ComputerBase Menü
Aktuelles

News Passkeys: Google läutet die Zukunft ohne Passwörter ein

Hätte mich mal interessiert, ob nach der Scanner nach 20 g Botox im Gesicht auch noch anspricht.
Auch schlecht für japanische Yakuza, wenn sie einen Finger verloren haben.
 
Kronos60 schrieb:
Das mit in der Cloud synchronisieren hat schon bei Lastpass nicht funktioniert, die wurden 2 mal gehackt.
Zum Vergrößern anklicken....
Lastpass hatte auch einfach ein völlig kaputtes Sicherheits-Design.

Andere PW-Manager wie z.B. Bitwarden sind da deutlich besser aufgestellt (schlicht, weil einfach alles verschlüsselt ist - nicht nur die Passwörter).
 
  • Gefällt mir
Reaktionen: Kronos60
Falc410 schrieb:
Du hast doch selbst in genau diesem Post Links gepostet die dir den Flow und alles um Passkeys zu 100% erklären. Wo ist dein Problem?
Zum Vergrößern anklicken....
Ja und noch viele weitere Links die u.a. beim "Release" in HN durch die Kommentare geflogen sind und mir trotzdem nicht alles erklären konnten. Wie gesagt: Viel Bullshitbingo kommt drin vor, bis man irgendwann Parallelen zu SSH Keys erkennt und sich dann sehr sehr vieles durch Erfahrung ergibt. Durch den Marketingtext selbst erfährt man es jedenfalls nicht.

Und trotzdem fehlt überall der Fall "Was wenn alle Geräte kaputt sind und ich keine hinterlegten Passkeys mehr habe". Einzig bekannte Konstanten sind dort: Username + Passwort. Und so lange dieser Fallback existieren muss, wird "passwordless" etwas ad absurdum geführt. Bisherige Fälle sprechen immer von dem Fall, dass immer noch irgendwo ein bereits registriertes Handy rumschwirrt, auf welches man Zugriff besitzt. Aber es muss ja nicht mal der Fall eintreffen (effektiv ist es natürlich das Selbe): Was wenn ich mich bei nem Freund fix in nen Account einloggen und was nachsehen will? Handy daheim vergessen - Zugang nicht möglich. Sowas ginge mit Passkeys auch nicht. Aber da Passwörter an sich nicht aussterben werden (und eben können), finde ich den "Hype" um diese Sache etwas sehr künstlich.

Dass die Methodik des Passworts immer noch als Einfallstor dient (was bereits mehrfach erwähnt wurde), setzt der Sache dann die Krone auf, denn prinzipiell entfällt somit gar kein Angriffsvektor und alles bleibt beim Alten. Und wenn man Passkeys als primären Faktor "heraufstufen" könnte, würde man sich bei Verlust des Geräts/Zugriffs selbst komplett aus seinem Account aussperren. Wie passiert dann der erneute (Wieder-)Zugriff? "Passkey verloren -> Mail versendet -> wiederherstellen"? Was ist das Szenario? Also prinzipiell alles wie eh und je? Passkey deaktiviert, Username + Passwort wiederhergestellt/neu vergeben, neuen Passkey hinterlegt und wieder heraufstufen? Das ist doch total Banane, da eben weiter alles effektiv an der Kombination Username + Passort hängt.

Und wenn meine Mailadresse einzig und allein bei Google liegt und ich den Passkey vergessen hab? Wie sieht der Recovery Fall dann aus? Eine Mail zur Wiederherstellung kann ich ja nicht versenden, weil da hab ich keinerlei Zugriff. Eine zweite Mail zwangsweise hinterlegen? Und der Anbieter hat dann wieder nur Username + Passwort und zudem auch kein Rate Limiting?

Um es nochmal klar zu stellen: SSH Keys sind toll. Passkeys sind an sich auch toll. Nur finde ich den Rattenschwanz dahinter extrem fragwürdig: der "Hype" um "passwordless", wie alle alles promoten, der Cloud Sync, (fehlendes/fehlerhaftes) E2EE usw.
Autokiller677 schrieb:
Passwort als einziges Kriterium ist schon lange kein "muss" mehr
Zum Vergrößern anklicken....
Das Passwort als einziges Kriterium zur Authentifizierung ist immer noch ein Muss. Oder wie meldest du dich bei Google an? Username + Klick aufs Handy? Du brauchst zur Authentifizierung immer Username + Passwort. Was dann als MFA dient, ist doch irrelevant in diesem Fall. Passkeys sollen aber Username + Passwort als Authentifizierungsmethode und nicht den MFA ersetzen.

PIN, TOTP, Magic Link, Hello, Face ID und Co. sind alles nur MFA. Du kannst aber nicht bei Google auf Login klicken, deinen Namen eingeben und dein Gesicht scannen lassen. Das klappt nicht. Zumindest wäre es mir neu, dass man sowas als primären Faktor verwenden könnte.
Dalek schrieb:
Die Technologie dahinter ist aber die gleiche, ein positiver Aspekt hier wird daher auch sein das die Akzeptanz von FIDO2 Keys für 2FA vermutlich auch deutlich besser wird wenn sich die Passkeys verbreiten.
Zum Vergrößern anklicken....
Das hat mich beim Einrichten auch genervt. Und ich hoffe immer noch, dass man das Management darum ggf. auch in Passwortmanagern etwas voran bringt. Die offiziellen Yubico Tools sind doch etwas... Steinzeitlich. Das Handling damit erinnert einen an die 90er zurück. Zum Glück aber nicht beim Einsatz als zweiten Faktor, wo ein simpler Dialog kommt und ein Tipper reicht.
 
Die c't hat in der neusten Ausgabe ebenfalls einiges zu dem Thema zu berichten und verweist am Ende nochmal auf die deutlich höhere Sicherheit durch Passkeys, weil diese letzlich auf FIDO2 setzen.
 
  • Gefällt mir
Reaktionen: DefconDev
Ein Detail was vielleicht hier etwas untergegangen ist sind die Vorteile von FIDO2 die die Passkeys dadurch auch bekommen. Das ist vor allem der vollständige Schutz gegen Phishing. Die Credentials sind an die Domäne gebunden, das macht jeglichen Phishing-Versuch zunichte.
 
Yuuri schrieb:
Das Passwort als einziges Kriterium zur Authentifizierung ist immer noch ein Muss. Oder wie meldest du dich bei Google an? Username + Klick aufs Handy? Du brauchst zur Authentifizierung immer Username + Passwort. Was dann als MFA dient, ist doch irrelevant in diesem Fall.
Zum Vergrößern anklicken....
Es ist absolut nicht irrelevant. Wenn man noch einen MFA braucht, ist das Passwort ja gerade nicht das einzige Kriterium. Das einzige würde ja gerade bedeuten, dass es nichts anders braucht. Dem ist dann aber nicht so.

Und ich weiß nicht wie es bei Google ist - Microsoft drängt einen schon länger dazu, den MS Authenticator zu nutzen, und da ist der Login dann tatsächlich Username + Klick aufs Handy. Kein Passwort nötig. Man kann das Passwort vom MS Account sogar ganz entfernen: https://support.microsoft.com/en-us...-account-674ce301-3574-4387-a93d-916751764c43

Und auf meinen Apple-Geräten ist der Login in iCloud o.ä. über die Website sowie Logins über "Sign in with Apple" schon lange nur FaceId / Fingerabdruck. Vom Verfahren aus Nutzersicht her sehr ähnlich zu Passkeys - und deutlich einfacher als Username + PW + 2FA.

Deshalb wiederhole ich mich: Die Allianz um Passkey umfasst alle großen Endgeräte-OS-Hersteller, und die arbeiten auch unabhängig von Passkeys schon länger an Verfahren, um vom Passwort wegzukommen. Das ist keine neue Schnapsidee.
Weil Passwort alleine einfach unsicher ist und sicherer 2FA mit irgendeinem OTP oder Hardware-Key für viele User kompliziert / unverständlich ist. Sehe ich in meinem Umfeld stark. Kaum jemand nutzt eine App o.ä. für TOTP, wenn 2FA, dann am ehesten noch SMS. Klar, besser als nix, aber sicher ist anders. Ich kenne niemanden, der wie ich bei jedem Account 2FA aktiviert und in der TOTP App 30+ Logins hat.

Wenn das mit Passkeys jetzt auf einen gemeinsamen, nutzerfreundlicheren Standard gesetzt wird und breiten Support von OS, Browsern, PW Manager etc. erfährt, wird das in der Masse Einzug halten imho. Klar, nicht nächstes Jahr. Das ist was Mittelfristiges. Aber die nötige Dynamik ist da, und Richtung 2030 wird es denke ich eher die Regel als die Ausnahme sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: DefconDev, Haldi, maikwars und eine weitere Person
Yuuri schrieb:
Dass die Methodik des Passworts immer noch als Einfallstor dient (was bereits mehrfach erwähnt wurde), setzt der Sache dann die Krone auf, denn prinzipiell entfällt somit gar kein Angriffsvektor und alles bleibt beim Alten.
Zum Vergrößern anklicken....
Wie schon mehrfach geschrieben entfallen eben sehr viele Angriffsvektoren. Passwörter können nicht wiederverwendet werden, ein Keylogger kann sie nicht abgreifen, ein Man-in-the-middle kann sie ebenfalls nicht abgreifen, dein Passwort kann nicht entwendet werden wenn der Dienstanbieter gehackt wird usw. usw.
Ich verstehe einfach nicht wie man so davon überzeugt sein kann, dass eine Technologie scheisse ist, wenn man sie überhaupt nicht versteht. Und dabei kennst du dich doch mit SSH Keys aus, so wie du schreibst. Dann müssten dir doch die ganzen Angriffsvektoren die ich gerade genannt habe auch klar sein. Und die habe ich jetzt mal eben mit 5 Sekunden Nachdenken herausgefunden. Gibt wahrscheinlich noch eine Menge mehr...
Yuuri schrieb:
Und wenn meine Mailadresse einzig und allein bei Google liegt und ich den Passkey vergessen hab? Wie sieht der Recovery Fall dann aus?
Zum Vergrößern anklicken....
Wie sieht der Recovery Fall aus wenn du den TOTP (Handy bei den meisten) verlierst? Ist das einheitlich? Nein, das macht jeder Dienst anders. Sogar jede Bank hat ein anderes Verfahren. Manche schicken dir einen Brief andere Dienste schicken dir eine Mail. Ein Recovery Verfahren zu etablieren ist Aufgabe des Dienstanbieters (in dem Fall, die Webseite auf der du dich einloggen möchtest).
Yuuri schrieb:
Was wenn ich mich bei nem Freund fix in nen Account einloggen und was nachsehen will? Handy daheim vergessen - Zugang nicht möglich.
Zum Vergrößern anklicken....
Mal davon abgesehen, dass das immer eine dumme Idee ist, aber gut. Jetzt hast du dein Handy daheim vergessen oder deinen Passwort-Manager nur lokal auf deinem Rechner zu Hause. Wie kannst du dich dann einloggen? Gar nicht - ausser du verwendest leicht zu merkende Passwörter und diese dann vermutlich bei mehreren Anbietern. Sehr schlechte Idee. Ich hab daher meine Passwörter mit Supergen Pass generiert, genau für so einen Fall wenn ich mal irgendwo gestrandet bin. Aber ich kenne bis auf mein Master Passwort kein einziges Passwort - oder merkst du dir jedes deiner 50+ Random generierte Passwort mit 20 Stellen? (Müsste nochmal die Statistik nachschauen aber jeder Durchschnittsuser hat meine ich um die 50 Passwörter im täglichen Leben). Also ist dein Argument an den Haaren herbeigezogen. Aber nehmen wir mal an du setzt nur auf leicht zu merkende Passwörter und kannst dir alle merken, was machst du dann mit dem 2. Faktor? Du hast ja dein Handy vergessen. Merkst du dir auch den Seed und installierst dann eben Google Authenticator in einer Android VM? Also siehst du wie absurd dein Szenario ist.

PassKeys würden aber das Szenario sich auf einem fremden Rechner wo einloggen auch deutlich komfortabler und vor Allem sicherer machen als es jetzt mit Passwörtern der Fall ist.
Yuuri schrieb:
Viel Bullshitbingo kommt drin vor, bis man irgendwann Parallelen zu SSH Keys erkennt und sich dann sehr sehr vieles durch Erfahrung ergibt.
Zum Vergrößern anklicken....
Bei dem Pressetext gebe ich dir Recht, da ist Bullshitbingo drin, aber gerade die Links die du gepostet hast und die auch schon bei der letzten News (letzten September glaube ich) hier verlinkt worden sind, erklären das sehr gut und deutlich, da ist nichts mit Bullshitbingo auf https://passkeys.dev/docs/intro/what-are-passkeys/ z.B.
 
