**** DONE Authentifizierung mit FIDO2 und Passkeys :blog:security:standards:apple:google:microsoft:cloud:hardware:mobile:phones:privacy:lb_persistent:
CLOSED: [2024-10-06 Sun 18:05] SCHEDULED: <2024-10-06 Sun>
:PROPERTIES:
:CREATED: [2024-10-05 Sat 17:26]
:ID: 2024-10-05-FIDO2-vs-Passkeys
:END:
:LOGBOOK:
- State "DONE"       from "STARTED"    [2024-10-06 Sun 18:05]
:END:

In letzter Zeit wurde nicht zuletzt durch das [[https://www.passkeys.io/who-supports-passkeys][Engagement]] der
großen [[https://en.wikipedia.org/wiki/Megacorporation][Megacorps]] [[https://support.microsoft.com/en-us/account-billing/signing-in-with-a-passkey-09a49a86-ca47-406c-8acc-ed0e3c852c6d][Microsoft]], [[https://www.google.com/account/about/passkeys/][Google]], [[https://support.apple.com/en-us/102195][Apple]] und [[https://www.amazon.com/gp/help/customer/display.html?nodeId=TPphmhSWBgcI9Ak87p][Amazon]] das Thema
[[https://www.passkeys.com/][Passkeys]] in der breiten Bevölkerung bekannter.

Allerdings sind die zahlreichen Auswirkungen des Themas für
IT-Sachkundige als auch für nicht IT-Sachkundige nicht so ganz einfach
zu verstehen.

Ich habe einige allgemeine Dinge zu Passwortsicherheit unter [[id:2023-03-04-Passwortsicherheit][diesen
Artikel]] zusammengefasst und da kommen FIDO2 und Passkeys bereits vor:

- Wie man sichere Passwörter wählt
- Warum man niemals ein Passwort für zwei oder mehr Dienste verwenden darf
- Was ein vertrauenswürdiger Passwort-Manager ist
- Unbedingt mehr als einen Faktor verwenden ([[https://de.wikipedia.org/wiki/Multi-Faktor-Authentisierung][MFA]]/[[https://de.wikipedia.org/wiki/Zwei-Faktor-Authentisierung][2FA]])

In "[[id:2023-03-04-TOTP-Auswahl][Wie man eine vertrauenswürdige Authentifizierungs-App auswählt]]"
erkläre ich, wie man sich gute mobile Authentifizierungslösungen
aussucht, ohne, auf die Technik näher einzugehen.

[[https://de.wikipedia.org/wiki/FIDO2][FIDO2]] und Passkeys sind sich recht ähnlich und werden oft auch
verwechselt oder über einen Kamm geschert. Es gibt meiner Meinung nach
auch keine genaue Definition von "Passkeys".

Für alle Menschen, die ein wenig mehr über die Unterschiede und
jeweiligen Vor- und Nachteile lernen wollen, ist dieser Artikel
geschrieben:

- Ablauf von FIDO2-Authentifizierung "in a nutshell"
- Ablauf von Passkeys-Authentifizierung "in a nutshell"
- Standards und technische Bausteine
- Passkeys und das dafür notwendige Vertrauen in die Konzerne
- Nutzung von Passkeys mittels FIDO2-Hardware-Tokens
- FIDO2 Hardware-Tokens
- Phishing-Schutz
- Passkeys oder FIDO2 - was soll ich nun nutzen?
- FAQs
- Diverse Links zum Thema
- Feedback

[[https://kulturbanause.de/faq/tldr/][TL;DR:]] Zwei moderne FIDO2 Hardware-Token kaufen, die auch mit Passkeys
umgehen können. Primär FIDO2 nutzen, wo es geht und ansonsten Passkeys
oder mit niedrigerer Priorität auch andere
Mehrfachauthentifizierungsmethoden.

Falls ich wo etwas falsch aufgefasst haben sollte oder wenn sich etwas
an der beschriebenen Sachlage ändert, freue ich mich über Feedback
(unten).

***** Ablauf von FIDO2-Authentifizierung "in a nutshell"

Um etwas besser einschätzen zu können, wie so ein
Authentifizierungsprozess (salopp "das Login") an einem Server
ausgestaltet, versuche ich hier eine Kurzdarstellung.

Einmalig: man registriert pro Service alle seine
Authentifizierungs-Dinger. Das können Hardware-Tokens sein, die wie
ein USB-Stick aussehen. Das kann aber auch schon eine Funktion eines
modernen Passwort-Managers sein oder etwas, was als Service am
Smartphone läuft.

Gleich vorweg: ich plädiere für moderne FIDO2 Hardware-Tokens. Die
kosten so rund um 30 bis 100 Euro und sind ein super Geschenk zu
Geburtstage, zu Weihnachten oder an die Mitarbeiter:innen einer Firma.
Details später.

#+CAPTION: Zwei FIDO2-USB-Tokens an einem Schlüsselbund.
#+ATTR_HTML: :alt Zwei Tokens an einem Schlüsselbund, die wie ein USB-Stick mit einem Druckknopf aussehen.
#+ATTR_HTML: :align center :width 450 :linked-image-width none
[[tsfile:2023-03-05T13.59.56 zwei verschiedene FIDO2-Tokens an einem Schlüsselbund -- publicvoit.jpg][2023-03-05T13.59.56 zwei verschiedene FIDO2-Tokens an einem Schlüsselbund -- publicvoit.jpg]]

Beim Anmelden bei einem Online-Service kann man FIDO2 als zusätzlichen
Faktor benutzen oder - selten aber doch - als alleinigen Faktor.

