News PayPal: Passkeys sollen Passwörter ersetzen
- Ersteller MichaG
- Erstellt am
- Zur News: PayPal: Passkeys sollen Passwörter ersetzen
![MadCat[me]](https://pics.computerbase.de/forum/avatars/m/705/705061.jpg?1526466493){kind=avatar}
MadCat[me]
Ensign
- Registriert
- Sep. 2015
- Beiträge
- 154
SI Sun schrieb:
Manipulierte GPS-Signale (GPS Spoofing) können im schlimmsten Fall Flugzeuge abstürzen lassen, zu Schiffskollisionen führen usw. Ist das Prinzip so verständlich? Kannst Du es ohne Wikipedia erklären?
Außerdem habe ich absichtlich auch TLS angeführt, was Du schön ignoriert hast. TLS ist beim Online-Banking genauso wichtig wie Dein Passwort, ansonsten würde letzteres nämlich unverschlüsselt übertragen oder Dir könnte jemand vorgaukeln Deine Bank zu sein.
TLS benutzt übrigens genauso zur Verifikation der Server-Identität asymmetrische Verschlüsselung mit einem Public-Private-Key-Verfahren, wie FIDO Pass Keys ...
SI Sun schrieb:
Von einem leichteren und sichereren Authentifizierungsverfahren haben alle etwas. Was meinst Du, wie viel Geschiss die og. Unternehmen jeden Tag wegen geklauten Accounts etc. haben? Das kostet alles Geld, viel Geld. Wenn FIDO Pass Keys das auch nur um fünf oder zehn Prozent verringern könnten, sparen die sich Millionen. Da braucht's keine finstere Motivation, die Du ihnen unterstellst.
M
Maike23
Gast
Nur kann sie mit der Kepass-Datenbank wenig anfangen ohne das Hauptpasswort.koech schrieb:
Meinen Fingerabdruck kann man im Schlaf oder Rausch oder eben von einem Glas oder einem Glas auf einem Foto bekommen ( CCC hat es demonstriert )
Der Reiz an einen 2FA ist ja: Etwas was man hat und etwas was man weiß (!).
Beim Passkey brauche ich nichts Wissen ... nur 2 Dinge haben: Gerät und Daumenabdruck.
RogueSix
Commander
- Registriert
- Apr. 2020
- Beiträge
- 2.071
Hmmm... wird der Passkey in einer lokalen Datei gespeichert? Und wenn ich mir einen fiesen Virus einfange, dann kann der Angreifer mit dem Passkey nach Lust und Laune auf mein PayPal Konto zugreifen? Oder was ist, wenn die Festplatte/SSD (ohne Backup) von uns/mir geht?
Oder was ist denn, wenn ich den Passkey mitnehmen will, dann muss ich den ja zwangsweise auf einem USB-Stick speichern oder mir selbst mailen, wodurch doch dann auch wieder erhebliche Sicherheitsrisiken entstehen.
Also ich weiß ja nicht... ich glaube ich bleibe lieber beim Passwort.
Oder was ist denn, wenn ich den Passkey mitnehmen will, dann muss ich den ja zwangsweise auf einem USB-Stick speichern oder mir selbst mailen, wodurch doch dann auch wieder erhebliche Sicherheitsrisiken entstehen.
Also ich weiß ja nicht... ich glaube ich bleibe lieber beim Passwort.
UNDERESTIMATED
Banned
- Registriert
- März 2012
- Beiträge
- 8.110
Falc410 schrieb:
Danke, ich für dich, dass dir niemals im Urlaub oder sonst wann irgendeines deiner Passkey Geräte abhanden kommt und auch, dass du niemals irgendwas auch nur geringst strafrechtlich relevantes auf irgendeinem deiner Accounts hast auf die du mit Passkey zugreifst.
Wenn's nämlich mal wirklich drauf ankommt siehst du ansonsten ziemlich alt aus und wünschst dir sehr schnell deinen Schlüssel für die Tür wieder.
Falc410
Vice Admiral
- Registriert
- Juni 2006
- Beiträge
- 6.474
@UNDERESTIMATED Dir steht es doch frei, genau wie bei einem physischen Schlüssel, so viele Sicherheitskopien anzufertigen wie du möchtest - und die auch zu speichern wo du möchtest. Die Passwörter in meinem Passwort Safe kenne ich auch nicht. Und da ich erst am WE das Handy gewechselt habe, musste ich feststellen, dass man beim Google Authenticator auch die 2FA Seeds auf ein weiteres Gerät kopieren kann ohne die alten löschen zu müssen. Ist halt immer eine Frage der Sicherheit - genau wie bei deinem Hausschlüssel. Wenn du ein Backup an einem Ort versteckst, solltest du dafür Sorgen, dass es sicher ist und nicht unter Fussmatte verstecken.
Ich nutze seit Jahren schon Passkeys beruflich, gerade für Cloud Dienste. Wen mein Arbeitsgerät weg ist, hätte ich immer noch ein verschlüsseltes Backup. Wenn jemand mein Backup entschlüsselt dann könnte er sich auch daran machen die Keys zu entschlüsseln natürlich. Also in jedem Fall ist eine sichere Aufbewahrung Pflicht aber ein Geräteverlust ist nicht automatisch ein Verlust von allen Zugangsdaten.
Ich nutze seit Jahren schon Passkeys beruflich, gerade für Cloud Dienste. Wen mein Arbeitsgerät weg ist, hätte ich immer noch ein verschlüsseltes Backup. Wenn jemand mein Backup entschlüsselt dann könnte er sich auch daran machen die Keys zu entschlüsseln natürlich. Also in jedem Fall ist eine sichere Aufbewahrung Pflicht aber ein Geräteverlust ist nicht automatisch ein Verlust von allen Zugangsdaten.
Spellbound
Lieutenant
- Registriert
- Aug. 2004
- Beiträge
- 942
Das man nahezu jeden Schutz relativ leicht umgehen kann, wenn man physikalischen Zugriff hat , da sist hier dneke ich gar nicht das Thema, sondern eher , dass man hier das simple Abgreifen via Phishing erschwert oder gar verhindert. Klar kann man das Ganze sicher optimieren, aber es ist ein Schritt in die richtige Richtung. Wobei meistens gar nichts gehackt wird etc. sondenr man schlict auf Phishing reinfiel .
GreyPrinceZote
Lt. Commander
- Registriert
- Aug. 2008
- Beiträge
- 1.912
Muss für mich persönlich ja nicht unbedingt interessant sein, wenn dies für die breite Masse deutlich bessere Sicherheit darstellt.
Allerdings bleibe ich lieber beim Passwortmanager, der Bitwarden in meinem Fall ist. Dieser ist nämlich entkoppelt von Microsoft, Google, Apple, und co. und eben das ist auch gut so.
Hab ja gerade erst bei der frischen Windows 11 Installation sichergestellt, dass ich nur nen lokalen Account hab (was mittlerweile nicht mehr ohne Weiteres geht). Ich möchte mich ja gar nicht als MS Account XYZ anmelden. Aber entsprechend könnte ich wahrscheinlich auch keinen Passkey nutzen, bzw. renne in Probleme wenn ich vom PC meiner Eltern aus auf mein PayPal zugreifen möchte.
Wie würde das dann überhaupt mit Linux aussehen, wo eben kein so ein Online-Konto à la Apple ID erzwungen wird?
Wie autorisiere ich Zugriff Geräte mit anderem OS im Allgemeinen? Ich richte für mich PayPal Keypass am Windows Desktop PC ein und was dann, wenn ich mich z.B. mitm MacBook bei PayPal verbinden möchte? Muss ich dann meinen Win Desktop PC am laufen haben und den Zugriff erstmal verifizieren oder wie? Dass das nen Problem darstellen kann, wenn dieser eben nicht gerade in der Nähe ist, sollte klar sein.
Von daher scheint mir der Komfort für Casual aber auch Power User möglichweise gar nicht so hoch zu sein. Wenn ich mir vorstelle ich müsste jetzt bei jedem meiner Online Accounts für MS, Apple und Google jeweils die Passkeys einrichten... und dann am besten noch pro Gerät, hui...
Allerdings bleibe ich lieber beim Passwortmanager, der Bitwarden in meinem Fall ist. Dieser ist nämlich entkoppelt von Microsoft, Google, Apple, und co. und eben das ist auch gut so.
Hab ja gerade erst bei der frischen Windows 11 Installation sichergestellt, dass ich nur nen lokalen Account hab (was mittlerweile nicht mehr ohne Weiteres geht). Ich möchte mich ja gar nicht als MS Account XYZ anmelden. Aber entsprechend könnte ich wahrscheinlich auch keinen Passkey nutzen, bzw. renne in Probleme wenn ich vom PC meiner Eltern aus auf mein PayPal zugreifen möchte.
Wie würde das dann überhaupt mit Linux aussehen, wo eben kein so ein Online-Konto à la Apple ID erzwungen wird?
Wie autorisiere ich Zugriff Geräte mit anderem OS im Allgemeinen? Ich richte für mich PayPal Keypass am Windows Desktop PC ein und was dann, wenn ich mich z.B. mitm MacBook bei PayPal verbinden möchte? Muss ich dann meinen Win Desktop PC am laufen haben und den Zugriff erstmal verifizieren oder wie? Dass das nen Problem darstellen kann, wenn dieser eben nicht gerade in der Nähe ist, sollte klar sein.
Von daher scheint mir der Komfort für Casual aber auch Power User möglichweise gar nicht so hoch zu sein. Wenn ich mir vorstelle ich müsste jetzt bei jedem meiner Online Accounts für MS, Apple und Google jeweils die Passkeys einrichten... und dann am besten noch pro Gerät, hui...
Salamimander
Captain
- Registriert
- Okt. 2019
- Beiträge
- 4.015
Hach ja. Enpass + OTP + Nextcloud Sync. Reicht mir erstmal noch eine Weile. Für mich ausreichend sicher, da ich selbst Server und Clients verwalte 
schmalband
Banned
- Registriert
- Juni 2014
- Beiträge
- 579
Ist sichergestellt oder gar nicht schon eingetreten, dass Apple nicht auch aus dem Thema einen exklusiven goldenen Käfig baut und dann nach der EU-Kommission geweint werden muss?
luckysh0t
Commander
- Registriert
- Nov. 2007
- Beiträge
- 2.203
Mm klingt ein bisschen wie bei Discord. Wenn ich mich am PC neu anmelden muss, kann ich mit der App (im angemeldeten Zustand) einen QR Code scannen und werde am PC angemeldet.
Nur so halt “universeller”.
Vorerst bleibe ich dann doch bei Keepass und Strongbox.
Da kann ich auch meine SSH Keys hinterlegen und mit mobaxterm nutzen.
Nur so halt “universeller”.
Vorerst bleibe ich dann doch bei Keepass und Strongbox.
Da kann ich auch meine SSH Keys hinterlegen und mit mobaxterm nutzen.
JohnVienna
Lt. Commander
- Registriert
- Aug. 2005
- Beiträge
- 1.773
Mein Bruder schreibt sich seine vielen 8-10 stelligen Passwörter seit Jahren immer in ein kleines Notizbüchlein ein und verwahrt es in einem Safe, ist auch eine Möglichkeit, leider auch nicht 100% sicher.
Bin gespannt wie das mit Paypal und dem neuen Passwort (Key)-System in Deutschland/Österreich/Schweiz angenommen wird, aber solange es besseren Schutz vor (Internet) Betrügern bietet ist es natürlich positiv und prinzipiell eine gute Sache.
Bin gespannt wie das mit Paypal und dem neuen Passwort (Key)-System in Deutschland/Österreich/Schweiz angenommen wird, aber solange es besseren Schutz vor (Internet) Betrügern bietet ist es natürlich positiv und prinzipiell eine gute Sache.
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.477
Japp. Kein Feund von Biometrie. Weder will ich die Daten speichern noch mich zum Schlüssel machen.DonDonat schrieb:Klingt nach einem sinnvollen extra Verfahren zu normalen Passwörtern.
Würde meinen Private-Key lokal aber wohl nicht mit Biometrie sichern, dann lieber ein neues Passwort merken, ist sicherer und einfacher zu ändern als Fingerabdrücke
Bei Überfall und Raub wird sich einbürgern, dass das Opfer Finger oder Gesicht hinhält. Grenzbehörden (und Kinder) machen das leider auch, weil Biometrie es leicht macht.
http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm
Kriminelle lernen leider schnell. Finger ab und Auto weg.
raychan
Lt. Junior Grade
- Registriert
- Jan. 2013
- Beiträge
- 265
Ich bin da skeptisch. Ich hoffe es wird dann auch möglich sein ohne den drei großen Anbietern sich selbst ein lokale Schlüsselcloud mit KeePass usw. anzulegen, ohne es im OS zu speichern.
Von der Idee klingt es ganz nett, aber wer garantiert mir das Regierungen oder andere Firmen nicht meine privaten Schlüssel aus der Cloud oder aus dem OS für ihre zwecke nutzen? Niemand und da das alles US Unternehmen sind sind diese sowieso dazu verpflichtet alles offen zulegen, wenn die Regierung es will.
Ich hoffe es wird noch lange möglich sein Passwörter zu verwenden bis alternativen die unabhängig von den drei großen Firmen funktionieren. Sowas wie KeePass oder so.
Von der Idee klingt es ganz nett, aber wer garantiert mir das Regierungen oder andere Firmen nicht meine privaten Schlüssel aus der Cloud oder aus dem OS für ihre zwecke nutzen? Niemand und da das alles US Unternehmen sind sind diese sowieso dazu verpflichtet alles offen zulegen, wenn die Regierung es will.
Ich hoffe es wird noch lange möglich sein Passwörter zu verwenden bis alternativen die unabhängig von den drei großen Firmen funktionieren. Sowas wie KeePass oder so.
Wehe dem, der sen Handy verliert/liegen lässt oder gestohlen wird. Oder wenn eine Sicherheitslücke ausgenutzt wird, weil der Hersteller keine Updates anbietet (oder nur sehr stark verzögert). Bei iOS sehe ich deutlich weniger Probleme als bei Android (mit Ausnahme von google selbst, aber der Supportzeitraum ist hier dann ein Witz gegenüber Apple)
