[Paradise]

Ich habe mir etliche Videos von Shannon Morse und Naomi Brockwell angeschaut und mir daraufhin einen Yubico Fido Stick gekauft.

Ich bin wohl zu blöd für das ganze.

In sämtlichen Videos (amerikanischen) kam es so rüber als würde der fast überall funktionieren. Nun kam das Teil und ich stelle fest das außer PayPal keine Seite Fido hat. Wobei es mir in erster Linie um 2FA ging und es nervt ständig das Handy am PC zu haben um mich wo einzuloggen und auf SMS zu warten oder ne Mail. Die Videos vermitteln man hat den Stick im PC oder eben NFC am Handy und das wars.

Sparkasse scheint kein 2FA zu haben. Habe keine Einstellung gefunden.
eBay hat nur TOTP.
Mein Mailprovider (runbox) hat nur TOTP obwohl er auf der Yubico Seite gelistet ist.
Amazon hat Passkey und für 2FA braucht es wieder TOTP.

Amazon brachte mich dann dazu mich mal mit Passkey zu beschäftigen und das führte mich unter anderem zu diesem Video:

Und dann gibt es ja noch das mit dem Titel "Nie mehr Passwörter" von c't 3003
Welche Seite lässt einen registrieren ohne Passwort?
überall wo ich seit Jahren registriert bin sehe ich nichts was implizieren würde das ich mein Passwort löschen kann.

Passkey ist kein 2FA also verstehe ich nicht was der Passkey hype soll.

Bei Amazon kann man ein Passkey in den Einstellungen anlegen. Für 2FA brauch ich dann doch wieder das Handy mit Aegis.
Selbst wenn ich bei Amazon ein Passkey anlege, sehe ich keine Möglichkeit das Passwort dort zu löschen.

Authenticator Apps für PCs scheinen nicht zu existieren. Und auch da darf ich dann wieder eine 6 stellige nummer eintippen und muss auch noch schnell sein.

Dieser Beitrag wurde von Paradise bearbeitet: 13. Februar 2026 - 20:05

[asko]

Zitat (Paradise: 13. Februar 2026 - 20:03)

Authenticator Apps für PCs scheinen nicht zu existieren. Und auch da darf ich dann wieder eine 6 stellige nummer eintippen und muss auch noch schnell sein.

Ente Auth oder auch Proton Authenticator funktionieren auf dem Desktop. Eintippen muss man nichts, einfach auf den Eintrag klicken um den Code in die Zwischenablage zu kopieren, dann Rechtsklick in's erste Feld vom Code, einfügen, fertig. Dauert keine 5 Sekunden.
Beide Auth Apps funktionieren sowohl auf dem Desktop (alle gängigen OS), dem Mobiltelefon und auch im Browser.
Ich habe jahrelang Authy benutzt und als die die Desktop App einstellten bin ich zu Ente Auth gewechselt und nutze das seit anderthalb Jahren ohne Probleme. Proton Auth ist Teil des Proton Eco-System. Die Auth App selbst kann kostenlos benutzt werden, möchte man aber z.B. die Integration mit dem Passwort-Manager (inklusive Browser Addon), muss man die kostenpflichtige Version nehmen.
Dass man "schnell" sein muss ist ein Sicherheitsmerkmal, da die Codes nur 30 Sekunden gültig sind.

Nachtrag:
Ente Auth, sowie die anderen Ente Software Produkte sind alle Open Source und hatten, soweit ich weiß, auch bereits Audits.

Dieser Beitrag wurde von asko bearbeitet: 13. Februar 2026 - 20:52

[Paradise]

Funktionieren die zwei Apps ohne Internet?
Bei Aegis hat sich meine Firewall auf dem Handy erst gar nicht gemeldet ob ich Internetzugriff erlauben will.
Will also nicht irgendwo hin Telefonieren.

Viele dieser Apps sammeln ja gerne Daten.
Authy will das man sich registriert mit Mail und Telefonnummer - für was.
Um ein OTP zu generieren braucht es kein Internet.

[asko]

Zitat (Paradise: 13. Februar 2026 - 21:08)

Funktionieren die zwei Apps ohne Internet?
Bei Aegis hat sich meine Firewall auf dem Handy erst gar nicht gemeldet ob ich Internetzugriff erlauben will.
Will also nicht irgendwo hin Telefonieren.

Viele dieser Apps sammeln ja gerne Daten.
Authy will das man sich registriert mit Mail und Telefonnummer - für was.
Um ein OTP zu generieren braucht es kein Internet.

Auth Apps funktionieren in der Regel immer ohne Internet, weil die Codes ausschließlich auf dem lokalen Gerät generiert werden, basierend auf der aktuellen Uhrzeit auf dem Gerät.
Ente Auth erfordert keine Registrierung, kein Internet, nix dergleichen. Man kann sich per Email registrieren, falls man das Web-Interface als Backup benutzen möchte. Wie bereits erwähnt, nix Daten sammeln, da Open Source und bereits per Audit bestätigt.

[Mr_Maniac]

Auch KeePassXC (Passwort-Safe) kann neben Passwörtern auch TOTP. Hier kann man das ganze sogar automatisieren, wenn man will (also dass KeePassXC Benutzername, Passwort und dann z.B. mit Zeitverzögerung TOTP für einen eingibt) und mit Browser-Plugins geht es sogar noch komfortabler (Icons an den entsprechenden Feldern im Browser, auf die man nur noch klicken muss).

Passkeys habe ich selbst noch nicht verwendet. Soweit ich das verstehe, sind dann Benutzername, Passwort + 2FA mehr oder minder nur noch Fallback, falls man irgendwie doch kein Zugriff mehr zu dem/einem Gerät mit Passkey hat (es wird teilweise auch empfohlen, zwei Passkeys von/mit zwei Geräten zu hinterlegen und das zweite Gerät dann als Backup zu haben).

Und wie war das... Können die YubiKeys, oder zumindest einige davon nicht auch Passkeys? Ich muss gestehen, dass ich ganz "altmodisch" noch Benutzername+Passwort habe und eine Authenticator-App auf dem Handy für 2FA verwende.

Die meisten Passwörter habe ich allerdings dann im Passwortsafe (KeePass) und/oder im Browser gespeichert.

Dieser Beitrag wurde von Mr_Maniac bearbeitet: 13. Februar 2026 - 21:48

[Paradise]

Zitat (Mr_Maniac: 13. Februar 2026 - 21:47)

Passkeys habe ich selbst noch nicht verwendet. Soweit ich das verstehe, sind dann Benutzername, Passwort + 2FA mehr oder minder nur noch Fallback, falls man irgendwie doch kein Zugriff mehr zu dem/einem Gerät mit Passkey hat (es wird teilweise auch empfohlen, zwei Passkeys von/mit zwei Geräten zu hinterlegen und das zweite Gerät dann als Backup zu haben).

Und wie war das... Können die YubiKeys, oder zumindest einige davon nicht auch Passkeys? Ich muss gestehen, dass ich ganz "altmodisch" noch Benutzername+Passwort habe und eine Authenticator-App auf dem Handy für 2FA verwende.

Ja, es wird empfohlen zwei YubiKeys zu kaufen und es auf beiden anzulegen falls man einen verliert.

Soll Passkey 2FA ersetzen? Passkey ist doch eben kein 2 Faktor System?

Allerdings ist Passkey wohl ein Teil von FIDO:


Und ja man kann auf dem YubiKey Passkeys speichern. Allerdings nur 25 Stück.
Das hat zumindest bei meinem Test auf Amazon funktioniert.

Nur wo ist dann 2FA?
Das muss ich bei Amazon per TOTP extra machen.
Heißt also ich muss 3 Sachen verwalten (Passwort, TOTP und Passkey) anstatt das das ganze einfacher wird.
Und man sollte seine Passwörter und Passkeys ja auch nicht zusammen speichern (selbe Software).

Und ich verstehe das wie in dem c't 3003 Video nicht. Bei einer Seite registrieren ohne Passwort?
Er macht das, aber auf einer Testseite. Bei welche Realseite geht das?

Und TOTP ist halt eben auch nicht wirklich sicher:
https://youtu.be/UhANsAtvLN0?t=195

https://youtu.be/hLQpys14wW0?t=328

[asko]

Ich denke hier liegt ein generelles Missverständnis vor was die ganzen Abkürzungen sind und wie die zusammenspielen.

Passkeys sollen Passwörter ersetzen, weil Passwörter geknackt werden können, Passkeys nicht. Passkeys basieren auf der Hardware auf der ein Passkey erzeugt wurde. Obwohl Passkeys schon einige Jahre alt sind, stecken sie trotzdem noch in den Kinderschuhen und werden bei den meisten Webseiten nur als Zusatzoption angeboten. Praktisch keine Webseite gestattet das löschen von existierenden Passwörtern, weil man diese Option als Fallback erhalten möchte, falls der Passkey abhanden kommt. Deswegen soll man auch niemals nur einen Passkey bei einem Service, wie z.B. Amazon, Google, etc., anlegen. Das ist auch der Grund, wieso man mehr als einen Yubikey, o.ä. besitzen sollte, genau wie man Passkeys zu einem Service auch auf z.B. PC und Smartphone anlegen sollte. Verliert man den Zugang zum Gerät (handy geklaut, PC brennt ab, whatever), wäre der Account unwiederbringlich weg.
Nochmals, Passkeys sollen klassische Passwörter ersetzen, sonst nichts. Statt sich Passwörter zu merken fungiert die Sperrfunktion eines Geräts als "Passwort". Nur wer das Gerät besitzt auf dem der Passkey erzeugt wurde wird als legitim angesehen. Es ist eine zusätzliche Schicht im Sicherheitskonzept. Passkeys ersetzten ausschließlich Passwörter, kein 2FA, keinen Benutzername oder sonstwas.

Für einen Login braucht man nach wie vor Benutzername, Passkey (sofern die einzige option, ansonsten optional Passwort), und eine 2FA, wie z.B. TOTP. Sinn und Zweck ist es, dass man nicht nur eine "Sache" für einen sicheren Login benötigt, sondern so viele verschiedene wie möglich, um das knacken so schwer wie möglich zu machen. Man kann nicht sicher und super bequem gleichzeitig haben, das widerspricht der Logik von Sicherheitsebenen. Benutzername, Passwort/Passkey, 2FA sind jeder für sich nur bedingt sicher, aber zusammen kombiniert sind sie sehr sicher, wenn man es richtig benutzt. Passkeys sind daher bequemer, weil der Sperrbildschirm des Geräts als Authentifizierung dient. Entsperren geht nur vom Besitzer des Geräts und das entweder per PIN oder biometrisch (Fingerabdruck, Gesichstsscan, etc.) ohne sich ein kompliziertes Passwort merken zu müssen.