Passwortloser Login mit Passkeys?

iks230

iks230

Well-known member
Registriert
8 Dez. 2021
Beiträge
783
Gäbe es die Möglichkeit, neben der zweistufigen Anmeldung, Passkeys für die passwortlose Anmeldung zu aktivieren?

xenforo.com

XF 2.3 - Passwordless logins with passkeys

First thing's first, don't panic, don't rush to your customer area, there is no Beta 3 release today! We are likely to be moving the remaining HYS posts to Thursday/Friday, coinciding with those features rolling out to this very forum so we get some extended testing and feedback before they...
xenforo.com xenforo.com
 
Unter Passwort und Sicherheit lässt sich nun die Möglichkeit finden Passkeys einzurichten, was ich auch getan habe:

1726091016581.png

Irgendwie funktioniert es aber nicht wie erwartet.

Szenario 1:

Bei der Anmeldung gibt es den Punkt Passkey:

1726091069791.png

Versuche ich das zu nutzen, sehe ich:

1726090978779.png

Szenario 2:

Wenn ein Passkey hinzugefügt wird, nachdem man 2FA aktiviert hat, kann er auch dafür genutzt werden.

Wenn ich mich mit Name + Passwort anmelde, habe ich die Option, den Passkey zu nutzen:

1726091347092.png

Dann sehe ich zwar die bekannte Aufforderung:

1726091417837.png

Es kommt aber keine PIN-Abfrage, sondern ich sehe nur kurz das hier:

1726091468731.png

Und danach direkt wieder "Tippen Sie auf Ihren Sicherheitsschlüssel".

Troubleshooting:

Szenario 1:

Keine Ahnung, bisher noch nie gehabt. Ich habe es mit aktiviertem und deaktiviertem 2FA versucht und die Passkeys auch gelöscht und neu angelegt. Es ändert sich nichts am Verhalten.

Szenario 2:

Ich nutze zwar keinen Yubico, aber der Fehler ist denke ist der hier:

Findet sich auch derzeit bei Nextcloud:
github.com

[Bug]: Passwordless authentication does not ask for PIN when using security keys. · Issue #41599 · nextcloud/server

⚠️ This issue respects the following points: ⚠️ This is a bug, not a question or a configuration/webserver/proxy issue. This issue is not already reported on Github OR Nextcloud Community Forum (I'...
github.com github.com

Die Lösung laut dem Yubico-Artikel:
The administrator of the website can configure the "User Verification" setting to be "Preferred" or "Required".
Zum Vergrößern anklicken....
Gibt es also in den Einstellungen zu Passkeys eine entsprechende Option, die von Admin-Seite aus gesetzt werden könnte?
 
Wenn man sich das so durchliest, scheinen herkömmliche Paßwörter doch keine so schlechte Option zu sein. Und ich schreibe das als jemand, der zwei YubiKeys sein Eigen nennt.
 
Abseits von Nextcloud und hier hab ich bisher gute Erfahrungen gemacht: Login bei Github/Microsoft ohne Anmeldedaten, bei Google/eBay/Amazon braucht es nur den Accountnamen. Bei anderen Diensten eine Alternative zur TOTP-App (Synology, manitu). Für mich aktuell recht komfortabel in den meisten Fällen.
 
hier gibts infos dazu:
xenforo.com

XF 2.3 - Passwordless logins with passkeys

First thing's first, don't panic, don't rush to your customer area, there is no Beta 3 release today! We are likely to be moving the remaining HYS posts to Thursday/Friday, coinciding with those features rolling out to this very forum so we get some extended testing and feedback before they...
xenforo.com xenforo.com

Ich wüsste jetzt nicht wo ich da noch was einstellen kann
 
Mich hat die Neugier gepackt und ich habe die Passkeygeschichte hier jetzt auch mal probiert. In meinem Fall HW: Yubikey, Browser: Firefox, OS: OpenBSD.

Szenario 1 wie von @iks230 beschrieben, Anmeldung mit Passkey funktioniert nicht. Man sieht ein kleinen Hinweispopup von Firefox und der Yubikey blinkt, aber wenn man drauf tippt passiert gar nichts und man bleibt am Anmeldebildschirm kleben.

Szenario 2, Passkey als zweiter Faktor für 2FA funktioniert hingegen reibungslos.

Nur mal so als Datenpunkt für Interessierte.
 
