Wow! I've just discovered that it's possible to use Secure Element as #u2f in GrapheneOS via hw-fido2-provider [1] (btw, thank you @S1m) in Vanadium even without any external token. Successfully added my Pixel smartphone as second factor device to my addy.io account. It works finally!
1. https://codeberg.org/s1m/hw-fido2-provider
#GrapheneOS #vanadium #vanadiumbrowser #fido2 #u2f #addyio #AnonAddy
Durch den #CLT2025 Talk zu Passwortlose Logins mit #PassKeys https://media.ccc.de/v/clt25-188-passwortlose-logins-mit-passkeys bin ich auf die #Token2 PIN+ #Securitykeys aufmerksam geworden https://token2.com/shop/category/pin-plus-series
Die DualPort Keys sind wohl sehr nützlich, haben 300 Resident Keys, kommen mit Hülle und kosten nur 26€.
Zur Wasserfestigkeit finde ich leider nichts.
Würde mich über Erfahrungsberichte freuen.
#FIDO2
Des clés de sécurité FIDO2 en promotion, pour différents scénarios et appareils http://dlvr.it/TPdV0W #FIDO2 #sécurité
Habe seit längerem ein #Fido2 (#Yubico Bio) und es ist ernüchternd wie wenig das unterstützt wird. Da werden 2-Factor Konstrukte mit Email-Codes oder SMS (WTF? Die unsichersten Kommunikationsmittel überhaupt. Kurz hinter Rauchzeichen!) genutzt oder eine eigene Freigabe-App. Ich möchte: Zertifikatbasierte Anmeldung auf Geräten die eine biometrische Anmeldung erlauben (gespeicherte Zertifikate) und für alles andere meine Smartcard! Hallo? es ist das 21. Jahrhundert!
Nachdem die Nitrokey 3A Mini offenbar so billig produziert sind, dass mir gestern einer beim simplen Abziehen von einem etwas festeren USB Port in seine Einzelteile zerfallen ist, habe ich beschlossen, auch den anderen einzumotten und komplett zurück zu Yubikey zu wechseln. Die Dinger sind unkaputtbar und auch IP68 zertifiziert. Nutze ich schon seit >15 Jahren ohne jegliche Probleme.
An sich mag ich den Open Source- und Transparenz-Gedanken, unterstütze das auch aktiv, aber wenn die physische Qualität dermaßen unterirdisch ist wie beim Nitrokey 3A Mini (die anderen kann ich nicht beurteilen), dann hilft mir das auch nicht. So ein Security Key ist einigermaßen zentral, der darf nicht einfach so zerfallen bei normaler Nutzung.
Hm Nitrokey 3A Mini Firmware Update gibt einen Fehler aus "Nitrokey 3 update failed: Wrong channel", die neueste Version v1.8.3 wurde aber offenbar korrekt installiert.
Muss ich mir sorgen machen?
Can't phish my password when it doesn't exist ;)
Passwordless auth on firewall via CTAP2 platform authenticators + FIDO2 FTW.
Has your org gone passwordless yet?
Bug oder Feature?
Sicherheits‑Keys plötzlich mit PIN?
Ein kürzlich veröffentlichtes Windows-11‑Preview‑Update (KB5065789 vom 29. September 2025) hat bei vielen Nutzern von FIDO2‑Sicherheits‑Keys eine unerwartete Änderung ausgelöst: Beim Anmelden wird nun häufig ein persönlicher Identifikations‑PIN abgefragt, der die Widerstandsfähigkeit gegen Phishing und Credential‑Diebstahl erhöhen soll. Darauf reagiert MS mit einem Blog-Eintrag vom 25.11.2025.
14.05.2024 – Die Studierendenschaft hatte beschlossen, dass die Uni‑Anmeldung durch eduMFA einfacher werden muss! 🎓🔐 Wir wollen schnellen #Shibboleth‑Login und moderne Mehr‑Faktor‑Sicherheit, damit das Uni‑Netz sicherer wird.
**Warum nicht gleich den digitalen EUDI‑Studierenden‑Ausweis als 2. Faktor nutzen?**
Der zukünftige Ausweis könnte in der EUDI‑Wallet gespeichert werden. Sobald er verfügbar ist, ließe er sich auch als erster/zweiter Faktor einsetzen. 😉
Tycoon 2FA proves legacy MFA is dead!
The fix isn't harder passwords. It's hardware-backed cryptographic auth: no phishing or proxies.
Move beyond "something you know" to "something attackers can never steal."
