Das Verfahren ist sehr sicher und schützt definitiv vor Hackern: Die kommen dann
gar nicht mehr rein. Es wird aber zum Problem, wenn ein Dritter physischen Zugang zu den Geräten hat, mit denen man Passkeys verwendet. Sollte das Gerät nicht durch etwas geschützt werden (Passwort oder Biometrie), dann hat der Gerätebesitzer (Dieb) jederzeit Zugang zu
allen Diensten.
Das wäre analog dazu als würde man dasselbe Passwort bei allen Diensten nutzen und ein Hacker erbeutet das Passwort. Der Unterschied ist: Ein Hacker kann mit einem Passwort online alles machen, aber bei Passkeys ist der physische Zugang zum Gerät notwendig. Diese Wahrscheinlichkeit reduziert das Risiko eines Angriffs auf einen ganz kleinen, sehr überschaubaren Personenkreis im realen Leben.
Übrigens ist Passkeys ein offener Standard und nicht anbieterabhängig - es hat also nicht Google erfunden und sie haben auf keine Daten Zugriff. Es ist nur ein zusätzlicher Sicherheitsstandard. Die Anbieter müssen sich so seltener mit den Passwortproblemen der Kunden rumschlagen ("habe mein Passwort vergessen") und sparen auf diese weise Supportarbeit.
Wer nur Biometrie nutzt ist leichter erpressbar. Z.B. Dieb zwingt einen den Finger aufs Display zu halten oder hält das Smartphone/Webcam vors Gesicht. Passwörter kann man verweigern, vergessen... usw. Also mindestens ein Passwort benötigt man zur Sicherheit noch: Das für das eigene Gerät. Und dann darauf hoffen, dass es keine Sicherheitslöcher für das Gerät gibt (das eingebaute
Securelement) und es nicht geknackt werden kann. 😶
Die c't (Fachmagazin für Computernerds) hatte vor 3 Jahren schon Artikel über das Verfahren und hat es hoch gelobt. Man kann dafür auch FIDO U2F-Sicherheitsschlüssel verwenden statt ein Gerät.
Die Schlüssel liegen fest im Endgerät, nicht in einer Cloud. Da befinden sich nur die öffentlichen Schlüssel, die jeder wissen darf.
Raykus schrieb:
Ich verstehe es trotzdem nicht ganz. Wenn alles mit dem einem Gerät zusammen hängt, dem Smartphone, wo der oder die Key`s liegen. Wenn dieses Gerät runter fällt und kaputt ist, dann hat sich das erledigt und ich muss alles neu einrichten, bei allen Internetseiten oder Anbietern? Der Key soll ja nur dort liegen, habe ich doch richtig verstanden, damit es sicher ist?! Kann man Zweitgeräte hinzufügen, die auch gültig sind? Sonnst wär doch alles weg?
[...]
PS: Das Internet wird sich jetzt sowieso total verändern. Ich denke viele Internetseiten oder Anbieter werden verschwinden oder so nicht mehr da sein. Dank künstlicher KI, wie ChatGPT, besuche ich keine Internetseiten mehr! Ich frage etwas und bekomme die Antwort. Ich rufe keine Internetseiten mehr auf und erzeuge keinen Klick. Die Seiten leben von Usern und der geschalteten Werbung!
[...]
Bei Verlust oder Beschädigung des alten Geräts musst Du bei jedem Anbieter das neue Gerät anmelden. Problem ist auch: Wenn Du unterwegs bist und hast das notwendige Gerät nicht dabei, kommst Du nirgends rein. Das wäre equivalent so wie wenn Du den TAN-Generator Deiner Bank vergisst und dann unterwegs keine Überweisungen tätigen kannst. Passwörter im Gegensatz dazu hat man immer dabei. Passkeys ist der ultimative Schutz vor Hackern (aus dem Internet), aber in seltenen Extremfällen kann es auch unbequemer sein.
Als Backup sollte man immer mindestens ein Zweitgerät gleichzeitig bei allen wichtigen Anbietern mit anmelden, falls das Erste ausfallen sollte.
Das mit der KI ist nicht so dramatisch: Die lügt sowieso nur die meiste Zeit (und weiß es nicht) und hat es mit Fakten nicht so genau. Es ist eher andersrum, dass die meisten Webseitenersteller die KI (ChatGPT) derzeit nutzen um sich ihre oberflächlichen Click-Bait-Beiträge auf den Blogs gespickt mit Werbung automatisch erstellen lassen, um so noch weniger Arbeit zu haben, damit die Leute über ihre Affiliatelinks bei A****n einkaufen. 😒
