Beiträge von mini73

    Doubletap zum Aktivieren des Bildschirms kenne ich auch von Samsung (unter "Erweiterte Funktionen") und Pixel (bei den Sperrbildschirmeinstellungen).


    Wegen Smartphone bis 300€:

    Top 10: Die besten Smartphones bis 300 Euro – Motorola und Xiaomi vor Samsung
    Mehr als ein Einsteiger-Smartphone sollte das neue Mobilgerät schon können, aber gleichzeitig nicht viel kosten? Wir zeigen die besten Handys bis 300 Euro.
    www.techstage.de


    Ich habe nach diversen Modellen keine große Lust mehr auf Experimente oder Sparen und würde mich aktuell immer für ein Pixel-Gerät entscheiden. Schnelle und lange Updateversorgung und anschließend meist eine gute Auswahl an Custom ROMs. Für mich sind sie ihren Aufpreis wert.

    Ich habe schon seit Ewigkeiten bei all-inkl.com ein Premium Webhosting laufen. Kostet zwar 9,95 im Monat, aber ich hab dann meinen eigenen Mailserver und Nextcloud laufen (ohne mich zu Hause mit DynDns befassen zu müssen, was aber auch mit denen geht).

    Und im Dreijahresabo spart man noch ein bisschen.


    Premium deshalb, weil man dann SSH Zugriff hat.

    Insgesamt für Webseite, Nextcloud, Mails, FTP usw. habe ich dann 250GB Platz. Reicht und läuft super.


    Lars

    Das die Keys nicht kopierbar sind kann bei gewissen Anwendungen vorteilhaft sein, für mich sehe ich aber nur Nachteile.

    Ich bräuchte jeden USB-Key doppelt und müsste immer beide anmelden.

    Wenn man das nicht will müsste man irgendwo einen Notfallcode oder dergleichen sicher hinterlegen.

    Falls willst du denn mit der Kopie deiner Passkeys, wenn du die sowieso sperren und neu erzeugen musst?

    Irgendwie sehe ich den Unterschied nicht.

    Ich muss doch in beiden Fällen den verlorenen Schlüssel sperren und einen neuen anlernen um wieder den Ausgangszustand zu erreichen?

    Ja, so gesehen hast du Recht. Da hilft dir aber auch ein Backup nicht. Wenn du den USB-Key oder dein Handy mit den Passkeys verlierst, musst du alle sperren und neu erzeugen. Dafür brauchst du einen zweiten Zugang. Ich bin mir nicht sicher, ob es dafür einen Ablauf bei FIDO2 gibt, dass man den Schlüssel auf einem vorhandenen Stick, mit dem man sich gerade angemeldet hat, ändern kann. Müsste man recherchieren.

    rüsseltier

    Ich benutze immer https://www.vdr-portal.de/foru…x.php?unread-thread-list/ als Einstiegsseite, da kommt man immer zum ersten ungelesenen...

    Das klappt auch bei der von dir verlinkten Seite oben bei den "ungelesenen" (oder wie das heißt, hab da jetzt gerade keinen Beitrag mehr).


    EDIT: Ich weiß nicht genau, wo du hinklickst, aber ich komme immer genau zu dem Beitrag, auf den ich geklickt habe. Ansonsten aber neuen Thread dafür öffnen.

    Passkeys und FIDO2/Webauthn-Credentials auf einem Yubikey sind technisch das selbe und werden vom Browser mit der gleichen API angesteuert.


    Unterschied:

    - Auf dem Yubikey gespeicherte private Schlüssel bleiben in der Hardware und können nicht ausgelesen/kopiert werden. Verlierst du die Hardware, verlierst du den Zugang.

    - Passkeys vom Betriebssystem (Windows, macOS, Android, iOS usw.) werden in dem dahinter liegenden Cloudaccount gespeichert und durch das Cloud-Passwort geschützt. Verlierst du das Cloudkonto, verlierst du den Zugang. Irgendwann wird es da sicherlich auch eine Ex-/Import-Funktion geben, aber noch gibt's das nicht.


    Aktuell speichert der Yubikey 25 FIDO2-Accounts, aber die arbeiten an mehr, weil sie erwarten, dass diese Art der Anmeldung sich verbreitet und ein durchschnittlicher User mehr Accounts hat, als ihm lieb ist.


    Ist ein Webdienst gut, kannst du mehrere Hardware-Keys als Zugang registrieren. Das Backup ist also nicht eine Kopie deines Schlüssels, sondern ein weiterer Schlüssel, was den Vorteil hat, dass man einen verlorenen Schlüssel sperren kann, anstatt das Schloss austauschen zu müssen (setzt natürlich eine Liste der Accounts voraus, wo man seinen USB-Key registriert hat).


    Bei OS-Passkeys bin ich mir nicht sicher, dass du mehrere hinterlegen kannst, das ist sicherlich nicht vorgesehen, wenn auch technisch möglich. Dafür gibt es ja das "Cloud-Backup"...


