News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[dasbene]

Ich habe es jetzt mal in der Demo Anwendung unter https://www.passkeys.io/#Demo ausprobiert.

Firefox geht sowohl unter Android als auch Windows 11. In beiden fällen aber nur weil der System Passwortmanager übernimmt.

Ich finde es aber unstimmig, das auf der einen Seite die Passkeys über das komplette Ökosystem(Microsoft/Google/Apple) synchronisiert werden, aber auf der anderen Seite ein Export für den User nicht erlaubt wird.

Im Fall von Apple ist die ganze Situation sogar noch schlimmer. Falls man es gut meint und überall Passkeys verwendet verliert man gleich auf alles Zugriff wenn einem iPhone und Pin gestolen werden. Mehr benötigt man nicht um ein neues Passwort für die AppleID zu setzten.

 

[Hakubaku]

Keypassium + Yubikey ist meine Alternative.

 

[alkaAdeluxx]

Wie soll ich dann meine 20 online streaming Dienste mit all meinen Freunden und Familie teilen, wer hat sich den sowas ausgedacht 🤔

 

[Eidgenosse]

Nirgends.

Mein iPhone scannt mein Gesicht, jagt das Ergebnis des Scans durch ein mathematisches Verfahren und schaut ob das Ergebnis danach mit dem übereinstimmt, was es gespeichert hat. (Grob und unvollständig.)

Du merkst aber schon das du dir widersprichst?

Grob und unvollständig ist immer noch genug, dass man daraus ableiten kann, ob das Ergebnis korrekt ist oder nicht.

Ergänzung (5. Mai 2023)

Ich finde es aber unstimmig, das auf der einen Seite die Passkeys über das komplette Ökosystem(Microsoft/Google/Apple) synchronisiert werden, aber auf der anderen Seite ein Export für den User nicht erlaubt wird.

Das ist aber gemein. Kein Zugang zu den eigenen Daten.

 

[DaLexy]

Liege ich da jetzt falsch oder ist das nichts anderes als was es schon bei Google mit den Titan Keys gibt ?!
Nur das man anstatt des seperaten keys, das ganze auf dem Smartphone hat ?!

https://store.google.com/de/product/titan_security_key?hl=de

 

[Falc410]

Wo werden die biometrischen Daten gespeichert? Passwörter werden nie verschwinden. Das ist absurd.

Allein der Begriff "Passkey" ist eine Mogelpackung. Es ist kein Passkey. Es sind "Biometric Access Data"

Konzept nicht verstanden. Setzen sechs. Jeder einzelne Satz von dir ist komplett falsch.

 

[CastorTransport]

so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.

Hast Du ein Panzerglas drauf? Schon mal versucht in den Einstellungen die Sensibilität des Scanners zu erhöhen?

 

[Hito360]

Okay krass das ist bisher vollkommen an mir vorbeigegangen 🤯 Muss ich mich mal dringend mit beschäftigen. Scheint eine sehr gute Entwicklung zu sein.

Gibts Nachteile?

du bist von googles app abhaengig, darfst dein smartphone nie wieder abschalten und wenn dein smartphone eines tages aufhoeren sollte zu arbeiten, musste mit urin- & blutprobe beim zoll/rathaus vorsprechen

 

[Independent]

Ich nutze heute schon aktiv den Microsoft Authenticator/Face ID in Verbindung mit meinem IPhone. Selbst wenn ihr mein Paypal Passwort habt, kommt ihr nicht weiter, da die Microsoft Authenticator eine Bestätigung haben möchte.
Überall da wo Geld fließen kann, habe ich den Microsoft Authenticator aktive, in Verbindung mit Face ID.

Sicher eine 100% Garantie gibt es nirgendwo, aber aus meiner Sicht, ist das die richtige Richtung und besser wie Benutzername und Passwort.

 

[Hito360]

klingt nicht sicherer, nur bequemer und abhaengiger. sicherheit kann ich mit entsprechendem passwort selbst auf hohem niveau ansetzen, wozu brauch ich dann googleverbindung/-geraet? gar nicht, denn passkeys gehen ueber diverse antennen/geraete durchs internet - das soll sicherer sein?

mein kennwort muss man aus mir rausfoltern, meinen fingerabdruck nicht...

big tech hat hier leider nur eine verlogene moeglichkeit gefunden eure userkonten fuer werbung kostbarer zu machen und wird dies beim passwortfaulen Volk auch einfach durchsetzen indem klassicher passwortlogin einfach eingemottet wird.

 

[frazzlerunning]

klingt nicht sicherer, nur bequemer und abhaengiger.

