News Mozilla Browser & E-Mail-Client: Firefox 122 bringt Passkey-Unterstützung

[Hot Dog]

Nope, du brauchst immer noch die PIN der Karte.

Dann ist das also quasi eine Zwei-Faktor-Authentifizierung und ersetzt ein Passwort/Pin nicht, sondern ergänzt es lediglich.

 

[kim88]

Passkeys haben auch einen zweiten Faktor. Auf Betriebssystem Ebene ist das in der Regel Biometrie TouchID beim Mac, bzw Fingerabdruck, Gesichtsscan bei Windows über Windows Hello.

Bei den Passkey Sticks wie z.b YubiKeys hast du entweder einen Fingerabdruck oder einen Pin.

 

[Hot Dog]

Ok dann verstehe ich aber den ganzen Sinn hinter Passkeys nicht wirklich. Wozu bitte der ganze Aufwand wenn es am Ende noch nicht einmal das alt bekannte Passwort ersetzt?
Eine 2FA bekomme ich auch mit dem Handy o.ä. hin.

 

[Hyourinmaru]

Passkeys basieren auf Public/Private Keys. Das ist eher mit SSH-Schlüsseln als mit Passwörtern vergleichbar. So wie Firefox das umgesetzt hat, kann der Browser auch überhaupt nichts klauen dabei. Die Schlüssel bleiben auf einem externen Authenticator oder vom Betriebssystem gesichert. Meiner Meinung nach ist das definitiv die Zukunft - nicht nur viel einfacher zu nutzen als Passwörter, sondern auch noch sicherer.

Der Server sendet eine Challange, das OS (oder wer auch immer deinen privaten Key verwaltet) löst die Challange, das heißt anders ausgedrückt signiert mit dem privaten Schlüssel und diese Signatur wird zurückgesendet. Mittels öffentlichen Schlüssel (den der Server kennt) kann die Echtheit der Signatur überprüft werden.
Das prüfen solcher digitalen Signaturen ist nichts neues.

Den öffentlichen Schlüssel könntest du auch hier ins Forum schreiben, selbst wenn computerbase passkey zur Anmeldung unterstützen würde. Es ist extrem aufwendig (lies: in machbarer Zeit unmöglich) den privaten Schlüssel zu rekonstruieren.

Ist das dann nicht äquivalent zur asymmetrischen Verschlüsselung bei E-Mails via OpenPGP, wo ja auch Private und Public Keys zur Anwendung kommen? Die Public Keys kann man ja teilen und auf Key Server ablegen, mit denen kann man dann E-Mails verschlüsseln, aber niemals entschlüsseln.

 

[Der-Orden-Xar]

Wozu bitte der ganze Aufwand wenn es am Ende noch nicht einmal das alt bekannte Passwort ersetzt?

Wenn das Passwort abhanden kommt, kann man jederzeit auf den Account zugreifen.
Wenn die response via passkey abhanden kommt, ist das Ding sehr schnell ungültig, da bei jedem LogIn eine andere challange gestellt wird.

Ist das dann nicht äquivalent zur asymmetrischen Verschlüsselung bei E-Mails via OpenPGP, wo ja auch Private und Public Keys zur Anwendung kommen?

Äquivalent in sofern, dass beides auf RSA setzen kann (aber zumindest bei pgp im Allgemeinen nicht der Fall ist).

Wikipedia hilft hier aber mal wieder mit netten Bildchen, um zu sehen, wie eng beides zusammenhängt:
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem