Passkey

Würde mich bei dem Laden nicht wundern. Die erlauben auch nur einen einzigen FIDO Key, anstatt mehrerer FIDO Keys.

Da hab ich mal eine Frage zu Passkey.

Kann man eigentlich Passkey und ein Passwort zum Login bei Diensten oder Seiten auch gleichzeitig nutzen?

Zum Beispiel wenn der das ich mich bei Amazon entweder mit dem Passwort oder mit Passkey einlogge.

Quote from Bulvai

Gerade mal ausprobiert. Geht beides. Wobei man eigentlich das Paßwort abschalten sollte. Das Paßwort ist die unsichere Variante und kann gestohlen werden.

Exakt.

Daher sollte man immer ein Backup des Schlüssels in Form eines Zweitschlüssels haben, falls der erste Schlüssel verloren geht. Wenn man diese Taktik verfolgt, braucht es in der Theorie keine Passwörter mehr.

Super. Vielen Dank.

Dann werde ich mich mal näher mit Passkey beschäftigen.

Quote from Bulvai

Sollte mir dann vielleicht als Zweitschlüssel doch mal einen Yubikey zulegen.

Ich habe einen Yubikey und wollte mir Bitwarden und iOS Passkeys als Zweitschlüssel zulegen. Irgendwie ist das Ganze dann gekippt und plötzlich ist der Yubikey der Zweitschlüssel. Sicher, weil ich so mega faul bin und es mich nervt, bei Bedarf runter gehen zu müssen, die Gürteltasche zu holen und den Yubikey da heraus zu nehmen. Da geht das softwareseitig doch bedeutend schneller und leichter.

Quote from Bulvai

Sollte mir dann vielleicht als Zweitschlüssel doch mal einen Yubikey zulegen.

Ich habe mehrere Yubikeys im Einsatz. Am Schlüsselbund, fest am heimischen PC und dann noch Backups. Die am Schlüsselbund nutze ich auch per NFC oder USB-C am Handy. Bei der Einrichtung neuer Passkeys oder OTPs muss ich zwar alle einmal anstecken. Dafür ist das Handling nachher einfacher.

Funktioniert alles gut.

Nur Paypals Passkey-System geht nicht - nur das OTP geht.

Die meisten Passwort Manager können PassKeys verwalten. Was ich jetzt bei Android aber nicht weiss ist ob die Passwortmanager das jeweils eigen implementiert haben oder (was ich eher annehme) eine Funktion von Android verwenden um PassKeys zu lesen bzw. zu schreiben.

Wenn dein alternatives OS dann diese API nicht hat werden die Apps wohl auch keinen PassKey Support anbieten.

Quote from Bulvai

Wobei man eigentlich das Paßwort abschalten sollte.

Moin, da ich seit Jahren, drei Yubikey besitze, immer mal wieder angefangen und aufgehört habe, wäre hier die Frage... wie lassen sich denn bei Anbietern wie Amazon, die Kennwörter komplett "weg" knipsen, sobald ein Passkey hinterlegt ist?

Der Plan war bisher immer, im Google Konto alles raus was nicht sein muss, nur Yubikey rein, fertig. Das gleiche dann beim Bitwarden und KeePassXC Datenbank wird auch mit Yubikey zusätzlich abgesichert. Allerdings kann man die bereits im Google Konto hinterlegten Smartphones als Passkey nicht raus werfen und bei Diensten wie Amazon oder Bitwarden habe ich noch nicht gesehen, dass ich Passwordless-Login ausführen kann. Vielleicht bin ich auch nur blind...

Quote from Domi83

Moin, da ich seit Jahren, drei Yubikey besitze, immer mal wieder angefangen und aufgehört habe, wäre hier die Frage... wie lassen sich denn bei Anbietern wie Amazon, die Kennwörter komplett "weg" knipsen, sobald ein Passkey hinterlegt ist?

Ich kenne zurzeit nur 2 Plattformen wo das geht. Das ist GitHub und Nintendo. Beiden bieten auf der Login Maske einen direkten "Login with Passkey" Möglichkeit wo es weder Benutzername noch Passwort braucht.

Alles klar... Gegen Ende des Jahres schaue ich nochmal bei Google in die Konten rein, ob sich da etwas geändert hat... glaube aber, die verbundenen mobilen Endgeräte bekommt man auch noch nicht raus, so dass man z.B. komplett auf Passkey mit Yubikey umstellen könnte.

Ich glaube, generell denkt und tickt auch jeder anders, jeder hat einen anderen Gedanken oder Ansatz... eine wirklich coole Lösung die super funktioniert, ist eventuell noch nicht allgemein implementiert

Gruß, Domi

Quote from kim88

Ich kenne zurzeit nur 2 Plattformen wo das geht.

Ein Teil meiner Dienste kann das, auch alle Discourse Foren.

Quote from Bulvai

Nach etwas Recherche vermute ich, daß Paypal die Passkeys nur für Mobilgeräte aktiviert hat. Das ist doch ein schlechter Witz.

Das Thema kommt mir wie gerufen. Ich habe gerade meinen Passkey aus Paypal entfernt.

Warum? Ich dachte, wenn ich den Passkey im Passwort-Manager (1Password) meines iPhones habe, kann ich mich ohne Benutzername und Kennwort in der iOS-App von Paypal anmelden.

Tatsächlich benötige ich beim Öffnen der Paypal-App keinen Benutzernamen und auch kein Passwort mehr. Ich erhalte die Meldung, dass es einen Passkey in 1Password gibt und werde gefragt, ob ich mich damit einloggen möchte. Nun habe ich für den Login in Paypal auch 2FA aktiviert und brauche auf dem Rechner eben Benutzername, Kennwort und danach den aktuellen 2FA-Code. Wunderbar.

Leider wird dieser 2FA-Code jedoch auch noch auf dem iPhone abgefragt, wenn die Anmeldung mit Passkey läuft. Somit muss ich mir also zuerst den aktuellen 2FA-Code aus 1Password kopieren, der nur 30 Sekunden gültig ist, erst dann die Paypal-App starten, mich per Passkey einloggen und den kopierten 2FA-Code einfügen ... Umständlicher geht es wohl nicht mehr. Wofür brauche ich dann also den Passkey, wenn er den Anmeldeprozess für mich in diesem Fall nur unnötig verkompliziert?

Also, so ganz durchdacht scheint diese Passkey-Sache noch nicht wirklich zu sein. Da bleibe ich lieber wie gehabt bei der Kombination aus Benutzername, Kennwort und 2FA-Code.

Pauschal würde ich sagen (und so empfinde ich es auch), dass man hier programmiertechnisch Hand anlegen könnte.

Wenn Benutzername + Kennwort, dann auch TOTP!

Wenn Passkey, dann einloggen oder optional den TOTP abfragen (wenn der User es möchte).

So würde ich es Sinnvoll empfinden. Aber auch das sieht jeder anders, denke ich.