Für uns hier im Tech-Forum, ja.

Für den 'Otto' da draußen, für den Durchschnittsuser, ist es zugleich sicherer und bequemer.

Meine Mutter würde heute noch für jeden Online-Zugang (außer bei der Bank), ein und dasselbe 10 stellige Alphanumerische Passwort (eine Passphrase auf die Anfangsbuchstaben und Zahlen reduziert, mit Satzzeichen versehen) verwenden, wenn ich sie nicht dazu überreden konnte, es zumindest mit dem Dienst noch zu pfeffern.
Von regelmäßigem Wechsel rede ich noch gar nicht.
Passwort-Manager? Hab ich ihr dreimal gezeigt, das ist ihr zu kompliziert.

Für Sie wird Passkeys, wenn es dann mal bei den Websites ankommt, eine gehörige Verbesserung:

 

[Tulol]

so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.

Angeblich soll der besser sein als der aus meinem Pixel6 und mit dem hab ich null Probleme.

Vielleicht muss man das 'anlernen' der Hardware auch für Laien einfacher und verständlicher machen um in Zukunft solchen Problemen vorbeugen zu können.

Macht ja keinen Sinn ne geile Technik zu entwickeln ohne das sie jemand sinvoll nutzen könnte.

 

[Autokiller677]

Sehr unwahrscheinlich..

Ah ja. Dummsday aus dem CB Forum wird Google zu Ende bringen. Schöne David gegen Golaith Neuauflage.

Was passieren wird: Google (und die Allianz dabei, die mit Apple und Microsoft die anderen Endgerät-Schwergewichte enthält) wird Passwörter im Main-Stream zumindest ein ganzes Stück zurück drängen und auf lange Sicht in eine Nische schieben.
Du kannst dann gerne auf alles von Google verzichten und eine Zukunft ohne Google für dich persönlich einläuten. Nur wird das Google exakt gar nicht interessieren und insgesamt beginnt jetzt sicher nicht eine Zukunft ohne Google für die Welt.

Ergänzung (5. Mai 2023)

Du merkst aber schon das du dir widersprichst?

Nein, er widerspricht sich nicht.
Du hast gefragt, wo die biometrischen Daten gespeichert werden. Und die Antwort ist: Die werden nirgendwo gespeichert. Es wird (vereinfacht) ein Hash davon gespeichert, aus dem sich die Eingangsdaten nicht wiederherstellen lassen. So wie es auch bei jedem Passwort bein Online-Diensten, PC-Login etc. passiert (sofern es mit einem minimalen Verständnis von Sicherheit implementiert wurde - irgendwelche Idioten, die die Logins von Usern auf ihrer Website im Klartext speichern gibt es immer)

 

[Yuuri]

Jetzt loggst du dich bei Google/Apple mit Name & Passwort ein.

Aha, also prinzipiell bleibt es bei Passwörtern und Passkeys sind optional "on top" und können im Falle eines Verlusts auch gar nicht forciert werden; was nirgends der Sicherheit, sondern einzig dem Komfort dient. Denn dann nehm ich als Angreifer einfach weiter das Passwort als Ziel.

Ist genauso überflüssig, wie wenn ich meinen YubiKey registriere und als Alternative SMS angezeigt bekomme.

Bitte lesen und nicht nur überfliegen:

Ihr könnt so viel Links posten wie ihr lustig seid: Das eigentliche Kernproblem wird nirgendwo adressiert, sonst gäbe es wohl mittlerweile ein weitaus größeres Verständnis dieser Technik. Aber nirgends, egal in welchem Forum oder welcher News-Seite man sich rum treibt, versteht keiner die Sache zu 100 % (oder kann den Flow selbst zu 100 % beschreiben) und es gibt viel mehr offene Fragen als sonstige Kommentare. Das Problem kann ergo nicht an den Kunden liegen, denn wenigstens einige versuchen es zu verstehen (zumindest einer mit mir) und können es nicht, weil der Kram bisher ausschließlich auf Bullshitbingo basiert und keine harten Fakten existieren.

Irgendwo fehlt immer was und der Grund ist ausreichend, dass man der gesamten Thematik mindestens skeptisch gegenüber steht. Und wie man sieht auch vollkommen begründet, denn Passwörter werden anscheinend nicht abgeschafft ("der Sicherheit wegen"), sondern es soll einfach "sichererer Komfort" Einzug erhalten.

Ein Puzzleteil wurde oben gelüftet (plain Passwort im Recovery Fall) und bringt damit das gesamte Passkey Konstrukt zu Fall. Es bleibt also lediglich der erhöhte Komfort, aber den hab ich mit nem Passwortmanager deutlich einfacher, es ist erprobt, die Daten bleiben lokal, kann TOTP integrieren, habe eine komplette Change History, Notizen, falls Cloud definitiv E2EE, die Daten sind definitiv ausles- und problemlos änderbar, auch weitergeben kann ich sie wie immer, ich muss mich nicht an einen suspekten Provider für den Sync binden (aber kann es problemlos, da E2EE), ...

Mit Passkeys hat man in der aktuellen Situation mit dem Einsatz von Passwortmanagern dagegen nur Nachteile. Bin gespannt wie Bitwarden und KeePass das Problem lösen wollen.

Bluetooth kann ich mir schlecht vorstellen, weil es gerade bei Desktop-PCs absolut nicht vorausgesetzt werden kann.

• https://www.passkeys.io/
• https://passkey.org/

-> Smartphone/Tablet:


Chrome 115.0.5750.0

Was den Firefox betrifft:

We are actively working on supporting this feature.

Here is our current roadmap (might change):

• WebAuthn Level 1 + CTAP2 is riding the trains for Fx 114
• WebAuthn Level 2 + 3 are planned to ride the Fx 116 train
• Passkeys (though details are still about to figured out) earliest completion is Fx 120

Also frühestens Dezember 2023.

Was passieren wird: Google (und die Allianz dabei, die mit Apple und Microsoft die anderen Endgerät-Schwergewichte enthält) wird Passwörter im Main-Stream zumindest ein ganzes Stück zurück drängen und auf lange Sicht in eine Nische schieben.

Das halte ich für sehr unwahrscheinlich, wenn Passkeys kein First-Class-Citizen werden. Was eben gar nicht möglich ist, denn im Verlustfall muss das Passwort als einziges Kriterium herhalten. Zumal man Passkeys am PC nur via physischem FIDO Key oder per BT verwenden kann.

Wie gesagt: Alle rühren die Werbetrommel, aber keiner erklärt es zu 100 % lückenlos.

Am Handy kann es durchaus "sinnvoll" verwendet werden. Am Desktop/Notebook wird das so definitiv nichts.

 

[masked__rider]

solange es auf EU Ebene keine klaren Regelungen und Gesetze gibt wie Google damit umgehen darf, werde ich denen ganz bestimmt nicht meine biometrischen Daten anvertrauen

so sehen meine Passwörter aus : 294ü0wÖr8§b76hjznuwq34vpO8 . die sind mindestens genauso stabil wie biometrisch generierte Passwörter

ich glaube es geht denen auch nicht um die Sicherheit ihrer Ratten, sondern um die Identifikation dass DU es immer bist der gerade mit XY inteagiert........ ein Passwort kann ich jedem weitergeben, meine biometrischen Daten nicht

Sieht mir recht unsicher aus.

 

[frazzlerunning]

Naja... Interpretationssache...

 

[Autokiller677]

denn im Verlustfall muss das Passwort als einziges Kriterium herhalten

Das ist doch heute schon bei jeder halbwegs ordentlich gesicherten Seite mit 2FA nicht der Fall (vollkommen zurecht).

Und Google ist mittlerweile auch schon dabei, Nutzer zu 2FA zu zwingen. Passwort als einziges Kriterium ist schon lange kein "muss" mehr und Verlust des zweiten Faktors führt dann auch heute gerne mal zum Verlust des Accounts.

 

[Dalek]

Zumal man Passkeys am PC nur via physischem FIDO Key oder per BT verwenden kann.

Windows Hello sollte gehen, bin mir nicht sicher ob das immer bestimmte Hardware braucht oder nicht wie die Gesichtserkennung die ein Teil von dem System ist.

Und generell sind FIDO2 Keys nicht das gleiche wie die Passkeys die hier beschrieben werden. Das neue an den Passkeys ist das sie recoverable sind weil sie in die Cloud synchronisiert werden können. FIDO2 Keys kann man nicht exportieren, das ist Teil des Designs dahinter. Das ist sicherer, aber macht sie auch etwas umständlicher. Die Technologie dahinter ist aber die gleiche, ein positiver Aspekt hier wird daher auch sein das die Akzeptanz von FIDO2 Keys für 2FA vermutlich auch deutlich besser wird wenn sich die Passkeys verbreiten.

 

[Kronos60]

Das neue an den Passkeys ist das sie recoverable sind weil sie in die Cloud synchronisiert werden können.

Das mit in der Cloud synchronisieren hat schon bei Lastpass nicht funktioniert, die wurden 2 mal gehackt.

Ich bleibe bei Keepass da ist die Datenbank lokal gespeichert und nur ich habe die Kontrolle darüber.

 

[Falc410]

klingt nicht sicherer, nur bequemer und abhaengiger. sicherheit kann ich mit entsprechendem passwort selbst auf hohem niveau ansetzen, wozu brauch ich dann googleverbindung/-geraet? gar nicht, denn passkeys gehen ueber diverse antennen/geraete durchs internet - das soll sicherer sein?

mein kennwort muss man aus mir rausfoltern, meinen fingerabdruck nicht...

Klingt sicherer und ist es auch. Alleine dass Webseitenbetreiber nun nicht mehr dein Passwort unsicher speichern können (Klartext, MD5 Hash, etc) und du automatisch einen unique Passkey pro Dienst hast, macht das schon deutlich sicherer. Dazu ist die Passkeylänge und das Verschlüsselungsverfahren vorgegeben, also vorbei die Zeiten mit 123456 als Passwort oder Webseiten die keine Sonderzeichen erlauben (genauso nervig, wie die zu erzwingen). Spontan fällt mir auch keine Webseite ein die ein Passwort länger als 20 Zeichen erlaubt.
Also ist dein erster Punkt schon einmal ausgehebelt - nein du kannst das selbe Sicherheitsniveau nicht mit einem Passwot erreichen und selbst wenn, weisst du nicht wie der Dienst damit umgeht und wie er dein Passwort speichert. Davon abgesehen kennt der Dienst dein Passwort ja dann auch (komisch, dass da die Paranoia-Fraktion kein Problem damit hat).
Nächster Punkt: Googleverbindung? Warum solltest du eine Googleverbindung benötigen? Passkeys ist eine Technologie die zwar von Google mit getrieben wird, aber es ist ein offener Standard. Du brauchst keine Googleverbindung und auch kein Googlegerät. Was für Antennen ins Internet gehen kann uns wohl nur dein Aluhut sagen. Aktuell unterstützen halt Google und Apple Passkeys direkt in ihrem Mobilen OS. Aber du wirst später deine Passkeys auch sonst wo speichern können

When contacted by Le Monde, Google and Microsoft also confirmed that they are working on opening up passkey management to third parties, such as password management companies like LastPass or Dashlane. They could store passkeys in their own cloud and make them accessible under different ecosystems.

Quelle: https://www.lemonde.fr/en/economy/a...-explained-in-three-questions_5997728_19.html

Was mich auch zu deinem letzten Punkt bringt. Warum meinst du, du musst deinen Passkey mit einem Fingerabdruck sichern? Aktuell werden bei Apple und bei Android Telefonen deine Passkeys natürlich verschlüsselt mit dem Gerätepasswort - das du selbst wählen kannst. Ob du nun deine Passkeys aus bequemlichkeit mit dem Fingerabdruck entsperrst (der nicht an Google geschickt wird auch wenn das immer wieder manche Verschwörungstheoretiker behaupten obwohl es widerlegt ist) oder das Passwort selbst eingibst, bleibt dir überlassen. Natürlich ist das System darauf ausgelegt so einfach wie möglich zu bedienen zu sein.

Gleichzeitig speichert ihr alle eure Passwörter im Chrome oder Safari (iCloud Keychain) ab und synchronisiert die an Google und Apple und entsperrt diese ebenfalls mit dem Finger oder FaceID - da regt sich niemand auf. /facepalm

Fazit ist: Passkeys können gar nicht schnell genug eingeführt werden und hoffentlich werden wir in wenigen Monaten genug unabhängige Passkey-Manager haben die man entweder selber hosten kann oder die von einem unabhängigen Betreiber (Bitwarden etc) kommen. Wobei ich dann im Moment doch eher noch Apple vertraue wenn ich mir anschaue was in den letzten Monaten bei Lastpass und Co passiert ist. Aber das muss jeder selbst wissen.
Wenn die Profis die Keys selbst irgendwo ablegen können wäre es natürlich schön, aber wie wir aus der Vergangenheit wissen, ist das gerade bei SSH Keys oder anderen Zertifikaten keine gute Idee, da dann doch ganz schnell über das Filesystem unberechtigte Zugriffe stattfinden.

Ergänzung (5. Mai 2023)

Aber nirgends, egal in welchem Forum oder welcher News-Seite man sich rum treibt, versteht keiner die Sache zu 100 % (oder kann den Flow selbst zu 100 % beschreiben) und es gibt viel mehr offene Fragen als sonstige Kommentare.

Du hast doch selbst in genau diesem Post Links gepostet die dir den Flow und alles um Passkeys zu 100% erklären. Wo ist dein Problem?