Nutzt ihr passkey? Was sind die Vorteile ggü. 2FA?

[DJServs]

Hallo zusammen,

nachdem mich jetzt die Telekom seit einiger Zeit bei jedem Login mit dem Hinweis zur Erstellung eines passkeys nervt, habe ich mich mit dem Thema mal etwas eingehender beschäftigt und dabei mehrere Probleme/Fragen aufgetan, die ich gerne hier diskutieren würde.

Ich hoffe ich habe das richtig verstanden (bitte um Korrektur falls etwas nicht stimmt):
Der passkey ist wohl eine Datei, die abgespeichert wird, also so eine Art Schlüsselzertifikat, wie es das beispielsweise auch bei Elster etc. gibt. Allerdings gibt es für diese Datei statt eines Passworts eine biometrische Komponente, sie kann also nur auf Geräten mit Fingerabdruckscanner, bzw. Gesichtserkennungssoftware verwendet werden. Muss das immer der genau gleiche Fingerabdruck sein?
Ich habe einen Fingerabdruckscanner am PC, den ich bereits für Windows Hello nutze. Hier habe ich aber aufgrund der Platzierung des Scanners meinen Zeige und Mittelfinger hinterlegt, am Smartphone hingegen benutze ich den Daumen. ich vermute mal das gibt Probleme mit dem Passkey?!

Wenn eine Website, die mit Passkey gesichert ist von einem Gerät ohne Biometrie aus geöffnet werden soll, ist wohl zusätzlich das Smartphone erforderlich. Wird hier dann ein einheitliches Verfahren verwendet (QR Code?), oder ist das von Anbieter zu Anbieter verschieden.

Mir erschließt sich der Mehrwert (Aus Sicht der Sicherheit) im Vergleich zur gängigen und praktischen 2FA Methode, die ich für alle Accounts wo diese angeboten wird verwende, vielleicht kann hier jemand mal Licht ins Dunkel bringen, was Passkey besser macht als 2FA.

Mit der Umfrage würde ich gerne ein Gefühl dafür kriegen, ob schon Viele von 2FA auf passkey umgestellt haben, wo dies möglich ist.

 

[SpamBot]

Zumindest bei 2FA hört man immer wieder das es immer häufiger geknackt wird. Ich denke Sicherheit ist immer ein Wettrenen, zwischen Angreifer und Verteidiger. Somit muss immer wieder was besseres her. Sei es auch nur besser weil es neu ist.

 

[thealex]

2FA wird in aller Regel dann "geknackt", wenn Angreifer einen Weg finden, der keine 2FA mehr auslöst oder erfordert. Ich würde jetzt nicht ausschließen, dass dies bei Passkeys nicht genau so erfolgen kann.

Aber lasse mich da gern auch eines besseren belehren.

 

[|Moppel|]

Zumindest bei 2FA hört man immer wieder das es immer häufiger geknackt wird.

Wo hört man das?

sie kann also nur auf Geräten mit Fingerabdruckscanner, bzw. Gesichtserkennungssoftware verwendet werden.

Nein das ist nicht Vorraussetzung.
Zum Beispiel kann ich meine Passkeys auch in Bitwarden speichern.

Am Ende spielt es für die Sicherheit theoretisch keine Rolle, ob du einen Passkey oder ein sehr langes sicheres Passwort benutzt, weil beides im Prinzip das gleiche ist.

Warum nur theoretisch?
Weil die meisten Leute eben kein sicheres Passwort benutzen und durch Passkeys niederschwellig abgeholt werden es doch zu tun.

Der Unterschied liegt hier z.B. in der komfortableren Benutzung der Passkeys, weil du nicht eine Eingabemaske automatisch ausfüllen lassen musst, sondern der passkey einfach übergeben wird.

 

[SpamBot]

Wo hört man das?

Überall in der Fachpresse? Einfach mal deine Suchmaschine anwerfen. Möglich sind unter anderem: Men in the Middle atacken, Phising, Social Engineering, Abfangen der 2FA Komponente, Token Diebstähle....

 

[tollertyp]

Ich frage mich, warum hier 2FA und Passkeys als konträre, sich gegenseitig ausschließende Dinge betrachtet werden.

Edit: Okay, die Frage ist, was man lieber nutzt. Für höchste Sicherheit würde ich sagen: Beides.

 

[LuminousVision]

@SpamBot

Aber das ist doch kein Knacken der 2FA-Methode.

 

[Smily]

Phising, Social Engineering

Glaube (ich weiß es nicht), das sind die größten Angriffspunkte. Weil die Leute am Telefon den 2FA Code rausgeben, wenn der "Bankberater" anruft. Weil sie Zugangsdaten und 2FA Code eingeben, weil ihr Bankkonto sonst gesperrt wird.
Oder ... die meisten nutzen das gar nicht. Wir haben 2FA in der Firma eingeführt, ca. 140 Arbeitsplätze. Die wenigsten haben das bisher genutzt, außer für Banking, da ist es ja Pflicht. Für Mail,Paypal usw. nutzt das kaum jemand.

hatte mit Passkey bisher keine Berührungspunkte, aber überall 2FA, wo es geht.

 

[|Moppel|]

Einfach mal deine Suchmaschine anwerfen.

Dann wirf selbst einfach mal deine Suchmaschine an um zu differenzieren, welche dieser Problematiken mit 2FA selbst zu tun haben.

Wenn deine Oma Opfer vom Enkeltrick wird zeigst du ja auch nicht den Hersteller deiner Haustür an.

Wenn du Interesse an einer differenzierten Diskussion zu 2FA hast, wäre dies meiner Meinung nach der erste Schritt.

 

[tollertyp]

@SpamBot

Aber das ist doch kein Knacken der 2FA-Methode.

Mit der gleichen Argumentation könnte man sagen, dass man gar keine Passwörter verwenden darf...
Ach und Passkeys, einmal "geklaut"...

 

[h00bi]

Allerdings gibt es für diese Datei statt eines Passworts eine biometrische Komponente, sie kann also nur auf Geräten mit Fingerabdruckscanner, bzw. Gesichtserkennungssoftware verwendet werden. Muss das immer der genau gleiche Fingerabdruck sein?

Das ist so nicht richtig.
Du brauchst ein "secure device".
Dieses kann auch durch PIN oder Passwort geschützt sein. Biometrie ist nicht erforderlich.

Am Ende spielt es für die Sicherheit theoretisch keine Rolle, ob du einen Passkey oder ein sehr langes sicheres Passwort benutzt, weil beides im Prinzip das gleiche ist.

Grundsätzlich richtig, aber es gibt da noch 2 Unterschiede:
1: Der Username. Wenn der nicht grade die Emailadresse ist, muss man den Usernamen beim Passwort ebenfalls rausfinden.
2: Im Gegensatz zu einem Passwort, kann ein Passkey fast nicht gephished werden. Auch MitM Angriffe sind bei Passkeys (eigentlich) nicht möglich, denn dein Secure Device sollte eigentlich den Passkey nur rausrücken, wenn eine valide "trusted" Anfrage für den Passkey vorliegt.

ob schon Viele von 2FA auf passkey umgestellt haben, wo dies möglich ist.

Ich nutze Passkey tatsächlich überall wo möglich. Die Speicherung in Bitwarden ist super praktisch.
Einen wirklich Vorteil für mich, der sowieso überall schon lange, kryptische, generierte Passwörter per Passwortmanager mit (semi-)Auto-fill verwendet, sehe ich allerdings nicht.
Beide Lösungen sind für mich sichere two-click logins.

Für den 08/15 User ist ein Passkey natürlich ein Segen, denn er kann i.d.R. gar nicht abschätzen ob er sich gerade einloggt oder gephisht wird.

 

[tollertyp]

Wenn ich Bitwarden zum Speichern von Passkeys nutze, braucht es dann überhaupt eine "biometrische" Komponente? Sind die Geräte sicher, auf denen ich es laufen habe?

Nicht falsch verstehen: Ich finde Passkeys super, und nutze sie auch dort, wo es geht.

 

[_Sebu_]

Passkeys vs. Zwei-Faktor-Authentifizierung (2FA): Was ist der Unterschied?

Liste mit Webseiten, die die Anmeldung per Passkey unterstützen

 

[h00bi]

Ich würde jetzt nicht ausschließen, dass dies bei Passkeys nicht genau so erfolgen kann.

Naja, fast jedes System, was Passkeys unterstützt, erlaubt parallel auch weiterhin den Login per User+Passwort. Insofern ist das umgehen von Passkeys quasi "by design" erlaubt.

Ach und Passkeys, einmal "geklaut"...

genau hier kommt ja der Punkt ins Spiel, den du in #6 genannt hast.
Im idealfall geht die Anmeldung von einem neuen Gerät per Passkey nur mit 2FA.

Bitwarden zum Speichern von Passkeys nutze, braucht es dann überhaupt eine "biometrische" Komponente? Sind die Geräte sicher, auf denen ich es laufen habe?

Nein, braucht es nicht. Dein hoffentlich sicheres Master-Passwort ist ausreichend.

 

[chatbot]

Ich möchte mal auf die Passkey-FAQ vom heise Verlag hinweisen (ausnahmsweise keine Paywall). heise trommelt sehr heftig pro Passkeys. Sie beantworten aber auch gerne Fragen.
https://www.heise.de/ratgeber/FAQ-Fragen-und-Antworten-zu-Passkeys-9756135.html

Passkeys sind schon sicherer als Passwörter und 2FA. Alleine schon, weil kein Geheimnis übertragen wird wie beim Passwort oder einem 2FA-Token.

 

[Conqi]

Der passkey ist wohl eine Datei, die abgespeichert wird, also so eine Art Schlüsselzertifikat, wie es das beispielsweise auch bei Elster etc. gibt.

Ja, grundsätzlich richtig.

Allerdings gibt es für diese Datei statt eines Passworts eine biometrische Komponente

Wie die Datei abgesichert wird ist unerheblich und dir überlassen. Ich habe zum Beispiel auch Passkeys in KeePass und die Datenbank ist nicht Biometrie-geschützt.

Hier mal wie so ein Passkey aussieht:

So lange die Software das unerstützt, könntest du die in der Theorie auch als Datei irgendwo rumliegen haben einfach.

Muss das immer der genau gleiche Fingerabdruck sein?

Dass es keine Biometrie braucht, haben wir ja nun geklärt, aber selbst wenn: der Fingerabdruck bei deinem Smartphone oder Windows Hello verlässt das Gerät niemals. Heutzutage verlässt er im Normalfall nicht mal den Scanner.
Das OS fragt im Endeffekt nur ab: "hallo Scanner, ist das der richtige User?" und der Scanner gibt (mit etwas Kryptografie drumherum) eine positive Antwort zurück. Das ginge in der gleichen Form auch mit Passwort, PIN, etc.

vielleicht kann hier jemand mal Licht ins Dunkel bringen, was Passkey besser macht als 2FA.

Passkeys sind nicht wirklich ein Ersatz für MFA, sondern eher für Passwörter. Der Vorteil ist, dass User meistens scheiß Passwörter vergeben und das hiermit ausgeschlossen ist. Außerdem kann man einen Passkey nicht einfach so per Telefon oder E-Mail weitergeben wie ein Passwort.

Auch Phishing direkt im Browser wird schwieriger, weil der Passkey vom Browser nur gefunden wird, wenn die Domain stimmt. Nichts mehr mit Google-Login auf "G00gel.com" weil irgendwer auf eine Mail reingefallen ist.

Optimal wäre Passkey+MFA aus meiner Sicht. Leider ist das Handling von Passkeys noch etwas nervig geräteübergreifend. Für die meisten normalen Nutzer ist der Sicherheitsgewinn durch Passkeys aber potentiell immens.

 

[tollertyp]

Und kann man sich bei heise mittlerweile per Passkey anmelden? :-)
Also grundsätzlich hängt es bei Passkeys in Bezug auf die Sicherheit davon ab, wie sicher sie gespeichert sind. Jetzt könnte man sagen: Das gilt für Passwörter auch und ist absolut richtig. Aber beim Passwort mit 2FA wird eben noch der 2. Faktor benötigt.

Für wirklich wichtige Sachen fände ich ein Passkey mit 2FA durchaus sinnvoll, das 2FA aber nur beim ersten Mal bei unbekannten Geräten bzw. als nicht permanent vertraurnswürdig gekennzeichnete Geräte.

 

[DFFVB]

Ohne es 100% zu wissen, glaube ich dass hier einige Fehlannahmen vorliegen.

Passkeys basieren auf asymetrischer Verschlüsselung, nutzen also public Key Verfahren. Das heißt da wird erstmal kein Passwort ausgetauscht. Zu Beginn waren Passkeys überiwgend mit Secure Devices nutzbar, spirch in den verschiedenen sicheren Speichern (Secure Enclave, TPM, Yubikey), das hat sie stark gemacht, weil es schwerer war sie zu klauen- Mit der Möglichkeit Passkeys in Passwort Managern zu speichern, welche synchronisieren, verlieren sie diese Stärke, weil die PW Manager sie synchronisieren... Man kann sie aber natürlich weiter nur auf Secure Devices nutzen, wenn man die dann aber verliert und es keien andere Möglichkeit der Wiederherstellung gibt - ist doof

Überall in der Fachpresse?

Quatsch - social engineering.

Du brauchst ein "secure device".
Dieses kann auch durch PIN oder Passwort geschützt sein.

Sicher? Mit Bitwarden auf Windows ohen TPM nicht nutzbar?

 

[h00bi]

Sicher? Mit Bitwarden auf Windows ohen TPM nicht nutzbar?

Secure device bedeutet nicht zwingend TPM.
Es bedeutet dass z.B. dein Passwort Tresor verschlossen werden kann und voher entsperrt werden muss.
Du kannst den Passkey ggf. auch im (PW-Manager vom) Browser speichern, aber auch nur wenn du im Browser angemeldet ist.
Oder der Browser frägt bei irgendeinem anderen Hardware Device oder Passwortmanager an.

 

[Conqi]

Mit der Möglichkeit Passkeys in Passwort Managern zu speichern, welche synchronisieren, verlieren sie diese Stärke

Synchronisiert wurden die aber von Anfang an von Google und Apple. Alles andere würde sie auch praktisch unbenutzbar machen, weil dann beim Hardwaredefekt erstmal alle Accounts weg sind.