You are viewing a single comment's thread from:

RE: Ledger Nano Button defekt? Hier die Notlösung!

in #deutsch8 months ago

können auch mehrere Passkeys hinterlegt werden. Ich vermute, das wird bei den meisten Seiten so sein.

Ja, im Normalfall sollte das so sein. Eben damit man eine zweite Anmeldemöglichkeit hat. Viele Seiten ermöglichen als Alternative zusätzlich noch die (bisherige) Passwort/2FA-Anmeldung.

ich dachte bisher Passkeys wären an eine bestimmte Hardware gebunden.

Bisher war das schon so. Der private Schlüssel sollte unauslesbar in einer Hardware-Komponente gespeichert sein. Das hat man zugunsten der Flexibilität aufgeweicht und lässt nun auch Cloud-Speicherung oder eben eine Softwarelösung zu.
An der Stelle muss eben die Software sicherstellen, dass die Keys und das Masterpasswort nicht auslesbar oder im Klartext im Arbeitsspeicher abgelegt sind. Hat es leider schon gegeben. Ob das bei ProtonPass sichergestellt ist, kann ich dir nicht sagen.

Für wichtige Zugänge würde ich mindestens zwei passkeys einrichten

Absolut!
Ich habe mir noch keine Strategie überlegt, wie ich umstellen könnte. Auf jeden Fall muss es eine Rückfallebene geben, die je nach Account auch immer zugänglich ist.
Beachten muss man auch, dass die meisten Hardware-Schlüsselcontainer nur eine begrenzte Zahl an privaten Schlüsseln speichern kann. Diese Zahl liegt aktuell bei etwa 30. Außer der Google Titan nimmt wohl so um die 250 auf.

Wie man sieht, sind wir auch dem richtigen Weg, aber noch lange nicht angekommen...

Sort:  

Danke für deine Antwort, hab schon gehofft, dass du dazu was schreibst. Danke!

Ob das bei ProtonPass sichergestellt ist

Hab da schon ein gewisses Vertrauen in die schweizer Jungs, angeblich 256-Bit-AES-GCM-Verschlüsselung und es ist OpenSource. Trotzdem ist die Erweiterung bei mir standardmäßig deaktiviert, ist so ein Gefühl, als ob dir jemand auf die Finger schaut. Außerdem bin ich kein Freund von Keys in der Cloud und schon gar nicht, wenn ein Wert damit verbunden ist.

aber noch lange nicht angekommen...

Ja, vor allem fehlt mir das vielleicht trügerische Gefühl, seine Keys unter eigener Kontrolle zu haben, so wie es bei Passwörtern, 2FA oder den 12 Wörten einer Wallet ist.

gewisses Vertrauen

Ohne dies ist es ohnehin schwierig. Ich sehe jetzt im Github nicht den Code für die Browser Extension.
Die Redakteure von der c't hatten mal verschiedene Manager im Produktiveinsatz getestet und bei manchen die Unzulänglichkeiten entdeckt.
Ich glaube, der Ansatz je nach Wert zu differenzieren, ist schon nicht verkehrt. Obwohl auch ein E-Mail-Account letztlich einen gewissen Wert hat, wenn man an die Folgen denkt, die eine Übernahme dessen hätte.

seine Keys unter eigener Kontrolle zu haben

Das ist wohl auch das eigentliche Problem (bei den meisten Usern). Dadurch, dass sie die Passwörter unter Kontrolle (oder synonym "im Gedächtnis") haben wollen, dies aber zwangsläufig bei der Menge der Passwörter nicht machbar ist, entstehen die meisten Probleme. Die Passwörter werden einfacher, leichter merkbar, oder werden einfach mehrfach verwendet...
Ich glaube, davon müssen wir uns verabschieden. Durch die Angriffsmöglichkeiten ist es für Otto-Normalanwender nicht mehr leistbar, einigermaßen sichere Passwörter sicher unter Kontrolle zu behalten. Das ist natürlich nicht einfach, wenn man jahrelang mit Passwörtern "groß" geworden ist. Ich nehme mich da gar nicht aus.
Trotzdem - und da schließt sich der Kreis wohl - muss es schon so sein, dass nicht bei Ausfall eines Speichergerätes alle damit gesicherten Zugänge weg sind.

Ich könnte leider auch im Bekanntenkreis technisch wenig versierten Benutzern noch nicht ruhigen Gewissens einen Passkey - mit welcher Lösung auch immer - empfehlen. Aber ich behalte das im Auge, auch mit deiner Hilfe :-))

Hab schon etwas trübe Augen, evtl. ist das hier der Code für die Browser Extension.

Habe die letzte Stunde KeePassXC inkl. der Erweiterung getestet, das läuft noch nicht rund. Die von Proton arbeitet hingegen ohne Probleme, z.B. auf https://passkey.org - eine gute Testseite.

Dauert wohl noch ein Weilchen, bis ich ein Gefühl dafür bekomme. Also ja, wir behalten das im Auge!

Das könnte durchaus der richtige Code sein... für einen genauen Blick sind meine Augen wohl für heute auch schon etwas getrübt ;-)

Was ich zu den Hardware-Speichern noch ergänzen wollte:
Was bisher noch unterging, ist die Tatsache, dass auch der Windows-PC, und sowohl das iPhone als auch das Android-Smartphone als Hardware-Speicher für die privaten Schlüssel der Passkeys herhalten kann.
Windows-PCs haben seit einiger Zeit ein sicheres Hardwaremodul in dem die Schlüssel gespeichert werden können. Bei Google und Apple ist es ähnlich, jedoch erkauft man sich bei diesen die Flexibilität zwangsweise mit der Cloud-Speicherung...

Also im Grunde ginge es mit dem Smartphone als Standard-Speicher und einem Stick (oder besser zwei) als Rückfallebene schon sehr gut... aber hey, da war doch was: Vertrauen...

zwangsweise mit der Cloud-Speicherung...

Nicht nur zwangsweise sondern auch ohne es zu bemerken, hab das heute mit nem Android-Handy probiert und tatsächlich war der Key danach im Google-Passwortmanager und wurde auch gleich mit dem Konto synchronisiert. Im Grunde für die Mehrheit der Anwender wohl verkehrt, vermute ich einfach mal so.

Wollte mir heute schon fast einen Yubi- oder Nitrokey bestellen, dazu muss ich aber noch sicher gehen, ob die zugehörige Software auch für Linux verfügbar ist.

Vorerst werde ich die Geschichte jetzt erstmal etwas sacken lassen, zuviel Input auf einmal und 2. leichter Befall durch HWV :-)