Detlef Meißner, 2024-05-25 13:14:

> Am 25.05.2024 um 12:42 schrieb Arno Welzel:
>> Detlef Meißner, 2024-05-22 19:15:
>>
>>> Am 22.05.2024 um 17:25 schrieb Stefan Schmitz:
>>>> Am 22.05.2024 um 16:36 schrieb Detlef Meißner:
>>>>> Am 22.05.2024 um 16:29 schrieb Marco Moock:
>>>>>> Radio und TV sind aber Sachen, die man ohne große Auswirkungen
>>>>>> tatsächlich verweigern kann.
>>>>>
>>>>> Nicht so ganz. Es gibt Kinder, die leiden stark darunter, dass es zu
>>>>> Hause kein TV gibt. Die können nämlich bei "wichtigen" Themen gar nicht
>>>>> mitreden.
>>>>> Ist also wie mit WhatsApp.
>>>>
>>>> Welche für Kinder wichtigen Themen sind ausschließlich im TV verfügbar?
>>>
>>> Ich verstehe deine Frage in dem Zusammenhang nicht.
>>
>> Die Aussage war, dass Kinder darunter leiden würden, wenn es zu Hause
>> kein TV gibt. Und das sei so, weil sie dann die für sie wichtigen Themen
>> nicht mitbekommen würden.
>
> Nein. Die Aussage war, dass Kinder, die kein Smartphone haben, darunter
> leiden, so wie jene Kinder, die *damals* kein TV zu Hause hatten.

Das Zitat, worauf ich mich beziehe, siehe auch oben:

Nicht so ganz. Es gibt Kinder, die leiden stark darunter, dass es zu
Hause kein TV gibt. Die können nämlich bei "wichtigen" Themen gar nicht
mitreden.

(Zitat Ende)

--
Arno Welzel
https://arnowelzel.de

Detlef Meißner, 2024-05-25 13:33:

> Am 25.05.2024 um 12:43 schrieb Arno Welzel:
>> Detlef Meißner, 2024-05-22 19:40:
>>> Am 22.05.2024 um 19:30 schrieb Arno Welzel:
>>>> Stefan Schmitz, 2024-05-22 17:25:
>>>>> Am 22.05.2024 um 16:36 schrieb Detlef Meißner:
>>>>>> Am 22.05.2024 um 16:29 schrieb Marco Moock:
>
>>>>>>> Radio und TV sind aber Sachen, die man ohne große Auswirkungen
>>>>>>> tatsächlich verweigern kann.
>>>>>>
>>>>>> Nicht so ganz. Es gibt Kinder, die leiden stark darunter, dass es zu
>>>>>> Hause kein TV gibt. Die können nämlich bei "wichtigen" Themen gar nicht
>>>>>> mitreden.
>>>>>> Ist also wie mit WhatsApp.
>>>>>
>>>>> Welche für Kinder wichtigen Themen sind ausschließlich im TV verfügbar?
>>>>
>>>> Detlef ist schon etwas älter... der hat nicht mitbekommen, dass
>>>> klassisches TV mittlerweile weitgehend bedeutungslos geworden ist für
>>>> junge Menschen ;-)
>>>
>>> Ja, das wird so kolportiert.
>>
>> Lass' mich raten - Du hast kaum mit Kindern zu tun?
>
> Rätst du immer so schlecht?

Nein, ich glaube Dir es schlicht nicht, wenn du das Gegenteil
behauptest. Denn die Kinder in meiner Familie und aller Kollegen und
Freund von mir haben mit "TV" nicht mehr viel zu tun. Denen sind Dienste
wie TikTok, Instagramm usw. viel wichtiger.

