News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[Geringverdiener]

Sieht mir recht unsicher aus.

gegenüber biometischer verschlüsselung ist es tatsächlich extrem schwach
hier kannst du die Passwortsicherheit checken (gebt dort nicht eure echten Passwörte ein, da alle eigegebenen Passwörter bei denen in die Wortliste übernommen werden)

Beispiel
294ü0wÖr8§b76hjznuwq34vpO8

Ein herkömmlicher PC könnte dein Passwort innerhalb von
3 Sextilliarden Jahren knacken.

Spätestens dann sind mir meine Privatinformationen auch egal 😂

 

[Sherman789]

hat sich erledigt

 

[taette]

Einfach LNURL und fertig. Funktioniert definitiv und ist nicht von einer Partei abhängig.

 

[Veitograf]

Seitdem ich ich den Scanner mit einem transparenten Klebeband (Tesa, etc.) überklebt habe, gibt es keine Probleme mehr.
Vielleicht versuchst du es einfach Mal.

das pixel 7 hat einen fingerabdrucksensor unter dem display, da möchte ich kein tesa haben

 

[maxrl]

Ich hätte auf jeden Fall wesentlich weniger Bauchschmerzen, wenn ich die Keys in meiner KeePass DB speichern könnte ohne dass diese im TPM (oder was auch immer) gespeichert werden. Ich habe halt gerne selber die Kontrolle, wo meine Daten liegen

Die Jungs von KeepassXC arbeiten an einer Implementierung wobei die Releaseversion davon wohl frühestens ende des Jahres kommen wird. Hier mal der dazugehörige Github thread.

 

[XamBonX]

Der Nachteil ist, dass das Endgerät zum Schlüssel für alle Dienste wird, dessen Sicherheit mit der Sicherheit des Betriebssystems und der gewählten Authentifizierungsmethode steht und fällt.

Naja, einmal geklaut...

Ich find https://www.lesspass.com/#/ besser. Ist was völlig anderes, muss man sich aber nur 2-3 "Master"passwörter merken.

 

[Piecemaker]

Aha, also prinzipiell bleibt es bei Passwörtern und Passkeys sind optional "on top" und können im Falle eines Verlusts auch gar nicht forciert werden; was nirgends der Sicherheit, sondern einzig dem Komfort dient. Denn dann nehm ich als Angreifer einfach weiter das Passwort als Ziel.

Denkfehler:

• Passwort bleibt.
• 2FA existiert weiterhin.
• Passkey kommt hinzu.

Wie du die 3 Optionen mixt, bleibt dir überlassen. Nur Passwort ist immer schlechter als PW + 2FA oder PW + PK.

 

[KitKat::new()]

Jetzt hast du dein Handy daheim vergessen oder deinen Passwort-Manager nur lokal auf deinem Rechner zu Hause. Wie kannst du dich dann einloggen? Gar nicht

Oder man hat einfach den Passwortmanager nicht nur lokal auf meinem Rechner zu Hause

Nur Passwort ist immer schlechter als PW + 2FA oder PW + PK.

sehe ich anders, weil es subjektiv ist.
Mit 2FA kann ich nichts anfangen, weil ich mich dann von einem Gerät abhängig mache, und wenn kein Gerät benutzt wird (z.B. Email, dessen PW im PW-Manager liegt), ist es redundant.

Und PK... naja wenn mein PW Manager irgendwann Logins vollautomatisch machen kann, toll; darüber davon abhängig machen werde ich mich nicht.

Ergänzung (6. Mai 2023)

(gebt dort nicht eure echten Passwörte ein, da alle eigegebenen Passwörter bei denen in die Wortliste übernommen werden)

„CheckDeinPasswort.de speichert keinerlei Daten und ist für Benutzer unbedenklich.“

Was jetzt?

 

[Falc410]

sehe ich anders, weil es subjektiv ist.

Also man muss nicht studiert haben um zu erkennen, dass MFA immer besser als ein Single Factor (Passwort i.d.R.) da der Angreifer dann eben mehrere Dinge gleichzeitig stehlen / kontrollieren muss. Ist schön, dass du das anders siehst, aber es ist nicht subjektiv sondern objektiv sicherer!
Aber gut, du vertraust auch einem Passwort Manager in der Cloud der ohne einen zweiten Faktor abgesichert ist.

Im übrigen ist eine Brute-Force Attacke bei Internetdiensten quasi unmöglich, denn das erkennt jeder sofort und kann dich (temporär) aussperren. Brute-Force ist nur für offline Angriffe interessant (z.B. verschlüsselte Datei lokal angreifen). Was man aber nicht kontrollieren kann, ist wie das Passwort bei einem Dienst gespeichert wird. Und da wird es interessant, auch wenn man ein "gutes" Passwort benutzt hilft einem das nicht immer. Und die meisten verwenden halt das selbe Passwort bei mehreren Diensten.

Aber gut an der ganzen Unwissenheit hier im Forum (von angeblichen IT-Experten) sieht man ja, dass Angreifer leichtes Spiel haben und somit ist absolut nicht verwunderlich wenn sich täglich Leute melden deren Accounts "gehackt" worden sind. Wenn die selben Experten dann auch noch Passkeys ablehnen, haben sie es nicht anders verdient. Ich hab da null Mitleid inzwischen.

 

[Haldi]

Gratulation @mischaef ihr habt es geschaft eine 15 Seiten lange Diskussion anzuregen.
Wobei ich jetzt einfach mal so freihaus arroganterweise zu behaupten mag das rund 50% davon überhaupt nicht notwendig gewesen wäre wenn das Thema besser verstanden worden wäre.
Ob das Thema nun zu Komplex für die meisten Leser, oder zu schlecht aufbereitet vom Author ist, ist eine Aussage die man nicht so einfach treffen kann.
Ich sehe aber durchaus noch informationsbedarf bei dem Thema.
Wobei es bereits das 2te mal ist das CB über Passkeys schreibt und nur weil Google im Thema steht die Leute nun total ausflippen.

Wobei mir halt auch noch viele andere Probleme einfallen, wo man aktuell mit PW kein Problem hat, zB wie sieht es mit Account Sharing aus.

Mhmmmm.
Eigentlich ist ein Passkey KEIN passwort sondern eine Zugangserlaubnis.
Somit müsste die Homepage die Passkeys verwendet mehrere Passkeys ausstellen können für mehrere Nutzer die den gleichen account haben.

Siehe auch XKCD.

Sorry fürs Foto. Aber Screenshots werden nicht erlaubt


Zumal ich bezweifle dass so ein Ding einer Wörterbuch Attacke Standhält wenn gebruteforced wird.

Accountübernahmen gäbe es damit sekündlich, wenn "das Smartphone eines Freundes nehmen" ausreicht.

Ich flashe regelmässig android Custom ROMs. Jedes mal kommt auf meinem Tablet und via E-mail eine PopUp Benachrichtigung das sich ein neues Gerät mit Diesem Account angemeldet hat und ob ich das bin.
Noch NIE in meiner über 10 Jährigen nutzung meines Google Accounts hab ich eine Meldung bekommen das sich jemand eingeloggt hat der nicht ich war! Und das ganz ohne 2FA.

oder deinen Passwort-Manager nur lokal auf deinem Rechner zu Hause.

Macht eh keiner. Will man schliesslich mit Handy synchronisieren, also MUSS es zugänglich sein.
Zbsp über webDav https:
https://keeweb.info/

Dann muss man sie aber bei jeder Anwendung abtippen. Bei einem Passwortmanager geht das mit Copy&Paste

Nur so als Info.
Copy&Paste wird gespeichert und von Windows Synchronisiert.
Sofern also irgendwie möglich besser das Browser plugin nutzen welches die Daten direkt abgreift.
Auch wenn KeepassXC die passwörter nach 30 Sekunden wieder aus dem zwischenspeicher löscht.

 

[KitKat::new()]

Also man muss nicht studiert haben um zu erkennen, dass MFA immer besser als ein Single Factor (Passwort i.d.R.) da der Angreifer dann eben mehrere Dinge gleichzeitig stehlen / kontrollieren muss. Ist schön, dass du das anders siehst, aber es ist nicht subjektiv sondern objektiv sicherer

Sicherer heißt nicht, dass etwas besser ist. Es ist immer eine Abwägung von Vor- und Nachteilen.

Was man aber nicht kontrollieren kann, ist wie das Passwort bei einem Dienst gespeichert wird.

Ich gehe Mal stark davon aus, dass das Passwort gar nicht abgespeichert wird 😀

 

[Falc410]

Sicherer heißt nicht, dass etwas besser ist.

Sicherheit ist aber das einzige Kriterium um das es vorranglich geht bei der ganzen Diskussion. Usability könnte man noch mit anführen aber wie gesagt ein weiterer Faktor soll primär die Sicherheit verbessern und auf ein akzeptables Niveau bringen.

Ich gehe Mal stark davon aus, dass das Passwort gar nicht abgespeichert wird

Wie soll der Dienst dann erkennen, dass du das richtige Passwort eingegeben hast? