In der heutigen Episode berichtet Sven über seine Erkenntnisse über Passkeys, was sie sind, wozu sie dienen, was Vor- und Nachteile sind und wem er sie empfehlen, bzw. über eine Empfehlung nachdenken würde.
Stefan versucht währenddessen, die Weltherrschaft an sich zu reißen…
Kontakt:
Website: 0x0d.de – Email: Feedback@0x0d.de (PGP)
Mastodon: @zeroday@chaos.social (Sven), @zeroday@podcasts.social (Stefan)
Hausmeisterei
- SPF Authentication for Mails eingerichtet
- Bitburner (Game)
Datenverluste
- 14.11.2023: Datenleck: „Mein Justizpostfach“ gewährt Dritten Datenzugriff – netzpolitik.org
- 16.11.2023: Toyota confirms breach after Medusa ransomware threatens to leak data
- 23.11.2023: Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
- 23.11.2023: Via Maestro: Angreifer stehlen Millionenbetrag von Commerzbank-Konten – Golem.de
News
- 06.09.2023: Toyota says filled disk storage halted Japan-based factories
- 07.10.2023: Thousands of Android devices come with unkillable backdoor preinstalled | Ars Technica
- 03.11.2023: Einstufung von Sicherheitslücken: Der CVSS-4.0-Standard ist da | heise online
- 19.10.2023: Google-hosted malvertising leads to fake Keepass site that looks genuine | Ars Technica
- 17.10.2023: Malicious Notepad++ Google ads evade detection for months
- 08.09.2023: Cloud-Anwendungen – Hacker-Angriff auf Microsoft war gravierend | tagesschau.de
- 21.11.2023: Microsoft-Netzwerke: Das große Security-Desaster in der IT – Golem.de
- 23.11.2023: Für Google-Konten: Malware kann wohl abgelaufene Sitzungscookies reaktivieren – Golem.de
- Per Fingerabdruck: Biometrie-Log-in von Dell, Lenovo und Microsoft geknackt – Golem.de
- 0d006 – Biometrie und Ergo Proxy | Zeroday
- Der Vortrag von Blackwing Intelligence zu dem Thema ist auf Youtube
- 20.11.2023: „Fachkräfte“ am Werk: Glasfaserkabel mit Panzerband geflickt – Unternehmen nicht erreichbar
Thema: Passwörter sind tot, hoch leben Passkeys
- WebAuthn.io
- Web Authentication: An API for accessing Public Key Credentials – Level 3
- Passkey (authentication) – Wikipedia
- Warum Passkeys?
- Zeitliche Entwicklung und Akteure
- Was ist ein Passkey?
- Unterschied WebAuthn und Passkeys?
- Sicherheit von Passkeys
- Nachteile:
Aufgenommen am: 30.11.2023
Veröffentlicht am: 30.11.2023
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson
Disclaimer
In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.
Juchuuu, endlich wieder Hörmaterial. Ich hatte schon überlegt, bei der nächsten ICE-Fahrt zwischen Wolfsburg und Hannover die Notbremse zu ziehen und auf die Vermissten-Suche nach einem Bassisten-Spielkind-Duo zu gehen.
Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
https://developers.yubico.com/Passkeys/Passkey_concepts/Single_device_vs_multi_device_credentials.html
Dadurch besitzt jedes Gerät einen eigenen Passkey der nie das Gerät verlässt und dadurch geheim bleibt.
Das ist natürlich nicht das was Apple und Co wollen mit ihrer Cloud sync und Multi device passkeys (MDCs). Das ist natürlich benutzerfreundlicher
Mit Single device passkeys (SDCs) würde sich allerdings folgendes umsetzten lassen:
Wenn ich mich mit einem neuen Gerät bei einem Dienst registrieren will dann muss ich das ganze mit einem bereits registrierten Gerät bestätigen. (Wie z.B. beim erwähnten Google Prinzip). Bedeutet es wird wieder eine Challenge (Oder neu geladener Pubkey) signiert von einem bereits registriertem Gerät an den server geschickt und vom dort ausgewertet. Der Server/Dienst muss dadurch natürlich mehrere Public Keys speichern.
Ein Problem wird dadurch natürlich nicht gelöst. Was passiert wenn bei einem Angriff einfach ein fremder Public key hinzugefügt wird? (Ist natürlich ein generelles Problem und könnte mit signierten Pubkeys evtl umgangen werden)
Außerdem spricht doch nichts gegen Passkeys zusammen mit 2FA? Einziges Problem (was mich aber auch bei anderen Anwendung nervt) ist das 2FA und Passkeys/Password immer noch von einem Gerät kommen können was für mich das ganze Prinzip zerstört.
Persönlich kann ich mir den Einsatz von SDCs sehr gut vorstellen vor allem für unexperienced user (Die meist eh in einem homogenen System sind).
Vielleicht ist dieses Paper hier noch sehr interessant: „Why Aren’t We Using Passkeys?“
https://www.usenix.org/system/files/sec24summer-prepub-618-lassak.pdf
(Noch nicht released bzw. peer reviewed. Ist für USENIX 2024)
Und die yubikey docs sind sehr gut finde ich:
https://developers.yubico.com/Passkeys/ zusammen mit der Übersicht die assurance levels https://developers.yubico.com/Passkeys/Passkey_use_cases.html
Bitwarden hat es übrigens https://bitwarden.com/passwordless-passkeys/ und verlinkt zur integration zu
https://docs.passwordless.dev/
Sehr cooler Podcast btw. Hab euch gerade erst entdeckt und werde auf jeden Fall öfter reinhören und sorry für den langen Kommentar.
PS: Und vielleicht habe ich es verpasst, aber ihr habt das Owncloud Desaster vergessen 😀
Lange Kommentare schrecken uns nicht, wir freuen uns über jeden, der hier etwas zur Diskussion beiträgt.
Wie ich das verstanden habe, sind Passkeys der webauthn-Standard PLUS Cloud-Sync. Wenn das wegfällt, ist es halt wieder die „normale“ Web Authentication API.How auch ever, ich finde dieses Wort- und Implementationswirrwarr für eine technische eigentlich gute Lösung sehr kontraproduktiv.
Für mich ist bdas Thema Passkeys noch nicht zuende gedacht, werde mich mal damit beschäftigen und vielleicht ien Follow-Up machen. Danke für Deinen Input!
Viele Grüße
Sven
> Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
Das ist übrigens wieder ein schönes Beispiel für das Begriffs-Wirrwarr rund um Passkeys. Single Device Passkeys sind das, was ich in der Episode den Webauthn-Standard genannt habe. Das schreibt Yubico ja auch selbst auf der Seite. Und Multi Device Passkeys sind dann die Passkeys im eigentlichen Sinne.
Hallo ihr beiden. Micki wieder einmal. y Eine Frage; Hätte Noscript da nicht geholfen? Damit kein Javascript ausgeführt wird? Grüße aus Düren
Hi MIcky, ja, hätte wohl geholfen. Ich habe leider zuviele negative Nebeneffekte mit Noscript gehabt, weshalb ich es nicht mehr nutze (ausser im Torbrowser natürlich).