--
Arno Welzel
https://arnowelzel.de

Detlef Meißner, 2024-05-25 13:38:

> Am 25.05.2024 um 12:46 schrieb Arno Welzel:
>> Detlef Meißner, 2024-05-22 19:37:
>>> Am 22.05.2024 um 19:29 schrieb Arno Welzel:
>> [...]
>>>> Und selbst wenn man partout kein Smartphone haben will - auch "Computer
>>>> mit Internetzugang" wird als normal angesehen. Dinge einkaufen geht auch
>>>> oft nur noch online per Versandhandel usw...
>>>
>>> Ja, der Offline-Mensch wird nach und nach immer mehr ausgeschlossen.
>>> Trotzdem muss man der ganzen Sache ja nicht unbedingt Vorschub leisten.
>>
>> Man wird es auch nicht verhindern können, selbst wenn man sein ganzes
>> Leben auf Online-Dienst verzichtet. Die meisten Kunden finden
>> Online-Bestellungen und Lieferung per Versand offenbar interessanter als
>> den persönlichen Einkauf im Ladengeschäft.
>
> Ich weiß nicht, ob das groß was mit Interesse zu tun hat.

Dann nenne es eben Bequemlichkeit. Ich meinte damit, dass das Interesse
an Online-Veransand höher ist, als am Einkauf vor Ort im Ladengeschäft.

--
Arno Welzel
https://arnowelzel.de

Arno Welzel:

> Andreas Borutta, 2024-05-22 20:10:
>
>> Arno Welzel:
>>
>>> Andreas Borutta, 2024-05-13 14:40:
> [...]
>>>> Bleibt also nur wohl nur der Schluss:
>>>> Willkürliche Entscheidung von Paypal ohne sachlichen Grund.
>>>
>>> Eine der vielen Gründe, wieso Passkeys broken by design ist.
>>
>> Broken ist doch nicht das Verfahren, sondern der Anbieter Paypal, der
>> sich - vermutlich sogar ohne jede Not - weigert Passkey für FF
>> umzusetzen.
>
> Eben! Wenn das Design *vorschreiben* würde, dass dazu fähige Geräte
> unterstützt werden *müssen*, wäre es anders.

Hier verstehe ich noch nicht, was Du meinst.

"Vorschreiben" im engen Sinne, kann ja nur die Legislative.

Gibt es ein Beispiel aus einem anderen technischen Bereich, wo es in
Deinem Sinne gelöst wurde?

Sprichst Du von Mängeln in der FIDO2-Spezifikation?

Andreas
--
http://fahrradzukunft.de

Arno Welzel:

> Andreas Borutta, 2024-05-25 12:42:
>
>> Arno Welzel:
> [...]
>>> Pro Gerät einmal das Zertifikat erzeugen, mit dem man sich bei einem
>>> Dienst anmelden will.
>>
>> Meine Vermutung:
>> Das wird dem größten Teil der Nutzer zu umständlich sein, das auf
>> jedem ihrer Geräte extra zu tun.
>>
>> Ich vermute, dass genau deshalb auch die Synchronisationsfähigkeit für
>> Passkeys implementiert wurde.
>
> Womit das System aber weitgehend sinnfrei wird. Automatisches Senden
> eines gespeicherten Passworts ging vorher schon. Da muss man ggf. nur
> die UI noch etwas einfacher machen.

Ich bin noch nicht überzeugt, dass ein Passwortmanager das System
Passkey überflüssig macht.

Ein Argument:
Passkeys können nicht händisch eingegeben werden.
Sie sind - by Design - ein /starkes/ Geheimnis.
/Schwache/ Passkeys gibt es nicht.
Und Passkeys benötigen deshalb auch zwingend Software zum Verwalten.

Bei Passwörtern ist ist beides optional.
Die Stärke des Geheimnisses und die Verwendung eines Softwaretools zum
Verwalten (Passwordmanager).

Du hast ja selber an anderer Stelle festgestellt (deckt sich mit
meinen Erfahrungen mit Verwandten/Bekannten): normale Nutzer verwenden
keine Passwortmanager - bisher.

