Passkey ich dabe fragen zu

[Fanchen]

@Hypothek
Sorry, das ist aber mal komplett falsch. Mal außen vor gelassen, dass die Anzahl an guten Passwörtern, die man im Kopf haben kann, sehr stark begrenzt ist: Ein Passkey ist weder prinzipiell an ein Gerät gebunden, noch hat er mehr Angriffsflächen als ein Passwort.
Das geschilderte Problem ist überhaupt nicht auf Passkeys eingeschränkt, sondern trifft natürlich auch auf Passwörter zu. Wenn du deinem Browser nicht vertrauen kannst, die Passkey-Generierung nicht zu fälschen, kannst du ihm auch nicht trauen, dein Passwort nicht zu fälschen/speichern/veröffentlichen.

 

[Hypothek]

Und welcher Ersatz würdest du nehmen?

Ich nutze überhaupt kein Passkey.
Und falls du mit Ersatz die Software meinst: Alles, was nicht den Gesetzen der USA unterliegt. Rein theoretisch ist sogar jede chinesische Software "sicherer", weil China keine Kooperation mit Europa / Deutschland hat, bei der die Daten geteilt werden.
Die (dieselben) Daten würden in China laden und durch deren Abschottung dort verbleiben.

Dass China aber so viel unsicherer klingt als USA, sollte man bei objektiver Betrachtung der Medien und Volkswirtschaft eigentlich erkennen. China ist der größte / einzige Konkurrent zu den USA und zusätzlich will die USA ihr "Daten-Zugriffs-Monopol" auf den gesamten Westen selbstverständlich unter allen Umständen schützen.

So viel zumindest zur Theorie.
Welcher "Propaganda" man letztlich glaubt bzw. welcher Seite man vertrauen möchte, spielt eigentlich keine Rolle.
Die Realität ist nicht schwarz/weiß.

Fazit:
Ich nutze trotzdem wie die meisten Menschen im Westen, Software aus den USA auf Hardware aus China und Indien. Bei Passkeys ist mein Vertrauen aber minimal geringer, weshalb ich weiterhin Passwörter mit 2FA nutze.

@Fanchen
Es ging mir eher darum aufzuzeigen, dass die Angriffsfläche / Punkte bei Passkeys höher sind als bei Passwörtern. Und es wird zusätzlich Vertrauen an Dritte und noch mehr Hardware / Software benötigt.

Eine der ersten Grundlagen der IT-Sicherheit ist, dass je mehr Software, Hardware, Unternehmen, Dritte, etc. involviert sind, desto höher die Wahrscheinlichkeit, eine Lücke irgendwo zu finden.

Bei Hacking-Wettbewerben wurde von den Siegern auch oft gesagt, dass beispielsweise ein Windows ziemlich sicher ist und man deshalb die Lücken der Drittanbieter ausnutzt, weil es einfacher und schneller ist.
Deshalb wird auch nicht ein Windows gehackt, sondern ein Lücke in den vielen installieren Apps als Abkürzung genutzt. (Adobe PDF, Browser-Erweiterungen, Makros / VBA in Word, etc.)
Jede zusätzliche Software ist eine weitere Ansammlung von Lücken.

Mal außen vor gelassen, dass die Anzahl an guten Passwörtern, die man im Kopf haben kann, sehr stark begrenzt ist.

Das musst du erklären.
Mein längstes Passwort ist über 100 Zeichen lang. Der Durchschnitt ist ~30 Zeichen lang.
Groß- und Kleinbuchstaben, Zahlen, Sonderzeichen, keine Wörter und kein Muster.

Man kann sich ein variables System ausdenken, welches kein Bruteforce der Welt in meiner Lebenszeit lösen kann.

Funktioniert seit über 20 Jahren ohne Probleme.
Kein einziges Passwort ähnelt dem anderen und ich kann jedes rekonstruieren oder neue ergänzen.
Und selbst wenn man 10 davon wüsste, bin ich mir absolut sicher, dass man kein Muster sehen wird.
Ich habe es auch mit einer KI versucht, die Muster eigentlich erkennen sollte, eine abgewandeltes System zu erkennen. Es ging einfach nicht.

 

[Fanchen]

Es ging mir eher darum aufzuzeigen, dass die Angriffsfläche / Punkte bei Passkeys höher sind als bei Passwörtern. Und es wird zusätzlich Vertrauen an Dritte und noch mehr Hardware / Software benötigt.

Das ist aber abstrus falsch. Die Angriffsfläche ist wesentlich niedriger und es wird weniger Vertrauen benötigt, weil dein Passkey im Gegensatz zu Passwörtern nie dein Gerät verlässt.

 

[Bully49]

Ich nutze überhaupt kein Passkey.

Ich meinte Ersatz für:

• kein Windows, MacOS, Android, iOS, etc. -> weil USA
• kein Edge, Chrome, Firefox Browser -> weil USA
• kein iCloud, OneDrive, etc. -> weil USA
• usw.

War doch deutlich, oder?

 

[Hypothek]

@Fanchen
Da fängt es bereits an.
Es braucht ein Gerät! +1 Angriffsfläche
Das Gerät braucht eine Software für Passkeys! +1 Angriffsfläche
Die Software wird von jemandem entwickelt! +1 Angriffsfläche
Man braucht Backups. Die meisten wählen Clouds aus Bequemlichkeit. +1 Angriffläche
Usw.

Wenn ich zu einem Freund gehe und dort mein Login für z.B. Amazon eingebe:
Mein Passwort ist nur im Kopf -> kein Gerät der Welt kann es klauen
Der zweite Faktor wird zwar über ein Gerät empfangen, dieses ist aber nicht mit meinem Passwort / Kopf verbunden.
Mein Passwort im Kopf kann durch keine Bugs, Trojaner, Keylogger, etc. verschwinden.
Es braucht keine Backups, weil Gedanken sicherer als jede Cloud ist.

Beide Systeme haben gemeinsam, dass sowohl das Passwort als auch Passkey auf dem Weg zum Ziel abgefangen werden kann. (wie verlinkt -> Passkey verlässt zwar nicht mein Gerät, wird aber trotzdem auf dem Weg abgefangen und kann missbraucht werden)

Der wesentliche Unterschied ist lediglich die Quelle.
Während ein Passkey auf purem Vertrauen in Fremde Menschen und mehr als eine Software basiert, welches aus gesetzlicher Verpflichtung niemals absolut sicher sein darf, basiert ein Passwort auf einem Gedanken.

Dass das Ziel (Amazon) oder der Weg zum Ziel (Browser oder Passkey Software) eine Sicherheitsrisiko ist, macht das Ganze nicht besser, sondern nur anders:

Passkey:
Quelle + Backup -> Browser -> Ziel

Passwort:
Gedanke -> Browser -> Ziel

rot = Sicherheitsrisiko, pures Vertrauen, keine Kontrolle
Gedanke = Sicherheitsrisiko nahezu 0

Ich erkaufe eine Sicherheit am Ziel durch eine Lücke an der Quelle & Backup.

Wenn Passkeys (bzw. deren "Erlaubnis") auf dem Weg abgefangen und missbraucht werden können, kann ich auch gleich ein Passwort verwendet, welches ebenfalls abgefangen und missbraucht werden kann. Ich spare mir aber die Passkey Hardware/Software.

@Bully49
Steht doch deutlich ab der zweiten Zeile.

 

[Fanchen]

Nicht jeder muss jede Technologie verstehen - es ist völlig okay, wenn du nicht verstehst, wie Passkeys funktionieren. In diesem Thread wurde vorher bereits mehr dazu gepostet, wer will, hat also die Möglichkeit, sich einzulesen.
Ich hoffe nur, dass niemand deinen Beitrag liest und annimmt, dass da etwas Wahres dran ist, weil niemand widersprochen hat.

 

[Hypothek]

@Fanchen
Um es auf den Punkt zu bringen:
Man muss Menschen und nicht die Technologie verstehen!
Menschen erstellen diese Technologie und Menschen müssen diese Technologie verändern.

Je mehr Menschen involviert sind, desto höher die Wahrscheinlichkeit, dass der erklärte Sinn dieser Technologie (temporär) nicht erfüllt wird. Völlig egal, ob es versehentlich oder absichtlich ist.

Eigentlich ganz simpel.

Im Fall von Amazon:

• Man hat die Wahl, dass die Menschen bei Amazon schon alles richtig machen und mein Passwort geheim bleibt.
• Oder die Wahl, ob die Menschen bei Passkey schon alles richtig machen und mein Passkey geheim bleibt.
• Die Menschen dazwischen (Browser, Erweiterungen, Dritte, etc.) werden garantiert irgendwann versuchen das Passwort oder Passkey abzugreifen.

Es gibt buchstäblich keine richtige Wahl.
Es ist eine Frage von Wahrscheinlichkeiten und dieser Faktor variiert mit der Zeit.

 

[madmax2010]

WO ist denn dann der Passkey für die Cloud sicher aufbewahrt?? 🤣

Haust du mich wenn ich einen entra id Witz mache?

 

[whats4]

Passwort:
Gedanke -> Browser -> Ziel

da fehlt was. naja, kind of.
der gelbe zettel am monitor. das unverschlüsselte textfile am desktop. das mail, wo man sich das pass sicherheitshalber im klartext schickte. oder sowas halt. soll aber ned so selten sein.

das ekelhafte heutzutage ist, daß security bewusstsein immer mühsamer wird. weil man immer paranoider werden muß um mitzuhalten.

 

[HighTech-Freak]

Wenn ich zu einem Freund gehe und dort mein Login für z.B. Amazon eingebe:
Mein Passwort ist nur im Kopf -> kein Gerät der Welt kann es klauen
Der zweite Faktor wird zwar über ein Gerät empfangen, dieses ist aber nicht mit meinem Passwort / Kopf verbunden.
Mein Passwort im Kopf kann durch keine Bugs, Trojaner, Keylogger, etc. verschwinden.
Es braucht keine Backups, weil Gedanken sicherer als jede Cloud ist.

What? Dein Passwort ist nur in deinem Kopf wenn du es auf dem PC deines Freundes eingibst? 3 Zeilen weiter unten wirfst Du selbst den Keylogger in den Raum. Nein, dass Passwort verschwindet dann nicht, ist aber sehr wohl komprommitiert und der einzige Rettungsanker ist die 2FA.
(Falls Du zufällig vom Mossad verfolgt wirst, kann man die Argumentation noch verstehen, dass etwas im Kopf sicherer ist, als auf einem Gerät gespeichert, aber im Alltag für sowas wie Amazon Logins usw ist der Ansatz schlicht nicht proportional.)

Deine Logik versagt in dem Moment wo das PW irgendwo eingegeben werden muss. Das passiert per Definition immer im Klartext. Ein Passkey übertragt nie Klartext Daten, lediglich eine Signatur.

Ein Passkey ist kein Schutz gegen eine MITM Attacke, aber ein Angreifer kann mittels MITM nicht den Passkey selbst stehlen. Das ist der wichtigste Unterschied im Alltag und der Grund, dass für die meisten User ein Passkey mit Abstand die bessere Wahl ist.

=> Ein Passkey ist -wie ein Passwort- aber nur so sicher wie sein Speicherort respektive die Freigabemethode. <=

Deine Aussage, dass mehr Komponenten bei einem Passkey involviert sind, ist zwar grundsätzlisch korrekt, aber die Anzahl an Komponenten ist eben in der Realität nicht zwangsläufig proportional zur Angreifbarkeit.

Bei Passkeys vertraut man idR einer Form von Secure Enclave oÄ die idealerweise biometrisch oder per PIN freigegeben wird. Diese Komponente ist speziell dafür entwickelt sicher zu sein.
Wenn Du der Secure Enclave in deinem Gerät nicht vertraust musst Du eigentlich das ganze Gerät als untrusted betrachten. Danach kann Dir auch wer den Session Cookie klauen oÄ.

Es gibt keine perfekte Sicherheit, aber ein Passwort ist in der Realität (Praktikabilität) für den gemeinen User einem Passkey um Welten unterlegen. Dass es einzelne Szenarien gibt wo ein Passwort tatsächlich vlt. noch die bessere Wahl darstellt ist sicher gegeben, aber die Ausnahme.

