Passkey ? Fragen

[Amiga500]

Ich habe wirklich keine Ahnung wie Passkey genau funktioniert und inwiefern das sicherer als eine Authenticator App sein soll !?

Brauche ich dafür auch eine App ?

Wie schaut es aus wenn man das Smartphone verliert oder kaputt geht !?

Ich höre zwar immer von Passkey bin aber übefordert weil ich Null Ahnung habe weshalb ich von meiner Authenticator App auf Passkey wechseln sollte

 

[kartoffelpü]

Hast du schon mal selber ein bisschen gelesen?
Dürfte alle Fragen beantworten: https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/

 

[Nilson]

Stichwort ist hier Asymetrische-Verschlüsselung.

Ganz vereinfacht:
Beim klassischen Passwort muss sowohl du als auch die Webseite das Passwort kennen. Bei Passkeys gibt es ein Schlüsselpaar. Einen "Public-Key" den die Webseite hat, und einen "Private-Key", den du besitzt (und sichern solltest). Greift ein Angreifer nun den Public-Key von einer Webseite ab, kann er damit nichts anfangen, weil ihm der passende Private-Key fehlt.

Mit Authenticator App meinst du 2FA/MFA/(T)OTP?

 

[Tornhoof]

Smartphone verliert oder kaputt geht !?

Kommt auf den passkey an und Smartphone bzw anderen secure storage.

Apple und Google synchronisieren jeweils zwischen Geräten und machen Backups.

Es ist technisch auch möglich passkeys zu erzeugen die die Security Enklave des Geräts nicht verlassen können, wird aber afaik von niemanden genutzt.

 

[FOSS-Fox]

Ich finde die Google Lösung wirklich lustig.
Man soll sich einen angeblich sicheren Passkey erstellen, der für den Komfort auf Googles Server hochgeladen oder im Chrome Browser integriert wird, obwohl bekannt sind, dass dies die zwei unsichersten Orte für Passwörter sind.
Alle Clouds müssen per Gesetz überwacht und der Browser, vor allem der Chrome Browser, wird so stark überwacht und analysiert, wie es nur technisch möglich ist.

Die sicherste Aufbewahrung ist offline, bzw. in einem Offline-Passwortmanager. (KeePassXC, etc.)
Ansonsten kann man eine beliebige 2FA verwenden.

Und ein weiterer Grund, warum man keine Passkeys bei Anbietern wie Google, Microsoft, etc. haben sollte:
Da die Welt in einigen Bereichen völlig verrückt spielt und man noch leichter aus unlogischen Gründen von einem Account gesperrt werden kann, wird man automatisch auch von seinen Passkeys ausgesperrt.
Zugangsdaten gehören einfach niemals irgendwo auf der Welt auf einen fremden PC (Cloud)!

Was sind Passkeys?:
https://www.bsi.bund.de/DE/Themen/V...eys/passkeys-anmelden-ohne-passwort_node.html

 

[tusen_takk]

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

YouTube-Embeds laden

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.

YouTube-Embeds laden

Datenschutzerklärung

Dieses Video fand ich hilfreich, baut allerdings auf KeePassXC auf.

 

[wirelessy]

Passkeys sind voll doll in Kombination mit zB einem YubiKey.

Weil dann wirds echt bequem, und portabel.

Aber ein Passkey ist auch nur ein Passwort. Ein Faktor.

Das ersetzt NICHT MFA.