ComputerBase Menü
Aktuelles

News PayPal: Passkeys sollen Passwörter ersetzen

RogueSix schrieb:
Hmmm... wird der Passkey in einer lokalen Datei gespeichert? Und wenn ich mir einen fiesen Virus einfange, dann kann der Angreifer mit dem Passkey nach Lust und Laune auf mein PayPal Konto zugreifen?
Zum Vergrößern anklicken....
Nein, die private keys sollen hierbei eben nicht in einer Datei zugreifbar sein, sondern nur in einem "sicheren Element" wie einem TPM oder Hardware-Token (yubikey) vorhanden sein.

Autokiller677 schrieb:
Was passiert bei Passkeys, wenn ich den Zugang zu allen registrierten Geräten verliere? Müssen meine Backups in Zukunft dann billige Smartphones sein? Kann ich die Keys als Klartext exportieren und ausdrucken (wäre eigentlich mein Favorit, um ein Fallback zu haben, was nicht von Technologie abhängig ist)?

Die FAQs (https://fidoalliance.org/passkeys/#faq) sagen dazu nix.
Zum Vergrößern anklicken....
Statt einem Backup des private key wird auf Redundanz gesetzt, also immer mindestens zwei Geräte mit passkeys einrichten. Dann führt der Verlust eines Geräts nicht zum Verlust des Zugangs. Die FAQ erwähnt übrigens, dass ein yubikey auch als Recovery-Zugang genutzt werden könnte, falls alle Geräte mit passkey verloren gehen.

Die single-device passkeys sind vergleichbar mit anderen private keys, die nur auf dedizierter Hardware leben (HSM, smartcard, ssh private key auf yubikey, ...). Durch fehlende key export Möglichkeiten steigt die Sicherheit, aber Backups sind nicht mehr möglich. In der Regel ist einfache oder doppelte Redundanz aber genauso zuverlässig wie ein key backup.
Das stimmt natürlich nicht für die multi-device passkeys die in die Cloud wandern können. Hier scheint Bequemlichkeit Vorrang vor Sicherheit zu haben.
 
  • Gefällt mir
Reaktionen: RogueSix
Muss ich dann jedes Mal, wenn ich einen neuen Passkey einrichte, meinen Yubikey aus dem Bankschließfach holen oder wo auch immer der dann ist? Das wäre nicht sehr praxistauglich... oder ist es für alle Dienste das gleiche Keypair, so dass ich das Backup nur einmal machen müsste?
 
dev/random schrieb:
Nein, die private keys sollen hierbei eben nicht in einer Datei zugreifbar sein, sondern nur in einem "sicheren Element" wie einem TPM oder Hardware-Token (yubikey) vorhanden sein.
Zum Vergrößern anklicken....
Ist das gesichert (das dies nicht möglich sein wird) ? Das wäre ein riesen Drawback. Ich kann meine Keys selber mit meiner Software managen. (Geht ja bei SSH Keys auch) wenn der DAU das in einem vom OS zu Verfügung gestellten secure enclave speichern will kann er das ja machen, ich will aber selber die Kontrolle über meine Keys behalten.
 
Die Lösung dafür sind dann Yubikeys o.ä.

Irgendwelche Dateien, die von Malware leicht manipuliert oder entwendet werden können sind halt eher suboptimal.
 
Man kann natürlich pro Hardware-Device damit argumentieren das wenn mein Rechner infiziert wird zumindest mir nicht der Key geklaut.
Das Ding ist aber, dieses Hardware-Device hab ich ja nicht aus Jux&Dollerei, sondern will es irgendwann ja auch mal benutzen. Ich will mich damit in mein Online-Banking einloggen, mein Paypal verwalten, wasauchimmer. Wenn mein PC infiziert ist hat halt spätestens dann die Malware die Chance meine Sitzung zu übernehmen und da Schmu zu machen.

Ist also beileibe nicht so das infizierte Rechner jetzt plötzlich kein Problem mehr sind. Wenn es also dafür die Lösung sein soll, dann ist sie eher unvollständig. :-)
 
Natürlich sind Hardware-Token nicht das Allheilmittel. Wenn der Rechner infiziert ist, hat man immer ein Problem.
Aber mit Hardware-Token ist es ein viel geringeres Problem, da nur die aktuellen Sitzungen betroffen sind aber nicht der private key. Das limitiert den Schaden und senkt den Wiederherstellungs-Aufwand im Vergleich zu einem überall gültigen Passwort, einem lokal im Dateisystem oder Browser verfügbaren (backup) key oder auch einem kompromittierten Passwort-Manager.
Aber ob das den zusätzlichen Aufwand für ein Token wert ist muss halt jeder für sich selbst entscheiden.

Nachtrag: Theoretisch hätten Token wie yubikey noch den Vorteil, an jedem Gerät verwendbar zu sein. Leider fehlt diese Token-Unterstützung gerade bei Smartphone-Apps von Banken, Paypal, usw., obwohl das sowohl per NFC wie USB technisch machbar wäre.
 
Zuletzt bearbeitet:
Ich wollte ja auch nur den Eindruck entgegentreten das ein infizierter PC nicht mehr ganz so schlimm sei.
Und ja. Das mag dann sicher besser sein wenn nicht alle Logins betroffen sind aber je nachdem welche Sitzung betroffen ist, ist das schon schlimm genug um mal beim Beispiel Online-Banking zu bleiben. Vor allem wie kulant reagiert die Bank im Schadensfall. Bei Passwort-Logins habe ich vermutlich noch ganz gute Chancen. Beim nem Hardware-Device der als sicher gilt wirds dann vielleicht schon schwieriger.

Außerdem macht so ein Hardware-Device auch neue Bedrohungsfelder auf. Wenn mein Laptop weg kommt dürfte das in aller Regel ziemlich schnell auffallen. So ein USB-Stick großes und leichtes Hardware-Device merke ich vermutlich eher später.

Ich will das jetzt gar nicht schlechtreden oder so. Aber sind halt Dinge, über die man mal reden sollte. Denn Du sagst ja selber das diese Dinge kein Allheilmittel sind. Nur wird von den Befürwortern sehr viel über etwaige Vorteile gesprochen und nicht gerade offensiv über die Grenzen und möglichen Probleme.
Dann darf man sich über ne generelle Skepsis auch nicht wundern.

dev/random schrieb:
obwohl das sowohl per NFC
Zum Vergrößern anklicken....
Genau. Das Hardware-Device über Funk verfügbar machen. Was soll da schon schief gehen. :-)

Aber das zeigt sehr schön in welche Richtung es vermutlich laufen wird. Da wird eine eigentlich gar nicht mal so verkehrte Idee durch Features und Bequemlichkeitsfunktionen in ihrer Sicherheit so weit herab gesetzt, das man dann am Ende doch nicht mehr so viel gewonnen hat.
 
M-X schrieb:
Ein unflexibles Hardware Device ist für mich keine Lösung. Wir werden sehen. Kann mir kaum vorstellen das man nicht an die Passkeys ran kommt.
Zum Vergrößern anklicken....
Kannst ja aktuell mal versuchen an Bitlocker Keys o.ä. was heute schon im den geschützten Bereichen liegt ran zu kommen. Wäre mir neu, dass das einfach ginge.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
News Passkeys: Google läutet die Zukunft ohne Passwörter ein
14 15 16
Antworten
318
Aufrufe
32.770
tusen_takk
tusen_takk
kim88
Leserartikel Gnome-Projekt: Ein Quantensprung in der digitalen Infrastruktur durch die Finanzierung des Sovereign Tech Fund?
Antworten
14
Aufrufe
1.139
netzgestaltung
netzgestaltung
XMG Support
[Umfrage] Sollten herkömmliche Ladebuchsen an Laptops verschwinden, so dass künftig nur noch über USB-C geladen werden kann?
2
Antworten
21
Aufrufe
4.637
Dautzinator
Dautzinator
K
Schutzkonzept für E-Mails, Passwörter usw
Antworten
3
Aufrufe
1.859
Knuddelbearli
K
XMG Support
  • Angepinnt
[Sammelthread] XMG NEO (E23) mit RTX 40 und Intel Core HX-Serie
5 6 7
Antworten
122
Aufrufe
31.369
stronzo46
S
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz