In der heutigen Episode berichtet Sven über seine Erkenntnisse über Passkeys, was sie sind, wozu sie dienen, was Vor- und Nachteile sind und wem er sie empfehlen, bzw. über eine Empfehlung nachdenken würde.

Stefan versucht währenddessen, die Weltherrschaft an sich zu reißen…

Kontakt:

Website: 0x0d.de – Email: Feedback@0x0d.de (PGP)
Mastodon: @zeroday@chaos.social (Sven), @zeroday@podcasts.social (Stefan)

Hausmeisterei

SPF Authentication for Mails eingerichtet
- Sender Policy Framework – Wikipedia
- DomainKeys Identified Mail – Wikipedia
Bitburner (Game)

Datenverluste

14.11.2023: Datenleck: „Mein Justizpostfach“ gewährt Dritten Datenzugriff – netzpolitik.org
- Lage der Nation zu Digitalisierung
- LdN301 „Keine weiteren Fragen“ – Digitalisierung der deutschen Verwaltung, Teil 1 – Lage der Nation
- LdN302 Baustellen & Lösungen – Digitalisierung der deutschen Verwaltung, Teil 2 – Lage der Nation
16.11.2023: Toyota confirms breach after Medusa ransomware threatens to leak data
23.11.2023: Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
23.11.2023: Via Maestro: Angreifer stehlen Millionenbetrag von Commerzbank-Konten – Golem.de
- Episode 107

News

06.09.2023: Toyota says filled disk storage halted Japan-based factories
07.10.2023: Thousands of Android devices come with unkillable backdoor preinstalled | Ars Technica
03.11.2023: Einstufung von Sicherheitslücken: Der CVSS-4.0-Standard ist da | heise online
19.10.2023: Google-hosted malvertising leads to fake Keepass site that looks genuine | Ars Technica
- 0d104 – Mehr Sicherheit mit dem Windows Paketmanager winget | Zeroday
17.10.2023: Malicious Notepad++ Google ads evade detection for months
08.09.2023: Cloud-Anwendungen – Hacker-Angriff auf Microsoft war gravierend | tagesschau.de
21.11.2023: Microsoft-Netzwerke: Das große Security-Desaster in der IT – Golem.de
23.11.2023: Für Google-Konten: Malware kann wohl abgelaufene Sitzungscookies reaktivieren – Golem.de
Per Fingerabdruck: Biometrie-Log-in von Dell, Lenovo und Microsoft geknackt – Golem.de
- 0d006 – Biometrie und Ergo Proxy | Zeroday
- Der Vortrag von Blackwing Intelligence zu dem Thema ist auf Youtube
20.11.2023: „Fachkräfte“ am Werk: Glasfaserkabel mit Panzerband geflickt – Unternehmen nicht erreichbar

Thema: Passwörter sind tot, hoch leben Passkeys

WebAuthn.io
Web Authentication: An API for accessing Public Key Credentials – Level 3
Passkey (authentication) – Wikipedia
Warum Passkeys?
Zeitliche Entwicklung und Akteure
- Support WebAuthn Passkeys – Mozilla Connect )
- Passkeys.directory
Was ist ein Passkey?
Unterschied WebAuthn und Passkeys?
- WebAuthn vs Passkeys
Sicherheit von Passkeys
- Informationen zur Sicherheit von Passkeys – Apple Support (DE)
Nachteile:
- Researchers figure out how to bypass the fingerprint readers in most Windows PCs | Ars Technica

Aufgenommen am: 30.11.2023
Veröffentlicht am: 30.11.2023
Intro & Outro Chiptune CC BY SA 4.0: Pumped by ROCCOW
Logo CC BY 2.0 Richard Patterson

Disclaimer

In diesem Podcast werden Techniken oder Hardware vorgestellt, die geeignet sind, andere Systeme anzugreifen. Dies geschieht ausschließlich zu Bildungszwecken, denn nur, wenn man die Angriffstechniken kennt, kann man sich effektiv davor schützen. Denkt immer daran, diese Techniken oder Hardware nur bei Geräten anzuwenden, deren Eigner oder Nutzer das erlaubt haben.Der unerlaubte Zugriff auf fremde Infrastruktur ist strafbar (In Deutschland §202a, §202b, §202c StGB).Unsere Aussagen spiegeln ausschließlich unsere eigene Meinung wider.

6 Gedanken zu „0d109 – Passwörter sind tot, hoch leben Passkeys“

Dennis 1. Dezember 2023 um 15:19 Uhr

Juchuuu, endlich wieder Hörmaterial. Ich hatte schon überlegt, bei der nächsten ICE-Fahrt zwischen Wolfsburg und Hannover die Notbremse zu ziehen und auf die Vermissten-Suche nach einem Bassisten-Spielkind-Duo zu gehen.

Antworten ↓

Flo 4. Dezember 2023 um 7:49 Uhr

Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
https://developers.yubico.com/Passkeys/Passkey_concepts/Single_device_vs_multi_device_credentials.html
Dadurch besitzt jedes Gerät einen eigenen Passkey der nie das Gerät verlässt und dadurch geheim bleibt.
Das ist natürlich nicht das was Apple und Co wollen mit ihrer Cloud sync und Multi device passkeys (MDCs). Das ist natürlich benutzerfreundlicher
Mit Single device passkeys (SDCs) würde sich allerdings folgendes umsetzten lassen:
Wenn ich mich mit einem neuen Gerät bei einem Dienst registrieren will dann muss ich das ganze mit einem bereits registrierten Gerät bestätigen. (Wie z.B. beim erwähnten Google Prinzip). Bedeutet es wird wieder eine Challenge (Oder neu geladener Pubkey) signiert von einem bereits registriertem Gerät an den server geschickt und vom dort ausgewertet. Der Server/Dienst muss dadurch natürlich mehrere Public Keys speichern.
Ein Problem wird dadurch natürlich nicht gelöst. Was passiert wenn bei einem Angriff einfach ein fremder Public key hinzugefügt wird? (Ist natürlich ein generelles Problem und könnte mit signierten Pubkeys evtl umgangen werden)

Außerdem spricht doch nichts gegen Passkeys zusammen mit 2FA? Einziges Problem (was mich aber auch bei anderen Anwendung nervt) ist das 2FA und Passkeys/Password immer noch von einem Gerät kommen können was für mich das ganze Prinzip zerstört.

Persönlich kann ich mir den Einsatz von SDCs sehr gut vorstellen vor allem für unexperienced user (Die meist eh in einem homogenen System sind).

Vielleicht ist dieses Paper hier noch sehr interessant: „Why Aren’t We Using Passkeys?“
https://www.usenix.org/system/files/sec24summer-prepub-618-lassak.pdf
(Noch nicht released bzw. peer reviewed. Ist für USENIX 2024)

Und die yubikey docs sind sehr gut finde ich:
https://developers.yubico.com/Passkeys/ zusammen mit der Übersicht die assurance levels https://developers.yubico.com/Passkeys/Passkey_use_cases.html
Bitwarden hat es übrigens https://bitwarden.com/passwordless-passkeys/ und verlinkt zur integration zu
https://docs.passwordless.dev/

Sehr cooler Podcast btw. Hab euch gerade erst entdeckt und werde auf jeden Fall öfter reinhören und sorry für den langen Kommentar.
PS: Und vielleicht habe ich es verpasst, aber ihr habt das Owncloud Desaster vergessen 😀

Antworten ↓

Sven Hauptmann Beitragsautor4. Dezember 2023 um 12:46 Uhr

Lange Kommentare schrecken uns nicht, wir freuen uns über jeden, der hier etwas zur Diskussion beiträgt.

Wie ich das verstanden habe, sind Passkeys der webauthn-Standard PLUS Cloud-Sync. Wenn das wegfällt, ist es halt wieder die „normale“ Web Authentication API.How auch ever, ich finde dieses Wort- und Implementationswirrwarr für eine technische eigentlich gute Lösung sehr kontraproduktiv.

Für mich ist bdas Thema Passkeys noch nicht zuende gedacht, werde mich mal damit beschäftigen und vielleicht ien Follow-Up machen. Danke für Deinen Input!

Viele Grüße
Sven

Antworten ↓
Sven Hauptmann Beitragsautor8. Dezember 2023 um 7:52 Uhr

> Ich finde die Unterscheidung bei den Passkeys sehr wichtig:
Das ist übrigens wieder ein schönes Beispiel für das Begriffs-Wirrwarr rund um Passkeys. Single Device Passkeys sind das, was ich in der Episode den Webauthn-Standard genannt habe. Das schreibt Yubico ja auch selbst auf der Seite. Und Multi Device Passkeys sind dann die Passkeys im eigentlichen Sinne.

Antworten ↓

Michael Schmitz 9. Dezember 2023 um 22:25 Uhr

Hallo ihr beiden. Micki wieder einmal. y Eine Frage; Hätte Noscript da nicht geholfen? Damit kein Javascript ausgeführt wird? Grüße aus Düren

Antworten ↓

Sven Hauptmann Beitragsautor11. Dezember 2023 um 14:15 Uhr

Hi MIcky, ja, hätte wohl geholfen. Ich habe leider zuviele negative Nebeneffekte mit Noscript gehabt, weshalb ich es nicht mehr nutze (ausser im Torbrowser natürlich).

Antworten ↓