ComputerBase Hauptmenü
Aktuelles

Passkey ich dabe fragen zu

Amiga500

Amiga500

Admiral
Registriert
Dez. 2005
Beiträge
7.649
Passkey wird ja immer wieder empfohlen.

Also wenn ich jetzt sagen wir mal Passkey überall einrichte wo es geht,
das bedeutet ich müsste dann anstatt ein Passwort mit meinen Fingerabdruck auf dem Handy bestätigen oder?

Falls ja , was passiert denn wenn das Handy auf einmal kaputt geht oder man es wegen alters ersetzt. Wie kommt man dann noch an seine accounts ran?

Ich verstehe das alles mit dem Passkeys nicht so
 
Amiga500 schrieb:
Falls ja , was passiert denn wenn das Handy auf einmal kaputt geht oder man es wegen alters ersetzt. Wie kommt man dann noch an seine accounts ran?
Zum Vergrößern anklicken....

Was, wenn mein Gerät verloren oder gestohlen wird?​

Falls das Gerät, auf dem Ihre Passkeys hinterlegt sind, verloren gegangen ist oder gestohlen wurde, können Sie Ihre Zugänge dann wiederherstellen, wenn Sie entweder lokale Backups angelegt haben oder wenn Ihre Passkeys in einer Cloud synchronisiert werden. Sollten Sie keine Sicherheitskopien Ihrer Passkeys besitzen, bieten einige Dienste weitere Möglichkeiten, Ihre Identität nachzuweisen und so beispielsweise einen neuen Passkey für Ihren Zugang zu erstellen. Falls Sie Ihre Passkeys mit einem FIDO2-Sicherheitsschlüssel verwalten, ist es ratsam, einen zweiten FIDO2-Stick anzuschaffen, um eine Notfalllösung bereitzuhalten. FIDO2-Sticks können nicht kopiert werden, weshalb Sie bei Ihren Online-Diensten für jeden Ihrer Sticks einzeln Passkeys generieren müssen. In seltenen Fällen kann es dennoch vorkommen, dass Sie sich nach dem Verlust Ihres Geräts nicht mehr einloggen können. Dann müssen Sie den Anbieter kontaktieren und den Account wiederherstellen.
Zum Vergrößern anklicken....
https://www.bsi.bund.de/DE/Themen/V...n-ohne-passwort_node.html#doc1107470bodyText5
 
  • Gefällt mir
Reaktionen: NJay und Tornhoof
  • Gefällt mir
Reaktionen: Tornhoof
Danke. Dennoch verstehe ich das nicht so ganz. Wenn ich jetzt ein Passkey erstelle mit meinen Samsung Handy in welcher Cloud wird das dann genau gespeichert?
 
  • Gefällt mir
Reaktionen: seyfhor
@Amiga500 Wenn Du im Smartphone mit einem Samsung Account verbunden bist, dann vielleicht in dem oder über Google Chrome, wenn Du da mit deinem Konto synchronisiert...

Wie man aber sieht sind Passkeys eben kein "Wunderheilmittel".
Passwort mit 2FA ist so gesehen weiterhin die bessere Wahl.
Bei 2FA hat man wenigstens Backup-Keys, die man irgendwo natürlich auch gespeichert/gedruckt haben muss, aber das ist eben alles besser als wenn man Zugangsinformationen irgendwelchen Clouds anvertraut.
 
Zer0DEV schrieb:
besser als wenn man Zugangsinformationen irgendwelchen Clouds anvertraut.
Zum Vergrößern anklicken....
Das finde ich auch. Vor allem ist da ja die Frage, wenn alle Passkeys in der Cloud sicher liegen, WO ist denn dann der Passkey für die Cloud sicher aufbewahrt?? 🤣
 
  • Gefällt mir
Reaktionen: acidarchangel und Bully49
Was ich mich frage. Wenn ich jetzt Passkeys mit meinen Samsung Handy einrichte. Handy geht kaputt oder wird gewechselt. Dann muss ich mich ja z.B bei google wieder anmelden da da dann vermutlich die ganze Passkeys gespeichert sind , richtig?

Um mich bei Google aber anzumelden brauche ich ja wiederum das(mein) Passwort für meinen Google Account...habe ich das soweit richtig verstanden?

Wenn aber jetzt eine andere Person mein Google Passwort heraus bekommt, kommt die Person doch auch an die Passkeys ran !?


Vielleicht bin ich zu blöde um das alles zu kapieren
 
Wichtig zu wissen: Passkeys sind niemals der einzige Zugriff auf eine Ressource. Ein Passkey kann nur als 2FA Komponente dienen oder auch als schneller, regelmäßiger Zugang, als Alternative zum Password.

Man kann sich einen Passkey wie ein spezielles Passwort vorstellen, dass mit einem Gerät verbunden ist (also z.B. Deinem Handy, deinem Windows Hello, einem USB Token...).

Wenn Du das Gerät zur Hand hast, kannst Du Dich mit dem darauf befindlichen Passkey anmelden.

