News Passkeys: Google läutet die Zukunft ohne Passwörter ein

Piecemaker schrieb:
Wenn dein Smartphone weg ist, nimmst du das Smartphone eines Freunds und loggst dich ein. Dein Login ist zB dein Daumen. Den benötigst du und ein Gerät was den scannen kann.
So funktioniert das auf einem fremden Gerät aber nicht.

Niemand kennt die Biometrie außer deinem Gerät.
 
  • Gefällt mir
Reaktionen: Arcturus128
Piecemaker schrieb:
Wenn dein Smartphone weg ist, nimmst du das Smartphone eines Freunds und loggst dich ein. Dein Login ist zB dein Daumen. Den benötigst du und ein Gerät was den scannen kann.
Nein, das ist komplett falsch. Was du zum Login brauchst ist der private Schlüssel, der ist auf deinem Handy und bei dieser konkreten Methode evtl. auch in der Cloud bei Google oder anderen zusätzlich gesichert. Um auf dem Handy auf den privaten Schlüssel zuzugreifen brauchst du Biometrie oder PIN, aber das ist nicht die Methode mit der man sich bei den Webseiten authentifiziert.

Der biometrische Teil ist nur dazu da die privaten Schlüssel zu schützen. Das ist nicht Teil der eigentlichen Authentifizierung.
 
DorMoordor schrieb:
Ich hätte auf jeden Fall wesentlich weniger Bauchschmerzen, wenn ich die Keys in meiner KeePass DB speichern könnte ohne dass diese im TPM (oder was auch immer) gespeichert werden. Ich habe halt gerne selber die Kontrolle, wo meine Daten liegen
Leider gar nicht. Oder halt per Yubikey o.ä.

Das ist halt tatsächlich das einzige Problem. Dis liegt dann aber am Komfort. Irgendeinen tot muss man sterben um es der Masse zugänglich zu machen.
 
[Off-Topic]

Dummsday schrieb:
Microsoft/Google/Apple und Konsorten wollen grundsätzlich alles über dich wissen
(War klar, dass das kommt.)

Bei Google gibts über 1,8 Milliarden Accounts. Microsoft und Apple haben anscheinend weniger.

Ich kann mir nicht vorstellen, dass es die interessiert, was ich genau jeden Tag mache.
Ich kann mir vorstellen, dass sie wissen wollen, was eine bestimmte Bevölkerungsgruppe so am wahrscheinlichsten macht.
[/Off-Topic]

Sebbi schrieb:
sondern gleich das gesammten Bündel, wenn man den privaten Schlüssel abfangen kann.
derStandard.at zu den Passkeys:
Doch selbst an die echte Website wird nie der eigentliche Passkey geschickt. Das liegt daran, dass Passkeys ein sogenanntes Public-Key-Verfahren verwenden, wie es manche von PGP oder SSH kennen mögen. Die Services erhalten dabei lediglich einen öffentlichen Schlüssel, der aber nur mittels Autorisierung am lokalen Gerät – also mithilfe des geheimen Schlüssels – zum Login verwendet werden kann.

Piecemaker schrieb:
Dein Login ist zB dein Daumen.
Nein. Der Login ist dein Daumen und der Sicherheitschip in deinem Handy. Oder auf einem anderen Handy, wo du in deinen Account eingeloggt bist.
 
Cave Johnson schrieb:
Am Desktop werde ich immer nach Name und Passwort gefragt + SMS PIN.
PayPal kann TOTP :). Hatte durch ein gestorbenes Smartphone einigen Aufwand. Nutze als TOTP App Authenticator Pro (FOSS), das erlaubt lokale verschlüsselte Backups, die sich auf anderen Geräten wiederherstellen lassen. Viel enspannter und zuverlässiger als SMS.
 
Piecemaker schrieb:
Wenn dein Smartphone weg ist, nimmst du das Smartphone eines Freunds und loggst dich ein. Dein Login ist zB dein Daumen. Den benötigst du und ein Gerät was den scannen kann.
Also mein Android Handy ist weg, ich schnappe mir das iPhone von irgendwem, gehe auf google.com, logge mich ausschließlich mit meinem Code, der jetzt mal 1234 ist, ein und bin drin? Wenn das so wäre, wozu bräuchte man denn dann Passkeys und was ist mit dem, der auch 1234 als Code hat?
 
Iwwazwersch schrieb:
Das ist halt tatsächlich das einzige Problem. Dis liegt dann aber am Komfort. Irgendeinen tot muss man sterben um es der Masse zugänglich zu machen.
Ich habe ja kein Problem, wenn man der breiten Masse das über TPM o.ä. aufdrückt. Kann ich nachvollziehen und in gewisser Weise befürworte ich das auch.
Ich würde mir halt wünschen, dass ich dann immer noch meine Keepass DB nutzen kann. Von mir aus via Browser Addon und die Keys nicht im TPM sondern in der Keepass DB gespeichert werden. Ja, es wird nicht so komfortabel, wie alles einfach dem BS zu überlassen, aber ich habe einfach gerne die Wahl und entscheide mich dann meistens für das, was nicht über die Server von Google/Apple/MS/Amazon... läuft. (Auch wenn das nahezu unmöglich ist dank AWS/Azure)
 
Örghs, bei mir löst das keine Begeisterung aus.
Ist das nicht wieder nur eine Möglichkeit Nutzer an ein bestimmtes Ökosystem zu binden?

Also es gibt schon viele die Zahlen über Bigtech und dann gibt man denen noch seine biometrischen Daten.
Da kann man auch gleich seinen Reisepass, Geburtsurkunde und Staatbürgerschaftsnachweis nehmen, die in ein Kuvert stecken und per Post hinschicken, am besten die Bankomatkarte samt Code gleich mit.

Man hat jetzt schon Probleme wenn man es wagt auf seinem Smartphone ein alternatives OS wie Sailfish zu Nutzen.
Viele Banking Apps und ähnliches liessen sich dank AlienDalvik starten, nur um dann den Dienst zu verweigern weil sie für Sicherheitsfeatures auf Gapps bauen.

Technische Argumente beiseite, mir gefällt das gar nicht .
 
frazzlerunning schrieb:
Ich kann mir nicht vorstellen, dass es die interessiert, was ich genau jeden Tag mache.
Die vielleicht nicht. Aber sie haben dann die Daten für diejenigen, die es interessiert.
 
Iwwazwersch schrieb:
So funktioniert das auf einem fremden Gerät aber nicht.

Niemand kennt die Biometrie außer deinem Gerät.
Dalek schrieb:
Nein, das ist komplett falsch.
seyfhor schrieb:
Also mein Android Handy ist weg, ich schnappe mir das iPhone von irgendwem,
Du gehst in der Anmeldung auf "Anderes Smartphone oder Tablet verwenden" und bekommst einen QR Code. Scannen, Daumen, Fertig. Das geht dank iCloud bzw Google PW Manager oder auch einem Passwortmanager deiner Wahl der das kann.

Das wenn dein Smartphone verloren geht, du nun den Zugriff auf 1 Mio Accounts verloren hast, ist falsch.
 
DorMoordor schrieb:
Ich würde mir halt wünschen, dass ich dann immer noch meine Keepass DB nutzen kann.
Zumindest Bitwarden scheint daran zu arbeiten, Passkeys zu unterstützen. Bei Keepass gibts Requests auf Github, aber wohl noch keine commits?

-----------
Ah... Oder auch nicht. Soweit ich das bei Bitwarden jetzt verstanden habe, unterstützen sie die Möglichkeit, mit Passkeys die Datenbank zu öffnen, bzw. sich im WebVault anzumelden.
Aber Passkeys in Bitwarden zu speichern steht wohl nicht am Plan.

Was ja auch Sinn macht: Die Datenbanken sind keine kryptografischen Sicherheitschips (TPM/Secure Element/Secure Enclave).
 
Zuletzt bearbeitet:
Piecemaker schrieb:
Du gehst in der Anmeldung auf "Anderes Smartphone oder Tablet verwenden" und bekommst einen QR Code. Scannen, Daumen, Fertig. Das geht dank iCloud bzw Google PW Manager oder auch einem Passwortmanager deiner Wahl der das kann.

Das wenn dein Smartphone verloren geht, du nun den Zugriff auf 1 Mio Accounts verloren hast, ist falsch.
Die privaten Schlüssel sind nur auf deinem alten Smartphone und auf deinem Google Konto. Wenn du jetzt ein anderes Smartphone mit deinem Google Konto verknüpfst, dann kann das die privaten Schlüssel bekommen und sich damit einloggen. Aber der Kern hier ist der Zugriff auf das Google Konto, was nichts mit dem Fingerabdruck zu tun hat.

Auf einem fremden Smartphone das keinen Zugriff auf deinen Google Account hat kann man sich auch nicht auf Seiten per Passkey einloggen. Wie sollte das denn funktionieren? Welche Informationen übermittelt das Smartphone an diese Seiten?
 
  • Gefällt mir
Reaktionen: rosenholz, KitKat::new() und Nero1
Dalek schrieb:
Auf einem fremden Smartphone das keinen Zugriff auf deinen Google Account hat kann man sich auch nicht auf Seiten per Passkey einloggen.
Doch.

Auf einem fremden Gerät besucht man die Seite, wo man sich einloggen will, gibt den Account-Namen an und klickt "Anderes Gerät zur Anmeldung verwenden" (oder so ähnlich, je nach Website):
iOS-Anleitung dazu (ganz unten):

Auf einem anderen Gerät mit einem Passkey anmelden, der auf deinem iPhone gesichert ist​

Das iPhone speichert den Passkey im iCloud-Schlüsselbund. Dadurch wird er automatisch verwendet, wenn du auf einem anderen Gerät mit deiner Apple-ID angemeldet bist (iOS 16, iPadOS 16, macOS Ventura oder tvOS 16 erforderlich).
Aber auch dann, wenn du ein Gerät verwendest, das nicht mit deiner Apple-ID verknüpft ist, kannst du beim Anmelden bei einem Account den Passkey verwenden, der auf deinem iPhone gesichert ist. Die Anmeldung umfasst für gewöhnlich die folgenden Schritte:
  1. Öffne den Anmeldebildschirm für den Account auf dem anderen Gerät.
  2. Tippe auf dem Anmeldebildschirm auf das Eingabefeld für den Accountnamen.
  3. Tippe auf „Weitere Optionen” und dann auf „Passkey von einem Gerät in der Nähe“ (oder ähnlich) und befolge die angezeigten Anleitungen, um einen QR-Code auf dem Bildschirm anzuzeigen.
  4. Verwende die Kamera des iPhone, um den QR-Code zu scannen.
 
Also brauche ich doch mein Iphone dafür, hää???

Naja, ich bleibe erstmal bei meinem Keepass und lasse euch alle mal schön Betatesten, und wenn alle Kinderkrankheiten und Sicherheitslücken gepatched sind, dann werde ich mal nen zweiten Blick drauf werfen, ansonsten trau ich dem Zeug nicht weiter als ich spucken kann, sorry.
 
frazzlerunning schrieb:
Auf einem fremden Gerät besucht man die Seite, wo man sich einloggen will, gibt den Account-Namen an und klickt "Anderes Gerät zur Anmeldung verwenden" (oder so ähnlich, je nach Website):
iOS-Anleitung dazu (ganz unten):
Da geht es darum sich über das eigene Smartphone auf einem anderen Gerät einzuloggen. Das ist nochmal etwaas komplett anderes als was Piecemaker geschrieben hat.

Wenn man sich über den QR Code auf einem fremden Gerät einloggt, dann passiert die komplette Authentifizierung auf dem eigenen Smartphone, nicht auf dem fremden Gerät. Auf dem fremden Gerät benutzt man auch nicht seinen Fingerabdruck, nur auf dem eigenen Smartphone.
 
  • Gefällt mir
Reaktionen: KitKat::new()
Piecemaker schrieb:
Du gehst in der Anmeldung auf "Anderes Smartphone oder Tablet verwenden" und bekommst einen QR Code. Scannen, Daumen, Fertig.
Und das machst du mit dem abhanden gekommen Smartphone wie?
 
Piecemaker schrieb:
Du gehst in der Anmeldung auf "Anderes Smartphone oder Tablet verwenden" und bekommst einen QR Code. Scannen, Daumen, Fertig.
Kann ja nicht sein, denn das persönliche Passwort ist doch NICHT in der Cloud gespeichert. Der Fingerabdruck/Handycode ist ja nur auf dem nicht mehr vorhandenen Gerät gespeichert.
Außerdem erwähnst Du nicht, dass man wohl seinen "Accountnamen" braucht/angeben muss (lt. @frazzlerunning ). Ich bin bisher davon ausgegangen den hat oder kennt man eben nicht mehr. Wozu auch, wenn man eh kein Name/Passwort braucht.
 
ehm vllt blöde frage: Aber reicht nicht dann der im Ausweis hinterlegte Fingerabdruck, dass sich Behörden in Zukunft in diesem System in alle meine Konten einloggen könnten ?
 
Nein. Der Fingerabdruck wird nicht zu Authentifizierung benutzt hier.
 
  • Gefällt mir
Reaktionen: Mika46
KitKat::new() schrieb:
Und das machst du mit dem abhanden gekommen Smartphone wie?
Ich habe es doch erklärt und jemand anderes hier auch noch mal. Wenn dein Smartphone weg ist nimmst du ein anderes, welchem du erlaubst dich bei irgendwem zu Passkey'n. Und jetzt probier es einfach mal aus.
 

Ähnliche Themen

Zurück
Oben