Heißer Flamewar und Hot Takes in den Kommentaren

@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:

Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.

Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.

@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:

Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.

Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.

@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:

Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.

Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.

@larsmb Selbstverständlich tu ich das, und das würde ich auch jedem anderen empfehlen:

Wenn das 2FA QR auftaucht, Screenshot wegspeichern auf dem Archiv-Stick und zwei Handies einlernen.

Dadurch wird man von kaputten Recovery Flows komplett unabhängig und kann neue Geräte auf eine leicht verständliche Weise einlernen.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.

@isotopp Ich glaube du hast überhaupt nicht verstanden wie Passkeys funktionieren und die Antwort auf jede deiner Fragen ist im wesentlichen: exakt wie deine Passwörter in deinem Passwortmanager.

@343max @isotopp Mindestens für die FIDO-Key Variante ist so einiges unzureichend:

Ist der Key weg, hab ich nirgends eine Übersicht, auf welchen Sites der verwendet wurde.
Und so nen Key kann ich nicht backuppen. Da hilft nur, bei jedem Service beide Keys (original + Backup) zu enrollen.

Beide Punkte sind UX Katastrophen.

In Software ist die Backup- und Übersichtsfrage geklärt (Stichwort bei Apple: Passwörter-App und iCloud-Backup).
Aber es fehlt die Kompatibilität mit anderen Apps und OSen.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.

@isotopp Passkeys sind genau so von Google, Apple und Co gehijacked und tot geritten worden wie damals die Idee von SSO (erinnert sich noch jemand an die Zeit, als SSO-Portale aus dem Boden sprossen wie Pilze?)

Dann kamen die Gatekeeper in Form von GAFAM und plötzlich wurde aus einem einfachen "Login" ein "Log in with Apple OR Log in with Google or Login with Facebook"

Wir sehen hier Marktversagen (von diesem Markt, der alles regelt), in voller Blüte.

RE: https://social.tchncs.de/@kuketzblog/116034644267703808

Heißer Flamewar und Hot Takes in den Kommentaren

In der Theorie sollten Passkeys so wie SSH-Keys für das Web funktionieren und schneller, bequemer und sicherer als Paßworte sein.

In der Praxis ist das alles komplett fucked, es ist unklar, was wann von wem wo gespeichert wird und wie man es wiederherstellt, und wie man es portiert, wenn man Geräte wechselt. Oder wie der Recovery-Flow aussieht und ob der sicher ist.

Ich habe daher auf allen meinen Geräten Passkeys blockiert und warte noch fünf bis zehn Jahre ab. Bis dahein Bitwarden gegen Vaultwarden und OTP. Und ich archiviere die QR-Codes zur Initialisierung der OTP-Generatoren für jede Site, sodaß ich dem Recovery-Flow der jeweiligen Sites geflissentlich fern bleiben kann – ich lerne einfach ein neues Gerät nacheinander mit den Screenshots der archivierten Codes an.

Mein Rat an jeden der mich fragt ist: Macht halt Passkeys, wenn ihr glaubt, daß ihr wisst ob und wie es funktioniert und ihr das managen könnt.

Für mich lösen sie keine Probleme und schaffen nur neue, funktionieren unzuverlässig und das Management ist unklar.