Übertragung und Wiederverwendung (t,T,k,K,H)
Mitschneiden beim Dienst und Wiederverwendung (t,T,k,K,H)
Abgreifen der Authentisierungs-Merkmal beim Dienst (k,K,H)
Abgreifen der Authentisierung-Merkmal beim Client (H)
Im Rahmen der Usability / weitere Faktoren kommt dann noch
Verwendung mehrere Geräte-Typen (P,T,K) (bei nicht synchronisierten und Hardwarekey häufig ein Problem)
Verwendung der Geräte an unterschiedlichen Orten (p,P,t,T,k,K,H)
Generierung an unterschiedlichen Orten (P,T,K)
(bei nicht synchronisierten und Hardwarekey häufig ein Problem)
Nutzbarkeit mit körperlichen Einschränkungen (p,P,t,T,k,K)
(bei Hardware manchmal ein Problem, z. B. wenn ein TOTP-Generator z. B. nicht gelesen werden kann)
Verlust des Authentisierungsgerätes beim Anwender (P,T,K)
(bei Hardware umgehbar, wenn es immer mehrere gibt - allerdings schwierig beim Anlernen neuer Accounts)
Kosten für Authentisierungshardware (p,P,t,T,k,K)
Basierend auf einer solchen Bewertung, kann dann jeder Anwender für sich eine akzeptable Lösung finden, so sie denn die Dienste anbieten.
Passkeys sind das Ergebnis vor allem der Faktoren, dass Mehrgeräte-Einsatz durch Smartphones notwendig und Kosten für Hardware-Schlüssel im normalen Privat-Anwender-Bereich nicht akzeptabel waren. Sie wirken auf alle Bedrohungen die nicht im Abgriff auf den Clients der Anwender liegen und sind Usability-seitig für alles geeignet.
(Das waren natürlich meine spontanen Überlegungen, vermutlich gibt es noch weitere Faktoren die betrachtet werden sollten. Aber ich hoffe die dahinter liegenden Überlegungen zum Finden einer akzeptablen Authentisierungsverfahren werden klar.)
Genau das ist es was eine Sicherheitslösung erreichen muss. Sie muss EINFACH funktionieren, sodass sie im Alltag den Benutzer unterstützt und er einen Mehrwert hat. Dann bestehen die Grundlage für Akzeptanz und dass diese auch genutzt wird.
Stimmt - alles steht und fällt mit dem persönlichen Threat Model, wobei auch das nicht immer einfach zu ermitteln ist.
Wenn mit „Krypto-Karte“ Smartcards gemeint sind, fehlen in dieser Liste die in den Geräten verbauten Secure Elements wie z.B. TPM oder Titan M. Auch wenn das im Vergleich mit einem separaten (möglichst NFC-fähigen und PIN-geschützten) Stick die Sicherheit ein wenig schwächt, ist es genau diese Verbindung, die Passkeys den Durchbruch verschafft haben: unauslesbare Ablage im Secure Element und passwortlose Abfrage per Biometrie. Dieses Konzept sehe ich durch per PW-Manager synchronisierte Passkeys wiederum geschwächt, doch geht das zugegebenermaßen in Richtung der oben zitierten „Extremposition“.
Geht mir übrigens auch so: KDBX-Datenbank mit langem Passwort und Schlüsseldatei als 2. Faktor. Das häufigste Szenario ist und bleibt Phishing, und da sind Passkeys (neben der Usability) eine echte Innovation. Da ich Websites mit Login immer nur aus KeepassXC oder aus den Browserfavoriten aufrufe, fühle ich mich vor Phishing gefeit, aber man kann nie wissen…
Bisher habe ich jetzt drei Accounts auf Passkeys umgestellt und jeweils das Passwort des Accounts nach erfolgreichen Test des Passkey und der Passwort-Rücksetzmethode durch eine langes, komplexes und bei mir nicht gespeichertem Passwort ersetzt.
Mir ist daher das Passwort selbst nicht mehr bekannt, sodass ich dieses auch nicht auf einer Phishing-Seite eingeben könnte.
Leider habe ich dann gleich noch eine Inkompatibilität meines Enpass Passwort-Manager als Passkey-Store und meinem macOS festgestellt. Aktuell funktioniert hier die lokale Anmeldung per Passkey im Browser nicht. Stattdessen weiche ich auf einen mit dem iPhone gescannten QR-Code zur Passkey-Authentisierung über das Smartphone aus.
Nicht so komfortabel, aber ein gutes Gefühl, dass ein Zugang auch über diesen Workaorund funktionieren kann, wenn einmal die Software an einem Gerät streikt. Vorausgesetzt ist dann natürlich eine Synchronisation der Passkeys über meine Geräte.
Hast du das Browser-Plugin installiert? Ich benutze KeePassXC und es funktioniert einwandfrei. Allerdings muss ich das Browser Plugin installieren und Passkey explizit im Plugin aktivieren…