Video

Danke! Die Thematik "EU-/US-Server" habe ich v.a. aus zwei Gründen etwas mehr in den Vordergrund gestellt: 1. Viele Login-Problem (siehe regelmäßig den Bitwarden-Subreddit, das Community Forum...) beruhen darauf, dass viele das mit dem Server nicht mal wissen und dann (unabsichtlich) die Anmeldung beim falschen Server natürlich nicht klappt. 2. Es gibt doch genug Leute, die z.B. im Rahmen eines Family-Plans (aber auch im Free- und Premium-Account schon möglich) z.B. mit Partner/Partnerin, Familienangehörigen, Freunden... Passwörter usw. doch teilen wollen - und dazu muss man wissen, dass es die gleiche Serverregion der beteiligten Accounts benötigt. Davon abgesehen ist es wirklich relativ egal, in welcher Serverregion man unterwegs ist.

Nur so viel: ich bin halt kein Freund davon, absolute Sicherheit/Wissen vorzutäuschen. Wenn ich etwas nicht genau weiß, dann sage ich das auch. Alles andere wäre unehrlich. Darüber hinaus habe ich versucht, es als Privatperson bestmöglich aufzubereiten - und hoffe, dass es dem einen oder anderen nützt. Nichts, was irgendwer hier macht, wird 100% der Leute zu 100% gefallen. - "Secret Key" hatte ich es übrigens genannt a) weil Yubico den Begriff hier selbst benutzt und b) weil er, soweit ich es mitbekommen habe, oft relativ synonym zu "Seed Code" verwendet wird. Du hast aber Recht, falls ich Seed Code wirklich nicht gesagt habe, ist das mein Fehler.

Freut mich, wenn es die Passkey-Grundlagen etwas beleuchten konnte für Bitwarden! Mir ist klar, dass es irgendwann eine Fortsetzung zur tatsächlichen Benutzung von Passkeys in Bitwarden geben muss... Ich warte tatsächlich gerade u.a. darauf, dass 1. die neuen Browser-Extensions von Bitwarden erscheinen (es wird gerade noch an einem Design-Update der Browser Extensions gearbeitet) und 2. dass mein Android-Handy auch endlich das Passkey-Funktionalität für Drittanbieter-Apps wie eben z.B. Bitwarden bekommt (wie ich erst die letzten Wochen rausgefunden habe, ist das "neue" Android 14-Upgrade meines Fairphone 5 leider noch ohne "third-party passkey manager"-Funktionaltität gekommen... also, Android 14 alleine ist leider auch kein Garant dafür, Passkeys in Bitwarden auf dem Smartphone benutzen zu können :-( ).

Interessant! Und da ich die Funktion selber nie wirklich benutzt habe, ist mir das doch auch neu. - Ich habe das gerade mal getestet und komme zum selben Ergebnis. Meine Vermutung: der YubiKey Manager läuft nur auf Englisch bei mir in Windows - ich sehe nicht, wo man die Sprache der App umstellen kann... deswegen scheint der Input beim Statischen Passwort (und dann vielleicht auch bei anderen Dingen wie Challenge-Response usw.?!?) tatsächlich sozusagen die englische Tastaturbelegung zu "benutzen". In meinem Windows ist jedenfalls Deutsch eingestellt und tatsächlich wird dann sozusagen von der (jetzt deutschen) Windows-Tastatur das Statische Passwort nicht 1:1 ausgespuckt, sondern dabei verändert. Einigermaßen erstaunlich... allerdings auch nicht ganz verwunderlich, da ja nicht der YubiKey selber das Passwort "schreibt" wenn man den YubiKey berührt, sondern es wird über Windows geschickt und dann von Windows ausgegeben... anders kann ich mir das nicht erklären. Also entweder auf gleiche Tastatureinstellung achten bei Input und Ausgabesituationen (Englisch/Englisch) oder den Input auf einer englischen Tastatur so eintippen und dann in den YubiKey einprogrammieren, dass es bei Umwandlung in z.B. Deutsch dann "passt"...

Yubikey nutzt "ist" eine englische Tastatur. Wenn du auf eine solche die deutsche Beschriftung legst und auf "z" drückst. Bekommst du ein "y"

Ja und Nein. Fast alles kann man entsprechend schützen - z.B. durch den FIDO-PIN oder den Zugang zu den TOTP-Codes über den Yubico Authenticator sollte man per Passwort schützen... Das ganze habe ich ab 42:49 im Kapitel "Jeder hat potentiell Zugriff..." etwas genauer besprochen.