🔐 Full analysis:
https://securityboulevard.com/2025/11/the-death-of-legacy-mfa-and-what-must-rise-in-its-place/
#Cybersecurity #MFA #FIDO2 #ZeroTrust #InfoSec
had a nice (but crowded) time at the anarchist book fair workshops today, specifically the one about not owning a phone! lots of great convos, philosophies, and modes of existence without cell phone!
lots of interest about, and shoutouts for @cwtch, @delta, and @briar -- e2ee (group) messengers that dont require a phone number (as a replacement for @signalapp)
lots of interest in #U2F, #FIDO2 hardware #2FA devices (as a replacement for SMS or push). i also recommend @keepassxc for keeping TOTP tokens!
really appreciated hearing all the side conversations about @tails, @Mastodon, and other decentralized tech
they are already planning the next one in 2026! anarchistbookfairamsterdam.org @AFA
#anarchistbookfairamsterdam #amsterdam #anarchism #bookfair #anarchistbookfair #activism #netherlands #antifascism
#Systemd #credentials system is relatively interesting thing. I lack some support for storing private keys in a format good for applications. Can it do #pkcs11 URI provider or #FIDO2 token authentication? It seems current implementation focuses on shared secrets - passwords. If we have integrated support with TPM2 chip, I think we should aim for #webauthn instead.
Windows 11 now supports 3rd-party passkey managers 🔐
Users can store and manage passkeys with 1Password & Bitwarden directly through Windows, thanks to a new passkey API. 🧩
The move boosts passwordless security, choice, and interoperability for all. 🌍
#TechNews #Cybersecurity #Privacy #Windows11 #Microsoft #Bitwarden #1Password #Security #Encryption #FIDO2 #WebAuthn #OpenStandards #Passwordless #Innovation #Tech
@adingbatponder good question.
Personally I can see the use-case of a @nitrokey in that it does all the #FIDO2 operations internally and is #OpenSource.
@rmondello @renchap @gracjan To my understanding, some implementations that allow migration of #passkeys to other accounts are prone to #Phishing.
https://arxiv.org/abs/2501.07380
"Another concern could be #socialengineering, where a user is tricked into sharing a passkey with an account controlled by an attacker." -> classic phishing, I'd say.
Convenience vs. #security, the usual trade-off.
According to that, roaming authenticators (classic #FIDO2 USB/NFC devices that are able to handle passkeys) are the only phishing-resistant method.
Still, Passkeys are much better than anything else (except FIDO2 HW tokens, of course) but it seems to be the case that the slogan that passkeys are 100% protecting against phishing isn't true any more.
What are your thoughts on that angle?
Leute, wenn ihr für eure Liebsten sinnvolle #Weihnachtsgeschenke sucht, dann überlegt euch, #FIDO2-USB-Tokens zu schenken:
https://karl-voit.at/FIDO2-vs-Passkeys/
Es gibt aktuell keine andere Methode, um sich garantiert #Phishing-geschützt anzumelden. #Passkeys haben leider inzwischen auch ein Einfallstor für Phishing bekommen (siehe entsprechende Sektion im Artikel).
#Yubikey als Produkt kann ich nicht mehr voll und ganz empfehlen: siehe FAQs.
#publicvoit #Sicherheit #security #Geschenkidee #Geschenkideen #Geschenke #Yubikeys
Passwörter werden wohl zu unseren Lebzeiten nicht verschwinden, aber ich zweifel gerade, wann (und ob überhaupt jemals) Passkeys einfach genug sind, dass auch Nicht-Techies sie bequem benutzen können. Google, Microsoft und Apple haben jedenfalls einiges dazu beigetragen, dass alles wieder furchtbar kompliziert ist, weil jeder sein eigenes Süppchen kocht und es doch besser weiß, wie es geht.
(3/3)
#Apple #Microsoft #Google #Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn
Die Liste der praktischen Probleme ist lang:
(2/3)
#Passkeys #Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn
🔑 Ich habe mich nach längerer Zeit anlässlich eines Vortrags wieder etwas intensiver mit #Passkeys befasst, nachdem ich schon selbst eine Hand voll davon im Einsatz hatte. Eigentlich sollen uns Passkeys ja das bequeme und vor allem sichere Authentifizieren gegenüber Diensten ermöglichen.
Boah, ist der aktuelle Zustand nach wie vor ernüchternd. 🫠
Ein Thread. (1/3)
#Passwordless #Passkey #Passwords #Password #Security #FIDO2 #WebAuthn #Security