 

[Hypothek]

What? Dein Passwort ist nur in deinem Kopf wenn du es auf dem PC deines Freundes eingibst? 3 Zeilen weiter unten wirfst Du selbst den Keylogger in den Raum.

Richtig, da man die Angriffspunkte separat betrachten muss und nicht alles auf einen Haufen werfen.

Nein, dass Passwort verschwindet dann nicht, ist aber sehr wohl komprommitiert und der einzige Rettungsanker ist die 2FA.

Ein zweiter Faktor ist immer wichtig, weil egal ob Passwort oder Passkey alleine, unsicher ist. Man muss demnach nur einen einzigen Punkt kompromittieren.

(Falls Du zufällig vom Mossad verfolgt wirst, kann man die Argumentation noch verstehen, dass etwas im Kopf sicherer ist, als auf einem Gerät gespeichert, aber im Alltag für sowas wie Amazon Logins usw ist der Ansatz schlicht nicht proportional.)

Deshalb nutzt man im Alltag auch Passwortmanager. Extern oder im Browser integriert. Aber darum geht es nicht.

Deine Logik versagt in dem Moment wo das PW irgendwo eingegeben werden muss. Das passiert per Definition immer im Klartext. Ein Passkey übertragt nie Klartext Daten, lediglich eine Signatur.

Grundsätzlich wird nach Eingabe des Passworts die Information verschlüsselt, sodass der Empfänger dies nicht sieht. Man vertraut auf den Empfänger / Amazon, dass die Entwickler schon alles richtig machen und.

Die andere Schwachstelle ist dann der Browser, der sowohl das Passwort als auch die Passkey-Signatur weiterverwenden kann.
Es spielt also überhaupt keine Rolle, in welcher Form Dritte über den Browser / Erweiterungen die Pseudo-Sicherheit aufheben. Sowohl Passwort als auch Passkey sind hier schutzlos.

Ein Passkey ist kein Schutz gegen eine MITM Attacke, aber ein Angreifer kann mittels MITM nicht den Passkey selbst stehlen. Das ist der wichtigste Unterschied im Alltag und der Grund, dass für die meisten User ein Passkey mit Abstand die bessere Wahl ist.

=> Ein Passkey ist -wie ein Passwort- aber nur so sicher wie sein Speicherort respektive die Freigabemethode. <=

Du sagst es selbst.
Aber im Gegensatz zu Software-Lösungen, ist zumindest das Passwort im Kopf sicher.
Während man jede Software-Lösung automatisiert und in millionenfachen Umfang wertlos machen kann, wird niemand in den Kopf eindringen können.

Dass es im Alltag beim Durchschnittsnutzer die bessere Wahl ist, ist klar, wenn man sich die meistgenutzten Passwörter ansieht.
Darum ging es mir aber nicht, da ich nicht den Faktor Mensch, sondern nur den Faktor Passwort vs Passkey angesprochen habe.

Deine Aussage, dass mehr Komponenten bei einem Passkey involviert sind, ist zwar grundsätzlisch korrekt, aber die Anzahl an Komponenten ist eben in der Realität nicht zwangsläufig proportional zur Angreifbarkeit.

Proportional nicht, aber trotzdem höher.
Ich kann mir selbst zu 100% vertrauen, ob und wann ich ein Passwort verrate.
Hunderten Involvierten von Passkey, tausenden Dritten, die nach Lücken suchen und mindestens gesetzliche Vorgaben, niemals eine echte Sicherheit zu garantieren, bleiben trotzdem viele weitere Variablen, die ein Passkey unsicherer machen.
Wann die Quelle von Passkeys unsicher wird, ist immer ungewiss und eine Frage der Zeit.

Bei Passkeys vertraut man idR einer Form von Secure Enclave oÄ die idealerweise biometrisch oder per PIN freigegeben wird. Diese Komponente ist speziell dafür entwickelt sicher zu sein.
Wenn Du der Secure Enclave in deinem Gerät nicht vertraust musst Du eigentlich das ganze Gerät als untrusted betrachten. Danach kann Dir auch wer den Session Cookie klauen oÄ.

Und da ich mir selbst mehr vertrauen als völlig Fremden, ist ein Passwort in meinem Kopf sicherer als ein Passkey auf einem Betriebssystem, über eine App und Infrastruktur, welches von unzähligen Fremden kontrolliert wird.

Es gibt keine perfekte Sicherheit, aber ein Passwort ist in der Realität (Praktikabilität) für den gemeinen User einem Passkey um Welten unterlegen. Dass es einzelne Szenarien gibt wo ein Passwort tatsächlich vlt. noch die bessere Wahl darstellt ist sicher gegeben, aber die Ausnahme.

Wie geschrieben, ging es mir beim Vergleich nicht um die Praktikabilität.
Variablen wie den Mensch, Softwaresicherheit, Erweiterungen, Übermittlungswege, usw. kann niemand vorhersehen.

Mir ging es einzig und alleine darum, dass in der gesamten Kette ein Passkey ausschließlich auf Vertrauen von völlig Fremden basiert und beim Passwort zumindest ein einziges Glied in der Kette wirklich sicher ist, nämlich der Gedanke.

Während ein Passwort erst unsicher sein kann, wenn es den Gedanken verlässt, kann ein Passkey von Anfang an unsicher sein, sobald die Quellen vollautomatisiert in großem Umfang von Dritten unsicher gemacht wird.
Man braucht lediglich einen Bug oder eine weitere Software, welche gegen meinen Willen auf meine Passkeys zugreift bzw. die Genehmigung zum Einloggen freigibt. Das ist nur eine Frage der Zeit und kann von überall auf der Welt passieren.
Auf meine Gedanken kann aber niemand - und schon gar nicht automatisiert - von einem beliebigen Ort auf der Welt zugreifen.

Meine Kernaussage bleibt:
Bei Passkeys muss man zu 100% auf der gesamten Kette fremden Menschen vertrauen. Vom Anfang bis zum Ende.
Bei einem Passwort ist lediglich die Quelle sicher, da niemand in den Kopf eindringt.

In der Praxis ist und bleibt aber beides unsicher!
Man hat lediglich die Wahl, ob man die Quelle - den Gedanken - als buchstäblich letzten sicheren Faktor aufgeben bzw. in die Hände Dritter legen möchte.

Die einzige Sicherheit - bei beiden Varianten - ist ein zweiter Faktor, der nicht auf demselben Gerät ausgeführt wird.

Und weil meine Passwörter im Kopf schneller, einfacher, unabhängig von Geräten ist und sicher sind, habe ich mich gegen Passkey entschieden und verbinde es mit 2FA.

 

[NJay]

Ein Passkey ist aber wie ein physischer Schlüssel, an ein Gerät gebunden und ich kenne es nicht mal.
Die einzigen, die es kennen, sind die (US-)Anbieter, denen ich vertrauen muss.

Sorry, aber das ist Schwachsinn.

Wenn du dir sorgen machst, dass dein Passkey im Browser abgefangen wird, warum sollte das dann nicht mit deinem Passwort passieren? Du musst deinem OS und Browser IMMER vertrauen, egal ob du nun Passwörter oder Passkeys oder dich mit einem Dickpick authentfizierst.

Ergänzung (Sonntag um 14:31)

Die andere Schwachstelle ist dann der Browser, der sowohl das Passwort als auch die Passkey-Signatur weiterverwenden kann.

Das stimmt nicht. Ein Anmeldeversuch per Passkey ist nur genau einmal gültig. Wenn du die Daten mitschneidest kannst du sie nicht dazu verwenden, dich später auf einer anderen Seite oder auf der selben Seite erneut anzumelden. Mit einem Passwort geht das potentiell.

 

[Hypothek]

@NJay
Ich habe nie behauptet, dass es beim Passwort nicht passiert und es mehrmals ausführlich geschildert.
Und das "Mitschneiden" habe ich mit einem Link hinterlegt und Kompromittierung der Quelle erklärt. Es stimmt also schon.

 

[NJay]

Da fängt es bereits an.
Es braucht ein Gerät! +1 Angriffsfläche
Das Gerät braucht eine Software für Passkeys! +1 Angriffsfläche
Die Software wird von jemandem entwickelt! +1 Angriffsfläche
Man braucht Backups. Die meisten wählen Clouds aus Bequemlichkeit. +1 Angriffläche
Usw.

Das ist Schwachsinn. Wie loggst du dich auf einer Webseite ein? Du brauchst ein Endgerät (+1 Angriffsfläche). Dann brauchst du entweder eine Software als Passwortmanager (+1 Angriffsfläche), aber auf jeden Fall den Browser (+1 Angriffsfläche), dieser Browser ist von jemandem entwickelt (+1 Angriffsfläche). Du musst dein Passwort ja auch irgendwo speichern, weil man kann es ja vergessen (+1 Angriffsfläche)... und so weiter.

Wenn ich zu einem Freund gehe und dort mein Login für z.B. Amazon eingebe:
Mein Passwort ist nur im Kopf -> kein Gerät der Welt kann es klauen
Der zweite Faktor wird zwar über ein Gerät empfangen, dieses ist aber nicht mit meinem Passwort / Kopf verbunden.
Mein Passwort im Kopf kann durch keine Bugs, Trojaner, Keylogger, etc. verschwinden.

Ich komm vorbei und bringe dich mit einem Baseballschläger schnell dazu mir dein Passwort zu sagen.
Dein Passwort im Kopf kann zwar nicht per Keylogger abgefangen werden, aber sehr wohl beim eingeben in dein Endgerät.

Es braucht keine Backups, weil Gedanken sicherer als jede Cloud ist.

Achso, du hast noch nie in deinem Leben etwas vergessen?

Beide Systeme haben gemeinsam, dass sowohl das Passwort als auch Passkey auf dem Weg zum Ziel abgefangen werden kann. (wie verlinkt -> Passkey verlässt zwar nicht mein Gerät, wird aber trotzdem auf dem Weg abgefangen und kann missbraucht werden)

Du hast ne ganz schön viel Meinungen für jemanden der 0 Verstanden hat wie Passkeys funktionieren. Der Passkey wird NIEMALS übertragen. Er kann nicht auf dem Weg zum ziel Abgefangen werden, da er NIE übertragen wird. Passkeys basieren auf asymmetrischer Kryptografie. Dabei wird nie dein privater Schlüssel übertragen, weil er nicht benötigt wird, sondern du signierst eine einzigaritge Nachricht, den der Server dir sendet.

Ergänzung (Sonntag um 14:42)

@NJay
Ich habe nie behauptet, dass es beim Passwort nicht passiert und es mehrmals ausführlich geschildert.
Und das "Mitschneiden" habe ich mit einem Link hinterlegt und Kompromittierung der Quelle erklärt. Es stimmt also schon.

Dein Link zeigt wie man per Malicious Browserplugin Schaden anrichtet, der Angriff geht nahezu genauso auch bei Passwörtern.

 

[Amiga500]

Um mal wieder ein wenig zurück zu kommen. Passkey ist eigentlich nur dann sinnvoll, wenn ich auf meine "Accounts" irgendwo anders als zu hause zugreifen möchte ?

Wenn ich aber meist alles zuhause mache, ist Passkey nicht wirklich erforderlich!?


Dennoch wenn ich Passkey einrichte über mein Handy, wäre es ja besser mit den Google Account da der ja überall vertreten ist.

Sprich der Passkey wird dann in der Google Cloud hinterlegt, richtig? Ich hätte in Google ein gewisses maß an Grundvertrauen das sie für Sicherheit ihrer Server sorgen..ABER was wenn doch mal ne Sicherheitslücke auf deren Cloud zugriff anderer hätten? Was könnten die dann mit den Passkeys anstellen?

Und wie kann man so einen Passkey auch Lokal sichern?

 

[NJay]

Um mal wieder ein wenig zurück zu kommen. Passkey ist eigentlich nur dann sinnvoll, wenn ich auf meine "Accounts" irgendwo anders als zu hause zugreifen möchte ?

Wenn ich aber meist alles zuhause mache, ist Passkey nicht wirklich erforderlich!?

Nein, das hat nichts miteinander zu tun.

Sprich der Passkey wird dann in der Google Cloud hinterlegt, richtig? Ich hätte in Google ein gewisses maß an Grundvertrauen das sie für Sicherheit ihrer Server sorgen..ABER was wenn doch mal ne Sicherheitslücke auf deren Cloud zugriff anderer hätten? Was könnten die dann mit den Passkeys anstellen?

Natürlich kann Google deine Passkeys verlieren. Eventuell verschlüsseln sie die nochmal mit deinem Passwort (so ist es mwn bei Apple), aber das musst du bei Google erfragen.

Und wie kann man so einen Passkey auch Lokal sichern?

Eventuell bietet Google einen export an, ansonsten kannst du deine Passkeys eben in einem anderen Tool erstellen udn verwalten, z.B. Keepass, Vaultwarden, Bitwarden, etc. Die meisten gängingen Passwortmanager sollten Support haben.

 

[nurmalsoamrande]

Dennoch wenn ich Passkey einrichte über mein Handy, wäre es ja besser mit den Google Account da der ja überall vertreten ist.

Sprich der Passkey wird dann in der Google Cloud hinterlegt, richtig? Ich hätte in Google ein gewisses maß an Grundvertrauen das sie für Sicherheit ihrer Server sorgen..ABER was wenn doch mal ne Sicherheitslücke auf deren Cloud zugriff anderer hätten? Was könnten die dann mit den Passkeys anstellen?

Und wie kann man so einen Passkey auch Lokal sichern?

Du hast das Prizip eines Passkeys noch nicht verstanden.

Stell es dir so vor:

Du hast einen Briefkasten. Zu diesem Briefkasten gibt es 2 Schlüssel. Du hast den ersten, auch "Privaten Schlüssel". Mit diesem Schlüssel kannst du deinen Briefkasten auf- und abschließen.
Am Briefkasten hängt jetzt noch ein Bändchen mit einem 2ten Schlüssel. Dieser Schlüssel kann deinen Briefkasten NUR abschließen, er kann das Schloss NICHT öffnen. Dass ist der "Öffentliche Schlüssel"

Das Login sieht jetzt wie folgt aus:

Du sagst einer Webseite: Ich, der User Max Mustermann, möchte mich einloggen

Die Webseite wird dir eine Nachricht in deinen Briefkasten legen. In dieser Nachricht liegt ein Passierschein drin, dessen Empfang du quittieren (Signieren) musst. Außerdem hat dir die Webseite die eigene Geburtsurkunde, den eigenen Personalausweis und den Einwohnermelderegisterauszug notariell beglaubigt beigelegt, um sich selbst zu identifizieren. Dann nimmt die Webseite den öffentlichen Schlüssel und verschließt den Briefkasten.

Da du der einzige bist, der Zugriff auf den Privaten Schlüssel hat, kannst nur du den Briefkasten wieder öffnen, den Passierschein herausholen und die Identität der Webseite gegen deine Erwartungen prüfen. Stimmt was mit den beigefügten Unterlagen nicht, wirst du den Passierschein nicht unterschreiben. Ist alles in Ordnung mit den papieren, wirst du den passierschein unterschreiben und der Webseite zurückgeben. Die Webseite kann somit sehen: Ja, dass ist der Passierschein, den sie dir in deinen Briefkasten gelegt mit deiner Unterschrift drauf.

Damit hat die Webseite nachgewiesen, dass sie die Webseite ist, von der sie behauptet zu sein und du hast nachgewiesen, dass du derjenige bist, der rein darf.

Wenn jetzt eine Phishing-Seite z.B. als Amazon.de ausgibt, dann wirst du anhand der Unstimmigkeiten der Identitätsdokumente sagen können: Moment, da stimmt was nicht, das unterschreibe ich nicht.

Kannst du nicht den Original-Passierschein korrekt quittieren, wird dich die Webseite nicht hereinlassen.

Daher ist es auch nicht schlimm, wenn jemand den öffentlichen Schlüssel bei Google oder Amazon oder sonst wo klaut, da er sich nicht korrekt ausweisen kann, wird der Prozess des Logins auf deiner Seite abgebrochen.

Dein Privaterschlüssel wird in der sicheren Enklave deines Betriebssystems gespeichert. An die Enklave kommt nichtmal ein Root-Admin ran. Der Schlüssel ist IMMER Lokal. Beim erstellen eines Passkeys wird eine Betriebssystemfunktion aufgerufen, die IMMER zuerst die Entsperrfunktion des Betriebssystem auslöst (Fingerabdruck, Pin, Muster, FaceID, Windows-Login oder was auch immer dein System verwendet(verwenden kann). Bei der Gelegenheit KANN sich ein Passwortmanager melden und anbieten, dass der Private Schlüssel bei Ihm gespeichert wird statt in der sicheren Enklave des Gerätes.

Da dein Gerät aber NIEMALS deinen Privaten schlüssel versenden wird, kann er auch niemals abgegriffen werden. Beim öffentlichen Schlüssel ist es egal, es darf dir ruhig jedermann eine Nachricht (Challange) schicken, aber wenn jemand anders als du erwartest diese schickt, wird der Loginvorgang automatisch mit einer Fehlermeldung abgebrochen.

Ein Passkey ist somit per SE immer eine MFA- Authenfizierung, weil es IMMER etwas erfordert was du weißt und etwas, was du besitzt.

 

[LiniXXus]

Genau das ist auch der Unterschied zu einem Passwort, der tatsächlich auf einer Webseite verschlüsselt vorliegen würde. Denn ansonsten würde ein Passkey keinen Sinn ergeben.

 

[Fanchen]

@LiniXXus Nein. Wenn ein Passwort verschlüsselt vorliegt, macht die Webseite gehörig etwas falsch. Passwörter werden gehasht, das ist keine Verschlüsselung.

 

[LiniXXus]

Ich bin sogar noch einen Schritt weiter gegangen und habe mir einen Fido2 Schlüssel als USB Stick gekauft. Der kann per USB-C angeschlossen werden und auch per NFC, kontaktlos.

Funktioniert leider aber nur zum Teil und ist sehr stark vom Betreiber einer Webseite anhänig. Auslöser war ein neues Tablet von mir, was keinen Fingerabdrucksensor hat. Mit dem PC kann ich ein Passkey per Code eingeben oder die Freischaltung mit dem Handy bestätigen. Geht auch mit dem Authenticator per Handy.

Mit dem Fido2 Sicherheitsschlüssel wird ein 6-Stelliger Pin eingerichtet und dann muss nach der Pin Eingabe eine Taste gedrückt werden. Mit dem Windows Rechner funktioniert dieses mit Google und Amazon auch mit meinem Opera Browser. PayPal möchte aber hierzu den Chrom als Browser haben.

Auf Android funktioniert es aber zum Teil nicht, da es mit speziellen Apps nicht zugelassen oder eingerichtet wurde. Zum Beispiel geht es mit der PayPal App auf Android nicht, weil zwar der Vorgang abgerufen wird, aber nachdem ich die Taste drücken eine Fehlermeldung kommt.

Auf dem Handy und dem Tablet funktiert es daher zum Teil gar nicht. Mit dem OnlineBanking meiner Sparkasse geht es auch nicht. Mit dem Handy geht es per Fingerabdrucksensor. Aus diesem Grund muss ich mit dem Handy oder dem Tablet weiterhin die vorherigen Methoden weiter verwenden und das sind: Fingerabdruck, Gesichtserkennung oder Passwort + ggf. den Authenticator.

@LiniXXus Nein. Wenn ein Passwort verschlüsselt vorliegt, macht die Webseite gehörig etwas falsch. Passwörter werden gehasht, das ist keine Verschlüsselung.

Ja gut, ich meinte das sie nicht in Klartext vorligen.
Habe früher selber ein Forum betrieben und die Passwörter lagen auch nicht in Klartext vor.

Ergänzung (Gestern um 07:29)

Zum Fido2 Sicherheitsschlüssel muss ich aber mit hinzuschreiben, das ich jetzt erstmalig so ein Teil bei mir habe und ich noch am einlernen bin.