Habe wie vorgeschlagen die passkey.org-Website aufgemacht (mit Firefox), um das ganze "erstmal so auszuprobieren". Hat ja ganz toll funkioniert - nicht!
Nach Auswahl eines Nutzernamens will mir die "Windows-Sicherheit" einen Sicherheitsschlüssel einrichten. Hmm, ok, scheint irgendwie eine Betriebssystem-Funktionalität zu benutzen. Mir wäre lieber ich könnte selbst auswählen wie meine Schlüssel verwaltet werden, z.B. mit Keepass, aber ich mach mal weiter.
Jetzt werde ich mit einer kryptischen Nachricht konfrontiert: "Setup fortsetzen. Dadurch wird passkey.org die Marke und das Modell Ihres Sicherheitsschlüssels angezeigt." Keine Ahnung, was das bedeutet, aber klicke trotzdem auf "OK". Als nächstes: "Stecken Sie den Sicherheitsschlüssel in den USB-Anschluss." Hä, bitte was? Ich dachte das soll ohne Hardware funktionieren? Was soll ich denn da jetzt bitte reinstecken? Ein normaler USB-Stick tut's jedenfalls nicht. Bleibt mir nur noch auf "Abbrechen" zu klicken.
Verwende ich Chrome statt Firefox, wird mir immerhin noch angeboten außer der Windows-eigenen Lösung auch den Passkey auf einem Smartphone zu erstellen. Ok, dann eben jetzt mit Smartphone. Mir wird ein QR-Code mit folgender Nachricht angezeigt: "Scanne diesen QR-Code mit der Kamera des Geräts, auf dem du einen Passkey für passkey.org erstellen möchtest". Gesagt, getan. Mein Smartphone liest den QR-Code ein und zeigt mir einen wunderhübschen String an: "FIDO:/3336689.....2660". Und was mache ich jetzt damit? Ich dachte ab Android 9 wird das ganze nativ unterstützt, ich habe Android 13. Muss ich noch eine App installieren? Aber welche? Keine Ahnung. Also wieder nichts. Spaßeshalber das ganze noch in Edge probiert. Gleiches Verhalten. Es funktioniert einfach nicht.
Damit ist das Experiment gescheitert, Passkeys funktionieren für mich nicht und ich hab auch keine Ahnung, was ich machen muss, um sie einsetzen zu können.
Noch dazu missfällt mir, dass ich mir nicht selbst aussuchen kann wie ich meine Schlüssel verwalten will. Microsoft traue ich da eher nicht, die können nicht mal auf ihre eigenen Schlüssel aufpassen. Und um die Synchronisation kümmere ich mich auch lieber selbst, da weiß ich wenigstens, wer die Schlüssel in die Finger bekommt.
Bleibe also vorerst bei Password plus TOTP-Faktor. Da weiß ich wenigstens wie es funktioniert, bin nicht auf OS-Funktionalität angewiesen und kann mich auch selbst um Synchronisierung und Backups kümmern.
Edit: Erfahrung mit Chrome und Edge ergänzt.
Das Posting wurde vom Benutzer editiert (05.08.2023 15:16).