Ich sehe daher bisher vor allem die "Mauer des Gartens" als
kritikwürdig an. Ob die Zukunft gute Optionen bringen wird, diese
Mauern einzureißen, weiß ich nicht.

Wir haben hier im Thread die Nachteile/Unvollkommenheiten/Zumutungen
der aktuell verfügbaren Mauereinreißmethoden ja bereits erwähnt.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta <borumat@gmx.de> wrote:

> Ich bin noch nicht überzeugt, dass ein Passwortmanager das System
> Passkey überflüssig macht.

Das ist vielleicht genau das Dilemma, dass man immer gleich meint,
Bisheriges überflüssig machen zu wollen. Ich bin ja mehr ein Fan
von einem bunten Mix an Anmeldeverfahren, und manchmal ist das
eine sinnvoll(er), manchmal das andere, und warum nicht mehrere
Verfahren parallel anbieten, denn die Anwender sind verschieden.

> Ein Argument:
> Passkeys können nicht händisch eingegeben werden.

Im Prinzip können auch die händisch eingegeben werden, das ist
ja nichts weiter als ein ganz normaler Schlüssel. Ich habe schon
SSH-Keys von Hand eingegeben, wenn ich sonst keine Möglichkeit
des Austauschs hatte. :-)

> Sie sind - by Design - ein /starkes/ Geheimnis.

Nein, Passkeys sind kein starkes Geheimnis, sondern die liegen
vielleicht irgendwo im Mittelfeld, wenn überhaupt, allerhöchstens.

Passkeys haben im Alltag bereits jetzt mehrere große Schwächen,
die sie angreifbar machen.

Passkeys wird man nicht an Geräte binden können, sondern maximal
an Accounts, aber am Ende werden sie (auch) frei kopierbar sein.
Damit werden auch Hacker leicht remote Zugriff bekommen können.
(Das war aber eigentlich mal der große Clou, nämlich dass ein
Angreifer in den Besitz eines physischen Gerätes kommen muss.)

Passkeys brauchen zusätzliche Schnittstellen in sämtlichen
Anwendungen, weil man sie selten als Hexdump eintippen wird.
Diese zusätzlichen Schnittstellen werden höllisch angreifbar
sein, so wie das bereits jetzt bei Passwort-Managern der Fall
ist, die ja auch Plug-Ins benötigen, wenn alles schön bequem
sein soll.

Passwörter hingegen kann ich immerhin physisch entkoppeln.
Die kann ich mir auf ein Blatt Papier schreiben, da kommt
remote kein Hacker ran. Und ich tippe sie von Hand direkt ein,
ohne irgendwelche proprietären Plug-Ins dazwischen.

> /Schwache/ Passkeys gibt es nicht.
> Und Passkeys benötigen deshalb auch zwingend Software zum Verwalten.

Die Keys an sich mögen technisch nahezu unknackbar sein,
aber durch den Zwang zur komplexen softwarebasierten Verwaltung
werden Hacker einfach die Keys kopieren, statt sie zu knacken.

> Bei Passwörtern ist ist beides optional.
> Die Stärke des Geheimnisses und die Verwendung eines Softwaretools zum
> Verwalten (Passwordmanager).

Jeder Dienst kann Vorgaben zur Komplexität machen. Bislang ist
es so, dass ein Passwort-Manager zwar praktisch ist, aber wer
leidensfähig ist, kann auch von Hand tippen.

> Du hast ja selber an anderer Stelle festgestellt (deckt sich mit
> meinen Erfahrungen mit Verwandten/Bekannten): normale Nutzer verwenden
> keine Passwortmanager - bisher.

Das ist durchaus gut so, wenn man in die Vergangenheit blickt,
denn ein schlechter oder schlecht verwendeter Passwort-Manager
stellt ein enormes Sicherheitsrisiko dar, das von Hackern gern
ausgenutzt wird.

Soll ein Passwort-Manager zudem wirklich bequem sein, sind auch
hier Plug-Ins notwendig, zum Beispiel für den Browser. Das kann
zwar Fehlbedienung vermeiden helfen, aber es ist wiederum ein
neues Einfallstor, das bereits genutzt worden ist.

Passkeys machen Management-Software und Plug-Ins zum Zwang,
zudem ist momenten die Verwaltungs-Software keineswegs immer
Open Source, sondern teilweise proprietär.

Der Gedanke liegt nicht fern, dass Passkeys vielleicht in Wahrheit
eine Erfindung von Hackern und Geheimdiensten sind, denn denen nützen
sie am meisten. Den Usern nützen Passkeys hingegen am wenigsten.

Grüße, Andreas

Andreas M. Kirchwitz:

> Passkeys brauchen zusätzliche Schnittstellen in sämtlichen
> Anwendungen, weil man sie selten als Hexdump eintippen wird.
> Diese zusätzlichen Schnittstellen werden höllisch angreifbar
> sein, so wie das bereits jetzt bei Passwort-Managern der Fall
> ist, die ja auch Plug-Ins benötigen, wenn alles schön bequem
> sein soll.
>
> Passwörter hingegen kann ich immerhin physisch entkoppeln.
> Die kann ich mir auf ein Blatt Papier schreiben, da kommt
> remote kein Hacker ran. Und ich tippe sie von Hand direkt ein,
> ohne irgendwelche proprietären Plug-Ins dazwischen.

Aus meiner Sicht geht es um den Vergleich der 2 Systeme:

A Passkeys und dazugehörige Software/Plugins

B Passworte und dazugehörige Software (PW-Manager)/Plugins

Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit des
Systems Passkey weiter beobachten.

Insbesonderem zum Aspekt Sicherheit/Angreifbarkeit würde ich gerne mal
eine ausführliche /Gegenüberstellung/ der 2 Systeme lesen. Mit
statistischen Daten zu stattgefundenen Angriffen etc.

Andreas
--
http://fahrradzukunft.de

Am 26.05.2024 um 21:27 schrieb Andreas Borutta:

> Aus meiner Sicht geht es um den Vergleich der 2 Systeme:
>
> A Passkeys und dazugehörige Software/Plugins
>
> B Passworte und dazugehörige Software (PW-Manager)/Plugins
>
> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit des
> Systems Passkey weiter beobachten.
>
> Insbesonderem zum Aspekt Sicherheit/Angreifbarkeit würde ich gerne mal
> eine ausführliche /Gegenüberstellung/ der 2 Systeme lesen. Mit
> statistischen Daten zu stattgefundenen Angriffen etc.

Du kannst ja gerne mal Heiko Schröder aus Leipzig anschreiben.
Er ist der Autor von Passwortverwaltung 1PW https://www.1pw.de/
Heiko ist daher in dem Thema Passwörter und Sicherheit ganz tief drin.
https://www.1pw.de/sicherheit.php

Villeicht kann er Dir Deine Fragen zum Thema Passkey und Passwort beanworten

--
LG
Matthias Berke

Andreas Borutta, 2024-05-25 22:11:

> Arno Welzel:
>
>> Andreas Borutta, 2024-05-22 20:10:
>>
>>> Arno Welzel:
>>>
>>>> Andreas Borutta, 2024-05-13 14:40:
>> [...]
>>>>> Bleibt also nur wohl nur der Schluss:
>>>>> Willkürliche Entscheidung von Paypal ohne sachlichen Grund.
>>>>
>>>> Eine der vielen Gründe, wieso Passkeys broken by design ist.
>>>
>>> Broken ist doch nicht das Verfahren, sondern der Anbieter Paypal, der
>>> sich - vermutlich sogar ohne jede Not - weigert Passkey für FF
>>> umzusetzen.
>>
>> Eben! Wenn das Design *vorschreiben* würde, dass dazu fähige Geräte
>> unterstützt werden *müssen*, wäre es anders.
>
> Hier verstehe ich noch nicht, was Du meinst.
>
> "Vorschreiben" im engen Sinne, kann ja nur die Legislative.
>
> Gibt es ein Beispiel aus einem anderen technischen Bereich, wo es in
> Deinem Sinne gelöst wurde?

