News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[Veitograf]

Hast Du ein Panzerglas drauf? Schon mal versucht in den Einstellungen die Sensibilität des Scanners zu erhöhen?

habe ich drauf, aber er war davor schon richtig schlecht. habe auch schon versucht, den finger mehrmals zu registrieren. sensibilität habe ich auch schon erhöht.

 

[Fenkel]

Hätte mich mal interessiert, ob nach der Scanner nach 20 g Botox im Gesicht auch noch anspricht.
Auch schlecht für japanische Yakuza, wenn sie einen Finger verloren haben.

 

[Autokiller677]

Das mit in der Cloud synchronisieren hat schon bei Lastpass nicht funktioniert, die wurden 2 mal gehackt.

Lastpass hatte auch einfach ein völlig kaputtes Sicherheits-Design.

Andere PW-Manager wie z.B. Bitwarden sind da deutlich besser aufgestellt (schlicht, weil einfach alles verschlüsselt ist - nicht nur die Passwörter).

 

[maikwars]

Wenn euch die geposteten Seiten alle zu unverständlich sind, dann hier in Kurzform:

Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt.

Quelle:
https://support.apple.com/de-de/HT213305

 

[Yuuri]

Du hast doch selbst in genau diesem Post Links gepostet die dir den Flow und alles um Passkeys zu 100% erklären. Wo ist dein Problem?

Ja und noch viele weitere Links die u.a. beim "Release" in HN durch die Kommentare geflogen sind und mir trotzdem nicht alles erklären konnten. Wie gesagt: Viel Bullshitbingo kommt drin vor, bis man irgendwann Parallelen zu SSH Keys erkennt und sich dann sehr sehr vieles durch Erfahrung ergibt. Durch den Marketingtext selbst erfährt man es jedenfalls nicht.

Und trotzdem fehlt überall der Fall "Was wenn alle Geräte kaputt sind und ich keine hinterlegten Passkeys mehr habe". Einzig bekannte Konstanten sind dort: Username + Passwort. Und so lange dieser Fallback existieren muss, wird "passwordless" etwas ad absurdum geführt. Bisherige Fälle sprechen immer von dem Fall, dass immer noch irgendwo ein bereits registriertes Handy rumschwirrt, auf welches man Zugriff besitzt. Aber es muss ja nicht mal der Fall eintreffen (effektiv ist es natürlich das Selbe): Was wenn ich mich bei nem Freund fix in nen Account einloggen und was nachsehen will? Handy daheim vergessen - Zugang nicht möglich. Sowas ginge mit Passkeys auch nicht. Aber da Passwörter an sich nicht aussterben werden (und eben können), finde ich den "Hype" um diese Sache etwas sehr künstlich.

Dass die Methodik des Passworts immer noch als Einfallstor dient (was bereits mehrfach erwähnt wurde), setzt der Sache dann die Krone auf, denn prinzipiell entfällt somit gar kein Angriffsvektor und alles bleibt beim Alten. Und wenn man Passkeys als primären Faktor "heraufstufen" könnte, würde man sich bei Verlust des Geräts/Zugriffs selbst komplett aus seinem Account aussperren. Wie passiert dann der erneute (Wieder-)Zugriff? "Passkey verloren -> Mail versendet -> wiederherstellen"? Was ist das Szenario? Also prinzipiell alles wie eh und je? Passkey deaktiviert, Username + Passwort wiederhergestellt/neu vergeben, neuen Passkey hinterlegt und wieder heraufstufen? Das ist doch total Banane, da eben weiter alles effektiv an der Kombination Username + Passort hängt.

Und wenn meine Mailadresse einzig und allein bei Google liegt und ich den Passkey vergessen hab? Wie sieht der Recovery Fall dann aus? Eine Mail zur Wiederherstellung kann ich ja nicht versenden, weil da hab ich keinerlei Zugriff. Eine zweite Mail zwangsweise hinterlegen? Und der Anbieter hat dann wieder nur Username + Passwort und zudem auch kein Rate Limiting?

Um es nochmal klar zu stellen: SSH Keys sind toll. Passkeys sind an sich auch toll. Nur finde ich den Rattenschwanz dahinter extrem fragwürdig: der "Hype" um "passwordless", wie alle alles promoten, der Cloud Sync, (fehlendes/fehlerhaftes) E2EE usw.

Passwort als einziges Kriterium ist schon lange kein "muss" mehr

Das Passwort als einziges Kriterium zur Authentifizierung ist immer noch ein Muss. Oder wie meldest du dich bei Google an? Username + Klick aufs Handy? Du brauchst zur Authentifizierung immer Username + Passwort. Was dann als MFA dient, ist doch irrelevant in diesem Fall. Passkeys sollen aber Username + Passwort als Authentifizierungsmethode und nicht den MFA ersetzen.

PIN, TOTP, Magic Link, Hello, Face ID und Co. sind alles nur MFA. Du kannst aber nicht bei Google auf Login klicken, deinen Namen eingeben und dein Gesicht scannen lassen. Das klappt nicht. Zumindest wäre es mir neu, dass man sowas als primären Faktor verwenden könnte.

Die Technologie dahinter ist aber die gleiche, ein positiver Aspekt hier wird daher auch sein das die Akzeptanz von FIDO2 Keys für 2FA vermutlich auch deutlich besser wird wenn sich die Passkeys verbreiten.

Das hat mich beim Einrichten auch genervt. Und ich hoffe immer noch, dass man das Management darum ggf. auch in Passwortmanagern etwas voran bringt. Die offiziellen Yubico Tools sind doch etwas... Steinzeitlich. Das Handling damit erinnert einen an die 90er zurück. Zum Glück aber nicht beim Einsatz als zweiten Faktor, wo ein simpler Dialog kommt und ein Tipper reicht.

 

[ComputerJunge]

Spontan fällt mir auch keine Webseite ein die ein Passwort länger als 20 Zeichen erlaubt.

ComputerBase. ;-)

 

[VandeKamp]

Die c't hat in der neusten Ausgabe ebenfalls einiges zu dem Thema zu berichten und verweist am Ende nochmal auf die deutlich höhere Sicherheit durch Passkeys, weil diese letzlich auf FIDO2 setzen.

 

[Dalek]

Ein Detail was vielleicht hier etwas untergegangen ist sind die Vorteile von FIDO2 die die Passkeys dadurch auch bekommen. Das ist vor allem der vollständige Schutz gegen Phishing. Die Credentials sind an die Domäne gebunden, das macht jeglichen Phishing-Versuch zunichte.

 

[Autokiller677]

Das Passwort als einziges Kriterium zur Authentifizierung ist immer noch ein Muss. Oder wie meldest du dich bei Google an? Username + Klick aufs Handy? Du brauchst zur Authentifizierung immer Username + Passwort. Was dann als MFA dient, ist doch irrelevant in diesem Fall.

Es ist absolut nicht irrelevant. Wenn man noch einen MFA braucht, ist das Passwort ja gerade nicht das einzige Kriterium. Das einzige würde ja gerade bedeuten, dass es nichts anders braucht. Dem ist dann aber nicht so.

Und ich weiß nicht wie es bei Google ist - Microsoft drängt einen schon länger dazu, den MS Authenticator zu nutzen, und da ist der Login dann tatsächlich Username + Klick aufs Handy. Kein Passwort nötig. Man kann das Passwort vom MS Account sogar ganz entfernen: https://support.microsoft.com/en-us...-account-674ce301-3574-4387-a93d-916751764c43

Und auf meinen Apple-Geräten ist der Login in iCloud o.ä. über die Website sowie Logins über "Sign in with Apple" schon lange nur FaceId / Fingerabdruck. Vom Verfahren aus Nutzersicht her sehr ähnlich zu Passkeys - und deutlich einfacher als Username + PW + 2FA.

Deshalb wiederhole ich mich: Die Allianz um Passkey umfasst alle großen Endgeräte-OS-Hersteller, und die arbeiten auch unabhängig von Passkeys schon länger an Verfahren, um vom Passwort wegzukommen. Das ist keine neue Schnapsidee.
Weil Passwort alleine einfach unsicher ist und sicherer 2FA mit irgendeinem OTP oder Hardware-Key für viele User kompliziert / unverständlich ist. Sehe ich in meinem Umfeld stark. Kaum jemand nutzt eine App o.ä. für TOTP, wenn 2FA, dann am ehesten noch SMS. Klar, besser als nix, aber sicher ist anders. Ich kenne niemanden, der wie ich bei jedem Account 2FA aktiviert und in der TOTP App 30+ Logins hat.

Wenn das mit Passkeys jetzt auf einen gemeinsamen, nutzerfreundlicheren Standard gesetzt wird und breiten Support von OS, Browsern, PW Manager etc. erfährt, wird das in der Masse Einzug halten imho. Klar, nicht nächstes Jahr. Das ist was Mittelfristiges. Aber die nötige Dynamik ist da, und Richtung 2030 wird es denke ich eher die Regel als die Ausnahme sein.

 

[Falc410]

Dass die Methodik des Passworts immer noch als Einfallstor dient (was bereits mehrfach erwähnt wurde), setzt der Sache dann die Krone auf, denn prinzipiell entfällt somit gar kein Angriffsvektor und alles bleibt beim Alten.

Wie schon mehrfach geschrieben entfallen eben sehr viele Angriffsvektoren. Passwörter können nicht wiederverwendet werden, ein Keylogger kann sie nicht abgreifen, ein Man-in-the-middle kann sie ebenfalls nicht abgreifen, dein Passwort kann nicht entwendet werden wenn der Dienstanbieter gehackt wird usw. usw.
Ich verstehe einfach nicht wie man so davon überzeugt sein kann, dass eine Technologie scheisse ist, wenn man sie überhaupt nicht versteht. Und dabei kennst du dich doch mit SSH Keys aus, so wie du schreibst. Dann müssten dir doch die ganzen Angriffsvektoren die ich gerade genannt habe auch klar sein. Und die habe ich jetzt mal eben mit 5 Sekunden Nachdenken herausgefunden. Gibt wahrscheinlich noch eine Menge mehr...

Und wenn meine Mailadresse einzig und allein bei Google liegt und ich den Passkey vergessen hab? Wie sieht der Recovery Fall dann aus?

Wie sieht der Recovery Fall aus wenn du den TOTP (Handy bei den meisten) verlierst? Ist das einheitlich? Nein, das macht jeder Dienst anders. Sogar jede Bank hat ein anderes Verfahren. Manche schicken dir einen Brief andere Dienste schicken dir eine Mail. Ein Recovery Verfahren zu etablieren ist Aufgabe des Dienstanbieters (in dem Fall, die Webseite auf der du dich einloggen möchtest).

Was wenn ich mich bei nem Freund fix in nen Account einloggen und was nachsehen will? Handy daheim vergessen - Zugang nicht möglich.

Mal davon abgesehen, dass das immer eine dumme Idee ist, aber gut. Jetzt hast du dein Handy daheim vergessen oder deinen Passwort-Manager nur lokal auf deinem Rechner zu Hause. Wie kannst du dich dann einloggen? Gar nicht - ausser du verwendest leicht zu merkende Passwörter und diese dann vermutlich bei mehreren Anbietern. Sehr schlechte Idee. Ich hab daher meine Passwörter mit Supergen Pass generiert, genau für so einen Fall wenn ich mal irgendwo gestrandet bin. Aber ich kenne bis auf mein Master Passwort kein einziges Passwort - oder merkst du dir jedes deiner 50+ Random generierte Passwort mit 20 Stellen? (Müsste nochmal die Statistik nachschauen aber jeder Durchschnittsuser hat meine ich um die 50 Passwörter im täglichen Leben). Also ist dein Argument an den Haaren herbeigezogen. Aber nehmen wir mal an du setzt nur auf leicht zu merkende Passwörter und kannst dir alle merken, was machst du dann mit dem 2. Faktor? Du hast ja dein Handy vergessen. Merkst du dir auch den Seed und installierst dann eben Google Authenticator in einer Android VM? Also siehst du wie absurd dein Szenario ist.

PassKeys würden aber das Szenario sich auf einem fremden Rechner wo einloggen auch deutlich komfortabler und vor Allem sicherer machen als es jetzt mit Passwörtern der Fall ist.

Viel Bullshitbingo kommt drin vor, bis man irgendwann Parallelen zu SSH Keys erkennt und sich dann sehr sehr vieles durch Erfahrung ergibt.

Bei dem Pressetext gebe ich dir Recht, da ist Bullshitbingo drin, aber gerade die Links die du gepostet hast und die auch schon bei der letzten News (letzten September glaube ich) hier verlinkt worden sind, erklären das sehr gut und deutlich, da ist nichts mit Bullshitbingo auf https://passkeys.dev/docs/intro/what-are-passkeys/ z.B.

 

[Caramelito]

so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.

Soll sehr gut funktionieren gerade beim Pixel.

Bei mir funkt es mim S20 Ultra tadellos.
Bei meiner Frau mim S21 sehr schlecht.

Entweder komische Finger oder nicht richtig konfiguriert?

 

[Veitograf]

Entweder komische Finger oder nicht richtig konfiguriert?

Meine trockene Haut ist vermutlich nicht hilfreich

 

[flopower1996]

Ich weiß auch nicht, ob sich das System so durchsetzen wird. Mit Bitwarden im eigenen Homelab + 2FA lokal aufm Handy mit Sicherung im CIFS-Share, kann da eigentlich relativ wenig passieren.
Für mich ist der Workflow wirklich gut soweit.

 

[Caramelito]

Meine trockene Haut ist vermutlich nicht hilfreich

Interessant, hat meine Frau tatsächlich auch, dadurch oft Cremen im Einsatz.. Siehst direkt gelöst

 

[Steve!]

Fingerabdruck in den diversen Apps ist wirklich praktisch.
Zusätzlich habe ich noch Bitwarden bei dem ich auch ganz einfach das Passwort kopieren/einfügen kann, so spare ich mir das getippe falls kein Fingerabdruck-LogIn möglich ist.

 

[peli4for]

so schlecht wie der fingerabdrucscanner in meinem pixel 7 funktioniert, wäre das aktuell nichts für mich.

Ich hatte mit dem Fingerabdruckscanner eines anderen Smartphones auch immer wieder Probleme. Seitdem ich ich den Scanner mit einem transparenten Klebeband (Tesa, etc.) überklebt habe, gibt es keine Probleme mehr.
Vielleicht versuchst du es einfach Mal.

 

[dvor]

Beispiel: "Computer Computer an der Wand, wer ist der beste Forennutzer im ganzen Land?"

Wie reagieren Systeme bei der Passwortvergabe darauf?

Kleinbuchstabe: Vorhanden.
Grossbuchstabe: Vorhanden.
Sonderzeichen: Vorhanden.
Ziffer: Fehlt.
=> Passwort unsicher und nicht zulässig.

 

[MujamiVice]

Also seit ich das iPhone 11 habe, ist noch jedes Passwort über Passwörter und FaceID eingegeben worden. Für mich die ideale Lösung, auch wenn viele über die große Notch schimpfen finde ich es einfach klasse. Weiss nicht wie gut/sicher es bei den Androiden läuft, da ich seit über 3J keines mehr privat benütze.

 

[dec7]

Wichtige Passwörter speicher ich nirgendwo, die stehen in meinem Notizbuch, an das keiner rankommt. Halte ich so seit knapp 30 Jahren, also soviel Zeit habe ich eh nicht mehr vor mir von daher geh ich davon aus das es auch weiterhin die nächsten paar Jahre bis zu meinen Ableben gut klappt.

 

[Kronos60]

Wichtige Passwörter speicher ich nirgendwo, die stehen in meinem Notizbuch,

Dann muss man sie aber bei jeder Anwendung abtippen. Bei einem Passwortmanager geht das mit Copy&Paste.

Ich verwende Keepass da ist die Datenbank lokal auf meinem PC gespeichert und verschlüsselt.
Ohne das Masterpasswort kommt niemand an sie ran.