0d109 – Passwörter sind tot, hoch leben Passkeys

In der heutigen Episode berichtet Sven über seine Erkenntnisse über Passkeys, was sie sind, wozu sie dienen, was Vor- und Nachteile sind und wem er sie empfehlen, bzw. über eine Empfehlung nachdenken würde.

Stefan versucht währenddessen, die Weltherrschaft an sich zu reißen…

Kontakt:

Website: 0x0d.de  – Email: Feedback@0x0d.de (PGP)
Mastodon: @zeroday@chaos.social (Sven), @zeroday@podcasts.social (Stefan)

Hausmeisterei

Datenverluste 

News

Thema: Passwörter sind tot, hoch leben Passkeys

Aufgenommen am: 30.11.2023
Veröffentlicht am: 30.11.2023
Intro & Outro Chiptune  CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson 

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

6 Gedanken zu „0d109 – Passwörter sind tot, hoch leben Passkeys

  1. Dennis

    Juchuuu, endlich wieder Hörmaterial. Ich hatte schon überlegt, bei der nächsten ICE-Fahrt zwischen Wolfsburg und Hannover die Notbremse zu ziehen und auf die Vermissten-Suche nach einem Bassisten-Spielkind-Duo zu gehen.

    Antworten
  2. Flo

    Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
    https://developers.yubico.com/Passkeys/Passkey_concepts/Single_device_vs_multi_device_credentials.html
    Dadurch besitzt jedes Gerät einen eigenen Passkey der nie das Gerät verlässt und dadurch geheim bleibt.
    Das ist natürlich nicht das was Apple und Co wollen mit ihrer Cloud sync und Multi device passkeys (MDCs). Das ist natürlich benutzerfreundlicher
    Mit Single device passkeys (SDCs) würde sich allerdings folgendes umsetzten lassen:
    Wenn ich mich mit einem neuen Gerät bei einem Dienst registrieren will dann muss ich das ganze mit einem bereits registrierten Gerät bestätigen. (Wie z.B. beim erwähnten Google Prinzip). Bedeutet es wird wieder eine Challenge (Oder neu geladener Pubkey) signiert von einem bereits registriertem Gerät an den server geschickt und vom dort ausgewertet. Der Server/Dienst muss dadurch natürlich mehrere Public Keys speichern.
    Ein Problem wird dadurch natürlich nicht gelöst. Was passiert wenn bei einem Angriff einfach ein fremder Public key hinzugefügt wird? (Ist natürlich ein generelles Problem und könnte mit signierten Pubkeys evtl umgangen werden)

    Außerdem spricht doch nichts gegen Passkeys zusammen mit 2FA? Einziges Problem (was mich aber auch bei anderen Anwendung nervt) ist das 2FA und Passkeys/Password immer noch von einem Gerät kommen können was für mich das ganze Prinzip zerstört.

    Persönlich kann ich mir den Einsatz von SDCs sehr gut vorstellen vor allem für unexperienced user (Die meist eh in einem homogenen System sind).

    Vielleicht ist dieses Paper hier noch sehr interessant: „Why Aren’t We Using Passkeys?“
    https://www.usenix.org/system/files/sec24summer-prepub-618-lassak.pdf
    (Noch nicht released bzw. peer reviewed. Ist für USENIX 2024)

    Und die yubikey docs sind sehr gut finde ich:
    https://developers.yubico.com/Passkeys/ zusammen mit der Übersicht die assurance levels https://developers.yubico.com/Passkeys/Passkey_use_cases.html
    Bitwarden hat es übrigens https://bitwarden.com/passwordless-passkeys/ und verlinkt zur integration zu
    https://docs.passwordless.dev/

    Sehr cooler Podcast btw. Hab euch gerade erst entdeckt und werde auf jeden Fall öfter reinhören und sorry für den langen Kommentar.
    PS: Und vielleicht habe ich es verpasst, aber ihr habt das Owncloud Desaster vergessen 😀

    Antworten
    1. Sven Hauptmann Beitragsautor

      Lange Kommentare schrecken uns nicht, wir freuen uns über jeden, der hier etwas zur Diskussion beiträgt.

      Wie ich das verstanden habe, sind Passkeys der webauthn-Standard PLUS Cloud-Sync. Wenn das wegfällt, ist es halt wieder die „normale“ Web Authentication API.How auch ever, ich finde dieses Wort- und Implementationswirrwarr für eine technische eigentlich gute Lösung sehr kontraproduktiv.

      Für mich ist bdas Thema Passkeys noch nicht zuende gedacht, werde mich mal damit beschäftigen und vielleicht ien Follow-Up machen. Danke für Deinen Input!

      Viele Grüße
      Sven

      Antworten
    2. Sven Hauptmann Beitragsautor

      > Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
      Das ist übrigens wieder ein schönes Beispiel für das Begriffs-Wirrwarr rund um Passkeys. Single Device Passkeys sind das, was ich in der Episode den Webauthn-Standard genannt habe. Das schreibt Yubico ja auch selbst auf der Seite. Und Multi Device Passkeys sind dann die Passkeys im eigentlichen Sinne.

      Antworten
  3. Michael Schmitz

    Hallo ihr beiden. Micki wieder einmal. y Eine Frage; Hätte Noscript da nicht geholfen? Damit kein Javascript ausgeführt wird? Grüße aus Düren

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert