Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
NewsPasskeys: Google läutet die Zukunft ohne Passwörter ein
Geht es nach „Big Tech“, sollen Passwörter oder eine Zwei-Faktor-Authentifizierung (2FA), um sich bei Apps, Websites oder anderen Diensten anzumelden, in Zukunft keine große Rolle mehr spielen. An ihre Stelle treten optimalerweise über biometrische Verfahren abgesicherte Passkeys. Google geht jetzt einen weiteren Schritt.
1.) Also macht zuerst Google Passwörter unsicherer (unverschlüsselt übertragen) um dann was neues zu bringen?
2.) Kann man bitte nicht nur Pressemeldung abtippen, sondern auch was dazu schreiben, was die User wohl eher interessiert, zB wie sehr ist man da dann vom Anbieter abhängig? Sieht dieser zentrale Anbieter dann wo und wann ich mich einlogge? Vermutlich beides ja?
3.) Das man Hardware braucht, gilt auch nur solange wie es keine Schwachstellen gibt, siehe zB gehackte Sim Karten usw. Zumindest scheint der Code open source zu sein?!?
Was ich jetzt nicht ganz verstehe: sind diese Passkeys lokal auf dem Gerät gespeichert und abgesichert?
Also quasi einfach nur lange Passwörter in einem biometrisch abgesicherten Passwortmanager?
Oder soll das ein Login über Google sein, so dass Google schön sieht wo man überall angemeldet ist? ^^
In beiden Fällen bleibe ich dann doch lieber bei 'Passwortmanager mit gutem Masterpassword + 2FA per TOTP'
So wie ich es verstanden habe letzteres, der Dienst muss dann ja der Zielwebseite mitteilen, dass der Zugriff erlaubt ist. Wäre aber schön gewesen, wenn man nicht nur Pressetext abtippt (den sehe ich auch auf Golem oder heise) und bisschen ergänzt, sondern auch sowas gleich dazu schreibt, dürfte ja klar sein, dass das Leute interessiert.
Ich weiss das CB nicht der Hardcore IT-Nerd Platz ist aber dieser Satz.. wirklich? Von Passwort-Managern habt ihr doch auch schon gehört und sogar Artikel/News geschrieben. Liest sich gerade echt ein bisschen wie Werbeveranstaltung für dieses neue Verfahren.
Wie wechselt man eigentlich sein Gesicht/Fingerabdruck?
Ich habe mir mal sagen lassen, dass PW (ggf. mit TOTP) immer noch eine Option sein wird, egal wo. Somit habe ich solche Schlüssel immer nur als Nachteil gesehen, denn man erschafft sich so nur ein weiteres mögliches Einfalltor für einen Angreifer. Stimmt das denn?
Ich muss gestehen, irgendwann einfach keine Passwörter mehr zu haben wäre ein Segen. Ich nutze zwar 1Passwortmanager, aber dennoch wäre es genial sich irgendwo einmal anzumelden, und damit überall in seinen Accounts eingeloggt zu sein, WENN ES SICHER IST.
So bequem die Biometrie auch ist... sie ist nicht austauschbar. Sollten die Datensätze technisch kompromittiert worden sein (oder der Fingerabdruck "geklont" worden sein, was technisch möglich ist (siehe Leitfaden vom CCC dazu)), so ist kein Wechsel möglich. Sowas sollte nie vergessen und stets berücksichtigt werden.
Passkeys Sind vereinfacht gesagt ähnlich zu public / private key Konzepten. Man gibt den Dienst bei dem man sich registriert seinen public key und der private key bleibt auf dem Gerät. Natürlich kann man den ändern und hat hoffentlich (habe mir die Implementierung noch nicht im Detail angeschaut) für jeden Dienst ein eigenes key paar.
Um auf den privaten Schlüssel zugreifen zu können muss man sich halt vorab authentifizieren - so wie man jetzt schon seine keys mit einer passphrase schützt. Also keine wirklich neue Technik.
An den ganzen Kommentaren über mir sieht man, dass sie das Konzept nicht verstanden haben. Weder gebt ihr biometric preis noch weiß ein Dienst wo ihr euch anmeldet und euren Fingerabdruck müsst ihr auch nicht wechseln. Bevor man kompletten Unsinn postet, sollte man sich erst einmal grundlegend mit der Technik auseinandersetzen.
Der Passkey ist auf deinem Endgerät, dieses Endgerät ist ganz normal mit einem Passwort oder alternativ Biometrie gesichert. Solange du dein Passwort kennst, brauchst du keine biometrischen Merkmale.
Ich denke die Chance das eigene Passwort zu vergessen bzw. keine Möglichkeit mehr haben auf Keepass zuzugreifen oder aufgrund eines defekten Gerätes oder anderer Gründe nicht mehr auf den zweiten Faktor zugreifen zu können ist um ein vielfaches höher als dass der eine Finger, mit dem du dich anmeldest, unwiederbringlich verloren oder kaputt geht und dir die Zugriffe deswegen verwehrt bleiben.
Ich habe mir mal sagen lassen, dass PW (ggf. mit TOTP) immer noch eine Option sein wird, egal wo. Somit habe ich solche Schlüssel immer nur als Nachteil gesehen, denn man erschafft sich so nur ein weiteres mögliches Einfalltor für einen Angreifer. Stimmt das denn?
Wenn weiterhin ein Passwort basierter Login erlaubt ist dann ist das ein mögliches einfallstor für den Angreifer. Daher am besten konsequent nur noch passkeys in Zukunft
