1. Passkey.org:
Unsupported platform
It looks like you're using a browser or operating system that does not support the features shown in this demo.
Ja klar, ich nutze halt Firefox...
2. Das Smartphone wird zum kritischen Zugangspunkt.
1. Betrachte ich das bei mir als eh unsicher (letztes Update vor 4 Jahren und lange hatte ich nicht mal eine Sperre eingestellt).
2. Geht auch SMS als Recovery nicht wenn das Handy weg ist
3. Was passiert wenn wirklich alle Passkey verwenden?
Also neue Simkarte bestellen -> Passkey erforderlich -> ist auf dem verlorenem Handy...
Mail Recovery -> benötigt Passkey -> Und jetzt?
4. Möchte ich die Masterkeys nicht in irgend einer Cloud
Wird ja mal auch gerne mal dauerhaft deaktiviert, wenn man unvorsichtig ein Bild eines Kindes aus der Verwandtschaft am Strand macht...
Oder die Cloud leakt den Master-Master Key.
5. Wer verhindert eigentlich, dass ich ein virtuelles FIDO2 Gerät schreibe? Dann liegt der Key wieder auf der SSD als Datei. Das wäre für mich komfortabel, da ich den dann Backupen könnte. Für den Kriminellen aber auch. Erst virtuelles FIDO unterjubeln, warten bis diverse Zugangstoken erzeugt wurden, dann Token und Masterkey an den Phisher übermitteln.
6. Github hat mich vom Passwort Richtung Zugangstoken genötigt. Statt das Passwort, geben ich jetzt halt den mehrere Jahre gültigen Zugangstoken ein. Gut, mit dem Zugangstoken hat man weniger Rechte (und damit lässt sich nicht gleich das Repo löschen), das ist von Vorteil. Aber wenn der geleakt wird, lässt sich ein Repo genauso mit Schadcode verseuchen. Aber da ich mir den Zugangstoken im Gegensatz zum Passwort nicht auswendig merken kann, habe ich den jetzt von git speichern lassen. Keine Ahnung wo der liegt. Dass ich den irgendwo versehentlich jetzt zu anderen kopiere ist sicher höher als vorher bei dem Passwort.
TTL