Seit dem oben stehenden Text sind zehn Monate vergangen und ich dachte ich probiere es noch mal:

Szenario 1: Anmeldung mit Passkey funktioniert jetzt ebenfalls! Eben erfolgreich getestet:
Aufs eigene Profil > Dein Konto > Paßwort und Sicherheit > +Passkey hinzufügen

Anschließend aus dem Forum abmelden und auf dem Anmeldebildschirm anstatt Name/E-Mail-Adresse etc. unten drunter auf oder Anmelden mit Passkey.
Man kann auch mehrere Paßkeys registrieren: mit zwei Hardwareschlüsseln, einem blauen Yubico Security Key sowie einem schwarzen Yubikey 5 konnte ich zwei verschiedene hardwarebasierte Passkeys hier im Forum registrieren und erfolgreich nutzen.
 
@LZ_ : Solange du mehrere Devices hast und für den Dienst registrierst ist es ok. Dann bist du gegen einen Hardwaredefekt geschützt.
 
Mr Micawber schrieb:
Szenario 1: Anmeldung mit Passkey funktioniert jetzt ebenfalls! Eben erfolgreich getestet:
Aufs eigene Profil > Dein Konto > Paßwort und Sicherheit > +Passkey hinzufügen
Zum Vergrößern anklicken....
Weiß nicht wie es bei dir war, aber ich musste meine alten Passkey-Einträge erst löschen und neu anlegen, damit der passwortlose Login funktioniert.

Axel schrieb:
@LZ_ : Solange du mehrere Devices hast und für den Dienst registrierst ist es ok. Dann bist du gegen einen Hardwaredefekt geschützt.
Zum Vergrößern anklicken....
Mittlerweile bieten auch Dienste wie 1Password oder Bitwarden bzw. Programme wie KeePassXC die Option an Passkeys zu hinterlegen. Bei den meisten Diensten kannst du mehr als einen Passkey hinterlegen.

Wobei ich Passkeys nicht in meiner regulären Passwortdatenbank speichere, sondern in einer eigenen Passkeydatenbank, genauso wie TOTP-Secrets.
 
Ich glaub ich bin noch immer zu blöd um zu verstehen wieso Passkeys jetzt besser sein sollen als Passwörter. Gut das erste Problem das ich damit hatte das man an die großen Anbieter wie Google, Apple, Microsoft gebunden war gibt es jetzt nicht mehr, seit die meisten Passwortmanager auch Passkeys unterstützen, aber wo ist der Unterschied ob ich jetzt meine Passwortdatenbank mit einem Master Passwort schütze oder eine Passkeydatenbank mit einem Master Passwort schütze?
 
die Eingabe von PW kann kompromitiert werden. So ist es z.Bspl. bei den kdxb Anwedungen möglich eine Bildschirmtatstatur zu verwenden / bei Android sogar eine eigene Anwendung hierfür.
 
Etwas runtergebrochen, aber ähnlich wie bei SSH-Keys oder PGP: Es gibt Public- und Privat-Keys. Auf dem Gerät, z. B. einem Yubikey oder deinem Smartphone liegt der Privat-Key in einem geschützten Bereich und der Server, z. B. von thinkpad-forum.de, bekommt den Public-Key. Mit eingebacken im Verfahren ist auch die URL.

Wenn ich mich also versuche bei thlnkpad-forum.de anzumelden und dabei nicht gemerkt habe, dass da ein kleines l statt einem i ist, wird es mit einem Passkey nicht klappen, da die URL nicht passt. So kann z. B. Phising von Passwörtern umgangen werden.

Zwei Videos zum Passkey, die es genauer erklären, auch welche anderen Passkey-Verfahren es gibt, abseits dem was ich beschrieben habe:

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.

Um diese Inhalte anzuzeigen, benötigen wir die Zustimmung zum Setzen von Drittanbieter-Cookies.
Für weitere Informationen siehe die Seite Verwendung von Cookies.
 
Ah danke. Vielleicht les ich mich da nochmal ein und stelle dort wo es geht doch auf Passkeys um.
 
iks230 schrieb:
Weiß nicht wie es bei dir war, aber ich musste meine alten Passkey-Einträge erst löschen und neu anlegen, damit der passwortlose Login funktioniert.
Zum Vergrößern anklicken....
Das Problem stellte sich bei mir gar nicht, da ich bei diesem zweiten Test bei null anfing. Ich hatte keinen alten Passkeys gespeichert.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
  • ok1.de
  • IT Refresh - IT Teile & mehr
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben