Feature Request: FIDO2 / Passkey Support
Guten Tag,
nachdem sich in den letzten Wochen viel getan hat möchte das Momentum nutzen und ein weiteres Sicherheitsfeatures nachfragen.
Was ist gut bisher?
- Einführung von Passcodes anstelle von PINs
- Einführung von TOTP anstelle von SMS
Das sind schon richtig große Sicherheitssprünge. Auch das die Umsetzung des Userfeedbacks, bitte nicht bei jeder Anmeldung das TOTP eingeben zu müssen, sehr zeitnah umgesetzt wurde, ist wirklich top!
Leider lassen sich aber sowohl Passcodes als auch TOTP Tokens per Phishing extrahieren. Die Unterstützung von Passkeys wäre jetzt noch die Sahnehaube. Damit wäre man sowohl phishing-resistent unterwegs und könnte das, bspw. in Verbindung mit einem Yubikey, auch noch auf einem getrennten Gerät offline aufbewahren.
Vielen Dank, ihr seid auf dem richtigen Weg!
-----------------------------
Good day,
After a lot has happened in recent weeks, I'd like to take advantage of the momentum and ask about another security feature.
What's good so far?
- Introduction of passcodes instead of PINs
- Introduction of TOTP instead of SMS
These are really big leaps in security. It's also great that the user feedback about not having to enter the TOTP at every login was addressed so quickly!
Unfortunately, however, both passcodes and TOTP tokens can be extracted via phishing. Support for passkeys would now be the icing on the cake. With that, you'd be phishing-resistant and could also, for example in combination with a Yubikey, keep it stored offline on a separate device.
Thank you, you're on the right track!