Ledger Nano Button defekt? Hier die Notlösung!
Tja, erst vor gut einer Woche habe ich entdeckt, dass man den Ledger Nano als Passkey nutzen kann. Und prompt raucht bei diesem Teil einer der Buttons ab. Kaum zu glauben, ich habe den Ledger zwar schon ein paar Jahre, hatte ihn aber wenig genutzt, die Zahl der Tastendrücke dürfte nicht so hoch sein. So ein Glump! :-)
Zum Glück hatte ich keine wichtigen Zugänge damit abgesichert, bei einem Account lagen aber doch knapp 50 Euro die ich ungern wegen einem Hardwaredefekt in den Wind schießen wollte. Ein neuer Ledger kostet derzeit 79,-- und eigentlich brauche ich das Teil nicht.
Also was tun? Da hilft nur brachiale Gewalt!
Um an den defekten Taster zu kommen, habe ich den Ledger mit einem Messer aufgehebelt, so sieht es innen aus:
Lötstellen waren in Ordnung, kein Wackler. Hmm... Na ja, hin ist hin, also beim defekten Schalter die feine darüberliegende Folie abgekratzt und so einen Tropfen Spiritus ins Innenleben geträufelt und dann einige Male draufgedrückt. Vielleicht hat das eine reinigende Wirkung, so der Gedanke.
Wieder angeschlossen und - tada, wenn auch etwas zickig, konnte ich zumindest den Pin jetzt eingeben und bestätigen.
Die Reparatur wird allerdings nicht von Dauer sein, so kommt jetzt Teil 2.
Bei der Passkey-Seite der oben erwähnten Wallet können auch mehrere Passkeys hinterlegt werden. Ich vermute, das wird bei den meisten Seiten so sein. Aber woher nehmen?
Proton Pass
Lösung war der Proton Pass: Free Password Manager - diese Browsererweiterung kann als Passkey verwendet werden. Irgendwie eine komische Idee, ich dachte bisher Passkeys wären an eine bestimmte Hardware gebunden.
Mit etwas Glück gelang der Login mit dem halb und vermutlich bald ganz defekten Ledger und ich konnte mit Proton Pass eine neue Zugangsmöglichkeit anlegen. Wallet gerettet!
Mein Fazit
Für wichtige Zugänge würde ich mindestens zwei passkeys einrichten, falls einer den Geist aufgibt, ist man nicht ausgesperrt.
Ja, im Normalfall sollte das so sein. Eben damit man eine zweite Anmeldemöglichkeit hat. Viele Seiten ermöglichen als Alternative zusätzlich noch die (bisherige) Passwort/2FA-Anmeldung.
Bisher war das schon so. Der private Schlüssel sollte unauslesbar in einer Hardware-Komponente gespeichert sein. Das hat man zugunsten der Flexibilität aufgeweicht und lässt nun auch Cloud-Speicherung oder eben eine Softwarelösung zu.
An der Stelle muss eben die Software sicherstellen, dass die Keys und das Masterpasswort nicht auslesbar oder im Klartext im Arbeitsspeicher abgelegt sind. Hat es leider schon gegeben. Ob das bei ProtonPass sichergestellt ist, kann ich dir nicht sagen.
Absolut!
Ich habe mir noch keine Strategie überlegt, wie ich umstellen könnte. Auf jeden Fall muss es eine Rückfallebene geben, die je nach Account auch immer zugänglich ist.
Beachten muss man auch, dass die meisten Hardware-Schlüsselcontainer nur eine begrenzte Zahl an privaten Schlüsseln speichern kann. Diese Zahl liegt aktuell bei etwa 30. Außer der Google Titan nimmt wohl so um die 250 auf.
Wie man sieht, sind wir auch dem richtigen Weg, aber noch lange nicht angekommen...
Danke für deine Antwort, hab schon gehofft, dass du dazu was schreibst. Danke!
Hab da schon ein gewisses Vertrauen in die schweizer Jungs, angeblich 256-Bit-AES-GCM-Verschlüsselung und es ist OpenSource. Trotzdem ist die Erweiterung bei mir standardmäßig deaktiviert, ist so ein Gefühl, als ob dir jemand auf die Finger schaut. Außerdem bin ich kein Freund von Keys in der Cloud und schon gar nicht, wenn ein Wert damit verbunden ist.
