fsebugoutzone.org:9999

Post AzwHwZLvlJeFlQPCbY by kevinreddot@ioc.exchange
(DIR) More posts by kevinreddot@ioc.exchange
(DIR) Post #AzwGKS5KEfH6GTtnTU by cryptgoat@fedifreu.de
2025-11-05T14:56:52Z

0 likes, 0 repeats

🔑 Ich habe mich nach längerer Zeit anlässlich eines Vortrags wieder etwas intensiver mit #Passkeys befasst, nachdem ich schon selbst eine Hand voll davon im Einsatz hatte. Eigentlich sollen uns Passkeys ja das bequeme und vor allem sichere Authentifizieren gegenüber Diensten ermöglichen.Boah, ist der aktuelle Zustand nach wie vor ernüchternd. 🫠 Ein Thread. (1/3)#Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn #Security

(DIR) Post #AzwGfk7mMNYgILCOYq by cryptgoat@fedifreu.de
2025-11-05T15:00:43Z

0 likes, 0 repeats

Die Liste der praktischen Probleme ist lang:#Apple, #Microsoft, und #Google bieten alle Passkeys an, machen aber alle ihr eigenes Ding mit unterschiedlichen Workflows und Speicheroptionen. Aber Hauptsache die Nutzer nutzen ihre Dienste und man hat es möglichst schwer zu wechseln.Einen sicheren Export und Import von Passkeys gibt es in der Praxis derzeit nicht. Offizielle Spezifikationen der FIDO-Allianz gibt es seit letztem Jahr, aber wirklich umgesetzt hat das niemand. Apple hat das für iOS und macOS 26 mal angekündigt, aber ich finde dafür keine Anhaltspunkte.Passkeys werden fast nirgend als echter Passwortersatz unterstützt. Dazu müsste man die Nutzung von Passwörtern unterbinden können. Geht bei Microsoft Entra ID, sonst fällt mir nix ein. Dann kann das Hacken und Phishing ja fröhlich weiter gehen! :awesome: (2/3)#Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

(DIR) Post #AzwH8DmDhtdiMsh78i by cryptgoat@fedifreu.de
2025-11-05T15:05:52Z

0 likes, 0 repeats

Eigentlich lassen sich Passkeys u.a. über einen plattformübergreifenden Passwortmanager wie #Bitwarden bequem nutzen. Aber viele Dienste - u.a. PayPal und Nintendo - wollen, dass ich a) bitte ein Smartphone nutze und b) dann Chrome oder Safari am Start habe. 😩 Mal werden Passkeys als Alternative zum Passwort angeboten, weniger oft ausschließlich als weiterer Faktor, und manchmal auch beides. Wer soll da durchblicken? 😵‍💫 [Und dann lässt #KeePassXC einfach den Klartext-Export des Passkeys (also den geheimen Schlüssel) im Klartext zu.](github.com/keepassxreboot/keepassxc/issues/10407). Ich verstehe den Gedanken, die Nutzer*innen sollen möglichst frei in ihren Entscheidungen sein - dazu nutzen viele den #KeePass-Standard. Aber irgendwie kommt das ganz schön mit den angedachten Grundprinzipien von Passkeys in Konflikt.Passwörter werden wohl zu unseren Lebzeiten nicht verschwinden, aber ich zweifel gerade, wann (und ob überhaupt jemals) Passkeys einfach genug sind, dass auch Nicht-Techies sie bequem benutzen können. Google, Microsoft und Apple haben jedenfalls einiges dazu beigetragen, dass alles wieder furchtbar kompliziert ist, weil jeder sein eigenes Süppchen kocht und es doch besser weiß, wie es geht.(3/3)#Apple #Microsoft #Google #Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn

(DIR) Post #AzwHwZLvlJeFlQPCbY by kevinreddot@ioc.exchange
2025-11-05T15:15:09Z

0 likes, 0 repeats

@cryptgoat platform-bound passkeys are an equivalent of OIDC-based “platform login” (like “login with Apple” or “login with Google”) for almost all practical purposes. They are even worse, because if an account is compromised and later recovered, the OIDC-based login remains secure, whereas stored passkeys are gone for good.This explains why platforms are so interested in supporting passkeys and in the same time are so disinterested in allowing secure cross-platform migration. Passkeys are the way to bound users to the platform, not to provide security.I think for corp IdP security teams will have to insist on using attested keys. I am also to sure, if resident keys are any better then non-resident keys.

(DIR) Post #AzwIMstfigkXuNjg8W by ljrk@todon.eu
2025-11-05T15:19:55Z

0 likes, 0 repeats

@cryptgoat Jup. Am besten macht&#39;s da tatsächlich Apple, selbst der Export nach Dashlane &amp; Bitwarden (bzw. jedem anderen PW Mgr der die API implementiert) funktioniert schon genau so wie man&#39;s erwarten würde:Passwords -&gt; ... -&gt; Export Data to Another AppMich nervt&#39;s auch total, dass das nicht als PW-Ersatz gebaut wird. Bei der @freieuniversitaet werde ich erst nach PW gefragt, dann nach meinem Passkey. Danke für nix.An sich finde ich es ja fein, wenn man als weiteren Faktor nochmal FIDO2 einsetzt, und dann auch so, dass forciert wird, dass das ein separates Gerät (Smartphone, YubiKey, ...) ist. Nicht für 90% der Anwendungen, dort sollte ein softer Passkey ausreichen, aber wenn ich bei besonders sensiblen Anwendungen noch einen physischen FIDO2 Token als weiteren Faktor nutzen kann – warum nicht.So wie&#39;s jetzt ist ist&#39;s Chaos.

(DIR) Post #AzwIeVfcoXxH5KZOUK by cryptgoat@fedifreu.de
2025-11-05T15:22:55Z

0 likes, 0 repeats

@ljrk Ah, immerhin hat Apple den Export dann tatsächlich wie spezifiziert umgesetzt. @freieuniversitaet

(DIR) Post #AzwJMzjCQDZN35SBxw by ljrk@todon.eu
2025-11-05T15:31:10Z

0 likes, 0 repeats

@cryptgoat @freieuniversitaet Yep. Und bin nun wirklich kein Apple Fan, muss jetzt seit 2 Jahren mich mit macOS rumschlagen. Aber hier haben die echt ordentliche Arbeit gemacht. Passkey-Systemintegration auf Linux ist auch bejammernswert. Ich hoffe, dass oo7 da gleich alles richtig macht, wenn&#39;s den secret-service ablöst.

(DIR) Post #AzwsJz1i4PZsOsPZBo by publicvoit@graz.social
2025-11-05T22:02:46Z

0 likes, 0 repeats

@cryptgoat Weiters wurden aus Gründen der Coolness Funktionen entwickelt, die den Phishingschutz ausgehebelt haben, von dem die meisten Leute weiterhin tlw. fälschlich schwärmen: https://karl-voit.at/FIDO2-vs-Passkeys/ 🙄