Passkeys - Versionsgeschichte

Bernd am 10. Dezember 2023 um 06:34 Uhr

2023-12-10T06:34:42Z

← Nächstältere Version		Version vom 10. Dezember 2023, 08:34 Uhr
Zeile 1:		Zeile 1:
	Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.		Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.

	== Voraussetzungen ==		= Voraussetzungen =

	Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.		Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.
Zeile 8:		Zeile 8:
	FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.		FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.

			= Ablauf =
	== Passkeys hinzufügen ==		== Passkeys hinzufügen ==

Zeile 19:		Zeile 20:
	Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.		Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.

			= Ähnliche Technologien =
	== SSH-Login mit Key ==		== SSH-Login mit Key ==
	Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.		Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.
Zeile 26:		Zeile 28:
	Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.		Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.

	== Gesamtstrategie zur Sicheren Anmeldung ==		= Gesamtstrategie zur Sicheren Anmeldung =

	Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter '''Benutzeraccounts''' in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird.		Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter '''Benutzeraccounts''' in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird.
	Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.		Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.

Bernd am 10. Dezember 2023 um 06:33 Uhr

2023-12-10T06:33:51Z

Bernd: /* Voraussetzungen */

2023-12-10T06:30:37Z

Voraussetzungen

← Nächstältere Version		Version vom 10. Dezember 2023, 08:30 Uhr
Zeile 3:		Zeile 3:
	== Voraussetzungen ==		== Voraussetzungen ==

	Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät ~~dienen~~.		Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.
	Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.		Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.
	FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.		FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.


	== Passkeys hinzufügen ==		== Passkeys hinzufügen ==

Bernd: Die Seite wurde neu angelegt: „Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden. == Voraussetzungen == Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät dienen. Die Betrie…“

2023-12-10T06:29:56Z

Die Seite wurde neu angelegt: „Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden. == Voraussetzungen == Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät dienen. Die Betrie…“

Neue Seite

Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.

== Voraussetzungen ==

Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät dienen.
Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.
FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.

== Passkeys hinzufügen ==

Sie können am Webinterface von schokokeks.org Hosting mehrere Passkeys registrieren. Gleichzeitig erlauben FIDO2-Geräte die Speicherung mehrerer Zugangsdaten pro Website, so dass Sie dasselbe Gerät auch unter verschiedenen Benutzeraccounts hinterlegen können.

Wählen Sie unter dem Menüpunkt '''Benutzeraccounts''' den Unterpunkt '''Sicherheit'''.
Um einen neuen Passkey zu registrieren, geben Sie bitte eine Bezeichnung (z.B. "Yubikey") ein und klicken Sie dann auf "Passkey registrieren". Daraufhin wird Ihr Browser alles in die Wege leiten um einen neuen Passkey zu erstellen.

== Anmeldung mit Passkeys ==

Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.

== SSH-Login mit Key ==
Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.

== Login mit Client-Zertifikaten ==

Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.

== Gesamtstrategie zur Sicheren Anmeldung ==

Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter '''Benutzeraccounts''' in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird.
Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.

← Nächstältere Version		Version vom 10. Dezember 2023, 08:33 Uhr
Zeile 5:		Zeile 5:
	Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.		Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.
	Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.		Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.

	FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.		FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.

Zeile 13:		Zeile 14:
	Wählen Sie unter dem Menüpunkt '''Benutzeraccounts''' den Unterpunkt '''Sicherheit'''.		Wählen Sie unter dem Menüpunkt '''Benutzeraccounts''' den Unterpunkt '''Sicherheit'''.
	Um einen neuen Passkey zu registrieren, geben Sie bitte eine Bezeichnung (z.B. "Yubikey") ein und klicken Sie dann auf "Passkey registrieren". Daraufhin wird Ihr Browser alles in die Wege leiten um einen neuen Passkey zu erstellen.		Um einen neuen Passkey zu registrieren, geben Sie bitte eine Bezeichnung (z.B. "Yubikey") ein und klicken Sie dann auf "Passkey registrieren". Daraufhin wird Ihr Browser alles in die Wege leiten um einen neuen Passkey zu erstellen.


	== Anmeldung mit Passkeys ==		== Anmeldung mit Passkeys ==

	Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.		Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.


	== SSH-Login mit Key ==		== SSH-Login mit Key ==
	Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.		Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.


	== Login mit Client-Zertifikaten ==		== Login mit Client-Zertifikaten ==

	Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.		Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.


	== Gesamtstrategie zur Sicheren Anmeldung ==		== Gesamtstrategie zur Sicheren Anmeldung ==