Passkeys werden sich zwischen Anbietern übertragen lassen
von caschy | 44 Kommentare
Die FIDO Alliance hat neue Spezifikationen für den sicheren Austausch von Anmeldedaten veröffentlicht. Diese Spezifikationen ermöglichen es Nutzern, Passkeys und andere Anmeldedaten sicher zwischen verschiedenen Anbietern zu übertragen. Die neuen Spezifikationen zielen darauf ab, die Einführung von Passkeys zu beschleunigen und die Benutzerfreundlichkeit zu verbessern, indem sie eine offene Umgebung schaffen und die Wahlfreiheit des Nutzers fördern.
Die Spezifikationen werden derzeit von der FIDO Alliance geprüft und können noch geändert werden, bevor sie zur Implementierung freigegeben werden. Die Spezifikationen, bekannt als Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF), definieren ein Standardformat für die Übertragung von Anmeldeinformationen, einschließlich Passwörter, Passkeys und mehr, zwischen verschiedenen Anbietern. Sprich: Ihr seid nicht auf ewige Zeiten an einen Anbieter gekettet, sondern könnt Passkeys auch locker von A nach B mitnehmen, die Synchronisation wird ja bereits unterstützt. Anbieter, wie 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta und Samsung, werden das Ganze dann später unterstützen, was es einfacher machen wird, den Passwortmanager zu wechseln. Derzeit ist es zwar problemlos möglich, die „alten“ Passwort-Geschichten umzuziehen, bei Passkeys sieht das ja noch anders aus.
Hintergrundwissen Passkeys:
Einrichtung: Zuerst richtet der Nutzer einen Passkey für sein Konto ein. Dies geschieht normalerweise in den Sicherheitseinstellungen der Webseite oder App. Dabei wird das Gerät (z. B. Smartphone, Laptop) mit dem Konto verbunden.
Anmeldung: Wenn die Person sich später einloggen möchte, wählt sie einfach ihr Konto aus. Anstatt ein Passwort einzugeben, bestätigt sie ihre Identität mit etwas, das sie besitzt, wie zum Beispiel einem Fingerabdruck, einem Gesichtsscan oder einem PIN-Code auf ihrem Gerät.
Sicherheit: Der Passkey besteht aus einem Paar von kryptografischen Schlüsseln – einem privaten Schlüssel, der sicher auf dem Gerät gespeichert ist, und einem öffentlichen Schlüssel, der mit dem Online-Dienst geteilt wird. Der private Schlüssel verlässt das Gerät nie..
Verifizierung: Wenn sich die Person anmeldet, sendet der Online-Dienst eine Herausforderung (Challenge) an ihr Gerät. Das Gerät verwendet den privaten Schlüssel, um diese Herausforderung zu beantworten, und sendet die Antwort zurück. Der Dienst überprüft die Antwort mit dem öffentlichen Schlüssel und gewährt Zugang, wenn alles korrekt ist.
- Xiaomi AISP beinhaltet dank Xiaomi HyperOS die Rechenleistung von CPU, GPU, NPU und ISP.
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich verstehe den Hype um Passkeys nicht so wirklich. Es mag eine wirklich sichere Authentifizierungsvariante sein, die Nachteile überwiegen aber jedenfalls für mich. Wenn ich z.B. die Anmeldung für den Dienst XCY per Passkey konfiguriert habe und das dazugehörige Gerät nicht verfügbar habe, sei es weil ich das Smartphone zuhause vergessen habe oder es defekt ist, dann wird es in der Regel richtig kompliziert. Im Extremfall habe ich mich dauerhaft ausgesperrt.
Ist ja kein explizites Problem von Passkeys. das Problem hast du z.B. bei TOTP ja ebenso.
Und ja, im Extremfall hast du dich ausgesperrt. Bei beiden Dingen. Deswegen: Backup.
So viel Kompetenz eines zu machen würde ich hier von jedem User auch erwarten.
Wer das aus Faulheit nicht macht ist schon auch zum großen Teil selbst Schuld.
Backup von passkeys funktioniert nicht und macht den Sinn kaputt
Der Artikel zählt ja einige Dienste auf, die genau das Problem von Backup und Synchronisation lösen.
Wie Webb schon richtig angedeutet hat, widerspricht das eigentlich dem Sinn von Passkeys. Es mag benutzerfreundlicher sein, aber eigentlich sollte man pro Gerät einen Passkey ablegen, wobei der Passkey in einem abgesicherten Speicher wie einem TPM-Chip landen und diesen nie verlassen sollte.
Da die ganzen Anbieter aber gleichzeitig deutlich weniger sichere Anmeldemethoden und Rücksetzmethoden anbieten, führen sie die Passkey-Authentifizierung sowieso ad absurdum. Genauso wie der Umstand, dass noch immer Anbieter bestimmte Konfigurationen und Browser verlangen.
So generell nicht richtig. Wenn du deine Passkeys z.B. in KeepassXC speicherst hast du kein Problem deinen „Tresor“ einfach regelmäßig zu backuppen.
Ich nutze Passkey mit 1Password und als Backup habe ich zwei Yubikeys, die ich alle einzeln einrichte. Ein Yubi-Key ist am Schlüsselbund, der andere bei meinem Bruder im Garten unter der 100jährigen Eiche vergraben.
Und das mit der Nutzung des Yubikeys funktioniert? Ic habe bereist mehrmals versucht Yubikeys zu nutzen – Einrichten war kein Problem, blos benutzen hat nie funktioniert! Entweder war das dem System egal – aka nicht erkannt – oder es gab einen Fehler! Meist wurde der hinterlegte Passkey als falsch angesehen….
Hmm.. ob das Ließchen Müller auch alles so hinbekommt und ob die weiß, was ein Yubi-Key ist
Zu spät. Passkeys führen bereits FIDO2 ad absurdum, da sie den zentralen Sicherheitsmechanismus, das unmögliche Übertragen des Gehemnisses, komplett aushebeln. Daher sind sie ein großer Fehler und sicherlich kein Sicherheitsgewinn.
Natürlich funktioniert das…… ich speichere meine Passkeys auf einem Security Stick. Davon habe ich 2 Stück, einer davon dient als Backup Key..
Für jeden per Passkey abgesicherten Account habe ich 2 Sticks registriert. Sollte ich einen verloren haben oder der den Geist aufgeben, habe ich immer noch den zweiten Stick.
Ja, zugegeben, ist nicht das, was man gemeinhin unter Backup versteht, kommt unterm Strich aber aufs selbe raus.
TOTP-Schlüssel könnte man sich sogar auf Papier aufschreiben, so wie Benutzername und Kennwort.
Bei Passkeys ist das etwas komplizierter. Und wenn man die einfach kopieren kann, könnten Dritte das ebenfalls.
Naja, zumindest den Seed kann man aufschreiben, ich glaube nicht, dass das Berechnen des Codes alle 20-30 sec praktikabel ist.
Naja Passkey lässt sich genau wie TOTP synchronisieren.
Hier jetzt halt die Dienste die es anbieten. KeePassXC kann auch schon Passkeys aufnehmen und die Passwort Datei kann über mehrere Geräte synchronisiert werden, so dass man diese auch überall hat.
Am Ende funktioniert es schon, wobei es hier natürlich die Gefahr gibt das wenn ein Microsoft, Google Konto oder wo auch immer man die Passkeys abgelegt hat plötzlich viele Dienste auf ein mal kompromitiert werden können
Mit der EIngabe der Kombination Benutzername : Passwort hast du alle zum Anmelden notwendigen Dinge aus der Hand gegeben. Beim Anmelden wird nur abgeglichen ob die Kombi stimmt.
Beim Passkey behälst du einen Teil der Anmeldedaten bei Dir, z.B. in Form von Fingerabdruck, oder Gesichts Scan. Der andere Teil kann beliebig kopiert, weitergegeben oder eingesehen werden und ist ohne deinen ‚biologischen‘ Anteil völlig nutzlos.
Der Passkey ist
KeepassXC, eigene BW-Instanz, Enpass. Ja, gibt einige Möglichkeiten die zu syncen ohne auf Google oder Apple zu setzen.
Und natürlich: Wenn du alles zentral hast, dann besteht die Gefahr dass alles kompromittiert ist. Genauso wenn du deine TOTP-Tokens im Passwortmanager mit einträgst.
Hmm.. wiederspricht das nicht dem Passkey Konzept?
Gibt es denn dieses „Andere Anmeldemethode“ dort nicht zum Auswählen. Da lässt sich normalerweise auf Passwort umstellen. Falls man aber eine 2FA aktiv hat, hilft das dann auch wenig, wenn man das Smartphone zuhause gelassen hat. 😀
die idee hinter passkeys war mal richtig geil. leider wird jetzt alles verDAUt und am ende wundert sich jeder wieder über gehackte accounts. wobei das ja schon immer an schlechten plattformen oder dummen usern lag und nichts mit dem konzept passwort ansich zu tun hat.
ehrlich, was soll das? schlimm genug, dass provider wie microsoft, google und apple die gleichen keys geräteübergreifend verwenden. es war mal aus guten gründen angedacht, dass jedes endgerät einen eigenen key erhält. dabei spricht nichts dagegen, sich über ein anderes gerät mit gültigem key einzuloggen aber bereits damit is es unmöglich, auf der zielseite einzelne geräte/sessions gezielt auszusperren bzw. den access zu überwachen. und nun sollen die keys sogar plattformübergreifend geteilt werden? nein! auch hier sollte es zwingend erforderlich sein, für den neuen client einen neuen key zu generieren. wieder mal ein thema wo zu viele leute nicht nachdenken.
beispiel: in meinem 1password account ist genau 1 passkey für meinen google account gespeichert. damit kann ich mich auf jedem endgerät einloggen. weder 1password noch google kann mir sagen welche geräte wann auf meinen account damit zugegriffen haben (außer „zuletzt verwendet“. ehrlich, was soll das? und wenn ich den key dann zu bitwarden migriere, wirds noch unübersichtlicher. was für ein bullshit… totgeburt bevor es die masse überhaupt benutzen will.
Ja, leider. Aber wenn Passkeys wie ursprünglich vorgesehen umgesetzt worden wären, hätten die großen Anbieter gar keine Möglichkeit als Identity Provider aufzutreten und den Kunden einen Anbieterwechsel unbequem zu machen …
Auch das ist kein Problem von Google oder Apple. Auch Bitwarden lässt nur einen Passkey pro Seite zu und synct den über mehrere Geräte.
So will das auch der 0815-User.
Wenn du das nicht willst kannst du ja auch eindach weiter z.B. deinen YubiKey nutzen. da wird nichts gesynct oder exportiert.
Mir leuchtet das ganze Konzept nicht ein, und ich will auf gar keinen Fall, daß ich von irgendwelchen „sicheren Devices“ abhängig bin. Wenn es schnell gehen muß und ich kein Smartphone dabeihabe, muß ein Passwort reichen.
Deswegen schließt meine Synology an seinen Router an und hat darauf alles. Eigene Cloud ist die Zukunft.
Das funktioniert leider schon heute nicht mehr, vor allem bei Banken. Und die bieten nicht mal offene TOTPs an, sondern i. d. R. eigene Authentifizierungs-Apps.
.. die oft nicht funktionieren! Oder besser – die meiste Zeit!
Irgendetwas scheint immer nicht zu passen – da verbringe ich oft die meiste Zeit damit, den Schrott erneut anzumelden und das kann es doch eigentlich nicht sein, oder?
schnell != sicher. Wenn das Passwort alleine Dir reicht, dann auch dem Hacker. Und was mit Passwörtern passiert, konnten wir uns die letzten 30 Jahre ansehen.
.. und du denkst jetzt wirklich Passkeys wären jetzt tatsächlich sicher?
Selbes wurde auch sehr lange von Google Authenticator und Co. gesagt!
Was schöneres als n Yubi Key gibt’s eigentlich nicht. Das Konzept des Schlüssels als physischer Gegenstand ist leicht verständlich, es kann ein relativ simpler PIN gewählt werden, da durch Besitz sowie Bestätigung des Buttons am Key ausreichend Authentifizierung hergestellt wurde.
Schlüsselverlust kann natürlich passieren, dafür kann man eine schön komplizierte Passphrase aufschreiben und gut aufbewahren.
Diebstahl von physischen Passphrasen aus Privaträumen kommt nicht vor, solange es nicht gerade ein Geheimdienst persönlich auf einen abgesehen hat.
Die meisten Sicherheitskonzepte kranken daran, dass viele IT Nerds eine inhärente Abneigung gegen die physische Welt haben und alles virtuell abgebildet haben wollen.
Und wenn die Leute dann ernsthaft ein klassisches Passwort nutzen sollen, das ausreichend sicher ist und bitte regelmäßig geändert werden soll und auch nur einmal verwendet werden soll, dann darf man sich nicht wundern, dass die Praxis ganz anders aussieht (inklusive bei den meisten IT nerds).
Dann lieber einen Key den man sicher im Geldbeutel dabei hat usw.
.. wenn er funktioniert – super!
Wenn er aber nicht mit deinem System will – und das ist nicht so unüblich (z.B. bei mir hat das Teil noch nie richtig funktioniert!) – hast du schlicht Pech gehabt und blos ein Stück teueres Plastik gekauft…
Man braucht keine komplizierte Passphrase.
Einfach einen zweiten Key als Gerät registrieren. Dann hast Du pro Account 2 Passkeys, wobei ein Security Stick nur als Backup dient, für den Fall, dass der andere abgerauscht ist oder ich verloren habe.
Mache ich schon länger so.
Auf dem Key wird ja auch nur der Schlüssel selbst gespeichert. Selbst wenn man ihn ausliest, kann man keine Rückschlüsse auf den Dienst machen.
Ich bin weiterhin der Meinung, mit den Passkeys führt man am Ende des Tages nur das durchaus extrem gute und sichere Konzept von FIDO2 ad absurdum. Der zentrale Punkt dessen Sicherheit war eben, dass sich der Schlüssel nicht duplizieren lässt, sondern per Definition einmalig ist. Klar, bei den aktuellen Schlüsseln von Yubikey hat der Hersteller offenbar in der Firmware geschlampt, und der Fakt, dass es keine Updates geben wird, ist im Grunde ein Ausschlusskriterium. Aber wo ist bitte ein Passkey auch nur im entferntesten besser als ein normales Passwort, das man tendenziell mit dem gleichen Manager erstellt und handhabt wie die jetzigen Passkeys? Am Ende ist es nur Augenwischerei und hat mit Sicherheit nicht viel zu tun, weil alles mit der Sicherheit der Verwaltungssoftware steht und fällt. Und die Sicherheitsdesaster des einen oder anderen Anbieters, die ja angeblich nicht so schlimm waren wegen angeblich sicherer Verschlüsselung sind ja hinreichend bekannt.
Und ich bin weiterhin davon überzeugt, die einzig sichere Lösung wäre gewesen, jedes Smartphone und jeden Computer zu einem FIDO2 Token zu machen, selbstverständlich inklusive Speicher zum Ersetzen von Nutzernamen. Und natürlich braucht man zum ersten Login von einem neuen Gerät aus einen anderen Token, der verifiziert ist, der wahlweise über BT oder NFC kommuniziert (selbstverständlich abgesichert) und dem Nutzer nach dem Login Angeboten wird, das neue Gerät als zusätzlichen Token zu registrieren. Und vielleicht sogar bei nur einem hinterlegten Token einen zweiten als Backup zu erzwingen. Aber so kann im Ernstfall eben einfach ein konkretes Gerät vom Zugang ausgeschlossen werden, da das Gerät nur durch einen Factory Reset einen anderen Token für einen neuen Nutzer erstellen könnte. Kann der Token aber einfach übertragen werden, stehen Phishing und anderen Angriffen alle Tore weit offen. Es wird eine Sicherheit vermittelt, sie einfach nicht gegeben ist. Und das ist brandgefährlich. Man animiert nur dazu, die Zugangsdaten bei wenigen anbietern zu hinterlegen, die ja angeblich so sicher sind, aber dadurch zu einem so lohnenswerten Ziel werden, dass ihr Sicherheitskonzept schlicht implodiert, weil sie doch mehr am schnellen Profit interessiert sind als an maximaler Sicherheit für die Nutzer.
„Aber wo ist bitte ein Passkey auch nur im entferntesten besser als ein normales Passwort, das man tendenziell mit dem gleichen Manager erstellt und handhabt wie die jetzigen Passkeys?“
Einfache Antwort: Ein Passwort wird zum Identity Service übertragen, ein PassKey nicht.
Natürlich gilt das auch für viele andere Authentisierungsmöglichkeiten, z. B. client certificates. Aber die haben sich aus gutem Grund nie für die Masse durchgesetzt, weil sie zu umständlich zu handhaben sind und Menschen nun mal Sachen verlieren, vergessen oder spontan ihr Handy tauschen.
Passkeys sind nicht für maximale Sicherheit, sondern für gute Sicherheit für die Masse.
Zum Phishing: Das ist bei Passkeys ungefähr genauso einfach oder schwer wie inzwischen bei Banken. Wer OTPs am Telefon weitergibt oder dem „Microsoft Tech Support“ Zugriff auf den Computer gibt, der ist weiterhin angreifbar. Die Leute würden aber auf Nachfrage auch den YubiKey einstecken und entsperren. Hier hilft nur Aufklärung.
„Einfache Antwort: Ein Passwort wird zum Identity Service übertragen, ein PassKey nicht.“
Wenn man das technisch so umsetzt, ist es so. Allerdings ist das dann genau so eine Entscheidung, wie das Passkeys-Konzept unsicher umzusetzen. Es gibt auch Möglichkeiten der Anmeldung mit Passwort, ohne das Passwort zur Gegenseite zu übertragen. So bleibt das Passwort immer beim Anmeldenden. Und die Änderung des Anmeldeverfahrens wäre für die Sicherheit der Masse die bessere Alternative gewesen, weil diese transparent ist und keine Anpassung beim Anwender erfordert.
Der Witz an FIDO2 ist, Phishing ist damit schlicht unmöglich, rein technisch bedingt. Du müsstest schon in der Lage sein, ein Geheimnis, das beim Webseitenbetreiber liegt, zu kopieren, um eine Seite als eine andere auszugeben. Daher kannst du bedenkenlos deinen YubiKey einstecken und entsperren, das Resultat kann nicht Misbraucht werden, um deinen Account zu übernehmen. Das ist ja der gewaltige Sicherheitsvorteil von FIDO2. Nicht nur, dass es keine Passwörter geben kann, die erraten werden können, sondern dass ganz nebenbei eben Phishing zum Ding der Unmöglichkeit wird. Und ich glaube nicht, dass Passkeys dies auch leisten können.
Ach ja, noch eine einfache Antwort: Die meisten Menschen denken sich ihre Passwörter immer noch selber aus. Diese Schwachstele fällt bei Passkeys auch weg.
Natürlich gilt das auch für … aber: siehe oben.
Am Ende hilft nur Aufklärung. Wenn der 1&1-Gründer Ralph Dommermuth im Jahr 2024 sein erstes Smartphone bekommt, ist das zur traurigen Lage des Sachverstands des Großteils unserer „Elite“ Hinweis genug.
Es ist nichts traurig wenn ein self made Milliardär in seinem Alltag knallharte Prioritäten setzt, womit er seine kostbare Tageszeit verbringt, davon könnten smombies tatsächlich was lernen. Soviel zur Traurigkeit.
Ich würde eher sagen, dass er bisher sicher unterwegs war!
Dem ist aber eben nicht so. Der Sicherheitsgewinn ist minimal. Statt der unsicheren Passwörter verlagerst du das Problem auf potenziell hochgradig unsichere Anbieter von Verwaltungsprogrammen. Gratulation, damit hast du echt was gerissen. Und Verglichen mit dem wahnsinnigen Sicherheitsgewinn von FIDO2 ist das schon wirklich lächerlich.
„Aber wo ist bitte ein Passkey auch nur im entferntesten besser als ein normales Passwort, das man tendenziell mit dem gleichen Manager erstellt und handhabt wie die jetzigen Passkeys?“
Einfache Antwort: Ein Passwort wird zum Identity Service übertragen, ein PassKey nicht.
Natürlich gilt das auch für viele andere Authentisierungsmöglichkeiten, z. B. client certificates. Aber die haben sich aus gutem Grund nie für die Masse durchgesetzt, weil sie zu umständlich zu handhaben sind und Menschen nun mal Sachen verlieren, vergessen oder spontan ihr Handy tauschen.
Passkeys sind nicht für maximale Sicherheit, sondern für gute Sicherheit für die Masse.
Zum Phishing: Das ist bei Passkeys ungefähr genauso einfach oder schwer wie inzwischen bei Banken. Wer OTPs am Telefon weitergibt oder dem „Microsoft Tech Support“ Zugriff auf den Computer gibt, der ist weiterhin angreifbar. Die Leute würden aber auf Nachfrage auch den YubiKey einstecken und entsperren. Hier hilft nur Aufklärung.
Passkeys bedeuten für die meisten Personen nur eins: Passwortloser Login
Es sind immer noch Passwörter wie „123456“ oder „Passwort“ sehr beliebt. Bietet eine Seite den Login mit Passkeys an, ist das bequemer für den Benutzer und gleichzeitig für die meisten Leute sicherer. Wenn man jetzt eh schon zufällige 32-stellige Passwörter nutzt, hat man nur noch den Vorteil, dass das Passwort nicht zum Provider übertragen wird.
Ein weiterer Vorteil, den ich persönlich ganz nett finde: Ich kann mich mit Passkeys über QR-Codes anmelden. Sprich, wenn ich am Arbeitsrechner mal Zugriff auf einen Account brauche, kann ich den von Chrome generierten QR-Code scannen und den Login mit dem Passkey auf meinem Smartphone durchführen (via Passwortmanager) und muss den privaten Passwortmanager nicht auf dem Arbeitsrechner installiert haben.
> Wenn man jetzt eh schon zufällige 32-stellige Passwörter nutzt, hat man nur noch den Vorteil, dass das Passwort nicht zum Provider übertragen wird.
Wie oben schon angemerkt wurde, ist das keine zwangsweise Voraussetzung, sondern der Willkür des Anbieters überlassen. Daher kein Sicherheitsgewinn. Da waren die zufälligen Passwörter, die Browser vorschlagen noch sicherer.
Und im Login mit QR-Codes sehe ich auch nur ein weiteres Sicherheits-Desaster das nur darauf wartet zu passieren. Phishing ist damit Tür und Tor geöffnet. Mit FIDO2 hingegen ist technisch bedingt Phishing unmöglich, weil sich eine Webseite gegenüber dem Token nicht als die tatsächliche Webseite ausgeben kann, wodurch nichts erbeutet werden kann, mit dem ein Account kompromittiert werden kann.
Ein wesentlicher Vorteil von Passkeys gegenüber einem simplen Passwort ist ja auch der Phishing Schutz. Außerdem muss ich beim Passwort immer vertrauen, dass es sicher auf dem Server abgelegt wird, da kommt es ja immer wieder zu Vorfällen. Die Cloud-Synchronisation von Passkeys ist sicherheitstechnisch natürlich auch Quatsch, vor allem weil Google, 1Passs, Appel etc. bei denen meine private keys in der Cloud liegen, auch Mist bauen können und werden. Trotzdem bleibt es ein effektiver Schutz gegenüber Phishing.
> Ein wesentlicher Vorteil von Passkeys gegenüber einem simplen Passwort ist ja auch der Phishing Schutz.
Ist dieser denn wirklich garantiert? Bei FIDO2 ist Phishing tatsächlich schlicht unmöglich. Aber bei dem Spielzeug Passkeys sehe ich den Vorteil nicht zwangsweise gegeben.
diese oft wiederholten „phishing sicher“ und „kein passwort wird übertragen“ vermitteln eine falsche sicherheit.
solange es session cookies gibt, und diese ge’hijacked werden können, ist es egal wie sicher die authentifizierung realisiert ist.
erst recht die absurdität (da fühl ich mit dir mit), dass cloud dienste mit der backup funktion zugriff auf den private key besitzen, auf per design nicht mal der nutzer zugriff haben darf. und nun auch mit dem transfer der pk übertragbar wird. welche sicherheit bietet da noch die zerifikatsattestierung, mit der der passkey signiert wird, durch einen software/cloud ersteller. bei hardware ist das „noch“ gegeben.
das alles, die umständliche handhabung (dejavu zu PGP) und das gefühl des aufbaus von abhängigkeiten (und keiner will heutzutage zu viel code dependencies, erst recht keine zum authenifizieren), schrecken mich davor ab.
totp reicht mir vollkommen