News PayPal: Passkeys sollen Passwörter ersetzen

[BmwM3Michi]

der Artikel/Thread ist von 2022, sorry dass ich den ausgegraben habe. Aber ich bin wohl nicht der einzige, der Passkeys noch nicht so richtig versteht! -)

 

[Autokiller677]

Passkey soll 2FA ersetzen. Natürlich kann man das nochmal zusätzlich aktivieren, führt aber die ganze geplante Vereinfachung absurdum.
Der ansonsten wird der 2. Faktor nur einmalig benötigt, wo wie sich das ließt. Nämlich dann wenn das Gerät erstmalig angemeldet wird. Aber dann nicht wieder. Trojaner freut da übrigens, die müssen nicht warten.

Ob jetzt Passwort, Passkey oder OTP Code für 2FA - wenn jemand meinen entsperrten PC hat und ich mich dagegen entscheide, beim Passwort-Manager nochmal eine Authentifizierung vor dem Zugriff auf Zugangsdaten zu erfordern, kann diese Person sich überall anmelden. Ist schließlich alles dann frei zugänglich.

Wenn man 2FA OTP Codes nicht im PW Manager hat, sondern nochmal in einer gesonderten App / nur auf dem Smartphone, kann man das mit Passkeys in Zukunft ja genauso machen - dann hat man das ganze Problem von "Passkey auf dem PC" einfach gar nicht.

Es macht also alles effektiv keinen Unterschied. Entsperrter PC mit Zugriff auf Zugangsdatenverwaltung ist halt Supergau. Nur kann man Passkeys im ggs. zu Passwörter oder OTP Seeds immerhin nicht so leicht mitnehmen.

2FA verhindert diese Methode effektiv

Nö. In allen PW Managern die ich kenne, kann man den OTP Seed wieder anzeigen lassen - und genauso abschreiben. Da wird gar nix verhindert.

das ist das Problem der Serverbetreiber. Wenn man Sessions endlos macht wie YT, wo nicht man ein Passwört change diese ungültig werden lässt, dann ist das klar, das gefährlich ist. Normalerweise sollte aber nicht das Problem des Kunden sein. Darum haben YT Channel Betreiber auch so ein Problem mit den Stealer Trojanern / Scripts.

Was jetzt, ist es ein Problem des Betreibers (YT) oder des Kunden (Channel Betreiber)?

Ja, effektiv ist es ein Versäumnis des Anbieters, kommt aber auch daher, dass die User genervt davon sind, wenn sie sich regelmäßig wieder einloggen müssen.
Aber das Problem und den Stress, wenn es zu einem Sicherheitsvorfall führt, hat da nicht der Serverbetreiber, sondern der Kunde, dessen Account missbraucht wurde.

Ergänzung (10. Mai 2026)

Klar kann man, wenn der PW Manager es ermöglicht

Soweit ich weiß, geht das wenn über einen Export des Tresors / oder zumindest einzelner Einträge, aber nicht über Abschreiben oder einfach Copy & Paste wie bei Passwörtern. Oder irre ich mich da?

Und ich kenne keinen PW Manager, der bei einem Export nicht nochmal das Master-Passwort abfragt. Das sollte im Normalfall also selbst bei entsperrtem PC nicht so trivial sein.

Idealerweise würden PW Manager mindestens auch für das Einblenden von OTP Seeds nochmal das Master-PW verlangen. Hab ich aber glaube ich noch nie gesehen.

 

[Sebbi]

Was jetzt, ist es ein Problem des Betreibers (YT) oder des Kunden (Channel Betreiber)?

wie ich sagte, EIGENTLICH sollte das nicht das Problem des Kunden sein, Betreiber wie YT machen es aber dazu.

Ja, effektiv ist es ein Versäumnis des Anbieters, kommt aber auch daher, dass die User genervt davon sind, wenn sie sich regelmäßig wieder einloggen müssen.

Wenn nicht mal ein Passwort Wechsel den Session Cookie ungültig werden lässt, dann ist das nicht nur ein Versäumnis des Anbieters, sondern einfach Ignoranz.

Aber das Problem und den Stress, wenn es zu einem Sicherheitsvorfall führt, hat da nicht der Serverbetreiber, sondern der Kunde, dessen Account missbraucht wurde.

das ist in Falle von YT ja leider das Problem, vorallem weil die ja auch nichts dran ändern, da die Datenschutzrichtlinien nicht mal ansatzweise so sind in den USA. Würden die in der EU ihren Hauptsitz haben, wäre da schon längst mindestens das eingeführt, das bei einen PW auch alle bisher verteilten Session Cookies ungültig werden.

OTP Seeds immerhin nicht so leicht mitnehmen.

Nö. In allen PW Managern die ich kenne, kann man den OTP Seed wieder anzeigen lassen - und genauso abschreiben. Da wird gar nix verhindert.

Wer über den PW Manager OTP Codes gleich mit einträgen lässt, dem ist nicht mehr zu helfen. Dann braucht er auch keine 2FA.
2FA nur via gesonderten Gerät, auf welchen ein ggf vorhandener Trojaner im Moment des Einloggens keine Zugriff hat. Alles andere ist strunzdämlich und die Leute haben dann ihre Verluste verdient.

Wenn man 2FA OTP Codes nicht im PW Manager hat, sondern nochmal in einer gesonderten App / nur auf dem Smartphone, kann man das mit Passkeys in Zukunft ja genauso machen

Ja muss man auch so machen, da ansonsten der Passkey alleine reichen würde und ein Stealer Tojaner sich über Passkeys in Grund und Boden lacht.
Dann kann ich das aber auch mit Passwort und ortentlichen 2FA machen und habe noch den Vorteil, das meine Daten nur beim Anbieter und mir und noch bei einen dritten wie MS oder Google, der mit den Daten noch ggf Kohle machen kann.

 

[andy_m4]

Ich sehe es ja so, das Passkeys in der Theorie sicherer als Passwörter sind.

Passwörter haben aber den Vorteil, das sie einfach zu verstehen und zu handhaben sind. Es ist einfach trivial zu verstehen, das ein Passwort ein Geheimnis ist was man nicht weiter geben sollte. Irgendein Kryptoschlüssel in irgendeinen Chip oder App ist schon sehr viel schwieriger zu verstehen.
Ein Passwort kann ich notfalls auch mal trivial weiter geben. Ich kann Passwörter benutzen, ohne irgendein spezielles Gerät, spezielle App oder sonst was zu haben. Es reicht ein Stück Papier um mit ein Passwort zu notieren (und dann z.B. zusammen mit meinem Testament in einen Safe zu legen).

Was der Sicherheitsgewinn angeht, ist der in der Praxis vermutlich auch kleiner als geglaubt. Weil Anbieter bei denen bisher die Sicherheit schon löchrig war, so das man einen Authentification bypass machen konnte, die werden das bei Passkeys ja nicht auf magische Weise plötzlich besser implementieren.

Auch bei Usern z.B. bei Social-Engineering-Angriffen, wo der User ja verleitet wird was zu tun. Und ob der jetzt ein Passwort eingibt um eine Überweisung zu legitimieren oder das Passkey-Gehampel macht, macht auch keinen Unterschied.

Spannend wird es sicher auch werden, was etwaige Schuldfragen angeht. Bei Passwörtern ist halt inzwischen akzeptiert, das die unsicher sind. Das heißt, wenn da was passiert, kriegt man das oftmals noch gut in Absprache geregelt.

Wenn man dann erst mal Passkeys wird die Gegenseite erst mal behaupten können: "Wir haben hier das super krass sichere Passkey-System. Wenn da was nicht so läuft wie vorgesehen, dann hat es auf jeden Fall der User verbockt, weil an unserem krass guten Passkey-System kanns ja nicht liegen."

Wie sehr Sicherheit in der Praxis erodiert, haben wir doch schon bei 2FA-Authentifizierung gesehen. Denn so ein 2.Faktor ist natürlich erst mal sicherheitstechnisch ein Gewinn. Aber das eben auch nur, wenn man es richtig macht. Sprich: 2 getrennte Geräte usw. usw.

Und selbst bei Banken, wo man ja denkt "Hier kommt es wirklich auf Sicherheit an" hat man teilweise 2FA so realisiert, das es neben der Banking-App noch eine weitere Transaction-App auf dem selben Handy gibt, was bequem ist aber natürlich den 2FA-Gedanken total ins ad absurdum führt.

Und ähnliche Effekte werden wir bei Passkeys vermutlich auch sehen. Als erstes vermutlich beim Key-Backup. Weil Key-Verlust bedeutet Totalverlust. Also werden alle Anbieter einen Sync in ihre Cloud anbieten was irgendwie ja der Idee eines Secrets zuwiderläuft. Aber Bequemlichkeit siegt ja meistens.

Plus den Umstand, das ich mir jetzt noch einen weiteren Anbieter (den Passkey-Anbieter) reinhole dem ich vertrauen muss (also auch im Sinne, das der seine Arbeit ordentlich macht; und das wollen wir insbesondere deshalb hoffen, weil der ein sehr attraktives Angriffsziel ist).

Und ja. Kann sein, das das am Ende mit den Passkeys trotzdem sicherer/besser ist als mit Passwörtern. Aber das bleibt eben abzuwarten, wie groß der Unterschied in der Praxis dann tatsächlich ist.

 

[frazzlerunning]

Der Vorteil ist ja schonmal, dass sich die User keine Passwörter mehr ausdenken und merken müssen. Damit ist die 'Gefahr' weg, für viele Dienste dieselben Passwörter (oder mit geringen Unterschieden) wiederzuverwenden.

Und ja: Apple, Alphabet und Microsoft bieten über die hauseigenen Clouddienste die Synchronisation der Passkeys 'auf alle Geräte' an. Auch die Passwort-Manager machen das natürlich. Der Komfort für die User soll ja steigen, um von den unsichereren Passwörtern (zu kurz, nur Zahlen, einfach sozial zu engineeren, oft wiederverwendet, per Wörterbuch angreifbar... ) wegzubekommen.

Und Passkeys haben einen weiteren Vorteil: Du kannst sie auf fremden Geräten nutzen, ohne dass sie dort abgegriffen werden können: Die Authentifizierung passiert auf einem bekannten Gerät. Also zb. Internet-Cafe und mal schnell Mails antworten.
https://www.bsi.bund.de/DE/Themen/V...eys/passkeys-anmelden-ohne-passwort_node.html

Weil der Passkey unter anderem aus einem geheimen Schlüssel besteht, der beispielsweise auf Ihrem Smartphone hinterlegt ist, stellt sich die Frage, wie Sie sich dann etwa am PC in einen Account einloggen. Dazu gibt Ihnen der Dienst, bei dem Sie sich mit Ihrem PC anmelden möchten, die Möglichkeit, sich trotzdem mit dem Smartphone zu authentisieren. Sie wählen am Computer Ihr Smartphone als Anmeldegerät aus und erhalten die Aufforderung, einen QR-Code vom PC-Bildschirm zu scannen. Gleichzeitig müssen beide Geräte über eine eingeschaltete Bluetooth-Verbindung verfügen. Nun bestätigen Sie den Login als würden Sie sich auf Ihrem Handy einloggen, zum Beispiel per Fingerabdruck. Wurde der kryptografische Vorgang erfolgreich aufgelöst, gibt der Dienst Ihren Account auf dem PC frei.

Des weiteren:

Weil Anbieter bei denen bisher die Sicherheit schon löchrig war, so das man einen Authentification bypass machen konnte, die werden das bei Passkeys ja nicht auf magische Weise plötzlich besser implementieren.

Passkeys sind ein branchenweit standardisiertes Tool, dass die Anbieter über fertige Bausteine sicher einsetzen können. Da soll nicht jeder seine eigene Lösung implementieren. Es gibt fertige SDKs.

 

[andy_m4]

Der Vorteil ist ja schonmal, dass sich die User keine Passwörter mehr ausdenken und merken müssen.

Naja. Die Thematik wurde ja eigentlich durch Passwort-Manager erschlagen. Aber ja. Viele Nutzer lassen sich dazu verleiten einfache Passwörter zu nehmen und Passwörter für verschiedene Dinge zu recyclen.

Ist halt die Frage, was langfristig der zielführende Weg ist. Das der Nutzer Kompetenz aufbaut und die nötige Sensibilität hat oder ob wir alles DAU-sicher machen und dann auch hoffen, das wir nicht hier und da übersehen haben ein paar Absperrzäune hinzustellen. Erfahrungsgemäß sind Nutzer ja sehr kreativ.

Und ja. Man kann natürlich beides machen: Kompetenzaufbau und Sicherheitszäune aufbauen. Aber man setzt halt sehr stark und einseitig auf Letzteres. Was aber auch logisch ist. Weil das befördert Abhängigkeit. So kann man hinterher dem Nutzer wieder einen Dienst andrehen, der das für ihn macht.

Auch die Passwort-Manager machen das natürlich.

Mein Passwort-Manager macht das nicht. :-)
Aber ja. Die Problematik hat man auch dort.
Das Ding ist, sobald Secrets die Hand des Nutzers verlassen, sind sie potentiell nicht mehr geheim. Ist also eine sehr schlechte Idee

Jahrelang haben wir die Nutzer umständlich erzogen, das sie eben ihre Passwörter, PIN usw. eben nicht an irgendwelche dahergelaufenen Leute verraten.

Diese ganzen "guck mal du kannst hier ganz bequem backuppen/sychronisieren"-Services machen dieses Learning kaputt.

Du kannst sie auf fremden Geräten nutzen, ohne dass sie dort abgegriffen werden können: Die Authentifizierung passiert auf einem bekannten Gerät. Also zb. Internet-Cafe und mal schnell Mails antworten.

Das will ich schon deshalb nicht machen, weil ein kompromittiertes Gerät auch einfach die Browser-Session übernehmen kann.
Wer mit solchen Beispielen argumentiert, wirft die User vor den Bus. Bravo.

Passkeys sind ein branchenweit standardisiertes Tool, dass die Anbieter über fertige Bausteine sicher einsetzen können. Da soll nicht jeder seine eigene Lösung implementieren. Es gibt fertige SDKs.

Ähm. Zu Passwörtern gibt es genauso fertige Standardlösungen, die man nutzen kann. Da muss (und sollte!) auch niemand was Eigenes implementieren.

 

[ComputerJunge]

Sprich: 2 getrennte Geräte usw. usw.

Wobei ich zwei getrennte Apps auf einem Gerät in der Praxis bereits für ausreichend sicher halte. Zwei getrennte Geräte sind für den Breiteneinsatz halt einfach nicht tauglich, weil sie nicht auf die notwendige Akzeptanz stoßen.

 

[Sebbi]

Wobei ich zwei getrennte Apps auf einem Gerät in der Praxis bereits für ausreichend sicher halte.

und ein Stealer der beide Apps auf dem Gerät sieht bedankt sich ..... er das auf einen Gerät zusammen hat, der braucht keine Passkeys, keinen Passwort Manager der die Kennwörter verschlüsselt abspeichert, der braucht keinen 2FA - der kann seine Passwörter im Klartext in einer TXT auf dem der Oberfläche ablegen und die TXT in Wichtige Passwörter - bitte nicht stehlen.txt umbenennen

 

[frazzlerunning]

Und kommt trotzdem (hoffentlich) nicht über die Biometrische Hürde.

 

[andy_m4]

Wobei ich zwei getrennte Apps auf einem Gerät in der Praxis bereits für ausreichend sicher halte.

Kann man drüber streiten.
Immerhin ist die Isolation auf Android/iOS etwas besser als auf den handelsüblichen PC-Betriebssystemen.
Aber trotzdem. Insbesondere bei Dingen wo es wirklich drauf ankommt, sollte man möglichst wenig Risiko eingehen.

Zwei getrennte Geräte sind für den Breiteneinsatz halt einfach nicht tauglich, weil sie nicht auf die notwendige Akzeptanz stoßen.

Würde schon gehen. Man darf die Leute auch nicht unterschätzen.
Außerdem hat eine Hürde ja auch immer eine psychologische Wirkung. Sobald Du gezwungen bist etwas "kompliziertes" zu machen wird Dir auch ins Bewusstsein gedrückt, das es hier um was geht und das Du deshalb sorgfältig prüfen solltest.
Der Fokus ist nicht so da, wenn da einfach nur ein App-Switch kommt wo die Leute auf "OK" tippen sollen.

Kompliziert sein ist also auch ein Sicherheitsfeature. Es soll sich bewusst von normalen gängigen Wisch- und Tippgesten abheben.

 

[Sebbi]

Immerhin ist die Isolation auf Android/iOS etwas besser als auf den handelsüblichen PC-Betriebssystemen.

aber offenbar nicht gut genug. Und solange es noch Jailbreak Moglichkeiten gibt, die außerhalb alternativen Images / Bootloader Hacks funktionieren, wird es auch immer Möglichkeiten für Trojander etc geben, unbefugte Zugriffe zu tätigen.

Ich arbeite daher immer mit den Zero Trust Prinzip

@frazzlerunning deine Hoffnung in allen Ehren, aber wenn lese "Gleichzeitig müssen beide Geräte über eine eingeschaltete Bluetooth-Verbindung verfügen" dann kann man wirklich nur hoffen und beten. Sowas gerade in der heutigen Welt vertrauen zu schenken, ist mehr als schwer.

Vorallem wenn Passkeys ja noch über Dritte gehen.

 

[ComputerJunge]

und ein Stealer der beide Apps auf dem Gerät sieht bedankt sich

Ich schrieb ja von der tatsächlichen Praxis. Fast keiner derjenigen, auf ich mich damit bezog, benutzt für's Banking etwas anderes als ein Handy.
Ich selbst, der das Handy in der grundsätzlichen Regel (*) nur als F2A-Provider für eine lokale HBCI-Lösung verwendet, gehöre zu einer aussterbenden Minderheit.

er das auf einen Gerät zusammen hat, der braucht keine Passkeys, keinen Passwort Manager der die Kennwörter verschlüsselt abspeichert, der braucht keinen 2FA - der kann seine Passwörter im Klartext in einer TXT auf dem der Oberfläche ablegen und die TXT in Wichtige Passwörter - bitte nicht stehlen.txt umbenennen

*: Ich habe die Banking-App für absolute Notfälle auf demselben Handy. Selbst wenn der Dieb Face ID überwinden könnte, hat er immer noch die Hürde, meine - ziemlich lange - Banking Pin wissen zu müssen. Denn im Gegensatz zur F2A-App, habe ich die Banking App genau für einen solchen unwahrscheinlichen Fall nicht für Face ID freigegeben. Und den Passwortmanager natürlich auch nicht. On Top habe ich als letzten Heldennotausgang ein niedriges tägliches Online-Überweisungslimit.

Ich erwarte von (m)einer Bank das Verfahrensangebot, dass mir ermöglicht, einem Zero Trust Prinzip nach dem Stand der Möglichkeiten zu folgen. Das ermöglicht das skizzierte Verfahren. Es ermöglicht aber auch, dass alles auf einem Gerät mit nur einem "Freigabe"-Verfahren erfolgen kann. Weniger Trust, mehr Bequemlichkeit. Aber Dank zweier Apps, immer noch höhere Sicherheit, da beide Apps eine isolierte Authorisierungsstrecke erfordern.

Wenn ich mein 2FA-Gerät verliere oder gestohlen bekomme, muss ich das Gerät so oder so schnellstmöglich bei den Providern de-authorisieren.

@andy_m4: Ich kann natürlich nur für mich und meine Erfahrung sprechen. Aber hier ist meine Erfahrung (für meine Generationskohorte), dass ich die Sensibilität eher überschätze. Daher empfehle ich bei diesbezüglichen Fragen zuallererst, das tägliche Online-Überweisungslimit auf einen verschmerzbaren Betrag zu reduzieren.

 

[Autokiller677]

Dann kann ich das aber auch mit Passwort und ortentlichen 2FA machen und habe noch den Vorteil, das meine Daten nur beim Anbieter und mir und noch bei einen dritten wie MS oder Google, der mit den Daten noch ggf Kohle machen kann.

Wieso liegen deine Daten bei einem Passkey bei MS oder Google? Du kannst Passkeys in Keepass haben. Oder einem selbst gehosteten Bitwarden / Vaultwarden. Oder sogar als Hardware Key.

Auch hier, kein Unterschied zu vorher. Ja, man kann Passkeys bei einem großen Anbieter unterbringen, genauso wie man das auch mit seinem Passwörtern machen konnte, wenn man einfach den PW-Manager in Chrome nutzt oder so.

Für den technisch versierten Nutzer sind Passkeys oder ein gutes 2FA OTP Setup relativ gleich.

Aber die breite Masse würde enorm profitieren, selbst wenn man mit Passkeys nur das Passwort ersetzt und keinen 2FA dazu hat, weil es gleich ganze Angriffsklassen unmöglich macht.
Überall das gleiche Passwort? Nicht mehr möglich.
Passwort auf Post-It (oder in unverschlüsselter Textdatei oder sonstwas)? Nicht mehr möglich.
Phishing-Angriff und Passwort auf gefälschter Seite eingeben? Nicht mehr möglich.

Und die breite Masse ist halt der relevante Faktor. Da passieren viele Sicherheitsvorfälle, da entsteht wirtschaftlicher und persönlicher finanzieller Schaden. Die paar Nerds, die eh schon besser und mit mehr Awarness unterwegs waren, als 99%, sind da nicht relevant.

 

[Sebbi]

Wieso liegen deine Daten bei einem Passkey bei MS oder Google?

weil die die Passkey Provider für den Webservice sein können, der dich gegenüber des Webservice authentifiziert

https://www.descope.com/learn/post/passkeys

Du kannst Passkeys in Keepass haben. Oder einem selbst gehosteten Bitwarden / Vaultwarden. Oder sogar als Hardware Key.

geht ja nicht darum das die den Passkey haben, sondern das die aus deinen Anmeldeverhalten ein Verhaltensprofil bilden können, was sich dann je nach Datenschutzrichtlinien gut versilbern lässt.

 

[M-X]

und ein Stealer der beide Apps auf dem Gerät sieht bedankt sich .....

Sandboxen haben angerufen und wollen deine veraltete Denkweise upgrade. Die "2 App Separierrung" ist bei den meisten Banken mittlerweile Standard. Auch im Enterprise Umfeld wo 2FA zb über den "MS Authenticator" oder andere Apps abgewickelt wird reicht ein Gerät.

 

[Avenger84]

Hi, ich habe auch eine Frage zu PayPal.
Habe dort meinen USB iShield hinterlegt, sowie Aegis als 2FA.
Am Android habe ich den Google Passwort Manager hinterlegt mit meinem Fingerabdruck.

Problem: Manchmal kann ich mich in der PayPal App per Fingerabdruck einloggen, manchmal will er aber auch den 2FA Code.

Das verstehe ich nicht. Dachte Fingerabdruck = Passkey => reicht.

Am PC klicke ich einmal auf den iShield und gut, so soll es ein.

 

[frazzlerunning]

Anscheinend hast du am Android im Passwort Manager nur ein Passwort hinterlegt, und brauchst den Fingerabdruck um den Passwort-Manager zu entsperren.

Ich würde das bei Paypal nochmal ansehen, ob du Passkey eingerichtet hast.

 

[Sebbi]

Sandboxen haben angerufen und wollen deine veraltete Denkweise upgrade.

Realität hat auch angerufen und fordert eine Überprüfung dieser Aussage

https://www.chip.de/news/cyber-secu...-ab_2078b7a4-7277-48f8-ab00-2af93eafa6af.html
https://borncity.com/news/android-sicherheit-morpheus-malware-und-ki-angriffe-auf-dem-vormarsch/
https://www.syss.de/pentest-blog/infektion-ohne-interaktion

deine 2 App Separierrung hilft dir nicht, wenn ein Trojaner eine entsprechende Lücke ausnutzen kann, um sich Systemrechte etc zu verschaffen oder den Nutzer austrickst.

Sandboxen erhöhen zwar die Sicherheit, sind aber auf keinen Fall Bulletproof.
Wenn dann müsste dahinter ein System laufen, mit dem der Trojaner nicht umgehen kann, wie TempleOS oder sowas.

 

[M-X]

deine 2 App Separierrung hilft dir nicht, wenn ein Trojaner eine entsprechende Lücke ausnutzen kann, um sich Systemrechte etc zu verschaffen oder den Nutzer austrickst.

Sandboxen sind nur ein Teil der Absicherung. Die Industrie bewegt sich als ganzes auch klar in die Richtung also scheint auch so gut wie jeder das so zu sehen. Aber warte gerne auf deine SMS die unverschlüsselt kommt oder quäle er sich mit dem TAN Generator.

 

[Sebbi]

Die Instustrie stürzt sich auf alles neues wie ein Geier, um mit den neuen Zeug zu protzen, egal ob innovativ oder Käse. Hochglanz Prospekte regeln! Nur bei offensichtlichen Schrott gehts verhaltener voran.
Bestes Beispiel ist bei der Auto Industrie das mit den Touchscreens: einer (Tesla) machts vor, die viele anderen machen es nun nach, weil es ansonsten kaum noch Neuerungen gibt. Das sich dadurch für den Kunden die Bedingung verschlimmert, ist egal. Auch die Sicherheit wird verrinngert, weil dadurch mehr Ablenkung erzeugt wird. Noch besser sind die versenkbaren Türgriffe, die eine Lebensgefahr darstellen können.
Ist zwar alles bekannt, dennoch bewegt sich die Industie quasi als ganzes in die Richtung. Nur damit SEIN Produkt nicht altbacken wirkt.



2FA via SMS für einen Anwendung auf dem PC is zwar unverschlüsselt aber immer noch sicher, weil die Infrastruktur dahinter einen Angreifer nicht zugänglich ist. Und selbst wenn sieht er nicht die Rufnummer an die die SMS geht, da die wenn der Dienst richtig arbeitet, beim Login gar nicht oder nur stark zensiert angezeigt wird und so nur ein raten unter hunderten einmal codes möglich wäre.
TAN Generator als 2FA für den Login ist zwar interessant, aber unhandlich, da hast du recht. Aber als Bestätigung für Bezahlungen bei Banken etc mit die sicherste Methode.