Passkeys

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen

Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.

Voraussetzungen

Unter dem Begriff Passkeys wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden. Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.

FIDO2-Hardware-Sticks (z.B. Yubikey, Google Titan Security Stick) funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. Achtung: Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.

Ablauf

Passkeys hinzufügen

Sie können am Webinterface von schokokeks.org Hosting mehrere Passkeys registrieren. Gleichzeitig erlauben FIDO2-Geräte die Speicherung mehrerer Zugangsdaten pro Website, so dass Sie dasselbe Gerät auch unter verschiedenen Benutzeraccounts hinterlegen können.

Wählen Sie unter dem Menüpunkt Benutzeraccounts den Unterpunkt Sicherheit. Um einen neuen Passkey zu registrieren, geben Sie bitte eine Bezeichnung (z.B. "Yubikey") ein und klicken Sie dann auf "Passkey registrieren". Daraufhin wird Ihr Browser alles in die Wege leiten um einen neuen Passkey zu erstellen.

Anmeldung mit Passkeys

Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.

Ähnliche Technologien

SSH-Login mit Key

Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff Passkeys nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine Anleitung des Herstellers Yubico soll hier exemplarisch genannt sein.

Login mit Client-Zertifikaten

Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.

Gesamtstrategie zur Sicheren Anmeldung

Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter Benutzeraccounts in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird. Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.