EIGENTLICH sollten Passkeys NICHT exportiert werden und auch nicht in Cloud kommen. Beides verletzt die Grund-Idee. Nur zusammen mit der nicht fälschbaren Identität des Geräts, auf dem sie gespeichert sind, dürfen sie funktionieren. Manche Anbieter hebeln das aber aus, indem sie Passkeys eben doch synchronisieren, was eigentlich keinen Sinn macht.

Ein Passkey darf NIE der einzige Zugang zu einer Ressource sein. Man muss auch immer mit einem Passwort und 2FA auf die Ressource zugreifen können, für den Fall dass ein Passkey verloren geht. Und man muss Passkeys auch "entwerten" können, wenn z.B. der USB Stick oder das Handy verloren geht.
 
  • Gefällt mir
Reaktionen: DNS81, dafReak, whats4 und eine weitere Person
Ein Passkey ist ein Schlüsselpaar. Ein Schlüssel lokal, einer beim Anbieter (z.b Computerbase). Bei Login werden die Schlüssel abgeglichen. Der Abgleich wird meist durch eine biometrische Funktion freigegeben z.b Finger. Das System funtkioniert aber genauso am PC, Laptop, oder wo auch immer.

Jeder Account eine Wiederherstellungsfunktion auch Backup-Codes genannt. Diese werden dir bei der Einrichtung von Passkey angezeigt und diese solltest du auch irgendwo speichern.

Ob Google Passkeys online speichert, ist mir nicht bekannt. Da ich iPhones nutze kann ich dir sagen, dass diese dort erstmal lokal abgelegt werden, und bei Löschung des Gerätes verloren sind. (dafür leben ja die Backup Codes weiter)

Desweiteren ist ein Passkey zusätzlich zu einem Passwort. D.h du kannst dich jederzeit mit einem Passwort einloggen.
 
  • Gefällt mir
Reaktionen: whats4 und Franky4Finger's
Hier in 2 Minuten erklärt.
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
  • Gefällt mir
Reaktionen: Icepeakjr und whats4
Amiga500 schrieb:
Wenn aber jetzt eine andere Person mein Google Passwort heraus bekommt, kommt die Person doch auch an die Passkeys ran !?


Vielleicht bin ich zu blöde um das alles zu kapieren
Zum Vergrößern anklicken....
Stell dir Passkeys einfach als besserer Mechanismus als Passwörtern vor, du musst dich nicht mehr darum kümmern, dass sie eindeutig sind, dass du das richtige Passwort zur Seite finden musst usw.
Die normale Implementierung wie sie im Web über WebAuthN umgesetzt wird, ist nur asymmetrisch sicherer als "gute" Passwörter, die Umsetzung sollte dann auch mit einem 2. Faktor gesichert werden, ähnlich wie bei Passwörtern.
Durch Passkeys werden andere Angriffsvektoren entsprechend unmöglich/schwerer gemacht, dazu gehört Credential Stuffing, geklaute Datenbanken und ähnliches, weil auf dem Server nur der Public Key gespeichert wird.

Höhere Sicherheit erreichst du nur doch FIdo2 Tokens oder entsprechende Authenticator Konzepte die hörere Anforderungen an die Sicherheit stellen, also z.b. MS Authenticator (wenn entsprechend konfiguriert).

Die andere Seite ist der Google Passkey Manager (der synchronisiert mit der Cloud), Appley Keychain (wenn konfiguriert) usw.

Klaut jemand die "andere" Seite, also dein Handy, dein Account o.Ä. sind die Passkeys ähnlich angreifbar. Es ist aber weit einfacher deine Seite "abzusichern" als jeden x-beliebigen Shop.
 
  • Gefällt mir
Reaktionen: whats4
Amiga500 schrieb:
Danke. Dennoch verstehe ich das nicht so ganz. Wenn ich jetzt ein Passkey erstelle mit meinen Samsung Handy in welcher Cloud wird das dann genau gespeichert?
Zum Vergrößern anklicken....
Das obliegt dir.
Zer0DEV schrieb:
Wie man aber sieht sind Passkeys eben kein "Wunderheilmittel".
Passwort mit 2FA ist so gesehen weiterhin die bessere Wahl.
Bei 2FA hat man wenigstens Backup-Keys, die man irgendwo natürlich auch gespeichert/gedruckt haben muss, aber das ist eben alles besser als wenn man Zugangsinformationen irgendwelchen Clouds anvertraut.
Zum Vergrößern anklicken....
Nein, Passkeys sind Passwort mit 2FA deutlich überlegen, da das Passwort eben beim Anmelden an den Server geschickt werden muss, was bei Passkeys nicht notwendig ist. Wenn jemand hier den Traffic mitschneidet kann er damit genau 0 Anfangen.

Du kannst auch deine Passkeys backupen und niemand zwingt dich sie in irgendwelche Clouds zu laden. Das KANNST du tun, aber du kannst dich auch selbst darum kümmern. Ich speichere Passkeys z.B. in meiner eigenen Vaultwardeninstanz, also dem selben Tool, in dem ich auch meine Passwörter habe.
 
  • Gefällt mir
Reaktionen: aragorn92
@NJay Ich bezog mich bei meiner Aussage auch auf die vorher geposteten Informationen die das BSI dazu präsentiert und da ist ja unweigerlich zu erkennen, dass dem Anwender empfohlen/suggeriert wird, die Cloud wäre die gänigste Lösung. Der Durchschnittsanwender springt darauf eben auch an.
 
Passkeys sind Gerätebezogen. Beim Einrichten passiert folgendes:

1. Du sagst der Webseite/App/Dienst: Ich will ein Passkeylogin erzeugen.

2. Dein Gerät erzeugt einen Schlüsselpaar, bestehend aus einem privaten Key und einem Öffentlichen Key.

3. Der Private Key wird im sicheren Store deines Gerätes abgelegt. Diesen Store wird dein privater Schlüssel Niemals!!!! verlassen.
Die Webseite erhält deinen öffentlichen Key.

Bei einem Loginversuch passiert folgendes:

1. Du signalisierst der Webseite: Login mit Passkey
2. Die Webseite sendet daraufhin eine verschlüsselte Challage. Diese kann NUR mit deinem Privaten Key entschlüsselt werden.
3. Da die Challange vom OS deines Gerätes eine Autentifizierung eines hinterlegten Keys im Store anfragt, fragt dein Gerät quasi automatisch nach Adminpasswort (Pin, Passwort, Fingerabdruck, Muster, FaceID, was du halt hinterlegt hast).
4. Hast du dich euf deinem lokalen Gerät lokal Identifiziert, wird der Private Key Freigegeben, die Challange entschlüsselt und mit deinem Privaten Key signiert.
5. Die Zurückgesendete Signatur wird auf Authentitizität geprüft und dann der Zugang freigegeben.

Bist du auf einer Fishingseite, sprich die Challange kommt nicht von DeineBank.de sondern DeinScammer.de, dann wird die Challange scheitern, dein Gerät wird sich weigern, die Challange zu signieren.
Da du deinen Key niemand außer dir die Challange entschlüsseln kann und Signieren kann und dein Key Niemals dein Gerät verlässt, kann dieser Key auch niemals gestohlen werden. Wenn lokale Secure Store deines Gerätes komprommitiert würde, hättest du noch ganz andere Probleme vorher.

Google und Apple können ein Abbild deines Stores (Ohne dessen Inhalt zu kennen, bei sich back uppen. Das tun sie in der Regel automatisch auf deinem Konto. Das müsstest du aktiv deaktivieren.

Alternativ kannst du deinen Passwortmanager als Store deklarieren. Dieser Synchronisiert sich eben über die Techniken, die dein Passwortmanager verwendet. Bei Keypass musst du dich selber darum kümmern, Bitwarden oder Vaultwarden machen sowas automatisch.

Da das Prinzip eines Passkeys zwingend eine zweite, lokale Autorisierung erforderlich macht und niemals deine Passwörter durch die welt geschckt werden, ist es eben sehr sicher, weil niemand etwas zwischen dir und der Seite, auf der du dich einloggen willst, abgreifen kannst.

Das war jetzt sehr grob vereinfacht, was passiert. Nutze einfach einen Passwortmanager und mache dir keinen Kopf.
 
  • Gefällt mir
Reaktionen: Poink, Grestorn, DNS81 und 4 andere
Zer0DEV schrieb:
die Cloud wäre die gänigste Lösung. Der Durchschnittsanwender springt darauf eben auch an.
Zum Vergrößern anklicken....
Die Cloud ist für den Durchschnittsanwender die gängige Lösung!

Passkeys sind ja im Grunde auch 2FA. Zum einen muss ich den Passkey besitzen, zum anderen muss dieser freigegeben werden. Auf dem Smartphone oder anderen Geräten mit biometrischen Möglichkeiten (Fingerabdruck, Gesichtserkennung) meist darüber - bei anderen Geräten ggfs. wieder über eine PIN oder ein Passwort zum Passkey.
Idealerweise also biometrisch.
 
  • Gefällt mir
Reaktionen: aragorn92
schöne antworten, viele, und mit viel aufwand geschrieben.
es ist schön, immer wieder zu sehen, daß "die üblichen verdächtigen:)" immer wieder diesen aufwand tätigen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

shaadar
Was und wie genau auf Passkey umstellen?
2 3
Antworten
54
Aufrufe
3.881
AvenDexx
AvenDexx
C
Passkey auf FIDO2 Stick einrichten, aber ohne Win10 Hello
Antworten
4
Aufrufe
2.298
AGB-Leser
A
Asuss1
Passkey mit Android-Gerät
Antworten
15
Aufrufe
980
zelect0r
zelect0r
DJServs
  • Umfrage Umfrage
Nutzt ihr passkey? Was sind die Vorteile ggü. 2FA?
2 3
Antworten
44
Aufrufe
3.043
h00bi
h00bi
ThePlayer
Passkey in der Praxis
Antworten
16
Aufrufe
3.051
ThePlayer
ThePlayer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 188 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz