Passkeys: Unterschied zwischen den Versionen

Aus schokokeks.org Wiki
Zur Navigation springen Zur Suche springen
Keine Bearbeitungszusammenfassung
Keine Bearbeitungszusammenfassung
 
Zeile 1: Zeile 1:
Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.  
Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.  


== Voraussetzungen ==
= Voraussetzungen =


Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.  
Unter dem Begriff ''Passkeys'' wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden.  
Zeile 8: Zeile 8:
FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.
FIDO2-Hardware-Sticks (z.B. ''Yubikey'', ''Google Titan Security Stick'') funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. '''Achtung:''' Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.


= Ablauf =
== Passkeys hinzufügen ==
== Passkeys hinzufügen ==


Zeile 19: Zeile 20:
Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.
Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.


= Ähnliche Technologien =
== SSH-Login mit Key ==
== SSH-Login mit Key ==
Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.
Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff ''Passkeys'' nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine [https://developers.yubico.com/SSH/Securing_SSH_with_FIDO2.html Anleitung des Herstellers Yubico] soll hier exemplarisch genannt sein.
Zeile 26: Zeile 28:
Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.
Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.


== Gesamtstrategie zur Sicheren Anmeldung ==
= Gesamtstrategie zur Sicheren Anmeldung =


Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter '''Benutzeraccounts''' in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird.
Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter '''Benutzeraccounts''' in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird.
Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.
Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.

Aktuelle Version vom 10. Dezember 2023, 07:34 Uhr

Für erhöhten Komfort und bessere Sicherheit beim Login auf dem Webinterface von schokokeks.org können Sie Passkeys zum Zugriff verwenden.

Voraussetzungen

Unter dem Begriff Passkeys wurden die Technologien WebAuthn und FIDO2 zusammengeführt und mit einer Möglichkeit der Speicherung der Schlüssel in Software erweitert. So kann z.B. der eigene Rechner oder das Mobiltelefon alternativ zu einem Hardware-Sicherheits-Gerät genutzt werden. Die Betriebssysteme von Google, Microsoft und Apple haben die Software-Speicherung in Verbindung mit einer Sicherung der Schlüssel in dem jeweiligen Cloud-System implementiert. Unter Linux-Systemen ist der Chrome-Browser in der Lage, ein Android-Gerät als Sicherheitsgerät zu nutzen, Firefox unter Linux soll diese Möglichkeit in naher Zukunft auch bekommen.

FIDO2-Hardware-Sticks (z.B. Yubikey, Google Titan Security Stick) funktionieren dagegen mit allen modernen Browsern auf allen Betriebssystemen. Achtung: Ältere FIDO-U2F-Sticks können nur als zweiter Faktor agieren, diese Möglichkeit haben wir nicht implementiert.

Ablauf

Passkeys hinzufügen

Sie können am Webinterface von schokokeks.org Hosting mehrere Passkeys registrieren. Gleichzeitig erlauben FIDO2-Geräte die Speicherung mehrerer Zugangsdaten pro Website, so dass Sie dasselbe Gerät auch unter verschiedenen Benutzeraccounts hinterlegen können.

Wählen Sie unter dem Menüpunkt Benutzeraccounts den Unterpunkt Sicherheit. Um einen neuen Passkey zu registrieren, geben Sie bitte eine Bezeichnung (z.B. "Yubikey") ein und klicken Sie dann auf "Passkey registrieren". Daraufhin wird Ihr Browser alles in die Wege leiten um einen neuen Passkey zu erstellen.

Anmeldung mit Passkeys

Unter dem Eingabefeld für Benutzername und Passwort finden Sie den Knopf "Mit Passkey/FIDO2-Gerät anmelden". Ein Klick auf diesen Knopf löst die Anmelde-Routine aus, Ihr Browser wird Sie ggf. nach der PIN für das Sicherheitsgerät und/oder nach dem gewünschten Benutzeraccount fragen. Nach Freigabe sind Sie sofort im Webinterface eingeloggt.

Ähnliche Technologien

SSH-Login mit Key

Für die Anmeldung per SSH empfehlen wir die Verwendung von SSH-Keys. Neben klassischen SSH-Keys ist es auch möglich, den SSH-Login über dasselbe Gerät abzusichern. Da der Begriff Passkeys nur eine Zusammenfassung der Technologien FIDO2 und WebAuthn ist, können Sie das selbe FIDO2-Gerät auch zur Anmeldung über SSH nutzen. Eine Anleitung des Herstellers Yubico soll hier exemplarisch genannt sein.

Login mit Client-Zertifikaten

Schon seit vielen Jahren bieten wir die Anmeldung mit x509-Client-Zertifikaten an. Aktuell gibt es hier aber Schwierigkeiten bei der Unterstützung von Client-Zertifikaten in Verbindung mit TLS 1.3, so dass unser Webinterface momentan weiterhin auf TLS 1.2 festgelegt ist. Wir rechnen damit, dass der höhere Komfort und die breite Unterstützung von Passkeys dafür sorgt, dass Client-Zertifikate künftig nicht mehr gebraucht werden.

Gesamtstrategie zur Sicheren Anmeldung

Um Ihre Benutzerkonto so wenig angreifbar wie möglich zu halten, empfehlen wir Passkeys für das Webinterface und SSH-Keys für die Konsolen-Anmeldung sowie für SFTP. Sie können unter Benutzeraccounts in den Einstellungen Ihres Accounts festlegen, dass beim Login über SSH Ihr Passwort nicht mehr erlaubt wird. Wenn diese Zugänge passwortlos funktionieren, können Sie Ihr Benutzerpasswort als Restore-Token auf einen komplexen Wert setzen, den Sie an einem sicheren Ort (z.B. ausgedruckt in einem Tresor) aufbewahren und im Alltag nicht mehr nutzen.