  • Gefällt mir
Reaktionen: maikwars
Veitograf schrieb:
so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.
Zum Vergrößern anklicken....
Soll sehr gut funktionieren gerade beim Pixel.

Bei mir funkt es mim S20 Ultra tadellos.
Bei meiner Frau mim S21 sehr schlecht.

Entweder komische Finger oder nicht richtig konfiguriert? :D
 
Ich weiß auch nicht, ob sich das System so durchsetzen wird. Mit Bitwarden im eigenen Homelab + 2FA lokal aufm Handy mit Sicherung im CIFS-Share, kann da eigentlich relativ wenig passieren.
Für mich ist der Workflow wirklich gut soweit.
 
Veitograf schrieb:
Meine trockene Haut ist vermutlich nicht hilfreich :D
Zum Vergrößern anklicken....
Interessant, hat meine Frau tatsächlich auch, dadurch oft Cremen im Einsatz.. Siehst direkt gelöst :D
 
Fingerabdruck in den diversen Apps ist wirklich praktisch.
Zusätzlich habe ich noch Bitwarden bei dem ich auch ganz einfach das Passwort kopieren/einfügen kann, so spare ich mir das getippe falls kein Fingerabdruck-LogIn möglich ist.
 
Veitograf schrieb:
so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.
Zum Vergrößern anklicken....
Ich hatte mit dem Fingerabdruckscanner eines anderen Smartphones auch immer wieder Probleme. Seitdem ich ich den Scanner mit einem transparenten Klebeband (Tesa, etc.) überklebt habe, gibt es keine Probleme mehr.
Vielleicht versuchst du es einfach Mal.
 
0xffffffff schrieb:
Beispiel: "Computer Computer an der Wand, wer ist der beste Forennutzer im ganzen Land?"
Zum Vergrößern anklicken....
Wie reagieren Systeme bei der Passwortvergabe darauf?

Kleinbuchstabe: Vorhanden.
Grossbuchstabe: Vorhanden.
Sonderzeichen: Vorhanden.
Ziffer: Fehlt.
=> Passwort unsicher und nicht zulässig.
 
  • Gefällt mir
Reaktionen: Haldi und Falc410
Also seit ich das iPhone 11 habe, ist noch jedes Passwort über Passwörter und FaceID eingegeben worden. Für mich die ideale Lösung, auch wenn viele über die große Notch schimpfen finde ich es einfach klasse. Weiss nicht wie gut/sicher es bei den Androiden läuft, da ich seit über 3J keines mehr privat benütze.
 
Wichtige Passwörter speicher ich nirgendwo, die stehen in meinem Notizbuch, an das keiner rankommt. Halte ich so seit knapp 30 Jahren, also soviel Zeit habe ich eh nicht mehr vor mir von daher geh ich davon aus das es auch weiterhin die nächsten paar Jahre bis zu meinen Ableben gut klappt.
 
dec7 schrieb:
Wichtige Passwörter speicher ich nirgendwo, die stehen in meinem Notizbuch,
Zum Vergrößern anklicken....
Dann muss man sie aber bei jeder Anwendung abtippen. Bei einem Passwortmanager geht das mit Copy&Paste.

Ich verwende Keepass da ist die Datenbank lokal auf meinem PC gespeichert und verschlüsselt.
Ohne das Masterpasswort kommt niemand an sie ran.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

linuxnutzer
App-Passwörter bei gmail
Antworten
14
Aufrufe
3.022
linuxnutzer
linuxnutzer
Steffen
Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind
5 6 7
Antworten
128
Aufrufe
17.425
karlos3
karlos3
kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.139
netzgestaltung
netzgestaltung
mae1cum77
[DIY-Projekt] Traefik2 (Google-OAuth/TLS) feat. Nextcloud und Guacamole (und mehr)
2 3 4
Antworten
71
Aufrufe
13.837
mae1cum77
mae1cum77
Steffen
  • Geschlossen
Ankündigung Neues Forum: Betatest der neuen Forumsoftware
40 41 42
Antworten
826
Aufrufe
94.522
Steffen
Steffen
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz