#InfoSec #Awareness
November 17, 2022
Keepass ist nicht gleich Passkey!
Keepass ist ein kostenloser Passwort Manager, der eine Vielzahl von Passwörtern verwalten oder auch generieren kann. Passkey ist hingegen die neuste Technologie für die passwortlose Anmeldung. Somit geschieht die Authentifizierung nicht mehr mittels Passwörtern, sondern mittels einem Passkey. Ein Passkey basiert auf dem Prinzip eines privaten und öffentlichen Schlüssels. Der private Schlüssel bleibt beim User, der öffentliche Schlüssel beim Webdienst. Aus dem privaten Schlüssel kann man jederzeit den öffentlichen Schlüssel ableiten, umgekehrt funktioniert das aber nicht. Ganz so neu sind Passkeys übrigens nicht, sie sind eine Weiterentwicklung von Fido2. Neu ist, dass die Passkeys nicht nur auf einem Sicherheitsstick gespeichert werden können, sondern neu auch lokal auf dem PC (Windows), in der iCloud (Apple) oder auf einem anderen Cloudspeicher (Google, Passwortmanager).
Einen Passkey zu erraten, ist nahezu ausgeschlossen. Vereinfacht gesagt besteht der private Key aus 2 grossen Primzahlen. Multipliziert man diese, erhält man den öffentlichen Schlüssel. Vom öffentlichen Schlüssel auf den privaten zu schliessen, ist nun aber auch für die besten Computer momentan aussichtslos. Die grösste Gefahr für einen Missbrauch liegt somit darin, dass der Hacker an den privaten Schlüssel gelangt. Daher ist es äusserst wichtig, den Passkey sicher zu verwahren.
Die sicherste Verwahrung bleibt daher wohl der Sicherheitsstick. Da dies aber wenig komfortabel ist, hat sich dieser nie wirklich durchgesetzt. Darum ging man mit Passkey einen Schritt weiter und ermöglichte das Abspeichern auf alternativen Medien. Hier nun ein kurzer Überblick über die neuen Speichermöglichkeiten:
- Windows speichert diese, abgesichert über Windows Hello, auf dem lokalen PC. Eine Synchronisation ist nicht möglich.
- Apple speichert den privaten Passkey in der iCloud. Gemäss Apple ist dieser so verschlüsselt, dass niemand darauf zugreifen kann. Das iPhone kann man übrigens so auch als Verifizierungsgerät für den Windows PC gebrauchen. Da die iCloud zum Einsatz kommt, ist natürlich eine Synchronisation vorhanden.
- Bei Google funktioniert das ähnlich wie bei Apple. Der Passkey landet in der Cloud, kann mittels einem Android Handy gebraucht werden und wird synchronisiert auf diversen Geräten.
- Diverse Passwortmanager sind in der Zwischenzeit ebenfalls in der Lage, Passkeys zu speichern. Dies geschieht teilweise auf den eigenen Server der Anbieter. Die Sicherheit ist hier sicherlich am geringsten. Eine Ausnahme bildet KeePassXC. Dazu mehr im nächsten Abschnitt.
KeePassXC als Keepass Alternative
Wie eingangs erwähnt, ist Keepass ein kostenloser Passwortmanager, der die Passwörter in einer verschlüsselten Datei organisiert. Die Schlüsseldatei kann auf dem lokalen PC liegen, auf einem Netzwerkspeicher oder auf einem Cloud Speicher (OneDrive, iCloud, etc.). Eine Weiterentwicklung von Keepass ist KeePassXC, dass ich wärmstens empfehlen kann. KeePassXC hat nicht nur eine modernere Benutzeroberfläche, sondern auch eine sehr nützliche Browsererweiterung. KeePassXC gibt es für Windows, MacOS und Linux. Das Login wird auf Windows PC übrigens mittels Windows Hello (biometrische Authentifizierung) zusätzlich abgesichert. In der neusten Version 2.7.7 beherrscht KeePassXC nun auch Passkey. So lassen sich über die Browserweiterung die Passkeys speichern und abrufen. Dazu muss allerdings in der Browsererweiterung diese auch aktiviert werden:
In den Einstellungen der Browser Erweiterungen für KeePassXC findet man die Einstellungen für Passkeys. Sobald man diese aktiviert, kann man Passkeys mit KeePassXC in diesem Browser benutzen.
Noch kurz ein Wort zur Möglichkeit, eine Man in the Middle Attacke auszuführen. Mit Passkey wird vom User zuerst der Domain-Name überprüft. Und nur wenn der absolut genau übereinstimmt, wird der öffentliche Schlüssel übermittelt und abgefragt. In einer Man in the Middle Attacke kann man zwar die Webseite gut kopieren, aber der Domain Name wird immer abweichen. Mein Domain Name 'hegner-engineering.ch' gehört mir und kann von niemand anderem übernommen werden. Möglich sind nur möglichst nahekommende Varianten wie 'hegnel-engineeling.ch' ;-)
Somit sind solche Attacken mit Passkeys aussichtslos.