HTML5 ist auch eine "Vorschrift" - ein Browser, der HTML5 nicht
unterstützt, ist quasi unbrauchbar. Ein Browser, der HTML5 nur bei
bestimmten Websites anzeigt und sonst ignoriert, wäre wohl zurecht
ziemlich chancenlos.

--
Arno Welzel
https://arnowelzel.de

Arno Welzel <usenet@arnowelzel.de> wrote:
>Axel Berger, 2024-05-22 19:52:
>
>> Arno Welzel wrote:
>>> dass die Standard-SMS-App
>>> ihres Gerätes auch RCS unterstützt
>>
>> Ja, das ist extrem lästig. Ich möchte die Kontrolle darüber haben, was
>> ich benutze. Das eine braucht nur GSM, ist fast überall extrem
>> zuverlässig und kostet zwar den Absender etwas Geld, verbraucht beim
>> Empfänger aber kein Datenvolumen.
>
>Mag sein, dass SMS nur GSM braucht. Benutzt wird 4G dennoch, wenn möglich.

Aber Du hast doch sicher verstanden was Axel sagen wollte, oder? Ich
hab das nämlich kapiert.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Detlef Meißner <ungelesen@mailinator.com> wrote:
>Am 22.05.2024 um 16:23 schrieb Marco Moock:
>> Am 21.05.2024 18:50 Uhr schrieb Arno Welzel:
>
>>> Ich komme problemos ohne WhatsApp klar - hatte ich noch nie.
>>
>> Ich komme seit 2 Jahren auch komplett ohne aus. Nur hat das halt
>> Auswirkungen, dass manche Leute mit einem wesentlich weniger
>> kommunizieren.
>
>Ja nun, offensichtlich haben diese kein Bedürfnis, mit dir zu kommunizieren.
>Dann kann es nichts Wichtiges sein.

Es gibt Leute die _MIR_ so wichtig sind dass ich für sie Whatsapp
benutze. Mein Whatsapp ist allerdings weggesperrt und hat weder
Zugriff auf mein Adressbuch noch auf meine Bilder.

Grüße
Marc
--
----------------------------------------------------------------------------
Marc Haber | " Questions are the | Mailadresse im Header
Rhein-Neckar, DE | Beginning of Wisdom " |
Nordisch by Nature | Lt. Worf, TNG "Rightful Heir" | Fon: *49 6224 1600402

Andreas Borutta:

> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit des
> Systems Passkey weiter beobachten.

Kurzer Bericht zur UX mit einem Nitrokey 3C NFC.

Dienst zum Testen: <https://webauthn.io/>
OS: macOS Ventura
Kommandozeilentool zum Setzen der PIN: nitropy
Browser: Firefox, Chrome, Safari
Spezifische Erweiterungen in den Browsern: keine

Das Erzeugen eines Passkeys funktioniert in allen 3 Browsern
problemlos.
Die Dialogfelder sind gut verständlich.

1 Eingabe eines Nutzernamens
2 Register
-> Auswahl des Gerätes: Stick | Macbook
3 Stick
-> Aufforderung zum Berühren des Sticks
4 Berühren
-> Aufforderung zur Eingabe der PIN
5 Eingabe der PIN
-> Aufforderung zum Berühren
6 Berühren
-> Erfolgsmeldung

Mir fällt nix ein, was man an der UX noch verbessern könnte.

Ob man so ein Hardware-Token bequem genug findet, das bleibt natürlich
eine Grundsatzfrage, die jeder selber entscheiden muss.

Das Berliner Unternehmen Nitrokey bietet Open Hardware und Open
Software, das war mir sympathisch.

In naher Zukunft wird Nitrokey auch ein GUI-Verwaltungstool
bereitstellen.

Ich selber komme mit dem Kommandozeilentool gut klar.

Auch das Authentisieren funktioniert auf allen 3 Browsern:

1 Authenticate
-> Auswahl des Gerätes: Stick | Macbook
2 Stick
-> Aufforderung zum Einstecken und Berühren des Sticks
3 Berühren
-> Aufforderung zur Eingabe der PIN
4 Eingabe der PIN
-> Aufforderung zum Berühren
5 Berühren
-> Erfolgsmeldung

Auch hier fällt mir nix zur Verbesserung der UX ein.

Kleinigkeit:
Via Cookies wäre es vermutlich möglich, dass der Dienst sich merken
kann, ob der Gerätetyp Stick oder Macbook verwendet wurde und kann
diesen vorauswählen.
Aber das erwähne ich nur der Vollständigkeit halber.

Wenn diejenigen Dienste, wo ich ein hohes Sicherheitsbedürfnis habe
(z.B. Banken), Passkey anböten, idealerweise ohne zusätzliches Login
per Passwort, würde ich für diese Dienste auf Passkey auf dem Stick
umsteigen.

Einige Sticks bieten noch einen zusätzlichen dritten Faktor in Form
eines Fingerabdruck-Sensors an. Mir ist das nicht so wichtig. Auch
weil dieser Geheimnistyp ja eher leicht hackbar wäre (Wir erinnern uns
an "Holzleim")

> Insbesonderem zum Aspekt Sicherheit/Angreifbarkeit würde ich gerne mal
> eine ausführliche /Gegenüberstellung/ der 2 Systeme lesen. Mit
> statistischen Daten zu stattgefundenen Angriffen etc.

Ich war die Woche auf der re:publica und habe auf dem Stand unseres
"Digitalministeriums" die Mitarbeiter darauf angesprochen. Aber da war
niemand mit Kenntnissen dazu.

Falls hier jemand mitliest, dem so ein ausführlicher Vergleich
begegnet, berichtet bitte davon.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta schrieb:
> Andreas Borutta:
>
>> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit des
>> Systems Passkey weiter beobachten.
>
> Kurzer Bericht zur UX mit einem Nitrokey 3C NFC.
Frage zu dem Gerät, wieviele Passkey kann man speichern und kann man
nicht mehr gebrauchte solche von ihm löschen?
--
Religionskriege sind Konflikte zwischen erwachsenen Menschen, bei
denen es darum geht, wer den cooleren, imaginären Freund hat. Wenn
Jesus gevierteilt worden wäre, hätten wir heute dann Mobiles über der
Tür hängen?

Jörg Tewes:

> Andreas Borutta schrieb:
>> Andreas Borutta:
>>
>>> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit des
>>> Systems Passkey weiter beobachten.
>>
>> Kurzer Bericht zur UX mit einem Nitrokey 3C NFC.
>
> Frage zu dem Gerät, wieviele Passkey kann man speichern

10

Ich hoffe, das wird künftig durch ein Firmwareupdate erhöht.

Ein Stick von Google kann 300.
Ein Stick von Yubico kann 100.

> und kann man
> nicht mehr gebrauchte solche von ihm löschen?

Ja, das geht problemlos mit dem Tool nitropy.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta schrub

> Jörg Tewes:

>> Andreas Borutta schrieb:
>>> Andreas Borutta:

>>>> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit
>>>> des Systems Passkey weiter beobachten.

>>> Kurzer Bericht zur UX mit einem Nitrokey 3C NFC.

>> Frage zu dem Gerät, wieviele Passkey kann man speichern

> 10

Das ist ja arg wenig.

> Ich hoffe, das wird künftig durch ein Firmwareupdate erhöht.

> Ein Stick von Google kann 300.
> Ein Stick von Yubico kann 100.

100 finde ich annehmbar.

>> und kann man
>> nicht mehr gebrauchte solche von ihm löschen?

> Ja, das geht problemlos mit dem Tool nitropy.

Prima, das ginggeht bei dem Google Stick nämlich nicht.

Bye Jörg

--
Killing for peace is like fucking for virginity.

Jörg Tewes:

> Andreas Borutta schrub
>
>> Jörg Tewes:
>
>>> Andreas Borutta schrieb:
>>>> Andreas Borutta:
>
>>>>> Ich werde die Evolution der UX und der Sicherheit/Angreifbarkeit
>>>>> des Systems Passkey weiter beobachten.
>
>>>> Kurzer Bericht zur UX mit einem Nitrokey 3C NFC.
>
>>> Frage zu dem Gerät, wieviele Passkey kann man speichern
>
>> 10
>
> Das ist ja arg wenig.

Sehe ich auch so.

>>> und kann man
>>> nicht mehr gebrauchte solche von ihm löschen?
>
>> Ja, das geht problemlos mit dem Tool nitropy.
>
> Prima, das ginggeht bei dem Google Stick nämlich nicht.

Dieser kann auch 300 "non-discoverable credentials":
<https://www.token2.com/shop/product/token2-t2f2-pin-release2-type-c-fido2-u2f-and-totp-security-key-with-pin-complexity-feature>

Aber zu Funktionen wie "einzelne Passkeys löschen" kann ich nichts
sagen.

Mich wundert es, dass sich ein Anbieter überhaupt "traut" (wie Google)
sein Produkt ohne Software mit so eine Basis-Funktion auszuliefern.

Unabhängig davon bleibt die große zu schluckende Kröte bei Fido2 und
Passkeys auf einem Stick:

| FIDO2 umfasst keinerlei Wiederherstellungsstrategien oder Vorschläge dazu.
<https://de.wikipedia.org/wiki/FIDO2#Verlust_des_Authentifikators>

Ich bin technisch nicht kompetent, sagen zu können, was theoretisch
machbar wäre.

Mir schwebt etwas vor, wo "physische Nähe", sichergestellt durch NFC,
dazu führt, dass sich ein Stick auf einen anderen Schwester-Stick
klonieren/synchronisieren lässt. Das weicht naturgemäß die Sicherheit
auf, aber in einem vertretbaren Maß, da eine
"Wiederherstellungsstrategie" unabdingbar ist. Bei jedem
Authentisierungssystem.

Wir werden sehen, wie sich dieses Feld in Zukunft entwickeln wird.

Andreas
--
http://fahrradzukunft.de

Andreas Borutta:

>> und kann man
>> nicht mehr gebrauchte solche von ihm löschen?
>
> Ja, das geht problemlos mit dem Tool nitropy.

Zur UX dieser Aufgabe:

Sie verbesserungswürdig.

Nötig ist

1 Auflisten aller credentials
$ nitropy fido2 list-credentials
Dort werden die IDs der gespeicherten Passkeys angezeigt

2 Kopieren der gewünschten ID in die Zwischenablage

3 $ nitropy fido2 delete-credential

4 Einfügen der ID aus der Zwischenablage

5 Bestätigen des Löschens durch Eingabe der PIN

Mehrere Credentials lassen sich nicht in einem Rutsch löschen.

Klar, so eine UX ist albern umständlich. Aber ich vermute, es ist nur
noch eine Frage der Zeit, bis ein vernünftiges GUI-Tool kommt.

Interessanterweise bietet der Browser Chrome einige wenige Merkmale
zur Verwaltung von FIDO2-Sticks in den Einstellungen an:

chrome://settings/securityKeys

Beispiele:

Setzen der PIN
Löschen des gesamten Sticks

Warum FF diese Funktionen nicht bietet oder ob das zur Roadmap gehört,
weiß ich nicht.

Andreas
--
http://fahrradzukunft.de