Moin.

Mein bisheriges Verständnis der Intention von Passkeys ist:

Erhöhung der Sicherheit der Authentifizierung durch ein
/passwortloses/ Verfahren, welches das bisherige Verfahren mit
Passwort /ersetzt/.

Gerade habe ich bei meinem Adobe-Konto (als erstes meiner Konten) die
Anmeldevariante Passkey (sie nennen es "Hauptschlüssel") hinzugefügt.

Dabei stellte ich in der Admin-Oberfläche des Kundenkontos fest, dass
einem nicht angeboten wird, die bisherige Anmeldevariante "Erster
Faktor ist ein Passwort" zu deaktivieren.

Mir leuchtet das nicht ein.

Trauen sich die Diensteanbieter nicht, "voll auf das neue Pferd" zu
setzen (bei den Nutzern, die sich für Passkey entscheiden)? Haben sie
Sorge, dass ihre Nutzer ohne die Anmeldevariante Passwort verunsichert
wären?

Oder ist mein oben erwähntes Verständnis der Intention falsch?

Was denkt ihr dazu?

Andreas

PS: Sowohl in Firefox als auch Chrome (macOS) erhalte ich -
reproduzierbar - beim Anmelden bei Adobe via Passkey eine
Fehlermeldung:
"Bitte warten Sie, während wir an der Behebung dieses Problems
arbeiten, und versuchen Sie es dann erneut. Wenn das Problem weiterhin
besteht, wenden Sie sich an den Kundendienst."

Aber das nur am Rande. Vielleicht ist es temporäres Problem.

In den Systemeinstellungen des macOS wird kein Problem zum Passkey für
das Adobekonto angezeigt.
--
http://fahrradzukunft.de

Andreas Borutta:

> PS: Sowohl in Firefox als auch Chrome (macOS) erhalte ich -
> reproduzierbar - beim Anmelden bei Adobe via Passkey eine
> Fehlermeldung:
> "Bitte warten Sie, während wir an der Behebung dieses Problems
> arbeiten, und versuchen Sie es dann erneut. Wenn das Problem weiterhin
> besteht, wenden Sie sich an den Kundendienst."
>
> Aber das nur am Rande. Vielleicht ist es temporäres Problem.

Die Ursache war, dass sich mein Passwortmanager 1PW beim Öffnen von
adobe.com reingehängt hat.
Er bot ein Popupfenster "Sign in with a passkey" an. Solange man
dieses Popupfenster nicht schließt, bietet die Webpage von adobe nur
das Feld "Mail-Adresse" an. Geht man diesen Weg weiter, erhält man die
Fehlermeldung.

Sobald man jedoch das Popupfenster wegklickt, bietet der Browser
automatisch den Zugriff per Passkey an.

Konkrete Bedienschritte beim Adobe-Account in Bezug auf Passkey
(Firefox und Chrome auf macOS):

1. adobe.com
Der Browser erkennt, dass zur Domain ein Passkey in
"Systemeinstellungen > Passwörter" existiert.
Aufforderung zum Authentifizieren für den Passkey-Container auf macOS
per Touch-ID

2. Finger auflegen
Angebot des Passkeys zu meinem Adobekonto, weil in
"Systemeinstellungen > Passwörter" sowohl die Domain des Dienstes als
auch die Benutzer-ID (Mailadresse) gespeichert sind. Eine manuelle
Eingabe der Mailadresse kann also entfallen.
Es wird auch kein OTP (per SMS) zusätzlich angefordert, wie es beim
klassischen Login nötig ist.

Ich bin ehrlich begeistert (keine Ironie).
Das ist der stromlinienförmigste, bequemste Typ eines sicheren Logins,
der mir bisher untergekommen ist.

Ähnlich stromlinienförmig hätte ich es übrigens auch gerne bei einem
Login per FIDO2-Stick:

1. FIDO2-Stick anstecken

2. adobe.com
Dem Browser wird von macOS übermittelt, dass ein FIDO2-Stick
angesteckt ist.
Aufforderung, den Stick per PIN (des Sticks) zu entsperren

3. Eingabe der PIN
Angebot des Passkeys zu meinem Adobekonto, weil sowohl die Domain des
Dienstes als auch die Benutzer-ID (Mailadresse) gespeichert sind.
Wenn es nur einen Passkey zur Domain gibt: Aufforderung den Taster des
Sticks zu betätigen.
(Falls es mehrere Passkeys zur Domain auf dem Stick gäbe, käme noch
ein Zwischenschritt zum Auswählen dazu.)

4. Tastendruck am Stick

Hier nochmal die Bedienschritte mit klassischem Login per Passwort und
zweitem Faktor zum Vergleich:

1. adobe.com

2. Anmelden
Feld für Mailadresse wird angeboten

3. Eingabe der Mailadresse
"SMS mit einem OTP wurde an die hinterlegte Nummer gesendet"

4. Entsperren des Mobiltelefons

5. Öffnen der Nachrichten-App um das OTP zu lesen

6. Eingabe des OTP

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

> Mein bisheriges Verständnis der Intention von Passkeys ist:
>
> Erhöhung der Sicherheit der Authentifizierung durch ein
> /passwortloses/ Verfahren, welches das bisherige Verfahren mit
> Passwort /ersetzt/.
>
> Gerade habe ich bei meinem Adobe-Konto (als erstes meiner Konten) die
> Anmeldevariante Passkey (sie nennen es "Hauptschlüssel") hinzugefügt.
>
> Dabei stellte ich in der Admin-Oberfläche des Kundenkontos fest, dass
> einem nicht angeboten wird, die bisherige Anmeldevariante "Erster
> Faktor ist ein Passwort" zu deaktivieren.

Dito beim Dienst Nextcloud.

Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

>> Dabei stellte ich in der Admin-Oberfläche des Kundenkontos fest, dass
>> einem nicht angeboten wird, die bisherige Anmeldevariante "Erster
>> Faktor ist ein Passwort" zu deaktivieren.
>
> Dito beim Dienst Nextcloud.
>
> Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
> Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?

Ein Passwortreset per Mail wird weiter angeboten.

Ich habe das für mein Nextcloudkonto gerade testweise vollzogen.

Ein Angreifer, dem also der Zugriff auf mein IMAP-Mailkonto gelänge,
könnte mein Nextcloudkonto übernehmen.

Nach dem Login müsste er nur noch im Webinterface in den Einstellungen
den Passkey als Zugriffsmethode löschen.

Was für eine große Chance zur besseren Absicherung die Dienste so
verschenken. So ein Mist!

Andreas
--
http://fahrradzukunft.de

Am 14.05.24 um 11:10 schrieb Andreas Borutta:
> Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
> Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?

Nein, aber ich kenne die Variante Passwort ist gar nicht erlaubt.
Da müssen beide Faktoren anderes Zeug sein. FIDO2 Key und TPM oder so.
Was daran sicherer ist, als Passwort + Key, erschließt sich mir
allerdings nicht.

Marcel

Am 14.05.24 um 12:25 schrieb Andreas Borutta:
> Ein Passwortreset per Mail wird weiter angeboten.
>
> Ich habe das für mein Nextcloudkonto gerade testweise vollzogen.
>
> Ein Angreifer, dem also der Zugriff auf mein IMAP-Mailkonto gelänge,
> könnte mein Nextcloudkonto übernehmen.

Und vieles andere erfahrungsgemäß auch.

> Was für eine große Chance zur besseren Absicherung die Dienste so
> verschenken. So ein Mist!

Naja, wenn man nicht 5 Planstellen im Service nur dafür abstellen will,
irgendwie verzappelte Accounts zurückzusetzen, dann macht man
Kompromisse. Die Wahrscheinlichkeit, sich auszusperren ist mit 2FA eben
auch deutlich gestiegen.

Marcel

Andreas Borutta wrote:

> Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
> Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?

Ich hatte das damals bei meinem VPS Server, unter Linux, so.

Nachdem der Yubikey dort konfiguriert war, benötigte ich zum
einloggen nur noch ein Knopfdruck, auf den Yubikey, Passwort entfiel.

Bei Windows und Co. Anmeldeverfahren sollte das auch so sein. Habe das
jedoch noch nicht probiert.

--
Grüße
Stefan

Marcel Mueller:

> Naja, wenn man nicht 5 Planstellen im Service nur dafür abstellen will,
> irgendwie verzappelte Accounts zurückzusetzen, dann macht man
> Kompromisse. Die Wahrscheinlichkeit, sich auszusperren ist mit 2FA eben
> auch deutlich gestiegen.

Klar, die Wahrscheinlicheit steigt damit.

Mir gefällt es jedenfalls nicht, dass man als Nutzer keine Option zum
Deaktivieren des Passwortes erhält.

Und man erhält auch keine Option, ein Passwort-Reset per Mail zu
deaktivieren.

Weil IMAP-Mailkonten nicht mit einem zweiten Faktor absicherbar sind,
besteht weiter die reale Gefahr für Kontoübernahmen, wenn dem
Angreifer Zugriff auf Mails gelingt.

Andreas
--
http://fahrradzukunft.de

Stefan Claas, 2024-05-14 19:46:

> Andreas Borutta wrote:
>
>> Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
>> Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?
>
> Ich hatte das damals bei meinem VPS Server, unter Linux, so.
>
> Nachdem der Yubikey dort konfiguriert war, benötigte ich zum
> einloggen nur noch ein Knopfdruck, auf den Yubikey, Passwort entfiel.

Es geht nicht darum, ob man kein Passwort mehr braucht, sondern dass man
explizit *verbieten* kann, den Login per Passwort zu verwenden.

> Bei Windows und Co. Anmeldeverfahren sollte das auch so sein. Habe das
> jedoch noch nicht probiert.

Nein, da ist es nicht so. Login per Username/Passwort geht immer, auch
wenn man ein anderes Verfahren *zusätzlich* eingerichtet hat.

--
Arno Welzel
https://arnowelzel.de

On 2024-05-14, Stefan Claas <pollux@tilde.club> wrote:

>> Ist jemandem überhaupt schonmal ein Dienst begegnet, wo man die
>> Anmeldevariante "Erster Faktor ist ein Passwort" deaktivieren kann?
>
> Ich hatte das damals bei meinem VPS Server, unter Linux, so.
>
> Nachdem der Yubikey dort konfiguriert war, benötigte ich zum
> einloggen nur noch ein Knopfdruck, auf den Yubikey, Passwort entfiel.

Bei OpenSSH ist der Login mittels Passwort für "root" in der Standard-
einstellung (PermitRootLogin prohibit-password) abgeschaltet.

Man kann das auch für bestimmte oder alle Benutzer abstellen:
PasswordAuthentication no
KbdInteractiveAuthentication no

Typischerweise würde man dann nur Login mittels Schlüssel erlauben,
egal ob FIDO/U2F-gestützt oder nicht. Mit PubkeyAcceptedAlgorithms
hat man ggfs. noch eine Stellschraube, welche Schlüsseltypen erlaubt
sind, so dass man das auf FIDO/U2F-gestützte einschränken kann.

--
Christian "naddy" Weisgerber naddy@mips.inka.de