Der Anmeldevorgang bei "FIDO2 als zusätzlichen Faktor": Nach der
Eingabe von Benutzername und Passwort wird man aufgefordert, das
Authentifizierungs-Ding zu "präsentieren" und damit seine Anwesenheit
(nicht Identität!) bestätigen. Im Normalfall steckt man hier seinen
USB-Token und drückt einen (Sensor-)Knopf. Oder man hält den
[[https://de.wikipedia.org/wiki/Near_Field_Communication][NFC]]-fähigen Token ans Handy.

Der Anmeldevorgang bei "FIDO2 als alleinigen Faktor": Hier wird beim
Anmelden gar nicht mehr nach Benutzername oder Passwort gefragt. Man
präsentiert seinen FIDO2 Token und ist dann automatisch eingeloggt.

Ehrlich gesagt, gibt's die verbreitete Meinung, dass das in diesem
Fall bereits automatisch als "Passkeys" zu bezeichnen ist. Ich bin mir
da noch nicht ganz sicher.

***** Ablauf von Passkeys-Authentifizierung "in a nutshell"

Einmalige Anmeldung: Auf einem Passkeys-fähigen Gerät (Smartphone;
Desktop-Browser, die Passkeys unterstützen) registriert man einen
Passkey bei einem Service. Verwendet der Service die optionale
Synchronisation des Geheimnisses in seine Cloud, spart man sich die
Registrierung auf allen damit synchronisierten Geräten. Das ist der
große Bequemlichkeitsvorteil von Passkeys und viele meinen, das ist
auch der Hauptgrund dafür.

Man kann auch moderne FIDO2 Hardware-Tokens für Passkeys nutzen. Dabei
muss der Token auch eine Anzahl von Speicherplätzen zur Verfügung
stellen. Üblich sind so 25 bis 100 Speicherstellen. Das ist im
Allgemeinen auch ausreichend, da es nicht viele Passkeys-Provider gibt
und viele Services über andere Passkeys-Provider authentifizieren. Das
ist so ähnlich wie bei "Authentifizierung über Google-Account" bei
allen nicht-Google-Services.

Beim Anmeldevorgang muss man bei Passkeys gar nichts mehr mitbekommen.
Der Service fordert beim Gerät optional einen Passkeys an, wenn er ihn
findet, dann ist man eingeloggt. Das hat aber auch zur Folge, dass man
pro Service nur noch ein einziger Account verwenden kann, da es zur
Zeit keine "Sie haben bei uns drei Passkeys registriert, welchen davon
wollen Sie nun nutzen?"-Prozess gibt.

***** Standards und technische Bausteine

[[https://de.wikipedia.org/wiki/FIDO2][FIDO2]] ("Fast IDentity Online", Version 2) ist ein offener Standard zur
Authentifizierung gegenüber Web-Services.

Passkeys ist kein Standard. Das ist ein Marketing-Begriff von
Megacorps wie Apple, Microsoft und Google.

Passkeys verwendet die gleichen Elemente, die auch FIDO2 nutzt ([[https://de.wikipedia.org/wiki/Client_to_Authenticator_Protocol][CTAP2]],
[[https://de.wikipedia.org/wiki/WebAuthn][WebAuthn]]) und erfordert (meist) im Gegensatz zu FIDO2 keine
Hardwaretokens. Moderne FIDO2-Tokens beherrschen aber auch teilweise
Passkeys, sofern auch entsprechende Speicherplätze existieren. Typisch
sind das so 20 bis 100. Das mag wenig erscheinen. Tatsächlich sind das
aktuell meiner Meinung nach ausreichend viele, da es vorerst mal nicht
so viele Anbieter gibt und man vermutlich in Hinkunft sich auch oft
noch bei Google und Co für Dritte authentifiziert.

Leider ist es recht schwer, hier allgemeine Unterscheidungen zu
finden. Selbst auf [[https://fidoalliance.org/specifications/][Seiten der FIDO Alliance werden Passkeys und FIDO2
stark vermischt]].

Ein FIDO2 Token als auch eine FIDO2 Serverschnittstelle ist gegenüber
einem Standard prüfbar und gegebenenfalls auch zertifizierbar.

Passkeys nutzt die gleichen Grundbausteine (wie oben aufgelistet) aber
da ist nichts prüfbar. Die gespeicherten Passkeys sind noch prüfbar
(sofern der Zugriff darauf ermöglicht wird). Aber keinesfalls bezieht
sich die Prüfbarkeit auf die Implementierung am Server oder das exakte
Protokoll, denn hier kochen aktuell alle Hersteller ihre eigenen
Süppchen und das noch [[https://de.wikipedia.org/wiki/Propriet%C3%A4r][proprietär]].

Vielleicht prescht hier jemand der Konzerne vor und veröffentlicht mal
seinen kompletten Code, dann könnte man anfangen, sich über einen
Passkeys-Standard zu unterhalten. Der wäre dann aber vermutlich stark
von einem Konzern getrieben und definiert, da [[https://fidoalliance.org/overview/leadership/][die FIDO2-Alliance]] hier
auch aus diesen Konzernen besteht und daher relativ zahnlos agiert.

Dann bleibt immer noch das Problem, dass man nicht prüfen kann, ob der
veröffentliche Server-Code auch tatsächlich der eingesetzten Software
entspricht.

Wie dem auch sei: bei Passkeys wird's aus diesen Gründen wohl kaum so
bald zu einer Standardisierung kommen, der man als IT-Experte
vollkommen vertrauen kann.

***** Passkeys und das dafür notwendige Vertrauen in die Konzerne

*Passkeys schützt im Gegensatz zu FIDO2 nicht prinzipiell das
Geheimnis* und das ganz bewusst: optional können die Geheimnisse eine
Cloud synchronisiert werden. Das hat große Usability-Vorteile, wenn
ich beispielsweise einen Passkey mit meinem macBook erstelle und
diesen Passkey sogleich mit meinem iPhone nutzen kann, ohne, dass ich
das iPhone ebenfalls registrieren muss.

Ein Nachteil ist, dass die Benutzer weniger Transparenz bekommen, in
welchen Fällen nun das Geheimnis wohin synchronisiert wird und wie
beim Transport als auch auf der anderen Seite in der Cloud damit
umgegangen wird. Natürlich behaupten die Passkeys-Betreiber, dass das
Geheimnis Ende-zu-Ende verschlüsselt ist. Allerdings ist auch die
dafür verwendete Software geheim bzw. [[https://de.wikipedia.org/wiki/Propriet%C3%A4r][proprietär]] und kann deshalb
nicht von unabhängigen Experten geprüft werden.

Es wäre nicht das erste Mal, dass große Konzerne sicherheitskritische
Software mit mangelhafter Sorgfalt programmiert haben. Hierbei erwähne
ich in [[id:2023-03-04-TOTP-Auswahl][meinem Authentifizierungs-App-Artikel]] die Geschichte, wo Google
Authenticator die Geheimnisse quasi unverschlüsselt versendet hat.

Passkeys sind aktuell Hersteller-spezifische, proprietäre Lösungen,
die untereinander nicht kompatibel sind. Daher kann man einen
Apple-Passkey nicht mit einem Microsoft-Service verwenden oder
umgekehrt. Die Implementierungssicherheit kann auch Server-seitig
nicht von unabhängigen Experten kontrolliert werden.

***** Nutzung von Passkeys mittels FIDO2-Hardware-Tokens

Es gibt FIDO2-Hardware-Tokens, welche dafür notwendige Speicherplätze
für Passkeys mitbringen. Dadurch muss man Passkeys nicht mit den
eingebauten Handy- oder Browser-Funktionen verwalten, sondern kann die
Geheimnisse sehr gut gesichert in der eigenen FIDO2-Hardware so
ablegen, dass sie niemals den Token verlassen können.

Hier gibt es dann auch eine Einschränkung für die Praxis: man kann
meines Wissens nach mit so einem Hardware-Token nicht mehrere Passkeys
für unterschiedliche Accounts für dasselbe Service verwenden.
Beispielsweise drei Google-Accounts für unterschiedliche Zwecke. Ich
denke, das gilt allerdings auch für alle anderen
Passkeys-Implementierungen und gilt dadurch nicht nur für Hardware-Tokens.

Wenn man so einen FIDO2-Hardware-Token benutzt, dann wird im Gegensatz
zu den Software-Implementierungen das Geheimnis sehr wohl geschützt
und kann *aus Prinzip* nicht mehr ausgelesen werden. Da muss dann
schon die FIDO2-Hardwareimplementierung oder die Firmware des
FIDO2-Hardware-Tokens eine Schwachstelle aufweisen.

***** FIDO2 Hardware-Tokens

Eine solche Schwachstelle bei Hardware-Tokens wurde im Herbst 2024
bekannt: wegen einer [[https://www.yubico.com/support/security-advisories/ysa-2024-03/][YubiKey/Infineon Lücke]] kann man bei etlichen
YubiKey-Produkten theoretisch die privaten Schlüssel auslesen. In der
Praxis ist das allerdings nur sehr schwer auszunutzen. Also muss man
keine Sorge haben, wenn man ausschließen kann, dass [[https://de.wikipedia.org/wiki/Advanced_Persistent_Threat][Profi-Spione]] auf
einen angesetzt werden. Jedoch zeigte nicht zuletzt dieser Vorfall,
dass man eher zu Produkten greifen sollte, wo im Falle von
Schwachstellen die Firmware der Tokens aktualisiert werden kann.
[[https://www.heise.de/news/Yubikey-Cloning-Angriff-Kein-Firmware-Update-vielleicht-Key-Austausch-9857807.html][Yubikey weigert sich weiterhin, Updates zu ermöglichen]]. Ich persönlich
würde daher aus diesem Grund von Yubikeys Abstand halten, obwohl sie
in dem Bereich Marktführer sind.

Bei FIDO2-Tokens gibt es den guten Ratschlag, dass man immer zwei
Geräte besitzen soll, damit man im Falle eines Verlustes nicht auf
eine unsichere Fallback-Methode ausweichen muss. Falls ein FIDO2-Token
abhandenkommen sollte, verwendet man den Backup-Token, und den
verlorengegangenen Token in den Services zu deaktivieren.