Freut mich! 👍

Das hängt zunächst mal davon ab, inwiefern du den YubiKey bei Accounts einbindest. Wenn es ein "device-bound" Passkey bzw. Passkey-ähnlich als 2FA ist auf dem YubiKey (PS: also ich meine hier exakter ausgedrückt "FIDO2-discoverable bzw. non-discoverable credentials"), dann empfiehlt sich in jedem Fall, alles genau gleich auf mindestens noch einem weiteren YubiKey ebenfalls einzurichten. Handelt es sich um TOTP-Codes, die du mit dem Yubico Authenticator verwendest, sollte man die Seed Codes / Secret Keys auch noch woanders als Backup abgespeichert haben, um sich das immer wieder für einen Account neu einrichten zu können, falls man den YubiKey mal verliert o.ä. Und dann gibt es ja noch bei vielen Accounts die Möglichkeit, sich Backup Codes / Recovery Codes generieren zu lassen (meistens "nur" als letzte Rettung, wenn man den zweiten Faktor verliert), die sollte man sich auch immer sicher speichern, so dass man das im Notfall benutzen könnte. Wenn du das alles nicht meinen solltest, dann müsste man nochmal genauer wissen, was du meinst.

@@IchbraucheeinenPasswortmanager Hallo. Alles klar ich kenne mich aus. Ich dachte mir schon dass es sinnvoll wäre mind. 2 Geräte einzusetzen oder im Falle von SEEDs für ein entsprechendes Backup Konzept zu sorgen. Bis jetzt verwende ich nur MFA in Verbindung mit Software. So einen Hardware Stick habe ich noch nicht probiert. Am Abend werde ich mir das Video von dir noch fertig schauen. Danke für deine Mühe und Infos

@@stone22121978 deswegen braucht man einfach 2 Yubikeys, da ist man auf sicheren Seite, man kann auch als Passkey in pw manager speichern und so mehrere Möglichkeiten zu haben.

Interessant und Danke für die Ergänzung - aber natürlich eine unschöne Einschränkung. Es bleibt zu hoffen, dass diese Funktion auch unter Linux irgendwann unterstützt wird. - Hast du denn eine aktuelle Distribution? Sonst würde vielleicht ein Update auf die neueste Version schon helfen?! - Und von Windows aus kann ich nur sagen (man hat es in dem Video ja wahrscheinlich gesehen), dass man bei den Dialogen extrem aufpassen muss, immer das richtige Gerät/Ziel anzusteuern. "Schlüssel berühren sollen" klingt für mich ein bisschen so, als ob du auf "Sicherheitsschlüssel" o.ä. gelandet sein könntest. (nur eine Vermutung, die total falsch sein kann) Außerdem kann ich nur noch mal sagen, dass auf beiden Geräten Bluetooth aktiviert sein muss, damit die QR-Code-Geschichte überhaupt funktionieren kann.

@@IchbraucheeinenPasswortmanager Ich habe gerade mal einen anderen Browser ausprobiert und da ging es dann. Firefox scheint mit meinen Einstellungen Probleme zu haben. Da wird ggf. was geblockt. Allerdings funktioniert die Anmeldung mit Passkey trotzdem nicht. Denn nach der erfolgreichen Einrichtung, ist das Telefon bei der Anmeldung der Meinung das für Bitwarden kein Passkey existiert. Alles ziemlich buggy das ganze. Ich denke ich bleibe lieber bei KeePassXC, da kann ich mich immer drauf verlassen das es funktioniert. Update: Bei mir funktioniert es nur, wenn ich nach der Einstellung unter Sicherheit im Reiter Master-Passwort, ganz unten auf der Seite die Passkey Funktion "Mit Passkey anmelden" aktiviere.

Ah, okay... "Anmelden mit Passkey" und "FIDO2/WebAuthn-2FA" sind aber zwei zwar ähnliche Sachen, aber nicht ganz das gleiche. FIDO2/WebAuthn ist dann nur der "zweite Faktor" für Bitwarden - der Passkey wiederum, der für "Anmelden mit Passkey" kreiert wird, ersetzt sozusagen "Master Passwort UND 2FA", aber auch nur, wenn dieser Passkey "mit Verschlüsselung" ist... Für FIDO2/WebAuthn-2FA bei Bitwarden wird ein sog. non-discoverable credential (was strenggenommen kein Passkey ist) kreiert. - Für "Anmelden mit Passkey" wird logischerweise tatsächlich ein Passkey = discoverable credential kreiert. "Anmelden mit Passkey" ist bei Bitwarden noch Beta und funktioniert aktuell nur im Web Vault (wird sich aber noch ausweiten) und hängt davon ab, dass alle beteiligten "Parteien" (OS, Browser, ...) PRF können/haben, wenn man "mit Verschlüsselung" möchte. Das ist übrigens bei Firefox aktuell noch nicht der Fall, deswegen funktioniert das bisher eigentlich nur mit Chromium-Browsern. - KeePassXC habe ich übrigens auch noch im Einsatz. :)

Danke. Freut mich, dass dir das Video helfen konnte!

Jeder weitere Benutzer, für den die 2FA im DSM aktiviert wurde, kann das im Prinzip für sich so einrichten wie es im Video gezeigt wird.

@@IchbraucheeinenPasswortmanager ja, war zu voreilig. Hatte sich scho n erledigt. Trotzdem danke :)