Ja, vor allem fehlt mir das vielleicht trügerische Gefühl, seine Keys unter eigener Kontrolle zu haben, so wie es bei Passwörtern, 2FA oder den 12 Wörten einer Wallet ist.
Ohne dies ist es ohnehin schwierig. Ich sehe jetzt im Github nicht den Code für die Browser Extension.
Die Redakteure von der c't hatten mal verschiedene Manager im Produktiveinsatz getestet und bei manchen die Unzulänglichkeiten entdeckt.
Ich glaube, der Ansatz je nach Wert zu differenzieren, ist schon nicht verkehrt. Obwohl auch ein E-Mail-Account letztlich einen gewissen Wert hat, wenn man an die Folgen denkt, die eine Übernahme dessen hätte.
Das ist wohl auch das eigentliche Problem (bei den meisten Usern). Dadurch, dass sie die Passwörter unter Kontrolle (oder synonym "im Gedächtnis") haben wollen, dies aber zwangsläufig bei der Menge der Passwörter nicht machbar ist, entstehen die meisten Probleme. Die Passwörter werden einfacher, leichter merkbar, oder werden einfach mehrfach verwendet...
Ich glaube, davon müssen wir uns verabschieden. Durch die Angriffsmöglichkeiten ist es für Otto-Normalanwender nicht mehr leistbar, einigermaßen sichere Passwörter sicher unter Kontrolle zu behalten. Das ist natürlich nicht einfach, wenn man jahrelang mit Passwörtern "groß" geworden ist. Ich nehme mich da gar nicht aus.
Trotzdem - und da schließt sich der Kreis wohl - muss es schon so sein, dass nicht bei Ausfall eines Speichergerätes alle damit gesicherten Zugänge weg sind.
Ich könnte leider auch im Bekanntenkreis technisch wenig versierten Benutzern noch nicht ruhigen Gewissens einen Passkey - mit welcher Lösung auch immer - empfehlen. Aber ich behalte das im Auge, auch mit deiner Hilfe :-))
Hab schon etwas trübe Augen, evtl. ist das hier der Code für die Browser Extension.
Habe die letzte Stunde KeePassXC inkl. der Erweiterung getestet, das läuft noch nicht rund. Die von Proton arbeitet hingegen ohne Probleme, z.B. auf https://passkey.org - eine gute Testseite.
Dauert wohl noch ein Weilchen, bis ich ein Gefühl dafür bekomme. Also ja, wir behalten das im Auge!
Das könnte durchaus der richtige Code sein... für einen genauen Blick sind meine Augen wohl für heute auch schon etwas getrübt ;-)
Was ich zu den Hardware-Speichern noch ergänzen wollte:
Was bisher noch unterging, ist die Tatsache, dass auch der Windows-PC, und sowohl das iPhone als auch das Android-Smartphone als Hardware-Speicher für die privaten Schlüssel der Passkeys herhalten kann.
Windows-PCs haben seit einiger Zeit ein sicheres Hardwaremodul in dem die Schlüssel gespeichert werden können. Bei Google und Apple ist es ähnlich, jedoch erkauft man sich bei diesen die Flexibilität zwangsweise mit der Cloud-Speicherung...
Also im Grunde ginge es mit dem Smartphone als Standard-Speicher und einem Stick (oder besser zwei) als Rückfallebene schon sehr gut... aber hey, da war doch was: Vertrauen...
Nicht nur zwangsweise sondern auch ohne es zu bemerken, hab das heute mit nem Android-Handy probiert und tatsächlich war der Key danach im Google-Passwortmanager und wurde auch gleich mit dem Konto synchronisiert. Im Grunde für die Mehrheit der Anwender wohl verkehrt, vermute ich einfach mal so.
Wollte mir heute schon fast einen Yubi- oder Nitrokey bestellen, dazu muss ich aber noch sicher gehen, ob die zugehörige Software auch für Linux verfügbar ist.
Vorerst werde ich die Geschichte jetzt erstmal etwas sacken lassen, zuviel Input auf einmal und 2. leichter Befall durch HWV :-)
Bei mir liegt der Ledger Nano seit fast drei Jahren noch original verpackt in der Schublade.
Nach deinem letzten Beitrag hatte ich überlegt ihn als passkey zu aktivieren auch um die Steem vom Broker endlich zu Steemit zu transferieren.
Der heutige Beitrag von Dir lässt mich aber Zweifeln ob das eine gute Idee ist...🙄
Würde nach der Erfahrung bei wichtigen Zugängen nicht nur einen Key hinterlegen, Moecki hat im Kommentar oben auch von einer notwendigen Rückfallebene geschrieben.
Momentan stochere ich auch nur im Nebel der Möglichkeiten und probiere herum, an eine "scharfe" Anwendung traue ich mich mangels Erfahrungswerte noch nicht ran. So wie ich das aktuell sehe, geht wohl an zwei FIDO2 Sticks bzw. Optionen kein Weg vorbei.
Bis ich mir sicher bin, nutze ich lieber das bekannte 2FA - bin ich übrigens zur aegis App gewechselt. Hab ja alle entsprechenden QR-Codes gesichert, der Wechsel war deshalb auch keine große Geschichte.
Das sind für mich alles böhmische Dörfer. Welchen Fido Stick würdest Du denn empfehlen?
Da du den Ledger schon hast, würde ich auf alle Fälle den schon mal nehmen. Als zweiten evtl. nen Yubikey oder einen Nitrokey, z.B. den hier - bin selber noch am Informieren, das sind nur 2 Marken die ich auf meine Watchlist gesetzt habe. Ob der verlinkte Nitrokey auch auf Linux funktioniert, muss ich noch rausfinden - da müsstest schauen, falls das für dich auch relevant ist.
Wie ist das bei deinem Broker, kannst du dich dann immer noch mit Passwort einloggen? Dann wäre ein 2ter Stick evtl. gar nicht notwendig.
EDIT: Der Nitro funktioniert mit Linux, kann aber nach neusten Foreneinträgen nur 10 Keys speichern, beim Yubi sind es 25. Mit dem Smartphone geht es übrigens auch, hab das testweise mit einem Android-Handy bei https://passkey.org gemacht. Ergebnis, der Key landet ohne dich zu fragen im Google-Passwortmanager und somit auch (verschlüsselt) in der Google-Cloud. Steckt für mich alles noch in der Kinderschuhen, zu Risiken und Nebenwirkungen...
Du hast mich nach einer Empfehlung gefragt, für einen Acc mit Wert dahinter würde ich derzeit als einzige Zugangsmöglichkeit nicht auf passkey setzen, nur als optionale Möglichkeit. Lieber ein halbwegs vernünftiges Passwort plus 2FA z.B. mit der oben verlinkten aegis App. Den QR-Code für 2FA, wie schon erwähnt, sicher irgendwo speichern.
Danke!!!
✨🦋🙏
Spiegazione molto dettagliata. Sai che mi stavo chiedendo quale potesse essere la soluzione se la chiave nano ledger si fosse rovinata, hai appena calmato i miei nervi.
Questo mi rende felice. Ma ricordate che questa è solo una soluzione di emergenza a breve termine e non funzionerà a lungo termine.
Ja, ich weiß, aber ich muss zugeben, dass es wirklich sehr hilfreich ist.
Human learn with self experience and others experience. So you learn with your experience , we learn with your experience and this post.
Dies ist wirklich ein Augenöffner für eine ganze Reihe von Menschen, die ihre Hardware-Schlüssel haben, um Hardware zu sein. Ich muss gestehen, dass man aus diesem Beitrag viel lernen kann.
Even though you have left this line of profession for a long time now, you still have it in you..
Like the saying goes “old habits, takes time to die”
This technical skill has really been helpful to you!!
Congratulations, your post has been upvoted by @scilwa, which is a curating account for @R2cornell's Discord Community. We can also be found on our hive community & peakd as well as on my Discord Server
Felicitaciones, su publication ha sido votado por @scilwa. También puedo ser encontrado en nuestra comunidad de colmena y Peakd así como en mi servidor de discordia
Thank you!
Is it Working now?
No, as expected, the healing was unfortunately short-lived.
Cheap price, I am very interested, thank you for the extraordinary news and experience