🚀 Say goodbye to passwords! Microsoft is pushing for a passwordless future with passkeys that are more secure and user-friendly. 🔐✨ No more forgetting passwords—just use your face or fingerprint! 👤🖐️ Join the movement towards better security and ease of access. Check out the full story here: techradar.com/pro/security/mic… #Microsoft #Passkeys #Cybersecurity #PasswordlessFuture #newz
Microsoft really wants users to ditch passwords and switch to passkeys
Time to forget that password you've used since the age of 12Benedict Collins (TechRadar pro)
jakob 🇦🇹 ✅
in reply to nemo™ 🇺🇦 • • •@nemo™ 🇺🇦
Ich hab lang nicht verstanden, was Passkeys sind... las nur immer davon.
Schließlich hab ich mich eingehender damit beschäftigt.
Das Konzept ist der Pubkey-Authentifizierung bei der SSH sehr ähnlich.
Du hast einen Private-Key und einen dazugehörigen Public-Key. Den Public-Key hinterlegst du beim Webservice.
Wenn du dich authentifizierst, gibts einen Vergleich des Private-Keys mit dem Public-Key, ob die zusammenpassen, und wenn ja, darfst du beim Webservice rein.
Und so wie bei ssh funktioniert das nur von einem einzigen Gerät aus. Dort wo eben der Privat-Key hinterlegt ist.
Man benötigt also noch einen Mechanismus, den Private-Key auf andere Geräte zu verteilen... Das was Microsoft und Google hier anbieten ist ein gesyncter Storage. Bei Google ist es ja so, dass die allermeisten Android-User den Android-Eigenen Password-Store verwenden. Der wird mit jedem Gerät
... Show more...@nemo™ 🇺🇦
Ich hab lang nicht verstanden, was Passkeys sind... las nur immer davon.
Schließlich hab ich mich eingehender damit beschäftigt.
Das Konzept ist der Pubkey-Authentifizierung bei der SSH sehr ähnlich.
Du hast einen Private-Key und einen dazugehörigen Public-Key. Den Public-Key hinterlegst du beim Webservice.
Wenn du dich authentifizierst, gibts einen Vergleich des Private-Keys mit dem Public-Key, ob die zusammenpassen, und wenn ja, darfst du beim Webservice rein.
Und so wie bei ssh funktioniert das nur von einem einzigen Gerät aus. Dort wo eben der Privat-Key hinterlegt ist.
Man benötigt also noch einen Mechanismus, den Private-Key auf andere Geräte zu verteilen... Das was Microsoft und Google hier anbieten ist ein gesyncter Storage. Bei Google ist es ja so, dass die allermeisten Android-User den Android-Eigenen Password-Store verwenden. Der wird mit jedem Gerät wo du dich mit deinem Google-Account anmeldest gesynct. Das heißt, der Private-Key wird so auf alle deine Endgeräte verteilt.
Microsoft macht das genauso.
Der Password-Store (oder Password-Manager) liegt dabei auf Servern bei Google oder Microsoft... Man kann diesen Unternehmen nun vertrauen... oder nicht. Ich hab mich dafür entschieden, denen nicht zu trauen. Also werde ich einen Teufel tun und meine Zugänge über ein Google- oder Microsoft-Konto zu synchronisieren.
Es gibt aber alternativen.
Die sicherste ist wohl ein Yubikey (oder ähnliche Produkte), auf denen man auch Passkeys (also Private-Keys) ablegen kann. Dann benötigt man diesen Yubikey physisch im USB-Port. Wenn eine Website dann einen Passkey abfrägt, entsperrt man den Yubikey 1x mit seinem Pin und schon ist man auf der Website eingeloggt.
Das funktioniert dann auch am Smartphone. Nur muss eben der Yubikey präsentiert werden (USB, NFC...)
Oder man verwendet Bitwarden/Vaultwarden. Die Bitwarden-App auf Android Linux, Browser-Addon (ich nehme an auch für iOS) kann ebenfalls diese Passkeys verwalten und synchronisieren.
Mit vaultwarden steht auch ein relativ einfach zu installierender Server zur Verfügung ( Mit docker kann man den hosten) der mit den Bitwarden-Clients funktioniert.
Und schon hat man selfhosted (oder von einem Bitwarden/Vaultwarden Provider) eine ebenso komfortable Lösung und muss Microsoft oder Google keinen einzigen seiner Passkeys (Privatekeys) anvertrauen.
nemo™ 🇺🇦
in reply to jakob 🇦🇹 ✅ • • •@jakob Korrekt. Man kann statt der Services von Google, Microsoft, Apple etc. auch selbst die Keys auf einem YubiKey oder einem geeigneten NitroKey, NitroKey Passkey oder ähnlichem ablegen oder die Bitwarden-App etc.
Die Verbraucherzentrale NRW hat dazu auch einen nicht so technischen Beitrag erstellt.
verbraucherzentrale.nrw/wissen…
shop.nitrokey.com/de/shop/nkpk…
Interessant ist auch folgendes. Danke an 𝕂𝚞𝚋𝚒𝚔ℙ𝚒𝚡𝚎𝚕™
golem.de/news/chance-verpasst-…
Passkeys als Alternative zu Passwörtern | Verbraucherzentrale NRW
Verbraucherzentrale NRWjakob 🇦🇹 ✅ likes this.
jakob 🇦🇹 ✅
in reply to nemo™ 🇺🇦 • • •Nitrokey empfehle ich seit dem Disaster um den Nitrokey 3 nicht mehr.
Auch der Nitrokey-HSM, der Jahr und Tag in einem Döschen liegt, und vielleicht 20 oder 30 Mal zum Signieren im Einsatz war, zerbröselt schon...
nemo™ 🇺🇦
in reply to jakob 🇦🇹 ✅ • • •Muss jeder am Ende selber wissen. Hauptsache, es gibt Auswahl.
jakob 🇦🇹 ✅
in reply to nemo™ 🇺🇦 • • •@nemo™ 🇺🇦
Ja die yubikeys haben aktuell ein Firmware-Problem...
Nur die Nitrokeys 3 waren fehlerhaft. PKCS11 hab ich nie zum laufen gebracht, die gpg-Implementierung hat mir bei bestimmten Operationen immer den ganzen Key unbrauchbar gemacht und ich musste ihn neu generieren (was bei GPG, wenn man es für Email verwendet, keine so großartige Idee ist...)
Fido ging... das war aber auch schon alles.
nemo™ 🇺🇦
in reply to jakob 🇦🇹 ✅ • • •jakob 🇦🇹 ✅
in reply to nemo™ 🇺🇦 • • •@nemo™ 🇺🇦
Yep. Natürlich haben beide ihre Daseinsberechtigung.
Aber über ein Jahr nach Bestellen und Bezahlen auf den Key warten zu müssen... dann einen dysfunktionalen Key kriegen, dann noch Features rausschmeißen, weswegen ich den Key eigentlich gekauft habe, dann noch patzig auf Kritik an all dem und weiteren Dysfunktionalitäten reagieren... Und ich müsse das verstehen, dass das noch immer (2 Jahre nach dem Erhalt der Keys, also 3 Jahre nach der Bestellung) nicht funktioniert...
nein... für Nitrokey finde ich kein gutes Wort mehr. :)
Und ich hör auch schon auf... ich merk grad, wie mein Blutdruck zu steigen beginnt, weil ich mich gedanklich wieder mit dem Schmarrn auseinandersetze...