News Passkeys: Google läutet die Zukunft ohne Passwörter ein
- Ersteller mischaef
- Erstellt am
- Zur News: Passkeys: Google läutet die Zukunft ohne Passwörter ein
Donnerkind
Lt. Commander
- Registriert
- Juli 2014
- Beiträge
- 1.088
Na gut, lass ich gelten. Ich surfe mit dem Wischkasterl nur im Notfall mal. Das ist mir sonst zu fummelig und ineffizient, da ich auf dem Desktop durch Firefox mit vim-Plugin verwöhnt bin. 😁 Und aus der bereits erwähnten Sicherheitsproblematik gehe ich gar nicht erst auf Seiten, bei denen es um sensible Dinge geht, wie z.B. Banking.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Und beim Abtippen kann ein Keylogger dann schön mitschreiben.dec7 schrieb:
Weil viele Menschen mittlerweile Smartphone / Tablet deutlich mehr benutzen als einen (privaten) PC. Ohne Sync wäre es daher an den Hauptgeräten nicht verfügbar.Donnerkind schrieb:
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Ein PW Manager mit ordentlichem Auto-Fill läuft auch nicht über die Zwischenablage.
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.015
Naja. Irgendwie müssen die Passwörter ja zur Zielanwendung rüber kommen.
Wenns nicht über die Zwischenablage ist, dann ist das entweder über Autotype (womit man wieder die Keylogger-Problematik hat) oder es gibt ein Connect zur Zielanwendung. Und die Zielanwendung ist häufig ein Browser. Und der ist ja sehr exponiert gegenüber dem "bösen Internet". Ob man da ein Connect zum Passwortmanager wirklich haben will, das darf man auch mal in Frage stellen.
Was ich sagen will: Du wirst immer etwas zum aussetzen finden. Das ist ja, was Dein Vorredner sagen wollte. Die Zwischenablage war ja nur mal so exemplarisch genannt und taugt nicht als Aufhänger
Wenns nicht über die Zwischenablage ist, dann ist das entweder über Autotype (womit man wieder die Keylogger-Problematik hat) oder es gibt ein Connect zur Zielanwendung. Und die Zielanwendung ist häufig ein Browser. Und der ist ja sehr exponiert gegenüber dem "bösen Internet". Ob man da ein Connect zum Passwortmanager wirklich haben will, das darf man auch mal in Frage stellen.
Was ich sagen will: Du wirst immer etwas zum aussetzen finden. Das ist ja, was Dein Vorredner sagen wollte. Die Zwischenablage war ja nur mal so exemplarisch genannt und taugt nicht als Aufhänger
crashbandicot
Commander
- Registriert
- Dez. 2013
- Beiträge
- 2.985
KeePass bietet dafür einen Schutz, nennt sich "Two-Channel Auto-Type Obfuscation".andy_m4 schrieb:
https://keepass.info/help/v2/autotype_obfuscation.html
andy_m4
Vice Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.015
Naja. Wie das Wort Obfuscation ja auch schon andeutet, gehts hier gar nicht darum etwas zu verhindern, sondern zu verschleiern.crashbandicot schrieb:
Letztlich bleibts dabei, was schon in Posting #304 gesagt wurde.
Haldi
Admiral
- Registriert
- Feb. 2009
- Beiträge
- 9.093
Ab Sofort gibt es eine Beta TEST version von KeePassXC die auch Passkeys unterstützt 
Download:
https://github.com/varjolintu/keepassxc/releases/tag/2.8.0-webauthn
WARNUNG:
Nur für eine Test Datenbank verwenden! Nicht mit den Normalen daten. Wer weiss was passiert...
Damit das Browser Addon funktioniert muss die ID ausgelesen werden und im .json file eingetragen werden! Weil es ein Custom Build ist.
Screenshots:
Passkeys funktionieren bei CloudFlare
Gibt aber auch einige Homepages die noch nicht korrekt funktionieren...
Hier noch ein Hintergrundartikel von heise zum Thema Passkeys aus der neuesten c't.
idle curiosity
Ensign
- Registriert
- Aug. 2021
- Beiträge
- 157
Man hat doch mindestens 10 verschiedene Finger?luckyfreddy schrieb:
D0m1n4t0r
Commodore
- Registriert
- Jan. 2014
- Beiträge
- 4.895
So wie sich das anhört klingt Passkey toll fürs Smartphone oder tablet bzw. für alles was irgendwie mobil ist und was bereits die nötige Hardware verbaut hat.
Für nen altmodischen stinknormalen PC hingegen stelle ich mir das eher unpraktisch vor.
Für nen altmodischen stinknormalen PC hingegen stelle ich mir das eher unpraktisch vor.
machiavelli1986
Commander
- Registriert
- Feb. 2008
- Beiträge
- 2.648
Fingerprint für paar Euro und es geht auch dort. Hab es gesternlmal mit Google eingerichtet.
Leider musste ich einige Beiträge überspringen...
Technik hin oder her. Es ist klar, dass es an sich gut wäre, quasi passwortlos sich einloggen könnte. M$ macht es ebenfalls, dazu braucht man wiederum deren Authenticator auf dem "Smartphone"... Ist, wie bereits schon erwähnt, das "Phone" defekt, verloren, gestohlen oder sonst etwas, wird es ohne weiteres auch nicht mehr klappen, sich einzuloggen, und ob jemand mehrere "Smartphones" hat, um eventuell die Daten dort zusätzlich in einer weiteren App zu synchronisieren, wäre eine andere Frage...
Insgesamt sollte man sich aber auch fragen, inwieweit man Großkonzerne vertrauen sollte oder kann, denn immerhin entscheiden die, ob Konten oder Dienste gesperrt oder eingestellt werden und scheinbar gibt es vermutlich noch nichts unabhängiges und ich persönlich bin kein großer Fan von den Riesen-Konzernen mit Milliarden in der Tasche die auch noch ihre Hand in irgendwelchen Organisationen haben, aber das wäre ein anderes Thema...
Technik hin oder her. Es ist klar, dass es an sich gut wäre, quasi passwortlos sich einloggen könnte. M$ macht es ebenfalls, dazu braucht man wiederum deren Authenticator auf dem "Smartphone"... Ist, wie bereits schon erwähnt, das "Phone" defekt, verloren, gestohlen oder sonst etwas, wird es ohne weiteres auch nicht mehr klappen, sich einzuloggen, und ob jemand mehrere "Smartphones" hat, um eventuell die Daten dort zusätzlich in einer weiteren App zu synchronisieren, wäre eine andere Frage...
Insgesamt sollte man sich aber auch fragen, inwieweit man Großkonzerne vertrauen sollte oder kann, denn immerhin entscheiden die, ob Konten oder Dienste gesperrt oder eingestellt werden und scheinbar gibt es vermutlich noch nichts unabhängiges und ich persönlich bin kein großer Fan von den Riesen-Konzernen mit Milliarden in der Tasche die auch noch ihre Hand in irgendwelchen Organisationen haben, aber das wäre ein anderes Thema...
lord_mogul
Cadet 4th Year
- Registriert
- März 2014
- Beiträge
- 92
Und damit sitzt wieder alles an einem einzelnen Passwort. Also einfach das Passwort abgreifen.Falc410 schrieb:
Die ganze Diskussion geht eh im Kreis, genauso wie die Sicherheit im Verlustfall.
Wie schon als Beispiel angeführt wurde: Wenn die Flut kommt (oder Erdbeben oder Krieg, oder wasauchimmer) und alles weg ist, kann man durchaus ein neues Gerät kaufen, und da wieder den ganzen Kram einrichten. Nur sich auf dem neuen Gerät ohne zugriff auf den passkey-verknüpften Account oder trustet 2FA anmelden ist das Problem.
Was dann im Grunde nur die Möglichkeit lässt mindestens 2 Geräte zu haben. die sich gegenseitig autorisieren. Solange das Gerät mit der passkey-Datenbank kein anderes Gerät braucht, bleibts unsicher. Quasi Hardware-2FA.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.006
Bisher haben aber die Smartphone Apps keine Passkey Unterstützung. Dürfte daher für die meisten bisher nutzlos sein.
Bitwarden hängt da gerade der Konkurrenz echt massiv hinterher. Auch die UI ist im Vergleich zu vielen anderen eher altbacken imho.
Bitwarden hängt da gerade der Konkurrenz echt massiv hinterher. Auch die UI ist im Vergleich zu vielen anderen eher altbacken imho.
tusen_takk
Lt. Commander
- Registriert
- Feb. 2009
- Beiträge
- 1.345
Hallo zusammen,
bisher nutze ich KeePassXC als Passwort-Manager. Manche 2FA OTP habe ich unter Android mit "Aegis". Für manche Dienste nutze zwei YubiKeys.
Wie verhält es sich denn, wenn ich zum Beispiel bei Google Passkeys am PC mit KeePassXC aktviere? Komme ich am Smartphone per KeePassDX dann noch in meinen Google-Account? Oder muss ich mich dann immer am PC einloggen? Vielen Dank.
bisher nutze ich KeePassXC als Passwort-Manager. Manche 2FA OTP habe ich unter Android mit "Aegis". Für manche Dienste nutze zwei YubiKeys.
Wie verhält es sich denn, wenn ich zum Beispiel bei Google Passkeys am PC mit KeePassXC aktviere? Komme ich am Smartphone per KeePassDX dann noch in meinen Google-Account? Oder muss ich mich dann immer am PC einloggen? Vielen Dank.
