Nutzt ihr passkey? Was sind die Vorteile ggü. 2FA?

[Mordi]

Wir haben 2FA in der Firma eingeführt, ca. 140 Arbeitsplätze. Die wenigsten haben das bisher genutzt, außer für Banking, da ist es ja Pflicht. Für Mail,Paypal usw. nutzt das kaum jemand

Wir auch. Setzt eich aber durch, weils ieder nutzen muss. VPN Login geht nicht ohne 2FA, und SSO braucht immer 2FA oder Passkey

 

[DFFVB]

Secure device

Finde ich semantisch schwierig, weil nach meienr Auffassugn secure devices eben einen besonderen Schutz aufweisen, gibt ja diverse Chips und Namen dafür, das auf Verschlüsselung zu begrenzen greift zu kurz, da die anderen Chips ja eben erhöhte Sicherheit haben, und das durch diesen Namen ausgedrückt werden soll. Also die Abgrnezugn zwischen normaler Verschlüsselung und sicherem Chip.

Alles andere würde sie auch praktisch unbenutzbar machen, weil dann beim Hardwaredefekt erstmal alle Accounts weg sind.

Jein, wenn Du, wie gesagt, mehrere Devices hast, dann bist Du auf der sicheren Seite. Wenn Du alle verlierst schaust Du ind ie Röhre. Ist natürlich wieder Komfort vs Sicherheit

 

[|Moppel|]

Wenn ich Bitwarden zum Speichern von Passkeys nutze, braucht es dann überhaupt eine "biometrische" Komponente?

Wie oben erwähnt nein.

Ich benutze Bitwarden zum Speichern meiner Passkeys auf meinem ThinkPad aber nutze den Fingerbandrucksensor nicht; auch keine andere Biometrische Funktion.

 

[DJServs]

Vielen Dank schonmal für die ganzen Antworten,
insbesondere @h00bi und @Conqi , damit habe ich das Thema denke ich jetzt noch etwas besser durchdrungen.
Ich glaube ich werde einfach bei der Telekom mal den Passkey erstellen und mir das Handling damit anschauen. Wenn sich der Passkey ganz normal mit einem Passwortmanager verwenden lässt, sollte das wirklich kein großes Problem sein.

Unter dem Gesichtspunkt, dass sehr viele schwache Passwörter verwenden, Ist Passkey wohl eine weitere sicherere Variante, neben MFA, sofern der Login mit PW dann nicht mehr möglich ist.
Ist das was Microsoft nutzt für seine Kennwortlose Anmeldung (habe ich schon seit längerem aktiviert, da ich ohnehin den MS Authenticator für meine 2FA Tokens nutze) ebenfalls eine Art passkey? Dabei wird aber Lokal soweit ich weiß nix gespeichert.

 

[Conqi]

Ist das was Microsoft nutzt für seine Kennwortlose Anmeldung (habe ich schon seit längerem aktiviert, da ich ohnehin den MS Authenticator für meine 2FA Tokens nutze)

Nein, das ist eine proprietäre Lösung. Die funktioniert ja auch nur, wenn man Internetzugang hat. Gibt es von anderen Anbietern wie Google oder Samsung auch, dass du dort auf einem bestehenden Gerät den Login bestätigen musst statt ein Passwort einzugeben.

Dafür wird es so schnell vermutlich auch keinen Standard geben, weil man eben eine Übersicht über die Geräte braucht und zwangsweise eine Netzwerkverbindung.

 

[Oli_P]

Ich frage mich, warum hier 2FA und Passkeys als konträre, sich gegenseitig ausschließende Dinge betrachtet werden.

Edit: Okay, die Frage ist, was man lieber nutzt. Für höchste Sicherheit würde ich sagen: Beides.

Genau, wie hier im Forum wo man Passkey nutzen kann als 2FA. Man muss dann immer noch sein Login eingeben, aber zusätzlich wird dann noch der Passkey benötigt. In meinem Fall wärs ein Yubikey als Hardware-Token. Aber man kann den Passkey sicherlich auch woanders hinterlegen (oder?). Ich hatte das mal probiert, einfach nur um zu sehen ob es funktioniert. Und ja, es funktioniert. Aber aktiv nutzen tu ich das nicht im Moment.

 

[h00bi]

Genau, wie hier im Forum wo man Passkey nutzen kann als 2FA. Man muss dann immer noch sein Login eingeben, aber zusätzlich wird dann noch der Passkey benötigt.

Nope.
Da steht ganz deutlich dazwischen "ODER"
Du klickst einfach auf Passkey und bist drin.

 

[aragorn92]

Synchronisiert wurden die aber von Anfang an von Google und Apple. Alles andere würde sie auch praktisch unbenutzbar machen, weil dann beim Hardwaredefekt erstmal alle Accounts weg sind.

Nicht, wenn man auf mehreren Geräten jeweils eigene Passkeys erstellt. Bei Microsoft und Google ist es zum Beispiel möglich, pro Gerät ein eigenes Passkey zu erstellen.

 

[Oli_P]

h00bi: So hatt ich das auch eigentlich verstanden, aber irgendwie musste ich mich danach trotzdem noch einloggen mit Username/Passwort und dann noch zusätzlich meinen Schlüssel mit dem Passkey reinstecken in den USB-Port. Ich schaus mir nochmal an, vielleicht hatte ich da was falsch verstanden.​

 

[tollertyp]

Nein, bei CB wird (sinnvollerweise) nur der Passkey verlangt. Der enthält ja alle relevanten Daten.
Ich meine damit: Bei kritischen Sachen wie Banken würde ich mir dann noch wünschen, dass ich bei einem noch nicht als vertrauenswürdigen Gerät dann zusätzlich noch nach einem 2. Faktor gefragt würde.

 

[Oli_P]

Komisch, also ich musste zum einloggen meinen Hardware-Schlüssel + Login eingeben. Ich schau mir das nochmal an.

 

[tollertyp]

Bei CB? Welchen Hardware-Schlüssel (also die Frage, weil ich habe keinen Hardware-Schlüssel)? Und wer hat sich dazu aufgefordert?
Es hängt halt davon ab, welche Software die Passkeys verwaltet.

 

[nutrix]

Zumindest bei 2FA hört man immer wieder das es immer häufiger geknackt wird.

Da solltest Du mal bitte Deine Wortwahl stark überdenken. 2FA wurde meines Wissens noch nirgends geknackt. Das es durch diverse Verfahren wie Social Hacking umgangen oder vorbeigeschleust wird, ja, aber geknackt wurde da direkt noch nichts! Mir ist kein Hack direkt bekannt, was direkt 2FA aushebeln kann, das sind nur indirekte Verfahren.

 

[tollertyp]

Aus meiner Sicht wurde auch 2FA via SMS nicht "geknackt". Sonst könnte man auch sagen "Passwort wurde geknackt".

 

[Mounti64]

Wie ist das wenn man dann in einem Internetcafé oder bei einem Freund am Rechner sitzt und nur das Smartphone oder nichts mit hat? Kann man sich dann am PC mit Smartphone oder mit Name und Passwort anmelden oder bleibt man draußen? Bei Paypal zb.

 

[tollertyp]

@Mounti64: Was machst du im Internet-Café mit 2FA, wenn du dein Authenticator nicht dabei hast? Pech gehabt.
Was machst du vor deiner Haustür, wenn du den Schlüssel nicht dabei hast und niemand im Gebäude ist? Pech gehabt.

 

[Mounti64]

Schon klar, dann bleibe ich bei Benutzername und Passwort. Die kenne ich auswendig und habe kein Pech.
Heißt das ich mich woanders nicht mit Passwort und Name einloggen kann wenn ich einen Passkey eingerichtet habe?

 

[tollertyp]

Kein 2FA bei Paypal? Kann man machen... vor allem im Internetcafé bestimmt eine clevere Idee.
Im Übrigen: Passkey heißt ja nicht, dass anderer Login nicht mehr möglich wäre ...

 

[Oli_P]

Nein, bei CB wird (sinnvollerweise) nur der Passkey verlangt. Der enthält ja alle relevanten Daten.
Ich meine damit: Bei kritischen Sachen wie Banken würde ich mir dann noch wünschen, dass ich bei einem noch nicht als vertrauenswürdigen Gerät dann zusätzlich noch nach einem 2. Faktor gefragt würde.

Also ich versteh das nicht. Ich hab das grad nochmal probiert und ich hab Passkey nur als 2FA. Ich hab wie du geschrieben hast beim Anmelden auf Passkey geklickt. Der fragt dann auch, dann Yubikey zu berühren. Hab ich gemacht. ABer nix passiert. Erst als ich dann zusätzlich mich noch normal eingeloggt hab, kam ich ins Forum. Aber nicht ohne nochmals die Aufforderung zu kriegen, meinen Yubikey zu berühren.

 

[tollertyp]

Ich nutze kein Yubikey, also kann ich dazu nix sagen: wie ich aber sagte: Es hängt halt auch davon ab, welche Software sich um die Passkeys kümmert. Bei mir ist es Bitwarden als Browser-Extension.

in CB muss ich also nur einmal mein Bitwarden im Browser "freischalten", und dann kann ich ohne weiteres mich einfach bei CB mit meinem Passkey anmelden.