staging.inyokaproject.org

Wie funktioniert Passkey auf Ubuntu?

Status: Gelöst | Ubuntu-Version: Ubuntu 20.04 (Focal Fossa)
Antworten |

Serengeti

Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1966

Ich weiss, dass KeepassXc Passkey unterstützt. Aber ich verstehe nicht wie man das konfiguriert. Hat da jemand erfahrungen?

shiro Team-Icon

Supporter

Anmeldungsdatum:
20. Juli 2020

Beiträge: 1303

Wie funktioniert Passkey auf Ubuntu?

Gar nicht. Das Thema hat nichts mit Ubuntu zu tun.

Im Prinzip ist Passkey ein wieder aufgewärmtes Challenge-Response Thema (CRAM oder SCRAM siehe RFC5802 und RFC7677). Statt der sonst verwendeten (salted) Hashes des Passworts auf Client- und Server-Seite wird nun mit asymmetrischen Keys gearbeitet, die man ja aus der GPG und S/MIME Thematik kennt. Der private Key bleibt auf dem Client, der öffentlich Schlüssel geht an den Server. Dazu kommt noch ein wenig Delegation of Trust, wie man es seit langer Zeit vom SSO Thema kennt.

Vorteil dieser erneuten Aktion ist aber, dass man sich auf ein gemeinsames Vorgehen geeinigt hat statt firmenspezifische Lösungen zu propagieren.

Allerdings müssen sich alle beteiligten Partner auf dieses Authentifizierungs-Verfahren einstellen und die geeignetes Schnittstellen bieten. Wenn KeePassXC ab Version 2.7.7 und auch der neuste Firefox-Browser diese Kommunikation unterstützt, ist das ja löblich doch müssen auch die Web-Server-Applikationen auf dieses Authentisierung-Verfahren umgestellt werden. Hier gibt es meines Wissens nur ein paar Testseiten (z.B. von Amazon US) wo man erste Gehversuche unternehmen kann. Das ist somit alles noch im Werden, auch wenn das BSI bereits mächtig Reklame macht.

In KeePassXC kannst du deine asymmetrischen Keys verwalten unter "Datenbank" → "Passkeys" → "Importieren" (usw. siehe auch https://keepassxc.org/docs/KeePassXC_UserGuide#_passkeys).

Bevor nun die Euphorie ausbricht ... Die Themen/Probleme der Mehrfaktor-Authentifizierung bleiben bestehen. Bei biologischen Merkmalen als ein Authentifizierungselement (Fingerabdruck, Retina-Scan, Gesichtserfassung usw) bleibt weiter die Problematik, dass man diese nicht so einfach wechseln kann wie ein Passwort (kommen jetzt wieder die Vorschläge, die Fingerkuppen abzuhacken?).

Bei dem Vorschlag, den privaten Key in der Cloud zu speichern, damit man bei Verlust des speichernden Gerätes, diesen wieder herstellen kann, stellen sich bei mir allerdings die Nackenhaare auf. Dieses "Herstellen" kann auch ein nicht Berechtigter. Da hat man gegenüber einem gehackten SHA1-Hash aus meiner Sicht eine ähnliche Situation (ok, den Passkey des Zertifikats muss man noch hacken).

Na ja, so gesehen, schauen wir mal...

Serengeti

(Themenstarter)
Avatar von Serengeti

Anmeldungsdatum:
24. Februar 2008

Beiträge: 1966

Ich selbst hab Keepasxc auf meinem eigenen NAS liegen und konnte vor kurzem Passkey einrichten (Danke). Alle Geräte sind via VPN verbunden und synchronisieren via Nextcloud das File. Somit kann ich aktuell Passkey auf all meinen Linux Geräten ausser Android nutzen. Am liebsten würde ich jetzt die Gnome Keyring durch das Keepass ersetzen (secret service?) aber ich weiss leider nicht wie das geht (Würde dafür ein separates Keepass file nutzen). Hab dazu noch keine sinvolle Anleitung gefunden. Interessant wäre Keepass auch im Terminal.

Antworten |