ComputerBase
Aktuelles

Passkey ich dabe fragen zu

Ich habe noch was gefunden:
YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Besser gleich alle biometrischen Merkmale hinterlegen ( geCloude oder Handylokal schon egal) und dazu noch eine digitale, handsignierte Unterschrift. Wann und wohin fließen diese Merkmale ab und wer hält letzlich die
digitale Souveränität über diese Daten?.
 
So!! ich habe jetzt mal testweise ein Passkey erstellt für mein PSN Account!!!

Jetzt hat der PSN Account durch das erstellte Passkey mein Passwort und 2fA über Authenticator app deaktiviert.

Und wen ich jetzt mein Handy verlieren, kaputt gehen sollte oder sonstiges...könnte ich mich nicht mehr in meinen PSN account einloggen da ja über Passwort und Email nicht mehr funktioniert...

Ich habe kein Backup code oder sonstiges erhalten nur die Benachrichtigung das mein Passkey erstellt wurde...
 
LT.Verleum schrieb:
Besser gleich alle biometrischen Merkmale hinterlegen ( geCloude oder Handylokal schon egal) und dazu noch eine digitale, handsignierte Unterschrift.
Zum Vergrößern anklicken....
Du brauchst keine Biometrie um Passkeys nutzen zu können, ist nur der Standard auf mobilen Endgeraten, da es praktisch ist.
Ergänzung ()

Amiga500 schrieb:
Jetzt hat der PSN Account durch das erstellte Passkey mein Passwort und 2fA über Authenticator app deaktiviert.

Und wen ich jetzt mein Handy verlieren, kaputt gehen sollte oder sonstiges...könnte ich mich nicht mehr in meinen PSN account einloggen da ja über Passwort und Email nicht mehr funktioniert...

Ich habe kein Backup code oder sonstiges erhalten nur die Benachrichtigung das mein Passkey erstellt wurde...
Zum Vergrößern anklicken....
Tja mit welchem Tool hast du den Passkey denn erstellt? Am Handy? Dann solltest du halt mal nachlesen, wie dein Passkey gemanaged wird.
 
  • Gefällt mir
Reaktionen: redjack1000 und aragorn92
Du kannst auch weithin alternativ Methoden mit einrichten. Zum Beispiel per SMS, Handy Bestätigung, Email. Und kannst mit dem Einloggen auch auf eines dieser Methoden zugreifen.
 
  • Gefällt mir
Reaktionen: iSight2TheBlind
apple synct die Passkeys aber.
ich hab die Keys auf dem ipad und dem iphone.
 
NJay schrieb:
Du brauchst keine Biometrie um Passkeys nutzen zu können, ist nur der Standard auf mobilen Endgeraten, da es praktisch ist.
Ergänzung ()


Tja mit welchem Tool hast du den Passkey denn erstellt? Am Handy? Dann solltest du halt mal nachlesen, wie dein Passkey gemanaged wird.
Zum Vergrößern anklicken....

Ich bin im PSN Account gegangen, habe dort Passkey erstellen gemacht, habe mit meinen Handy den QR Code gescant und dann musste ich meinen Finger auflegen und das war es ..da stand nichts weiter

übrigens hat anmelden damit auch nicht geklappt es kam keine Aufforderung danach
 
Ein Passkey ersetzt im Grunde das klassische Passwort, nur mit dem Unterschied, dass man ihn nicht selbst merken oder eintippen kann, sondern ein Gerät oder Passwortmanager ihn für einen verwaltet. Das heißt: man muss den Passkey irgendwo speichern, um ihn benutzen zu können – so wie Passwörter im Passwortmanager.

Im Detail hinkt dieser Vergleich, weil ein Passkey technisch anders funktioniert und gegenüber einem Passwort zusätzliche Sicherheitsvorteile bietet, aber für die praktische Benutzung ist vor allem relevant, dass man Zugriff darauf hat.

Insofern: Leg den Passkey dort ab, wo es dir am besten passt – wichtig ist nur, dass du auf allen Geräten, mit denen du dich anmelden möchtest, darauf zugreifen kannst.

Ich speichere meine Passkeys in 1Password und da spricht nichts dagegen.
Auf deinem Handy ist es wahrscheinlich der Google Passwort-Manager oder was eigenes von Samsung oder so.

Lg

PS: Theoretisch gäbe es Vorteile, wenn die Passkeys wirklich Hardware-gebunden wären, allerdings ist das meiner Erfahrung nach echt schwierig umzusetzen, da nicht alle Seiten genug Passkeys unterstützen, um alle Geräte anzumelden, und es auch in der Benutzung etwas nervig ist.
Die Abwägung, welche Anmeldung tatsächlich so sicherheitskritisch ist, dass man device-bound Passkeys einsetzen möchte, muss man natürlich selbst treffen.
 
Zuletzt bearbeitet:
Ich konnte nicht mal entscheiden wo ich den passkey speichern will.

Wie gesagt, PSN Account Passkey erstellt, QR code mit der Handykamera benutzt, Fingerprint einfach mal eingegeben und das war es .

Danach sollte ich mich an meinen Account nochmal anmelden..aber es kam keine Passkey-Meldung
 
FranzvonAssisi schrieb:
Insofern: Leg den Passkey dort ab, wo es dir am besten passt – wichtig ist nur, dass du auf allen Geräten, mit denen du dich anmelden möchtest, darauf zugreifen kannst.
Zum Vergrößern anklicken....
Da möchte ich auch mal kurz nachfragen:

Besteht die Möglichkeit, ihn Manuell auf einen USB-Stick zu kopieren und den Key damit zusätzlich irgendwo abzulegen?
 
Kommt, wie gesagt, darauf an, wie bzw. wo du den Passkey speicherst. Ich kann z.B. Passkeys zu meiner Vaultwarden/Bitwarden Instanz hinzufügen. Und die Datenbank kann ich beliebig sichern.
 
  • Gefällt mir
Reaktionen: prayhe und NJay
Also mir ist Passkeys bei irgendwem (also Google in den meisten Fällen ) zu speicher ist mir viel zu doof, geradezu gefährlich wegen dem wieder dran kommen, da kommt irgend nen doofer ammi und sagt den Blocken wie (poopie Pants etc. ?) dann biste raus.

Also selber speichern erstellen - benutzen, wenn denn schon. und da kann zum Beispiel Keepass das.

Aber ich benutze noch immer lieber normale gute Passwörter + TOTP ggf. geht ohne Browserplugin (falls das mal nicht geht oder so direkt im Keepass.
 
Ich habe mich davon auch noch ferngehalten, weil ich das Konzept zwar verstehe, jedoch nicht als besser empfinde.
Gerade die "Kontrolle" über den Passkey finde ich komplizierter, selbst wenn Bitwarden und Co schon damit zurechtkommen. Vielleicht teste ich es nochmal mit Cloud-Synchronisation, unbedingt nötig halte ich es für mich jedoch nicht.
 
  • Gefällt mir
Reaktionen: AvenDexx
@Daniel D. ja, so sehe ich das eigentlich auch.
Auf der Arbeit, wo hinter einem Passwort vielleicht die Daten aller Mitarbeitenden stehen oder wo ein Hacking-Angriff existenzbedrohend sein kann, ist es den Aufwand vielleicht wert, aber privat ist das Risiko halt doch ein anderes.
 
  • Gefällt mir
Reaktionen: Daniel D.
Paypal ist da gerade extrem penetrant. fast jeden Tag ne mail, mach doch bitte Passkeys.
Haben die ne Sicherheitslücke und wurden gepawned?
 
Kann ich nicht bestätigen, bei mir kommt keine Erinnerung - auch nicht auf der Webseite, aber da logge ich mich auch nur selten ein.
 
Alexander2 schrieb:
Haben die ne Sicherheitslücke und wurden gepawned?
Zum Vergrößern anklicken....
Nein. PayPal bzw. PayPal-Nutzer dürften ziemlich oft Ziel von Angriffen sein - und die allermeisten Passwörter sind eben nicht sicher.
Die "25 häufigsten Passwörter" machen in geleakten Datensätze 10% aus. Und das sind so Passwörter wie "admin" oder "12345". Nicht selten dürften es auch Vornamen sein oder irgendwelche Daten die sich relativ leicht ermitteln lassen. Wie Geburtstag, Hochzeitstag o.ä.

Ich halte Passkeys gerade für den Durchschnittsuser, der sich nicht viel Gedanken um Passwörter macht, im Zweifel für die bessere Alternative. Der Durchschnittsuser rennt im Endeffekt auch nicht mit 10 Geräten rum, sondern hat im Zweifel wirklich nur noch das Smartphone vielleicht ein Tablet. Und du kannst durchaus mehrere Passkeys hinterlegen.
 
  • Gefällt mir
Reaktionen: aragorn92
Passkeys sind ja nicht als alleiniger Authentication Mechanismus gedacht, sondern als Ergänzung und haben das Ziel hohen Komfort mit hoher Sicherheit bei leichter Handhabbarkeit für Durchschnittsanwender (also nicht nur die "Experten" in der CB-Bubble) zu verbinden, da klassische Mechanismen oft nur Gewinn bei einem der Aspekte unter Inkaufnahme von Verlusten an anderer Stelle ermöglichen.


  • Username + Passwort ohne 2FA
    Relativ bequem (je nachdem wir man die Passworte verwaltet). Kann auch bei entsprechender Disziplin durchaus sehr sicher sein. Bei den meisten Durchnschnittsanwendern ist das aber aus den üblichen Gründen (z.B. schwache und/oder mehrfach verwendete Passwörter) nicht der Fall. Daher führen ja immer mehr Dienste einen "Zwangs-2FA" ein
    Komfort ist leider auch oft situationsabhängig, ich habe immer wieder Websites wo das automatische Ausfüllen durch den Passwortmanager nicht klappt. Unbeholfene Anwender schaffen es oft nicht, z.B: auf einem Smartphone ein Passwort vom Passwortmanager in die Anwendung zu kopieren.

  • Username + Passwort mit 2FA per TOTP Authenticator
    Durch den zweiten Faktor auch bei schlechten oder gar kompromittierten Passwörtern noch recht sicher.
    Für unbeholfene Anwender oft zu schwer einzurichten und noch schwerer zu benutzen als Username+Passwort (siehe oben...)
    Risiko der Zugriffsverlustes bei unzureichend eingerichteten Recovery Massnahmen
    Mit extra 2FA App (z.B. auf dem Handy) relativ unkomfortabel in der Benutzung. Komfortsteigernde Massnahmen, wie TOTP im Passwortmanager, einem angemeldeten Gerät 30 Tage vertrauen, usw. verringern die Sicherheit

  • Username + "Passwortlose Anmeldung" per propietären Authenticator (z.B. Microsoft):
    Eliminiert die Schwachstelle "Passwort" vollständig.
    Komfort beim Login etwas höher, da kein TOTP Code abgetippt werden muss.
    Ansonsten alle Nachteile von generischer 2FA mit TOTP Device
  • Username + Passwort + 2FA per Seitenkanal (EMail, SMS, usw):
    Sicherheitsgewinn wie bei TOTP
    Trivial einzurichten (der zweite Kanal existiert ja meistens schon)
    Sehr gut geeignet für gelegentliche genutzte Logins
    Bei häufiger Nutzung des Logins unhandlich (EMail oder SMS kommen oft nicht super schnell, usw.)
    Geringeres Recovery Risiko als TOTP App, da EMail Account oder Handynummer oft langfristig vorhanden sind
    Das Verfahren wird auch oft als Recovery Methode für den Verlust TOTP App genutzt

Gibt natürlich auch noch ein paar andere Varianten und Kombinationen, aber die Konzepte bleiben ähnlich.

Passkeys sind nun kein Ersatz für die oben genannten Verfahren sondern eine Ergänzung: Man kann für den Erst-Login beim Erstellen das Passkeys ohne Probleme ein vergleichsweise unkomfortables aber sicheres Verfahren verwenden (Extrembeispiel: Login im Job Portal der BA per Personal Ausweis App).
Der erzeugte Passkey ist dann sozusagen ein dauerhafter Identitiätsbeweis, der in einem gesicherten Store liegt, der bei jeder Benutzung freigegeben werden muss (z.B. per Fingerabdruck, Gesichtsscan oder im Notfall auch per Pincode - z.B. Windws Hello ohne taugliche Kamera).

Da das Einrichten des Passkeys vollkommen automatisiert erfolgen kann, ist ein Passkey auch für eher unbeholfene Anwender leicht einzurichten

Im Gegensatz zu lange gültigen Authentifizierungs Tokens, App Kennwörtern, etc. stellt der Passkey kein Sicheheitsrisiko dar.

Im Idealfall kann man die "Eingeloggt bleiben" Funktion vieler Websites in Zukunft durch Passkeys ersetzen.


kachiri schrieb:
Und du kannst durchaus mehrere Passkeys hinterlegen.
Zum Vergrößern anklicken....
Mittlerweile. Anfangs gab es hier und da mal Websites da konnte man nur einen Passkey hinterlegen.
 
  • Gefällt mir
Reaktionen: Haplo
nurmalsoamrande schrieb:
... ist es eben sehr sicher, weil niemand etwas zwischen dir und der Seite, auf der du dich einloggen willst, abgreifen kannst.
Zum Vergrößern anklicken....

Bei Passkeys muss man darauf vertrauen, dass zusätzlich die Unternehmen, deren Programmierer und Partner keine Lücken hinterlassen. Ein Fehler - die es immer geben wird - führt immer dazu, dass die Sicherheit verpufft.

Zitate dazu:
- "But there’s one weakness in this system — your browser."
"malicious extensions/scripts can fake passkey registration and logins"
- "an attacker can intercept and manipulate this communication within the browser and redirect the communication to their server by replacing the WebAuthn calls with their own code."

Quelle: https://www.forbes.com/sites/zakdof...eys-can-be-hacked-new-attack-breaks-the-myth/

Weil also der Browser-Anbieter die größte Lücke ist und die größten Anbieter von Passkeys und dessen Software und Infrastruktur (Browser, Cloud, etc.) aus den USA kommen, in dem man gesetzlich dazu gezwungen wird, Lücken zu integrieren oder bei Bedarf jederzeit die Sicherheit aufzulösen, sind Passkeys wohl nicht sicherer.

Ein Passwort kenne nur ich alleine in meinem Kopf. Und mit einem zweiten Faktor ist es "relativ" sicher.

Ein Passkey ist aber wie ein physischer Schlüssel, an ein Gerät gebunden und ich kenne es nicht mal.
Die einzigen, die es kennen, sind die (US-)Anbieter, denen ich vertrauen muss.

In Summe sieht es für mich aus, als hätten Passkeys mehr Nachteile als ein Passwort in meinem Kopf, welches ich mit einem zweiten Faktor absichern kann, weil noch mehr Unternehmen / Menschen dazwischen sind.

Und da jeder aufgrund von bewiesenen Fakten weiß oder wissen sollte, wie die USA mit Daten, auch von Verbündeten, umgeht, sind Passkeys unsicherer als gute Passwörter im Kopf.
Die einzige alternative wäre wohl, wenn man vollständig auf Software von USA verzichtet:
  • kein Windows, MacOS, Android, iOS, etc. -> weil USA
  • kein Edge, Chrome, Firefox Browser -> weil USA
  • kein iCloud, OneDrive, etc. -> weil USA
  • usw.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

shaadar
Was und wie genau auf Passkey umstellen?
2 3
Antworten
54
Aufrufe
4.112
AvenDexx
AvenDexx
C
Passkey auf FIDO2 Stick einrichten, aber ohne Win10 Hello
Antworten
4
Aufrufe
2.420
AGB-Leser
A
creatix
Bei Google mit Passkey bzw. Hauptschlüssel anmelden über QR-Code schlägt fehl
Antworten
3
Aufrufe
847
subsherlock
S
E
Windows Hello und Passkey Krise
Antworten
5
Aufrufe
900
Helge01
Helge01
Asuss1
Passkey mit Android-Gerät
Antworten
15
Aufrufe
1.068
zelect0r
zelect0r
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 187 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz