Heißer Flamewar und Hot Takes in den Kommentaren
-
@isotopp Bitte sag', dass du nicht wirklich 2FA als Screenshots archivierst.
@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:
Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.
Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.
-
@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:
Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.
Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.
Kleines shell script:
flo@p5:~$ cat bin/qrscreen
#!/bin/sh
gnome-screenshot -f /tmp/screen.png >/dev/null 2>&1 \
&& zbarimg -q /tmp/screen.png | sed -e 's/^QR-Code://'Und anschliesend das ganze in "gopass" speichern - Der kann die totps erzeugen (Auch im browser)
flo@p5:~$ gopass totp zz/*redacted*
952267
([q] to stop. -o flag to avoid.) This OTP password still lasts for:Und da kann man es ggfs auch wieder exportieren als qrcode damit man mobiles anlernen kann.
Und natürlich - gopass - git + gpg - kann man einfach in sein eigenes gitlab pushen oder was auch immer.
-
@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:
Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.
Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.
-
@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:
Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.
Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.
@isotopp Huh. Ich hab' halt einfach Backups des Passwort-Managers.
-
@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:
Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.
Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp
Ja, wobei ich nicht den QR-Code archiviere sondern den Seed als String (kann man eigentlich überall alternativ anfordern). -
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp Passkeys auf den eigenen Geräten blockieren geht wie genau? Ich bin zusehends genervt davon, dass mir das als "klick mal schnell hier und dann ist anmelden viel einfacher" von diversen Diensten reingedrückt wird ...
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp
https://opensourcesecuritypodcast.libsyn.com/wtf-is-a-passkey-with-william-brown has a nice background -
@isotopp Ich glaube du hast überhaupt nicht verstanden wie Passkeys funktionieren und die Antwort auf jede deiner Fragen ist im wesentlichen: exakt wie deine Passwörter in deinem Passwortmanager.
@343max @isotopp Mindestens für die FIDO-Key Variante ist so einiges unzureichend:
Ist der Key weg, hab ich nirgends eine Übersicht, auf welchen Sites der verwendet wurde.
Und so nen Key kann ich nicht backuppen. Da hilft nur, bei jedem Service beide Keys (original + Backup) zu enrollen.Beide Punkte sind UX Katastrophen.
In Software ist die Backup- und Übersichtsfrage geklärt (Stichwort bei Apple: Passwörter-App und iCloud-Backup).
Aber es fehlt die Kompatibilität mit anderen Apps und OSen. -
@343max @isotopp Mindestens für die FIDO-Key Variante ist so einiges unzureichend:
Ist der Key weg, hab ich nirgends eine Übersicht, auf welchen Sites der verwendet wurde.
Und so nen Key kann ich nicht backuppen. Da hilft nur, bei jedem Service beide Keys (original + Backup) zu enrollen.Beide Punkte sind UX Katastrophen.
In Software ist die Backup- und Übersichtsfrage geklärt (Stichwort bei Apple: Passwörter-App und iCloud-Backup).
Aber es fehlt die Kompatibilität mit anderen Apps und OSen.@ron @isotopp Keine Ahnung was du mit den Keys meinst und wieso man zwei brauchen sollte. Und was du mit fehlender Kompatibilität meinst weiß ich auch nicht. Nimm einfach einen Passwortmanager der Plattformunabhängig ist, fertig. Klar, wenn du deine Credentials in der Apple App speicherst die nur auf Apple devices funktioniert wirst du sie auf anderen Plattformen vermutlich nicht aufkriegen.
-
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp da geht es mir genauso wie dir: Solange es keine funktionierenden Standards für Portabilität gibt, sperren Passkeys einen nur noch mehr in die Silos von Google, Apple etc ein.
-
@isotopp Passkeys sind genau so von Google, Apple und Co gehijacked und tot geritten worden wie damals die Idee von SSO (erinnert sich noch jemand an die Zeit, als SSO-Portale aus dem Boden sprossen wie Pilze?)
Dann kamen die Gatekeeper in Form von GAFAM und plötzlich wurde aus einem einfachen "Login" ein "Log in with Apple OR Log in with Google or Login with Facebook"
Wir sehen hier Marktversagen (von diesem Markt, der alles regelt), in voller Blüte.
@danimo @isotopp woher kommt eigentlich diese Behauptung, der Markt würde angeblich "alles" regeln? Ich begegne ihr immer wieder. Dabei ist es doch so, dass schon nach dem Krieg unter Erhard (CDU!) sehr bewusst eine soziale Marktwirtschaft aufgebaut wurde und keine freie Marktwirtschaft.
Ich sehe das Problem zuerst darin, dass von dem sozialen der 50er Jahre inzwischen nicht mehr viel übrig ist. Was der Markt grundsätzlich gut kann ist optimieren. Und was nicht (mehr) wettbewerbsfähig ist wird von ihm abgeräumt. Von Moral und Sozialstaat weiß der Markt nichts. Das ist die Aufgabe der Politik. Und die erfüllt sie wie gesagt zunehmend schlecht. -
RE: https://social.tchncs.de/@kuketzblog/116034644267703808
Heißer Flamewar und Hot Takes in den Kommentaren
In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.
In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.
Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.
Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.
Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.
@isotopp Jup, genau so.
Wobei ich auch schon Passkeys in KeePass-Datenbanken gespeichert habe.
Neben den TOTP-Keys und deren Recovery-Keys.
Ich speicher meist noch den Inhalt der QR-Codes zusätzlich ab.
Passkeys nehme ich aber ganz gerne, wenn sie nur den Login auf einem Gerät absichern, aber nicht auf anderen Geräten auschließen.
So brauche ich am Handy nur die PIN, statt des ganzes Passworts, dass ich eh mit der PIN entsperren würde.
