Passwörter werden einen Preis haben.

 (fy.blackhats.net.au)
1 Punkte von GN⁺ 2023-07-14 | 1 Kommentare | Auf WhatsApp teilen
  • Viel Aufmerksamkeit für „Passkeys“ und die mögliche Veränderung von Authentifizierungsmethoden
  • Die Fixierung auf Passkeys könnte die Nutzung von Sicherheitsschlüsseln unnötig machen
  • Das Problem liegt im Unterschied zwischen residenten und nicht-residenten Schlüsseln
  • Residente Schlüssel speichern den privaten Schlüssel auf dem Sicherheitsschlüssel selbst, während nicht-residente Schlüssel für die Entschlüsselung von der Credential-ID abhängen
  • Residente Schlüssel verbrauchen Speicherplatz auf dem Sicherheitsschlüssel und können ihn schnell füllen
  • Nicht-residente Schlüssel sind weiterhin sicher und stützen sich auf dieselben Sicherheitsfunktionen wie TLS
  • Benutzerauthentifizierung ist auch ohne residente Schlüssel möglich
  • Das Problem entsteht durch den Hype um Passkeys und die Verwirrung über ihre Definition
  • Passkeys wurden ursprünglich von Apple als Methode eingeführt, Touch ID/Gesichtserkennung als Web-Authentifikator zu verwenden
  • Die Definition von Passkeys hat sich verändert und bedeutet nun residente Schlüssel
  • Diese Definition hat sich weit verbreitet und verursacht Probleme für Nutzer von Sicherheitsschlüsseln
  • Sicherheitsschlüssel haben begrenzten Speicherplatz und nur unzureichende Credential-Verwaltung, was die Nutzung residenter Schlüssel erschwert
  • Die Anforderung, bei jeder Registrierung residente Schlüssel zu verwenden, verschlechtert die User Experience
  • Das widerspricht dem Ziel, dass Nutzer den gewünschten Authentifikator wählen können
  • In der Passkey-Welt funktionieren nur einige wenige Authentifikator-Typen wirklich richtig
  • Als Lösungsvorschlag wird genannt, Sicherheitsschlüssel von der Passkey-Pflicht auszunehmen und Speicheranforderungen für authentifizierte Geräte verbindlich vorzuschreiben
  • Insgesamt beeinträchtigt der Hype um residente Schlüssel als Passkeys die Fähigkeit der Nutzer, ihren bevorzugten Authentifikator zu wählen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2023-07-14
Hacker-News-Kommentare
  • Physische Sicherheitsschlüssel sind möglicherweise nicht die optimale Wahl als Passkeys, da ihnen die Zwei-Faktor-Authentifizierungsfunktionen von Smartphones oder Desktops fehlen.
  • Passkeys werden als über die iCloud-Schlüsselbund synchronisierte Schlüsselpaare definiert, und diese Definition wurde auch auf andere Methoden der Cloud-Synchronisierung ausgeweitet.
  • Sicherheitsschlüssel sind für die meisten Nutzer nicht wichtig, und Passkeys sind die bessere Wahl, um Passwörter zu ersetzen.
  • Das Protokolldesign für Passkeys und residente Schlüssel wird wegen potenzieller Sicherheits- und Kompatibilitätsprobleme kritisiert.
  • Die aktuelle Situation bei residenten Schlüsseln und Secure Elements ist verwirrend und muss verbessert werden.
  • Für Menschen ohne Hintergrundwissen in Sicherheit oder Kryptografie könnte dieser Artikel schwer zu verstehen sein.
  • Um auf neue Authentifizierungsstandards umzusteigen, muss man möglicherweise Geld in neue Hardware-Schlüssel investieren.
  • Hardware-Schlüssel haben begrenzten Speicherplatz, und das Hinzufügen sicherer Prozessoren für Massenspeicherung kann die Kosten erhöhen.
  • Dieser Artikel liefert eine klare Erklärung zu Passkeys und ihren Auswirkungen.
  • Einige Nutzer möchten sich für die Synchronisierung von Passkeys nicht auf Google, Apple oder Microsoft verlassen.
  • Gewünscht ist eine zentralisierte Lösung für hardwarebasierte Tokens und die Synchronisierung residenter Schlüssel.
  • Wenn Geräte verloren gehen oder kompromittiert werden, kann eine Authentifizierungsmethode, die auf Besitz basiert, problematisch sein.
  • Einige Nutzer glauben, dass Passkeys Regierungen und Unternehmen zu viel Kontrolle geben und dadurch Privatsphäre und Sicherheit beeinträchtigen.