Bei der Verwendung von zwei Tokens muss man allerdings auch jeweils
beide Tokens bei allen Services registrieren.

***** Phishing-Schutz

Sowohl FIDO2 als auch Passkeys schützen vom Prinzip her gegen
[[https://de.wikipedia.org/wiki/Phishing][Phishing]], da das Geheimnis niemals an Angreifer übertragen werden
kann. Und das sind derzeit die einzigen beiden praktisch verbreiteten
Verfahren, die in jedem Fall gegen Phishing schützen.

Wenn man es genau nimmt, schützen auch Passwort-Manager teilweise
gegen Phishing, wenn man sehr genau darauf achtet, die Geheimnisse
sicher niemals auf falschen Seiten (manuell) einzugeben. Da das
Täuschen und Ausnutzen von menschlichen Schwächen hier allerdings der
Kern der Sache ist, würde ich meinen, dass im Allgemeinen
Passwort-Manager nicht immer gegen Phishing-Attacken schützen.

***** Passkeys oder FIDO2 - was soll ich nun nutzen?

Insofern sind beide Verfahren (FIDO2 als auch Passkeys) aktuell meiner
Einschätzung nach die crème-de-la-crème an Authentifizierungsmethoden.

Ob man FIDO2 oder Passkeys nutzt, kommt also darauf an, wie sehr man
dem Service-Provider von Passkeys vertrauen möchte und ob man die
30-70€ für einen FIDO2-Token scheut (oder besser zwei davon).

Meiner Meinung nach ist ein FIDO2-Token ein wunderbares
Geburtstags/Weihnachts-Geschenk und Firmen sollten neuen
Mitarbeiter:innen so ein Token-Paar am ersten Arbeitstag schenken und
eine entsprechen abgesicherte Authentifizierung bei allen internen und
externen Services einfordern.

Meiner Meinung nach gilt bei den MFA-Authentifizerungsmethoden
folgende Priorität:

- FIDO2 mit Hardware-Token
- Passkeys mit FIDO2-Hardware-Token

Dann folgt mal länger nichts.

- Passkeys in Software (weil Geheimnisse nicht garantiert gegen
  Auslesen geschützt sind)

Hier würde ich wieder eine Lücke einfügen.

- TOTP

Noch eine Lücke.

- proprietäre Auth-Apps
- SMS
- E-Mails

Hinweis: selbst die unsicherste MFA-Methode ist besser als nur
Benutzername/Passwort!

***** FAQ: Warum vertraust du den Verschlüsselungsalgorithmen zum Synchronisieren der Passkeys nicht?

Es ist nicht die Frage, ob ich einen eingesetzten
Verschlüsselungsalgorithmus vertraue, da der dazu verwendete Code
geheimgehalten wird. Insofern kommt man gar nicht zu der Frage, ob man
dem Algorithmus vertraust, wenn dieser nicht überprüfbar ist.

Es wäre notwendig zu wissen, welcher Algorithmus in welcher Art und
Weise wie gut implementiert wurde. Damit ist auch erst die
Client-Seite der Kommunikation abgedeckt.

Insofern kann man als IT-Security Mensch niemals dem Sync-Mechanismus
vertrauen, da man zu hundert Prozent den Aussagen des Konzerns Vertrauen
schenken müsste und so funktioniert nun mal IT-Security nicht.

Weiters kann sich die gesamte Situation mit jedem neuen Update der
proprietären Software ändern und müsste erneut beurteilt werden. Dazu
wird es nie kommen.

Und wie man in [[id:2016-11-12-cloud][meinem Cloud-Artikel]] lesen kann, ist Vertrauen in
Cloud-Anbieter eine allzu optimistische Sache, um es mal zurückhaltend
auszudrücken.

***** FAQ: Welche FIDO2-Hardware-Tokens man empfehlen kann?

Sorry, da bin ich überfragt, da ich aktuell keine Vergleiche kenne.
Ein Studierender, dessen Bakk-Arbeit zu dem Thema ich betreuen hätte
dürfen, ist leider von seiner Arbeit abgesprungen.

Falls du aus Österreich bist, solltest du dir überlegen, gleich einen
(leider teureren) Hardware-Token zuzulegen, der für die ID Austria
zugelassen ist. Die verlangt (aus eher nicht so ganz nachvollziehbaren
Gründen) eine strengere Zertifizierung nach [[https://fidoalliance.org/certification/authenticator-certification-levels/authenticator-level-2/][FIDO Level 2]] und [[https://www.a-trust.at/en/fido/][da wird der
Markt dünn]].

Ich persönlich nutze seit vielen Jahren SoloKeys (weitgehend [[https://de.wikipedia.org/wiki/Open-Source-Hardware][Open
Hardware]]) aber die zeigen mittlerweile ein paar Zerfallserscheinungen.
Ich muss bei Authentifizierungsprozesse öfters mehrfach probieren,
bevor es funktioniert. Für die ID Austria habe ich (vor dem
Bekanntwerden der Yubico-Schwachstelle) den "Yubico Security Key C
NFC" um (damals) 64€ gekauft und verwende ihn weiterhin auch mit der
fehlerhaften Firmware.

***** FAQ: Kann ich mit FIDO2 oder Passkeys Dateien verschlüsseln?

Nein.

FIDO2 Tokens oder Passkeys werden zur Authentifizierung bei Services im Webbrowser
verwendet.

***** FAQ: Was nützt mit FIDO2/Passkeys, wenn Angreifer sich mit Benutzername/Passwort weiterhin anmelden können?

Das kommt auf die Implementierung des jeweiligen Services an und wie
sie mit Fallback-Methoden umgehen.

Das hat weniger mit Passkeys oder FIDO2 an sich zu tun.

Ein Service könnte bei zwei registrierten CTAP2-tauglichen FIDO2
Tokens für Passkeys beispielsweise kein Fallback auf unsichere
Methoden erlauben. Ist nur eine Sache der Implementierung am Service.

Auch jetzt schon ist es oft so, dass Services bei FIDO2-Aktivierung
zumindest TOTP parallel erzwingen. Das ist meiner Meinung nach ein
guter Kompromiss, um einen zweiten Hardware-Token nicht voraussetzen zu
müssen und trotzdem ein halbwegs vertrauenswürdiges Fallback
bereitzustellen.

Weiters meiden sollte man Sicherheitsfragen wie "Was war der
Geburtsname Ihrer Mutter?" und so weiter. Entweder diese nicht nutzen
oder genauso wie Passworteingabefelder betrachten und entsprechende
sichere Passwörter in den Passwort-Manager mit aufnehmen.

Was hier als positiv noch dazukommt ist, dass bei der konsequenten
Verwendung von FIDO2/Passkeys ein Angreifer kaum an Username/Passwort
kommen kann. Vorausgesetzt, die Credentials sind vor der
Passkeys-Erstellung nicht bereits kompromittiert und die
Benutzer:innen sind nicht so doof, ihre [[id:2016-11-12-cloud][Credentials in einen
Cloud-Speicher zu laden]].

***** FAQ: Wie mache ich von meinen Passkeys eine Sicherungskopie?

Wenn man Passkeys mit Synchronisation mit Cloud-Diensten verwendet,
hat man das Backup sozusagen eingebaut, auf Kosten von Vertrauen und
teilweise auch Sicherheit.

Für alle anderen Fälle rate ich zu zwei CTAP2-fähigen FIDO2 Hardware-Tokens
mit ausreichend Speicherplätze für Passkeys. Die Wahrscheinlichkeit,
dass man beide Token gleichzeitig verliert, sollte minimiert werden.

Wenn man einen Passkeys-kompatiblen Passwort-Manager wie KeePassXC
einsetzt, so kann man dort auch die Geheimnisse sichern, indem man am
besten die verschlüsselte Datenbank in sein Backup miteinbezieht und
dafür sorgt, dass man im Katastrophenfall immer noch Zugriff auf das
Backup und dessen Entschlüsselungspassphrase hat.

***** FAQ: FIDO2/Passkeys werden sich nie so durchsetzen, oder?

Das könnte stimmen.

Meine Schätzung ist, dass die Megacorps Passkeys nun für sich entdeckt
haben. Sie können Passkeys in ihren Ökosystemen beliebig den
Benutzer:innen aufzwingen. Die meisten merken nicht mal den
Unterschied bis auf das, dass sie plötzlich ihre Accountdaten nicht
mehr eingeben müssen. Mobil muss man in der Praxis das jetzt bereits
ohnehin kaum ein zweites Mal beim selben Service.

Ich kann nur hoffen, dass der FIDO2-Support dadurch nicht weniger
wird, als er ohnehin schon ist.

***** FAQ: Warum soll ich Passkeys nutzen, wenn durch kommerzielle Tools wie Cellebrite Handys knackbar sind?

Man überschätzt die Wahrscheinlichkeit, dass das eigene Handy mit
sowas jemals in Kontakt kommt. Theoretisch stimmt das Risiko, ja.

Wenn man dermaßen hohe Sicherheitsanforderungen hat, dann setzt man
ohnehin auf FIDO2 Hardware-Token und nutzt wie oben beschrieben. Dann
muss man nur noch aufpassen, dass diese Token nicht in falsche Hände
gelangen.

***** FAQ: Wozu braucht es Passkeys, wenn es FIDO2, TOTP und andere Konzepte schon gibt?

Man ignoriert hier oft den Trade-Off, der sich hier dahinter versteckt.

Wenn man maximale Kontrolle und IT Sicherheit hat, hat man eh jetzt
schon FIDO2 Hardware-Tokens. Doch das wird leider für die Allgemeinheit
keine Lösung sein, denn da müsste man ja mal etwas Geld in die Hand nehmen
und das geht sich neben den vierstelligen Handyanschaffungskosten nie
im Leben aus, wie wir wissen.

Insofern ist gerade Passkeys der Kompromiss, der zumindest der breiten Masse
unter Verlust der alleinigen Kontrolle des Geheimnisses (was den
meisten bei deren Cloud-Nutzungsverhalten schon seit Jahren
vollkommen egal ist) sehr guten Schutz gegen Phishing und [[https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff][MITM]] bietet,
was kein anderes Verfahren liefert (außer FIDO2).

Für die Mehrheit, die mit "login with facebook/Google/..." kein
Problem haben und auch sonst alles in die Cloud schicken, macht es
keinen Unterschied.


Insofern hat Passkeys durchaus seine Rechtfertigung. Sogar ein
Einmal-Code via schwindeligem SMS ist besser als kein zweiter Faktor
und du insofern ist Passkeys durchaus eine gute Idee, wenn man sich
kein FIDO2 Hardware-Token leisten kann oder möchte.

Der Rest hat hoffentlich FIDO2-Tokens.

IT-Security ist immer ein [[https://de.wikipedia.org/wiki/Trade-off][Trade-Off]] zwischen
Benutzerfreundlichkeit/Bequemlichkeit und einem gewissen Grad an
Sicherheit.

***** Ausgewählte Links zum Thema FIDO2
:PROPERTIES:
:END:

- [2019-11-01 Fri]: [[https://marc.info/?l=openssh-unix-dev&m=157259802529972&w=2]['U2F support in OpenSSH HEAD' - MARC]]
- [2020-11-12 Thu]
  - https://webauthn.io/ → Test eines FIDO2-Tokens
  - [[https://www.spiegel.de/netzwelt/web/passwort-nachfolger-fido2-was-ist-das-und-wie-funktioniert-es-a-1291900.html][Passwort-Nachfolger Fido2: Was ist das und wie funktioniert es? - DER SPIEGEL]]
- [2021-01-09 Sat] Test FIDO2 devices: https://demo.yubico.com/webauthn-technical/registration
- [2022-04-19 Tue] [[https://www.heise.de/ratgeber/FAQ-Kennwoerter-FIDO2-und-TOTP-6660829.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Sicherheit fürs Anmelden: Was bei Kennwörtern, FIDO2 und TOTP zu beachten ist | heise online •]]
- [2022-05-05 Thu] [[https://www.heise.de/news/Passwort-Nachfolge-Apple-Google-und-Microsoft-unterstuetzen-erweitertes-FIDO-7076804.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passwort-Nachfolge: Apple, Google und Microsoft unterstützen erweitertes FIDO | heise online •]]
  - sichere und einfache Anmeldung ohne Passwörter auf allen Geräten und Plattformen
- [2022-06-01 Wed] Azure mit passwortloser Auth: via [[https://www.heise.de/forum/heise-online/Kommentare/Multi-Faktor-Authentifizierung-Microsoft-will-60-Millionen-Accounts-absichern/Re-Solange-das-kein-simples-TOTP-oder-FIDO2-ist-ist-es-Marketing-nicht-Sicher/posting-41074366/show/][Re: Solange das kein simples TOTP oder FIDO2… | Forum - heise online]]
  - [[https://blog.icewolf.ch/archive/2020/03/13/azure-ad-authentication-with-fido2-security-key/][Azure AD Authentication with FIDO2 security key - Icewolf Blog]]
  - [[https://docs.microsoft.com/de-de/azure/active-directory/authentication/concept-authentication-passwordless][Kennwortlose Anmeldung bei Microsoft Entra - Microsoft Entra ID | Microsoft Learn]]
- [2022-06-08 Wed] [[https://www.heise.de/news/Apple-verabschiedet-sich-vom-Passwort-So-sehen-Logins-in-Zukunft-aus-7134475.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Apple verabschiedet sich vom Passwort: So sehen Logins in Zukunft aus | heise online •]]
- [2022-07-03 Sun] [[https://www.heise.de/news/Abschaffung-der-Passwoerter-Google-will-FIDO-Indentitaet-Ende-zu-Ende-sichern-7160044.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Abschaffung der Passwörter: Google will FIDO-Indentität Ende-zu-Ende sichern | heise online •]]
- [2022-10-25 Tue] [[https://www.heise.de/news/PayPal-Passkey-statt-Passwort-fuer-Apple-Nutzer-7320313.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• PayPal: Passkey statt Passwort für Apple-Nutzer | heise online •]]
- [2022-10-27 Thu] [[https://www.heise.de/forum/heise-online/Kommentare/PayPal-Passkey-statt-Passwort-fuer-Apple-Nutzer/Re-Fido2-Fido1-Stick/posting-41809212/show/][Kommentar]]: Was muss man bei FIDO2 alles /nicht/ machen, wenn der Schlüssel verloren geht
- [2022-11-22 Tue] [[https://www.heise.de/news/Passwort-Manager-1Password-ruestet-sich-fuer-passwortlose-Zukunft-7349247.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passkeys: 1Password rüstet sich für passwortlose Zukunft | heise online •]]
- [2023-01-10 Tue] https://social.bund.de/@bsi/109663816286446778
  - Das [[https://social.bund.de/tags/BSI][#BSI]] hat die User Guidance zum zertifizierten [[https://social.bund.de/tags/OpenSource][#OpenSource]]
    FIDO-Token-Demonstrator »de.fac2«, konkret dem darauf laufenden
    »FIDO U2F Authenticator Applet, v1.34«, angepasst:
    [[https://github.com/BSI-Bund/de.fac2/blob/master/docs/developer_documentation/BSI_de.fac2_AGD_v1.4.pdf][https://github.com/BSI-Bund/de.fac2/blob/master/docs/developer_documentation/BSI_de.fac2_AGD_v1.4.pdf]]
  - Bei einem [[https://social.bund.de/tags/FIDO][#FIDO]]-Token erfolgt der „Presence Check“ dadurch, dass
    das Token in einen Chipkartenleser gesteckt oder ins NFC-Feld
    gehalten wird - die überarbeitete User Guidance beschreibt noch
    genauer dadurch mögliche Angriffsszenarien.

- [2023-05-04 Thu] IAIK-Vorlesung "Secure Application Design (SS 2023)" (Course Number 705056 and 705057)
  - https://www.iaik.tugraz.at/course/secure-application-design-705056-sommersemester-2023/
    - "Authentication" → https://seafile.iaik.tugraz.at/seafhttp/files/42d45353-27c1-416c-8e39-5f748a09f4ac/authentication.pdf
      - ab S. 13: TOTP
      - ab S. 25: WebAuthn (with FIDO2)
      - ab S. 47: Passkeys

- [2023-05-07 Sun] [[https://www.yubico.com/blog/austrian-government-adds-yubikey-support-to-its-national-electronic-identification-system/?utm_source=Twitter&utm_medium=unpd%3Asocial][Austrian government adds YubiKey support to its national electronic identification system - Yubico]] FIDO2
- [2023-12-16 Sat] [[https://help.orf.at/stories/3222650/][FIDO-Tokens: Login ohne Smartphone - help.ORF.at]] + Passkeys
- [2024-01-17 Wed] [[https://www.heise.de/tests/Getestet-FIDO-Smartcard-mit-Fingerabdrucksensor-9599895.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Das Passwort im Portemonnaie: FIDO2-Smartcard im Test | heise online •]]
- [2024-10-10 Thu] Proton Account supports FIDO2: [[https://proton.me/support/2fa-security-key][How to use a 2FA security key to protect your Proton Account | Proton]]


***** Ausgewählte Links zum Thema Passkeys
:PROPERTIES:
:END:

- [2022-06-06 Mon] [[https://blog.lastpass.com/2022/06/lastpass-is-first-password-manager-committed-to-a-fido-supported-passwordless-future/][LastPass is First Password Manager Committed to a FIDO-Supported Passwordless Future - The LastPass …]]
  - https://www.lastpass.com/solutions/passwordless-access

- [2022-10-12 Wed] [[https://security.googleblog.com/2022/10/SecurityofPasskeysintheGooglePasswordManager.html][• Google Online Security Blog: Security of Passkeys in the Google Password Manager •]]

- [2022-05-31 Tue] [[https://www.yubico.com/blog/a-yubico-faq-about-passkeys/][A Yubico FAQ about passkeys | Yubico]]

- [2023-05-03 Wed] Google enables Passkeys: [[https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/][Passkeys: What they are and how to use them]]
  - dazu: [[https://www.heise.de/news/Durchbruch-fuer-Passkeys-Google-Zugang-ab-sofort-auch-ohne-Passwoerter-8986030.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passkeys sind die Zukunft: Google will sich von Passwörtern verabschieden | heise online •]]

- [2023-05-19 Fri] [[https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passkeys: Wie ein Account ohne Passwort funktioniert | heise online •]]

- [2023-06-06 Tue] [[https://www.heise.de/news/Passkeys-Google-schaltet-die-Anmeldung-ohne-Passwoerter-frei-9178941.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Mehr Sicherheit mit Passkeys: Google startet jetzt den Abschied vom Passwort | heise online •]]

- [2023-06-21 Wed] [[https://www.heise.de/news/Passwortlose-Anmeldung-Apple-ID-erhaelt-ab-iOS-17-automatisch-einen-Passkey-9193472.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passwortlose Anmeldung: Apple-ID erhält ab iOS 17 automatisch einen Passkey | heise online •]]

- [2023-07-12 Wed] [[https://www.heise.de/news/Passwortlos-anmelden-bei-GitHub-Passkeys-in-der-Beta-9213555.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passwortlos anmelden bei GitHub: Passkeys in der Beta | heise online •]]

- [2023-07-14 Fri] [[https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/][How Hype Will Turn Your Security Key Into Junk]]

- [2023-10-11 Wed] [[https://www.heise.de/news/Google-Anmeldung-jetzt-standardmaessig-ohne-Passwort-9331554.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Passwortlos zur nächsten Anmeldung: Google steigt jetzt auf Passkeys um | heise online •]]

- [2023-12-02 Sat] [[https://www.heise.de/meinung/Kommentar-Passkeys-sind-toll-fuers-Internet-und-schwierig-in-Unternehmen-9543202.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Kommentar: Passkeys sind toll fürs Internet – und schwierig in Unternehmen | heise online •]]
  - Doch alles hat einen Haken: In vielen Unternehmen ist es gängig,
    Passwörter unterschiedlicher Dienste automatisch zu synchronisieren.
    So wird aus einem lokalen Passwort für den eigenen User und die
    Keychain auch das Passwort fürs Active Directory oder den
    Entra-ID-/Microsoft-Account. Das bedeutet vor allem eins: Hier
    werden – richtig! – Passwort-Hashes durch den Äther gepustet. Wenn
    das dann auch noch schwache NTLM-Hashes sind, ist die Sicherheit
    schnell futsch und die Passkey-Wallet gleich mit.
  - Es gibt also weiterhin Fallstricke: Beim Roll-out des
    Identity-Management-Systems bitte überdenken, ob man Passwörter, die
    als Eingabe für eine KDF benutzt werden, wirklich synchronisieren
    will.

- [2023-12-13 Wed] Discussion on FIDO2 vs. Passkeys on https://infosec.exchange/@hertg/111572568949917324

- [2023-12-16 Sat] [[https://help.orf.at/stories/3222650/][FIDO-Tokens: Login ohne Smartphone - help.ORF.at]] + Passkeys

- CCCamp23: https://media.ccc.de/v/camp2023-57174-fido2

- [2024-01-12 Fri] [[https://www.heise.de/news/Bitwarden-legt-Passkey-Unterstuetzung-fuer-Web-App-nach-9595697.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Bitwarden legt Passkey-Unterstützung für Web-App nach | heise online •]]

- [2024-02-22 Thu] [[https://www.heise.de/news/Playstation-unterstuetzt-jetzt-Passkeys-9635906.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Playstation unterstützt jetzt Passkeys | heise online •]]

- [2024-03-10 Sun] [[https://keepassxc.org/blog/2024-03-10-2.7.7-released/][KeePassXC 2.7.7 released – KeePassXC]] → Passkeys Support → https://keepassxc.org/docs/KeePassXC_UserGuide#_passkeys

- [[https://www.passkeys.io/who-supports-passkeys][Who supports passkeys?]]
  - [[https://www.passkeys.io/compatible-devices][Passkeys: Device and Browser Compatibility]]

- [2024-04-26 Fri] https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/
  - *Passkeys as a lock-in factor*
  - "Apple Keychain has personally wiped out all my Passkeys on three
    separate occasions. There are external reports we have recieved of
    other users who's Keychain Passkeys have been wiped just like
    mine."
  - "At this point I think that Passkeys will fail in the hands of the
    general consumer population. We missed our golden chance to
    eliminate passwords through a desire to capture markets and
    promote hype."

- [2024-04-26 Fri] [[https://www.heise.de/news/Drei-Fragen-und-Antworten-Warum-Passkeys-besser-sind-als-Passwoerter-9700063.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Drei Fragen und Antworten: Mit Passkeys aus dem Passwörter-Elend?​ | heise online •]]

- [2024-06-13 Thu] [[https://www.heise.de/news/Amazon-AWS-baut-Multi-Faktor-Anmeldung-Pflicht-aus-und-unterstuetzt-Passkeys-9761514.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Amazon AWS baut Multi-Faktor-Anmeldung-Pflicht aus und unterstützt Passkeys | heise online •]]

- [2024-06-21 Fri] [[https://www.heise.de/ratgeber/FAQ-Fragen-und-Antworten-zu-Passkeys-9756135.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• FAQ: Fragen und Antworten zu Passkeys | heise online •]]

- [2024-09-07 Sat] [[https://www.heise.de/news/Durchbruch-fuer-Passkeys-Google-synchronisiert-Schluessel-automatisch-9860485.html][• Durchbruch für Passkeys? Google synchronisiert Schlüssel automatisch | heise online •]]
  - Passkey unter Android erzeugt, kann ihn künftig automatisch mit seinem Windows- oder macOS-Rechner verwenden
  - Chrome als Webbrowser mitsamt dem eingebauten Google Password Manager (GPM)
  - Google will den Quellcode der Software außerdem künftig offenlegen.

- [2024-09-09 Mon] Amazon und Passkeys: https://www.amazon.de/gp/help/customer/display.html?nodeId=TPphmhSWBgcI9Ak87p
  - erwähnt nur Cloud-Sync und keine HW-Tokens.

- [2024-09-19 Thu] [[https://www.heise.de/news/Google-PIN-Schutz-fuer-Passwort-Manager-und-Passkey-Sync-nun-offiziell-9910857.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Google: PIN-Schutz für Passwort-Manager und Passkey-Sync nun offiziell | heise online •]]
- [2024-10-01 Tue] [[https://www.heise.de/news/BSI-empfiehlt-die-Nutzung-von-Passkeys-9959270.html][• BSI empfiehlt die Nutzung von Passkeys | heise online •]]

- [2024-10-09 Wed] [[https://www.heise.de/news/Samsung-bringt-Passkeys-auf-seine-Smarthome-Geraete-9974767.html][• Samsung bringt Passkeys auf seine Smarthome-Geräte | heise online •]]

- [2024-10-09 Wed] [[https://www.heise.de/news/Windows-11-soll-Passkeys-kuenftig-zwischen-Geraeten-synchronisieren-koennen-9975539.html?wt_mc=rss.red.ho.ho.atom.beitrag.beitrag][• Windows 11 soll Passkeys künftig zwischen Geräten synchronisieren können | heise online •]]
  - "Mit Windows Hello erstellte Passkeys werden bisher lediglich
    lokal auf dem Gerät gesichert, mit der Neuerung wandern sie
    wahlweise in die Microsoft- oder in die Cloud eines
    Passwortmanagers."

- [2024-10-10 Thu] [[https://www.heise.de/news/Passkeys-Neue-Apple-Passwoerter-App-koennte-fuer-schnellere-Verbreitung-sorgen-9974262.html][• Passkeys: Neue Apple-Passwörter-App könnte für schnellere Verbreitung sorgen | heise online •]]