Passkeys, einfach und sicher?
Passkeys sollen den Login einfacher und sicherer machen, doch ist das tatsächlich so?
Um dies praktisch auszuprobieren, habe ich mir vor einigen Wochen zwei FIDO2 Keys bei token2.com bestellt. Die Lieferung über herkömmlichen Postversand kam nach zwei Wochen bei mir an, wer es eilig hat, kann auch UPS Express als Versandart wählen, was derzeit mit 19,-- Euro zu Buche schlägt.
Erste Tests
Der erste Test über FIDO2/Passkeys Demo verlief einwandfrei, hier bekommt man einen ersten Eindruck, wie es funktioniert.
Besser finde ich passkey.org, hier können zwei (oder mehr) Keys hinterlegt werden, so wie man es in der Praxis auch machen sollte. Geht ein Stick kaputt oder verloren, ist man nicht ausgesperrt.
Die Registrierung ist schnell erledigt:
1.) Usernamen eingeben
2.) PIN des Keys eintippen
3.) Key berühren
4.) Auslesen von Hersteller und Modell des Keys erlauben oder überspringen
Nach diesem Muster läuft die Registrierung auf den meisten Seiten ab. Ich habe beide Sticks registriert, so sieht es dann aus:
Amazon
Nachdem die Tests leicht von der Hand gingen, wagen wir uns jetzt auf eine "echte" Seite. Bei Amazon können unter Mein Konto - Anmeldung und Sicherheit mehrere Keys hinterlegt werden.
Nach Klick auf Einrichten im obigen Screenshot kommen die üblichen Abfragen zur Registrierung eines neuen Passkeys, so wie unter "Erste Tests" zu sehen, der Ablauf ist simpel und fast immer gleich.
Jetzt melde ich mich kurz ab und versuche einen Login mit dem neu registrierten Passkey. Hmm, bei der Anmeldung muss zunächst der Username eingetippt werden, erst danach kommt der Button um sich mit dem Passkey anzumelden.
Das funktioniert einfach und schnell, allerdings hatte ich den Key noch im USB-Port stecken. Ansonsten müsste ich jetzt meinen Key irgendwo aus einer Schublade kramen, beim PC einstecken, drauf tippen, wieder raus und zurück in die Schublade. In der Zeit hätte ich wahrscheinlich 3x mein Passwort eingegeben.
Der einzige Vorteil, der FIDO-Stick würde auf einer Phishing Webseite nicht funktionieren und mich so vor einem potentiellen Diebstahl meines Passworts schützen.
Binance
Binance hat offensichtlich nachgebessert, bei meinem letzten Versuch vor zwei Wochen konnte ich nur einen Passkey hinterlegen, jetzt sind mehrere Keys möglich. Zusätzlich besteht die Option, für wichtige Aktionen nur noch Passkeys zu erlauben.
Etwas suspekt, bei einer Auszahlung kommt die Meldung, es müssen mindestens zwei 2FA Methoden aktiviert sein.
Authenticator und E-Mail geht, FIDO-Stick und E-Mail geht nicht. Warum weiß wohl nur Hr. Binance oder dies wird zukünftig nachgebessert.
Ebay
Ebay sollte eigentlich funktionieren, so steht es zumindest auf einigen Seiten. Nach einigen Recherchen fand ich jedoch diese Info vom 04.03.2024:
Aktuell ist die Anmeldung über den Passkey tatsächlich nur für iOS verfügbar.
Also... zur Zeit Pustekuchen oder eben iOS.
Internet Identity
ICP alias internetcomputer.org bietet über die Internet Identity Zugang zu dessen Ökosystem. Erstellung einer ID und Login sind sehr gut gelöst, mehrere Keys können hinterlegt werden und als letzte Rückfallebene ist ein Recovery über eine Recovery Phrase möglich.
Wie im Screenshot zu sehen, habe ich es hier etwas übertrieben und sogar eine Bitbox als Passkey eingetragen, da muss ich wohl etwas aufräumen.
Verwaltung / Tools
Vor dem Kauf machte ich mir Gedanken, wie ich die gespeicherten Passkeys verwalten kann. Die einfachste Methode ist, dies direkt im Browser zu machen. Die Adresse dazu sollte normalerweise chrome://settings/securityKeys sein, im Vivaldi Browser ist es vivaldi://settings/securityKeys.
Hier können die gespeicherten Keys angezeigt und ggf. gelöscht werden.
Mehr Infos bekommt man über die Software des Herstellers, bei Token2 z.B. mit dem FIDO2.1 Manager.
Fazit
An sich eine gute Sache, aber...
- auf vielen Seiten gibt es noch keine Möglichkeit Passkeys zu nutzen.
- Umsetzung lässt teilweise zu wünschen übrig, so wird z.B. zusätzlich ein Authenticator-App verlangt oder der Login ist ebenso oder sogar noch aufwändiger als mit Passwort.
- Login mit Passwort kann nicht deaktiviert werden, d.h. der Gewinn an Sicherheit liegt dann primär im Schutz vor gefälschten Webseiten.
Es war ein interessanter Ausflug, bei gut umgesetzten Websites ist das Einloggen eine wahre Freude, kein Puzzlestück zum Ausrichten und auch keine App, die extra gestartet werden muss. Dennoch ich habe leichte Zweifel, ob sich die Geschichte durchsetzen wird. Wir werden sehen...
If there is one unique feature you mentioned about the “Fido keys” is that it rejects phishing website.
The challenge you had with the Fido keys on binance, is it the same situation other passkeys go through?
I suppose so, which passkey you have from which company should not matter - as long as it is accepted as passkey.
I think I love the feature that comes with this passkey. It will help to take the security to another level
Oh, I'm very confused right now, what do you say to this Post ?
You are really making a great effort. It is really good that we have passkey section as it will definitely enhance security
Danke für den tollen Beitrag dem ich entnehme, dass ich bei Binance mit dem Fido Sticks keinen Übertrag der Steem an steemit derzeit veranlassen kann und dazu eine verhasste von wem auch immer kontroollierte Authenticator App brauche.
Dies bedeutet dann wohl, dass ich erst einmal die Steem dort weiter nutzlos weiter parken muss, bis Binance auch die Auszahlung per Fidostick erlaubt, da ich Schnüffelapps mangels Vertrauen in deren Betreiber ablehne.
Alternativ sollte deine Handynummer als zweite 2FA Methode akzeptiert werden, in den Settings kann man "Phone Number" als 2FA-Methode einrichten.
Da Authenticator + E-Mail reicht, vermute ich, dass Handynummer + E-Mail ebenfalls ausreichen würde.
Ich versteh aber nicht ganz, warum du dich mit Händen und Füßen gegen eine Auth-App wehrst. Aegis, die App die ich dir schon öfter verlinkt habe, ist Open Source, der Quellcode ist auf Github einsehbar und hat null Komma nix mit Google zu tun.
Aber musst du wissen, falls du deine Handynummer auch nicht angeben willst, dann hilft wirklich nur abwarten.
It actually looks like not every site currently now is making use of the passkey
That's true, and I think it always depends on how much value is attached to a website. A login for an online shop will not be as important as for a stock exchange. It is therefore understandable that some website operators are currently avoiding the effort of integration.
Thanks for stopping by!