Post AykwF3CD4BCms92Neq by jack@gruene.social
 (DIR) More posts by jack@gruene.social
 (DIR) Post #AykJVyPmCQtIkpSgNs by bsi@social.bund.de
       2025-09-30T10:35:14Z
       
       0 likes, 0 repeats
       
       🔑 Passkeys sind eine Alternative zu Passwörtern und bieten einen Schutz vor Phishing-Angriffen. Hierfür benötigt die Webseite allerdings einen #Passkey Server.💬 Wir laden euch ein, die Technische Richtlinie TR-03188 „Passkey Server“ bis zum 16.11.2025 zu kommentieren. 📋️ Die TR-03188 richtet sich an alle, die eine Webseite betreiben. Ziel ist es, Passkeys als Stand der Technik zu definieren.👉️ https://www.bsi.bund.de/dok/1183134
       
 (DIR) Post #AykJVzSeJEmc01oUV6 by publicvoit@graz.social
       2025-09-30T22:44:06Z
       
       0 likes, 0 repeats
       
       @bsi Sorry, meiner Auffassung nach ist es falsch, dass #Passkeys prinzipiell gegen #Phishing schützen, sofern man nicht nur auf #FIDO2 Hardware-Tokens einschränkt: https://karl-voit.at/FIDO2-vs-Passkeys/Wir verspielen unser Renommee, wenn wir das ständig wiederholen.Ja, ein #Passkey ist vermutlich das Beste, was man aktuell nutzen kann, wenn man kein FIDO2 hat aber es ist leider nicht mehr so, dass in keinem Fall Phishing gemacht werden kann. Bitte lest euch das oben referenzierte Paper durch.#publicvoit #Authentifizierung #Sicherheit
       
 (DIR) Post #AykwEukcSsNkgG4EXg by jack@gruene.social
       2025-10-01T05:57:57Z
       
       0 likes, 0 repeats
       
       @publicvoit@bsi Spielen wir hier gerade #Bullshitbingo?Aus Deinem Papier:> Phishing-Schutz>> Sowohl FIDO2 als auch Passkeys schützen vom Prinzip her gegen Phishing, da das Geheimnis niemals an Angreifer übertragen werden kann. Und das sind derzeit die einzigen beiden praktisch verbreiteten Verfahren, die in jedem Fall gegen Phishing schützen. Auch vermisse ich in Deinem Papier die Erklärung, wie genau der Phishing-Schutz funktioniert. Bitte
       
 (DIR) Post #AykwF3CD4BCms92Neq by jack@gruene.social
       2025-10-01T05:57:58Z
       
       0 likes, 0 repeats
       
       nachbessern. (Was passiert denn mit der URL der Webseite wo sich authentifiziert wird?)Im Übrigen heißt der Standard #FIDO2 und einige Konzerne nutzen das Wort Passkey fürs Marketing. Aber eigentlich ist es das Selbe.@publicvoit @bsi
       
 (DIR) Post #Ayl6sESc7MyIe023lY by publicvoit@graz.social
       2025-10-01T07:57:13Z
       
       0 likes, 0 repeats
       
       @jack @bsi Danke, du hast wirklich eine Stelle gefunden, die offenbar vor meinem Update bzgl. verlorenem #Phishing-Schutz geschrieben wurde. Werde ich aktualisieren. Danke!Kurz: mit Einführung der neuen Bequemlichkeitsfunktionen, dass man #Passkey-Geheimnisse nicht nur zwischen seinen Geräten via Cloud synchronisieren kann, sondern auch ggf. temporär einer anderen Person übertragen kann, hat #Passkeys den absoluten Phishing-Schutz geopfert. Klassisches social Engineering wurde wieder möglich. Davor war die Aussage korrekt, danach nicht mehr, die alten Aussagen werden jedoch weiterhin wiederholt. 😔
       
 (DIR) Post #Ayl72iJtxKDm9CxHQe by publicvoit@graz.social
       2025-10-01T07:59:06Z
       
       0 likes, 0 repeats
       
       @jack @bsi Ad Standard und Passkeys/FIDO2: das ist leider ein komplexes Thema. Man kann sich nur nach FIDO2 standardisieren lassen, nicht nach Passkeys. Passkeys ist sozusagen ein Marketingbegriff der großen Konzerne, die das treiben und selbst implementiert haben. Das ist schon mal ein Unterschied.Mathematisch sind die Geheimnisse bei FIDO2 und Passkeys gleich. Somit könnte man sagen, dass sie das Selbe sind.Aber bei Passkeys kommt sehr an Prozessen "rundherum" dazu, das es bei FIDO2 nicht gibt und zudem noch proprietär implementiert wird. Daher bin ich der Auffassung, dass es zwei unterschiedliche Dinge sind. Aber hier streiten sich auch die Experten. 🤷
       
 (DIR) Post #Aym0i3676Z97wLEFiy by jack@gruene.social
       2025-10-01T18:22:49Z
       
       0 likes, 0 repeats
       
       @publicvoitHi Karl,das klingt tatsächlich nach einer blöden Implementierung. 🙄Ich muss auch gestehen, ich komme mit deinem Blog nicht ganz klar. Kannst Du mir einen Link zu der Seite oder einen HTML-Anker schicken wo genau was zu dem "temporären Übertragen " steht?THX🙏
       
 (DIR) Post #AymI6I6aemDoekb5DE by publicvoit@graz.social
       2025-10-01T21:37:36Z
       
       0 likes, 0 repeats
       
       @jack Ich bin auf dieses Feature nicht im Detail eingegangen, weil es für die Meisten meiner Zielgruppe unerheblich ist.https://karl-voit.at/FIDO2-vs-Passkeys/Du findest mehr davon in den Marketing-Broschüren bei den Anbietern, die hier verschieden weit sind.Hier feiert die Presse den Fakt, dass man endlich die Geheimnisse exportieren kann, was man ebenso zu einem Angriff nutzen kann:https://9to5mac.com/2025/06/13/ios-26-passkeys-password-transfer/https://www.macobserver.com/news/apple-will-finally-let-you-take-your-passkeys-with-you/https://www.howtogeek.com/how-to-migrate-to-apple-passwords-from-any-other-app/ "If you often have to share some account credentials with family or friends, the Passwords app offers a built-in way to do that seamlessly. You can create a Shared group in the app and share the passwords, passkeys, or "Sign in with Apple" credentials with the group members. It's safe and secure." 🤦‍♂️  -> das freut das Herz eines Phishers. 🤡