Willkommen im User-Forum von mailbox.org
Anmeldung über Passkeys
vorgeschlagen
Es wäre ein großer Fortschritt, wenn Mailbox.org auch die Anmeldung über Passkeys unterstützen könnte. Seit kurzem ist das z.B. bei Google möglich. Ebay, PayPal und andere Seiten unterstützten es schon länger.
Ich finde diese Idee klasse 
Keine Verbindung
Echtzeitbenachrichtigungen funktionieren möglicherweise nicht
@Mailbox.org-Team:
Gibt es hier Pläne?
Die Technik ist bei KeepassXC, Bitwarden, 1Password, YubiKey Authenticator, Android, iOS usw. mittlerweile ausgereift implementiert. Selbst MS ermöglicht dies nun für consumer accounts.
@Mailbox.org-Team:
Gibt es hier Pläne?
Die Technik ist bei KeepassXC, Bitwarden, 1Password, YubiKey Authenticator, Android, iOS usw. mittlerweile ausgereift implementiert. Selbst MS ermöglicht dies nun für consumer accounts.
Das Thema Login-Verfahren ist hier schon seit vielen Jahren ein immer wieder heiß diskutiertes Thema. Die oft kommunizierten Wünsche der Kunden dazu wurden bisher leider nicht umgesetzt. Die Ressourcen sind nun mal endlich und der Fokus bei Mailbox.org lag in den letzten Jahren eben an anderer Stelle (Stillstand könnte man dem Team sicher nicht vorwerfen). Dass andere Unternehmen wie Google oder Microsoft Passkey anbieten, würde ich erstmal nicht als Messlatte hernehmen. Die haben ganz andere Möglichkeiten.
Für dieses Jahr wurden jedoch (ohne konkrete Erläuterungen) weitere Neuerungen angekündigt. Lassen wir uns überraschen, was dabei herauskommt. Vergessen sollten wir aber auch nicht, warum wir Kunden hier bei Mailbox.org sind und nicht bei Google/Microsoft. Denn wen es um Datenschutz sowie einen ethischen Umgang mit anvertrauten Informationen geht, persönliche Domains und einige andere Funktionen, werden besagte Unternehmen den Kürzeren ziehen.
Fordern sollten wir dennoch viel… wir wollen ja, dass Mailbox.org noch attraktiver wird ;)
Das Thema Login-Verfahren ist hier schon seit vielen Jahren ein immer wieder heiß diskutiertes Thema. Die oft kommunizierten Wünsche der Kunden dazu wurden bisher leider nicht umgesetzt. Die Ressourcen sind nun mal endlich und der Fokus bei Mailbox.org lag in den letzten Jahren eben an anderer Stelle (Stillstand könnte man dem Team sicher nicht vorwerfen). Dass andere Unternehmen wie Google oder Microsoft Passkey anbieten, würde ich erstmal nicht als Messlatte hernehmen. Die haben ganz andere Möglichkeiten.
Für dieses Jahr wurden jedoch (ohne konkrete Erläuterungen) weitere Neuerungen angekündigt. Lassen wir uns überraschen, was dabei herauskommt. Vergessen sollten wir aber auch nicht, warum wir Kunden hier bei Mailbox.org sind und nicht bei Google/Microsoft. Denn wen es um Datenschutz sowie einen ethischen Umgang mit anvertrauten Informationen geht, persönliche Domains und einige andere Funktionen, werden besagte Unternehmen den Kürzeren ziehen.
Fordern sollten wir dennoch viel… wir wollen ja, dass Mailbox.org noch attraktiver wird ;)
Ich würde mich sehr freuen, wenn mit dem neuen Keycloak-SSO auch Passkeys bei mailbox.org unterstützt würden. Das Feature befindet sich bei Keycloak seit 2019 in Entwicklung und ist in der aktuellen Version 25.0.0 als Preview enthalten.
Auch ein Login völlig ohne irgendeine Benutzereingabe (LoginLess) ist mit Keycloak offenbar realisierbar und wäre aus meiner Sicht wünschenswert.
Ich würde mich sehr freuen, wenn mit dem neuen Keycloak-SSO auch Passkeys bei mailbox.org unterstützt würden. Das Feature befindet sich bei Keycloak seit 2019 in Entwicklung und ist in der aktuellen Version 25.0.0 als Preview enthalten.
Auch ein Login völlig ohne irgendeine Benutzereingabe (LoginLess) ist mit Keycloak offenbar realisierbar und wäre aus meiner Sicht wünschenswert.
Hallo alle zusammen, ich habe gerade gesehen das man bei Fastmail Passkeys nutzen kann. Und ich bin begeistert, einfacher geht es nicht. Es wäre schön, wenn das hier auch irgendwann gehen würde
Hallo alle zusammen, ich habe gerade gesehen das man bei Fastmail Passkeys nutzen kann. Und ich bin begeistert, einfacher geht es nicht. Es wäre schön, wenn das hier auch irgendwann gehen würde
Ich schliesse mich an. Passkeys, auch über gängige Hardware-Keys, wäre eine super Sache für 2 FA.
Ich schliesse mich an. Passkeys, auch über gängige Hardware-Keys, wäre eine super Sache für 2 FA.
Liebes mailbox.org-Team,
Liebe Community,
ich kann den Wunsch nach einer Option zur Einrichtung von Passkeys nur unterstützen.
In Zeiten von immer ausgefeilteren Phishing-Angriffen wäre es schön, einen Login-Faktor hinterlegen zu können, welcher nicht rein auf einen Zeitfaktor setzt, um sich vor doppelter Nutzung zu schützen.
TOTP genügt diesem Sicherheitsbedürfnis leider nicht mehr. :-)
Drum lasse ich hier gerne ein Vote für den Feature-Request "Passkeys" hier und freue mich aber natürlich umso mehr, falls ihr @mailbox.org eine Aussage treffen wollt/könnt, ob/bis wann man mit einem solchem Feature rechnen kann.
VG
Liebes mailbox.org-Team,
Liebe Community,
ich kann den Wunsch nach einer Option zur Einrichtung von Passkeys nur unterstützen.
In Zeiten von immer ausgefeilteren Phishing-Angriffen wäre es schön, einen Login-Faktor hinterlegen zu können, welcher nicht rein auf einen Zeitfaktor setzt, um sich vor doppelter Nutzung zu schützen.
TOTP genügt diesem Sicherheitsbedürfnis leider nicht mehr. :-)
Drum lasse ich hier gerne ein Vote für den Feature-Request "Passkeys" hier und freue mich aber natürlich umso mehr, falls ihr @mailbox.org eine Aussage treffen wollt/könnt, ob/bis wann man mit einem solchem Feature rechnen kann.
VG
Wie man wohl merkt, hat der Support von MailBox.org Besseres zu tun, als auf Kunden Wünsche einzugehen
Obwohl meiner Meinung nach dieser ja genau am Ende des Tages das Unternehmen als solches zum erleben bringen Beziehungsweise erhalten
Auch wenn solche Firmen wie zum Beispiel die Denic mit MailBox.org zusammen arbeitet Sollte man trotzdem auf Kunden, Wünsche und meiner Meinung nach eingehen
Zugleich finde ich selber aber auch, was die Performance des Loggins angeht, nicht gerade optimal
Warum ich am Ende des Tages immer wieder zum Anbieter gehe, liegt einfach an die Integration von einer eigenen Domain
Beziehungsweise auch, dass die Sachen hier in Deutschland liegen
Und dass man den Spamschutz genauer einstellen kann
Wie man wohl merkt, hat der Support von MailBox.org Besseres zu tun, als auf Kunden Wünsche einzugehen
Obwohl meiner Meinung nach dieser ja genau am Ende des Tages das Unternehmen als solches zum erleben bringen Beziehungsweise erhalten
Auch wenn solche Firmen wie zum Beispiel die Denic mit MailBox.org zusammen arbeitet Sollte man trotzdem auf Kunden, Wünsche und meiner Meinung nach eingehen
Zugleich finde ich selber aber auch, was die Performance des Loggins angeht, nicht gerade optimal
Warum ich am Ende des Tages immer wieder zum Anbieter gehe, liegt einfach an die Integration von einer eigenen Domain
Beziehungsweise auch, dass die Sachen hier in Deutschland liegen
Und dass man den Spamschutz genauer einstellen kann
Ich verstehe die Passkey-Geschichte nicht. Verwende ich einen Passwortmanager mit einem "normalen" Passwort, dann bin ich doch genauso gut vor Phishing geschützt, wie mit Passkey. Schließlich warnt mich der Passwortmanager, wenn ich auf eine Fakeseite geleitet werde die aussieht wie Paypal, aber gar nicht Paypal ist ... mal als Beispiel.
Ich sehe in Passkey keinen wirklichen Sicherheitsvorteil und mir konnte das bisher auch noch niemand schlüssig erklären. Ganz im Gegenteil stehe ich Passkey kritisch gegenüber. Ich habe noch nicht sonderlich viel recherchiert, aber bisher kann ich Passkey wohl ganz gut mit Apple, oder Microsoft verwenden bzw. die Schlüssel dort speichern weil das Betriebssystem mir dann alles an Arbeit abnimmt. Nur warum will ich meine Zugangsdaten für Mailbox.org bei Microsoft speichern? Dann kann ich mir doch gleich ein Outlook-Konto zulegen. Und verwende ich einen Passwortmanager, dann kann ich mit einem langen und komplexen Passwort und vor allem einzigartigen Passwörtern für jeden Zugang das Risiko extrem minimieren. Das Plus von Passkey ist technisch natürlich groß (asymmetrische Verschlüsselung statt Klartextpasswort), in der Praxis aber nur gering .... vor allem wenn alles, also sämtliche Zugänge, dann zentral bei Microsoft oder google in Amerika in der Cloud liegen. Zugangsdaten sind IMHO nur dann sicher, wenn sie ausschließlich lokal bei mir gespeichert sind ... und dann sind sie auch bei der Verwendung ausreichend sicher, wenn es das normale Passwortverfahren ist und jeder Zugang ein eigenes langes normales Passwort hat.
Ich verstehe die Passkey-Geschichte nicht. Verwende ich einen Passwortmanager mit einem "normalen" Passwort, dann bin ich doch genauso gut vor Phishing geschützt, wie mit Passkey. Schließlich warnt mich der Passwortmanager, wenn ich auf eine Fakeseite geleitet werde die aussieht wie Paypal, aber gar nicht Paypal ist ... mal als Beispiel.
Ich sehe in Passkey keinen wirklichen Sicherheitsvorteil und mir konnte das bisher auch noch niemand schlüssig erklären. Ganz im Gegenteil stehe ich Passkey kritisch gegenüber. Ich habe noch nicht sonderlich viel recherchiert, aber bisher kann ich Passkey wohl ganz gut mit Apple, oder Microsoft verwenden bzw. die Schlüssel dort speichern weil das Betriebssystem mir dann alles an Arbeit abnimmt. Nur warum will ich meine Zugangsdaten für Mailbox.org bei Microsoft speichern? Dann kann ich mir doch gleich ein Outlook-Konto zulegen. Und verwende ich einen Passwortmanager, dann kann ich mit einem langen und komplexen Passwort und vor allem einzigartigen Passwörtern für jeden Zugang das Risiko extrem minimieren. Das Plus von Passkey ist technisch natürlich groß (asymmetrische Verschlüsselung statt Klartextpasswort), in der Praxis aber nur gering .... vor allem wenn alles, also sämtliche Zugänge, dann zentral bei Microsoft oder google in Amerika in der Cloud liegen. Zugangsdaten sind IMHO nur dann sicher, wenn sie ausschließlich lokal bei mir gespeichert sind ... und dann sind sie auch bei der Verwendung ausreichend sicher, wenn es das normale Passwortverfahren ist und jeder Zugang ein eigenes langes normales Passwort hat.
Ich schließe mich den Wünschen nach der Unterstützung von Passkeys bei Mailbox.org an. Die Technologie bringt nicht nur Sicherheitsvorteile, sondern auch einen erheblichen Komfortgewinn. Insbesondere für uns als Mailbox.org-Nutzer, die Sicherheit und Datenschutz priorisieren, könnte Passkey-Login eine zeitgemäße Ergänzung darstellen.
Der Hauptvorteil von Passkeys liegt in der Verwendung asymmetrischer Verschlüsselung. Dadurch wird ein einzigartiger, nicht kopierbarer Schlüssel für jeden Login erstellt, was Phishing-Angriffe praktisch unmöglich macht. Selbst wenn eine Website kompromittiert wird, können Angreifer nichts mit einem Passkey anfangen – im Gegensatz zu gestohlenen Passwörtern. Das bietet eine deutliche Verbesserung im Vergleich zu traditionellen Passwörtern oder auch TOTP-basierten 2FA-Lösungen.
Ein weiterer Pluspunkt von Passkeys ist der Komfort: Viele Geräte, wie beispielsweise MacBooks, ermöglichen die Verwendung von Fingerabdrucksensoren (Touch ID) oder anderer biometrischer Daten für den Login. Das macht den Prozess nicht nur sicherer, sondern auch wesentlich schneller und angenehmer für die Nutzer. Die Integration in bestehende Hardware und Betriebssysteme zeigt, wie ausgereift und anwenderfreundlich diese Technologie bereits ist.
Zwar haben einige hier geäußert, dass ein Passwortmanager ähnlich sicher sein kann, doch Passkeys eliminieren die Gefahr von Phishing vollständig, während Passwortmanager darauf angewiesen sind, URLs korrekt zu erkennen. Der Aspekt, dass Passkeys oft mit großen Tech-Konzernen wie Apple oder Microsoft assoziiert werden, mag Bedenken hervorrufen, doch es gibt offene Standards wie WebAuthn, die unabhängig implementiert werden können – z. B. durch lokale Hardware-Sicherheitsgeräte wie YubiKeys.
Ich verstehe, dass Ressourcen bei Mailbox.org begrenzt sind und Prioritäten gesetzt werden müssen. Dennoch bin ich überzeugt, dass moderne Authentifizierungsmethoden wie Passkeys langfristig ein attraktives Feature darstellen und neue Kunden anziehen könnten. Es wäre großartig, wenn sich das Team dazu äußern könnte, ob und wann diese Funktion implementiert wird.
Ein großes Dankeschön auch an die Community-Mitglieder, die technische Unterstützung angeboten haben – das zeigt, wie engagiert und lösungsorientiert die Nutzer hier sind. Ich hoffe, Mailbox.org erkennt das Potenzial dieser Technologie für die Sicherheit und Nutzererfahrung und bringt Passkeys bald auf den Weg.
Beste Grüße,
Chris
Ich schließe mich den Wünschen nach der Unterstützung von Passkeys bei Mailbox.org an. Die Technologie bringt nicht nur Sicherheitsvorteile, sondern auch einen erheblichen Komfortgewinn. Insbesondere für uns als Mailbox.org-Nutzer, die Sicherheit und Datenschutz priorisieren, könnte Passkey-Login eine zeitgemäße Ergänzung darstellen.
Der Hauptvorteil von Passkeys liegt in der Verwendung asymmetrischer Verschlüsselung. Dadurch wird ein einzigartiger, nicht kopierbarer Schlüssel für jeden Login erstellt, was Phishing-Angriffe praktisch unmöglich macht. Selbst wenn eine Website kompromittiert wird, können Angreifer nichts mit einem Passkey anfangen – im Gegensatz zu gestohlenen Passwörtern. Das bietet eine deutliche Verbesserung im Vergleich zu traditionellen Passwörtern oder auch TOTP-basierten 2FA-Lösungen.
Ein weiterer Pluspunkt von Passkeys ist der Komfort: Viele Geräte, wie beispielsweise MacBooks, ermöglichen die Verwendung von Fingerabdrucksensoren (Touch ID) oder anderer biometrischer Daten für den Login. Das macht den Prozess nicht nur sicherer, sondern auch wesentlich schneller und angenehmer für die Nutzer. Die Integration in bestehende Hardware und Betriebssysteme zeigt, wie ausgereift und anwenderfreundlich diese Technologie bereits ist.
Zwar haben einige hier geäußert, dass ein Passwortmanager ähnlich sicher sein kann, doch Passkeys eliminieren die Gefahr von Phishing vollständig, während Passwortmanager darauf angewiesen sind, URLs korrekt zu erkennen. Der Aspekt, dass Passkeys oft mit großen Tech-Konzernen wie Apple oder Microsoft assoziiert werden, mag Bedenken hervorrufen, doch es gibt offene Standards wie WebAuthn, die unabhängig implementiert werden können – z. B. durch lokale Hardware-Sicherheitsgeräte wie YubiKeys.
Ich verstehe, dass Ressourcen bei Mailbox.org begrenzt sind und Prioritäten gesetzt werden müssen. Dennoch bin ich überzeugt, dass moderne Authentifizierungsmethoden wie Passkeys langfristig ein attraktives Feature darstellen und neue Kunden anziehen könnten. Es wäre großartig, wenn sich das Team dazu äußern könnte, ob und wann diese Funktion implementiert wird.
Ein großes Dankeschön auch an die Community-Mitglieder, die technische Unterstützung angeboten haben – das zeigt, wie engagiert und lösungsorientiert die Nutzer hier sind. Ich hoffe, Mailbox.org erkennt das Potenzial dieser Technologie für die Sicherheit und Nutzererfahrung und bringt Passkeys bald auf den Weg.
Beste Grüße,
Chris
Ich möchte hier einmal für etwas Klarheit bzgl "Was ist ein Passkey überhaupt" sorgen, denn die Disussion zeigt, dass es in den meisten Fällen missverstanden wird.
"Passkey" ist mittlerweile leider ein Buzzword geworden und wird sehr häufig falsch genutzt. Ein Passkey im eigentlichen Sinne ist eine Kombination aus einem private und einem public key und nutzt asynchrone Verschlüsselung. Der private key ist wie der Name schon sagt Privat. Dieser befindet sich auf dem Gerät oder wird dort neu generiert und es ist unmöglichen diesen privaten Schlüssel auszulesen, ohne das Gerät vollständig zu zerstören bzw einen Werksreset auszulösen. Das nennt sich tamper resistance. Man stelle es sich vor wie einen Tresor in dem man wichtige Dokumente hat, der bei dem Versuch ihn unsachgemäß zu öffnen sämtlichen Inhalt in Brand setzt. In dem Moment sind alle Daten weg und man muss sie neu "beantragen", aber das Wichtigste hierbei ist, dass sie auch niemand anders stehlen und nutzen kann.
Wie bereits in einigen anderen Kommentaren erwähnt, wird der private Schlüssel niemand versendet, sondern der Login nutzt ein challenge - response Verfahren bei dem beide Seiten validiert werden. Das bedeutet der Server weiß, wann ein falscher privater Schlüssel verwendet wurde, und die client Seite wird in Abhängigkeit von der Relying Party ID (RP ID - im Grunde die domain wie 'https://mailbox.org:443') eine response generieren, die nur zu dieser RP ID passt. Daher kommt die Phising Resistenz. Der Browser sorgt dafür, dass diese RP ID auch nicht gespooft (Vortäuschung falscher Tatsachen) werden kann, wodurch die Sicherheit zustande kommt.
Zusätzlich zu dem Ganzen gibt es die so genannte User Verification (UV). Diese wird in der Regel so umgesetzt, dass es eine zusätzliche PIN + Touch button, oder einen Fingerabdruckscan braucht (Etwas was ich weiß, etwas was ich bin, im sinne von Multi Factor Authentication). Wird diese PIN mehr als 8x falsch eingegeben, sind wir wieder beim oben genannten Tresor der sich selbst in Brand setzt. Hierdurch bekommt man die Sicherheit vor Brute-Force Angriffen.
Multi Factor Authentication (MFA) - das ist es, was einen (hardware) Passkey so stark macht. Er bietet (echte) MFA in einem einzigen Gerät: Etwas was ich weiß (PIN), etwas was ich bin (Fingerabdruck, je nach Gerät), etwas was ich besitze (Hardware Key). Es braucht kein zusätzliches Handy, keine App, keine SMS, nichts dergleichen, was alles gehackt oder gestohlen werden kann.
Nun zu den Sachen, die oft falsch verstanden werden:
1. Ein Passkey ist es im Sinne der Definition nur dann, wenn es ein so genannter Resident Key ist. Das bedeutet, dass auf dem Key die domain (mailbox.org) in Zusammenhang mit einer User ID und dem Private Key gespeichert werden. D.h. mit einem echten Passkey braucht es (in der Regel) keine Eingabe von Benutzername und / order Passwort, was jeden Password Manager obsolet macht.
2. Ein Passkey verbraucht immer einen so genannten Slot (Speicherplatz). Jedes Gerät hat eine begrenzte Anzahl Slots. Z.b. haben aktuelle Yubikeys 100 Slots für Passkeys. D.h. wenn ich einen Passkey für mailbox.org gespeichert habe, bleiben mir noch 99 weitere. Danach aber ist Schluss und ich brauche entweder einen Zweiten, oder einen Key mit mehr Slots.
3. Es ist KEIN Passkey, wenn es keine User Verification gibt, oder nicht die gesamten oben genannten Informationen gespeichert werden, was bei den aller meisten Diensten der Fall ist. In diesem Fall spricht man von einem Security Key, der alter starker zweiter Faktor für 2FA / MFA verwendet werden kann.
4. Ein Security Key kann wie ein Passkey aussehen aus Sicht des Nutzers, ohne dass es einer ist. In diesen Fällen muss man mindestens den Benutzernamen angeben, damit der Server die Login Anfrage entsprechend zuweisen kann. Der Knackpunkt hier ist, dass diese Art und Weise der Nutzung keinen Slot verbraucht und meiner Meinung nach den besten Kompromiss darstellt aufgrund des begrenzten Speicherplatzes.
5. Security Keys können sich unterschiedlich Verhalten. Es kann z.B. sein, dass das Gerät nur per USB eingesteckt sein muss, oder man den physikalischen Button drücken muss (echter Mensch anwesend - kann nicht gehackt werden), oder zusätzlich nochmal eine PIN / Fingerabdruck anfordert. Wie sich das Gerät verhält, hängt von der Art und Weise ab, wie die Logik auf dem jeweiligen Server vorgeben und implementiert wird. Das kann nicht der Benutzer entscheiden.
6. Replay Attacken sind kein wirklicher Grund für die Nutzung von Passkeys. Diese funktionieren nur, wenn die Kommunikation über eine unverschlüsselte Verbindung läuft (was Passkeys grundsätzlich verbieten), oder wenn die Verschlüsselung kompromittiert wurde. Wenn ein Angreifer dazu allerdings in der Lage war, hat man in der Regel aber ganz andere Sorgen als das eventuelle mitlesen eines Passwortes. Zum Einen läuft heutzutage alles über TLS (verschlüsselt) und zum Anderen können Passkeys nur in einem sicheren Browser Kontext genutzt werden, d.h. wenn die Verbindung verschlüsselt und Echtzeit der Zertifikate validiert wurde.
Software Passkeys
Die beschriebenen Vorgänge beziehen sich auf hardware keys, wie z.b. Yubikeys. Es gibt wie bereits von einigen erwähnt auch die Möglichkeit diese per Software zu simulieren und sie in Password Managern oder in der iCloud zu speichern. Diese Nutzung von Passkeys bietet meiner Meinung nach nur einen sehr begrenzten und geringen Mehrwert im Austausch gegen erhöhte Komplexität. Sicher hat man die Phishing Resistenz durch den domain check, aber die bietet jeder halbwegs ordentliche Password Manager ebenfalls, ganz automatisch.
Passkeys (hardware) sind deshalb so sicher, weil sie eben genau nicht als Software existieren, nicht in irgendeiner cloud liegen (wo sie Apple, Google & Co auslesen könnten), nicht repliziert und kopiert werden können, und weil sie die physische Anwesenheit eines Menschen bestätigen und erzwingen (phyikalischer Button beim Login). Alles, was in Softwarer Form existiert, hat Angriffspunkte, die ein physikalisches Gerät nicht hat. Somit sind Software Passkeys meiner Meinung nach ziemlich sinnlos und dort, wo kein Passkey oder Security verfügbar ist, bleibe ich ganz einfach beim sicheren Passwort, was absolut ausreichend ist, solange man ein wenig darauf bedacht ist, wo man dieses eingibt.
Mehrwert von Passkeys / Security Keys
Der letzte Punkt und mit das größte Argument für die Nutzung von Passkeys wird fast immer vergessen. Ja, sie sind (als hardware) sehr sicher und nicht zu hacken, das ist super, das möchte jeder, dem seine Daten lieb sind. Mit der größte Vorteil ist aber die User Experience. Wenn ich mit mit dem Passkey einlogge, drücke ich einen Button zum Login (oder das Fenster erscheint sogar automatisch), ich gebe meine PIN ein und drücke einmal den Knopf am Gerät zur Bestätigung. Mehr muss ich für einen sicheren Login nicht tun. Ich muss keinen Benutzernamen oder lange E-Mail Adresse eingeben, kein langes Passwort, keinen Password Manager öffnen (und in der Regel entsperren mit wieder einem langen Passwort), nichts dergleichen. Ein Login per Passkey kostet mich keine 3 Sekunden, und er funktioniert an jedem Gerät. D.h. ich kann mich auch z.B. am Rechner von jemand anderem Einloggen (auf dem mein Password Manager natürlich nicht existiert) und muss noch nicht einmal Angst vor Keyloggern o.Ä. haben, weil der private Schlüssel das Gerät niemals verlässt.
Der große Mehrwert für mailbox.org wäre einfach der, dass die derzeitige 2FA Methode, die eine leider absolute grausame User Experience bietet (wie jedes OTP Verfahren), abgelöst werden könnte. Würde man hier wiederum auf einen Software Passkey setzen, der im selben Password Manager gespeichert wäre, kann man diesen allerdings auch direkt weg lassen, weil der Password Manager der Single Point of Failure wäre. Man hätte in dem Fall absolut keinerlei Mehrwert durch einen zusätzlichen Passkey.
Ich hoffe ich konnte für den Ein oder Anderen etwas Klarheit in das Thema bringen.
Ich möchte hier einmal für etwas Klarheit bzgl "Was ist ein Passkey überhaupt" sorgen, denn die Disussion zeigt, dass es in den meisten Fällen missverstanden wird.
"Passkey" ist mittlerweile leider ein Buzzword geworden und wird sehr häufig falsch genutzt. Ein Passkey im eigentlichen Sinne ist eine Kombination aus einem private und einem public key und nutzt asynchrone Verschlüsselung. Der private key ist wie der Name schon sagt Privat. Dieser befindet sich auf dem Gerät oder wird dort neu generiert und es ist unmöglichen diesen privaten Schlüssel auszulesen, ohne das Gerät vollständig zu zerstören bzw einen Werksreset auszulösen. Das nennt sich tamper resistance. Man stelle es sich vor wie einen Tresor in dem man wichtige Dokumente hat, der bei dem Versuch ihn unsachgemäß zu öffnen sämtlichen Inhalt in Brand setzt. In dem Moment sind alle Daten weg und man muss sie neu "beantragen", aber das Wichtigste hierbei ist, dass sie auch niemand anders stehlen und nutzen kann.
Wie bereits in einigen anderen Kommentaren erwähnt, wird der private Schlüssel niemand versendet, sondern der Login nutzt ein challenge - response Verfahren bei dem beide Seiten validiert werden. Das bedeutet der Server weiß, wann ein falscher privater Schlüssel verwendet wurde, und die client Seite wird in Abhängigkeit von der Relying Party ID (RP ID - im Grunde die domain wie 'https://mailbox.org:443') eine response generieren, die nur zu dieser RP ID passt. Daher kommt die Phising Resistenz. Der Browser sorgt dafür, dass diese RP ID auch nicht gespooft (Vortäuschung falscher Tatsachen) werden kann, wodurch die Sicherheit zustande kommt.
Zusätzlich zu dem Ganzen gibt es die so genannte User Verification (UV). Diese wird in der Regel so umgesetzt, dass es eine zusätzliche PIN + Touch button, oder einen Fingerabdruckscan braucht (Etwas was ich weiß, etwas was ich bin, im sinne von Multi Factor Authentication). Wird diese PIN mehr als 8x falsch eingegeben, sind wir wieder beim oben genannten Tresor der sich selbst in Brand setzt. Hierdurch bekommt man die Sicherheit vor Brute-Force Angriffen.
Multi Factor Authentication (MFA) - das ist es, was einen (hardware) Passkey so stark macht. Er bietet (echte) MFA in einem einzigen Gerät: Etwas was ich weiß (PIN), etwas was ich bin (Fingerabdruck, je nach Gerät), etwas was ich besitze (Hardware Key). Es braucht kein zusätzliches Handy, keine App, keine SMS, nichts dergleichen, was alles gehackt oder gestohlen werden kann.
Nun zu den Sachen, die oft falsch verstanden werden:
1. Ein Passkey ist es im Sinne der Definition nur dann, wenn es ein so genannter Resident Key ist. Das bedeutet, dass auf dem Key die domain (mailbox.org) in Zusammenhang mit einer User ID und dem Private Key gespeichert werden. D.h. mit einem echten Passkey braucht es (in der Regel) keine Eingabe von Benutzername und / order Passwort, was jeden Password Manager obsolet macht.
2. Ein Passkey verbraucht immer einen so genannten Slot (Speicherplatz). Jedes Gerät hat eine begrenzte Anzahl Slots. Z.b. haben aktuelle Yubikeys 100 Slots für Passkeys. D.h. wenn ich einen Passkey für mailbox.org gespeichert habe, bleiben mir noch 99 weitere. Danach aber ist Schluss und ich brauche entweder einen Zweiten, oder einen Key mit mehr Slots.
3. Es ist KEIN Passkey, wenn es keine User Verification gibt, oder nicht die gesamten oben genannten Informationen gespeichert werden, was bei den aller meisten Diensten der Fall ist. In diesem Fall spricht man von einem Security Key, der alter starker zweiter Faktor für 2FA / MFA verwendet werden kann.
4. Ein Security Key kann wie ein Passkey aussehen aus Sicht des Nutzers, ohne dass es einer ist. In diesen Fällen muss man mindestens den Benutzernamen angeben, damit der Server die Login Anfrage entsprechend zuweisen kann. Der Knackpunkt hier ist, dass diese Art und Weise der Nutzung keinen Slot verbraucht und meiner Meinung nach den besten Kompromiss darstellt aufgrund des begrenzten Speicherplatzes.
5. Security Keys können sich unterschiedlich Verhalten. Es kann z.B. sein, dass das Gerät nur per USB eingesteckt sein muss, oder man den physikalischen Button drücken muss (echter Mensch anwesend - kann nicht gehackt werden), oder zusätzlich nochmal eine PIN / Fingerabdruck anfordert. Wie sich das Gerät verhält, hängt von der Art und Weise ab, wie die Logik auf dem jeweiligen Server vorgeben und implementiert wird. Das kann nicht der Benutzer entscheiden.
6. Replay Attacken sind kein wirklicher Grund für die Nutzung von Passkeys. Diese funktionieren nur, wenn die Kommunikation über eine unverschlüsselte Verbindung läuft (was Passkeys grundsätzlich verbieten), oder wenn die Verschlüsselung kompromittiert wurde. Wenn ein Angreifer dazu allerdings in der Lage war, hat man in der Regel aber ganz andere Sorgen als das eventuelle mitlesen eines Passwortes. Zum Einen läuft heutzutage alles über TLS (verschlüsselt) und zum Anderen können Passkeys nur in einem sicheren Browser Kontext genutzt werden, d.h. wenn die Verbindung verschlüsselt und Echtzeit der Zertifikate validiert wurde.
Software Passkeys
Die beschriebenen Vorgänge beziehen sich auf hardware keys, wie z.b. Yubikeys. Es gibt wie bereits von einigen erwähnt auch die Möglichkeit diese per Software zu simulieren und sie in Password Managern oder in der iCloud zu speichern. Diese Nutzung von Passkeys bietet meiner Meinung nach nur einen sehr begrenzten und geringen Mehrwert im Austausch gegen erhöhte Komplexität. Sicher hat man die Phishing Resistenz durch den domain check, aber die bietet jeder halbwegs ordentliche Password Manager ebenfalls, ganz automatisch.
Passkeys (hardware) sind deshalb so sicher, weil sie eben genau nicht als Software existieren, nicht in irgendeiner cloud liegen (wo sie Apple, Google & Co auslesen könnten), nicht repliziert und kopiert werden können, und weil sie die physische Anwesenheit eines Menschen bestätigen und erzwingen (phyikalischer Button beim Login). Alles, was in Softwarer Form existiert, hat Angriffspunkte, die ein physikalisches Gerät nicht hat. Somit sind Software Passkeys meiner Meinung nach ziemlich sinnlos und dort, wo kein Passkey oder Security verfügbar ist, bleibe ich ganz einfach beim sicheren Passwort, was absolut ausreichend ist, solange man ein wenig darauf bedacht ist, wo man dieses eingibt.
Mehrwert von Passkeys / Security Keys
Der letzte Punkt und mit das größte Argument für die Nutzung von Passkeys wird fast immer vergessen. Ja, sie sind (als hardware) sehr sicher und nicht zu hacken, das ist super, das möchte jeder, dem seine Daten lieb sind. Mit der größte Vorteil ist aber die User Experience. Wenn ich mit mit dem Passkey einlogge, drücke ich einen Button zum Login (oder das Fenster erscheint sogar automatisch), ich gebe meine PIN ein und drücke einmal den Knopf am Gerät zur Bestätigung. Mehr muss ich für einen sicheren Login nicht tun. Ich muss keinen Benutzernamen oder lange E-Mail Adresse eingeben, kein langes Passwort, keinen Password Manager öffnen (und in der Regel entsperren mit wieder einem langen Passwort), nichts dergleichen. Ein Login per Passkey kostet mich keine 3 Sekunden, und er funktioniert an jedem Gerät. D.h. ich kann mich auch z.B. am Rechner von jemand anderem Einloggen (auf dem mein Password Manager natürlich nicht existiert) und muss noch nicht einmal Angst vor Keyloggern o.Ä. haben, weil der private Schlüssel das Gerät niemals verlässt.
Der große Mehrwert für mailbox.org wäre einfach der, dass die derzeitige 2FA Methode, die eine leider absolute grausame User Experience bietet (wie jedes OTP Verfahren), abgelöst werden könnte. Würde man hier wiederum auf einen Software Passkey setzen, der im selben Password Manager gespeichert wäre, kann man diesen allerdings auch direkt weg lassen, weil der Password Manager der Single Point of Failure wäre. Man hätte in dem Fall absolut keinerlei Mehrwert durch einen zusätzlichen Passkey.
Ich hoffe ich konnte für den Ein oder Anderen etwas Klarheit in das Thema bringen.
Eine gute Idee/Vorschlag.
Ich vermute aber, dass das noch sehr sehr lange dauert, da die Entwicklung bei mailbox.org doch sehr langsam ist bzw. neue Features eigentlich nicht hinzukommen.
Eine gute Idee/Vorschlag.
Ich vermute aber, dass das noch sehr sehr lange dauert, da die Entwicklung bei mailbox.org doch sehr langsam ist bzw. neue Features eigentlich nicht hinzukommen.
Kommentare wurden auf dieser Seite deaktiviert! Bitte benutzen Sie für einzelne Themen auch separate Einträge, da wir diese dann einzeln mit einem Status versehen können. Ein Sammelthema ist unnötig unübersichtlich.