    Einen vernünftigen Hardware-Key kann man übrigens per Fingerabdruck sichern, genauso wie den Zugang zu seinem Handy.

    Auf fremden PCs lese ich nicht meine Mails und gebe auch keine Passworte in deren Browser ein. Und ein 2FA ersetzt kein schwaches Passwort. Starke Passworte sollte man immer benutzen, dabei spielt die Länge die wichtigste Rolle. Ein beliebter Trick ist, sich aus mehreren Worten mit ein paar Sonderzeichen dazwischen eine leicht zu merkende Passphrase zu erzeugen.

    Der Hauptvorteil eines Yubikeys o.ä. ist die sichere Speicherung und Portabilität zwischen Geräten. Auch auf einem fremden Gerät kann ich meinen Key bedenkenlos benutzen, um mich per SSH irgendwo einzuloggen, weil nichts auf dem Gerät gespeichert wird und das Gerät auch keinen Zugriff auf die Geheimnisse hat.

    M-Reimer ja, ich benutze einen Yubikey, schon seit ein paar Jahren.


    SHF Wie du schreibst, TOTP ist kein Ersatz für ein Passwort, sondern eine Ergänzung. Ist schon ganz nett, aber hilft nicht gegen Phishing, wenn du Passwort und TOTP auf der falschen Seite eintippst. Die Codes sind zwar meist nur 30 Sekunden gültig, die Server akzeptieren sie aber meist in einem größeren Zeitfenster. Damit bleibt einer Phishingseite genug Zeit. Und wenn die dann erst mal ein Sessiontoken hat, braucht es Passwort und Code ja nicht mehr.


    Deshalb ist Webauthn/FIDO2 ja interessanter, weil das wie bei SSH mit public/private keys arbeitet und niemals der private Teil durch das Netz geht. Und weil die Keys im Zusammenhang mit der Domain, für die sie gelten, gespeichert wird und sie automatisch ausgewählt werden, können sie nicht aus Versehen an eine Phishingseite übertragen werden.

    Und so ein USB-Key ist nicht klonbar, weil dann der private Schlüssel in Gefahr wäre. Die Lösung ist nicht ein Backup seines Keys, sondern mehrere Keys. Da die USB-Keys meist auch "nur" 20-25 FIDO2 Zugänge speichern können, brauchen Poweruser sowieso mehrere.

    Passkeys sind dann quasi die Softwarevariante dieser Keys, damit es die Nicht-Poweruser einfacher haben. Je nach Key-Manager (Google, Microsoft, Apple, Passwortmanager) liegen die dann lokal rum oder bei einem Anbieter in der Cloud. Wie sinnvoll man das finden mag, ist jedem überlassen. Es löst dann aber nicht das Problem, wie man seinen Soft-Schlüsselbund schützt. Den kann man nicht mit einem Passkey schützen (Henne/Ei). Wenn man es ernst meint, benutzt man dafür dann einen USB-Key. Dann kann ich den aber auch gleich für alles benutzen...


    Lars

    M-Reimer ja, irgendwo muss sowas gespeichert werden, dein SSH-Key liegt so gesehen auch im Klartext auf deiner Platte. Deshalb ist mein größter Favorit ja auch ein USB-Dongle. Ich habe die "große" Variante, die nicht nur FIDO2 kann, sondern auch meinen SSH-Key speichern kann. Damit liegt der nirgendwo erreichbar herum.


    Was den Seed für die TOTP betrifft, da habe ich nicht genug Wissen, wie das läuft. Ich gehe aber davon aus, dass diese bei GitHub zumindest mit deinem Passwort verschlüsselt gespeichert werden (wie dein SSH-Key zu Hause). Was die Forumssoftware macht, weiß ich nicht.


    (Jetzt habe ich auch verstanden, dass es um eine Meldung hier im Forum geht. Hatte ich irgendwie überlesen. Für mich sah es so aus, als ob aus einem anderen Thread etwas ausgeschnitten wurde. Mein Fehler.)


    Lars

    Ich weiß nicht genau, wo diese Diskussion herkommt, aber hier ein paar Anmerkungen.


    Bei guten Diensten kann man mehr als einen Authenticator registrieren, "Handy weg, alles weg" gilt so also nicht. Alternativ kann man den Init-Code in mehrere Authenticator-Apps auf verschiedenen Geräten eintragen, die erzeugen dann die gleichen TOTP.

    Ansonsten sollte ein Dienst sowas wie Recovery Codes anbieten, also alternative OTPs.


    Und man kann seinen eigenen Generator hosten: https://docs.2fauth.app/


    Passkeys sind auch interessant, aber noch besser gefällt mir FIDO2 mit Hardware-Token, aber mindestens zwei, besser drei, die man unterschiedlich lagert. Das hat auch den Vorteil, dass man ein verlorenes Token aus den Accounts entfernen kann, so dass es keinen Zugriff mehr hat.


    Lars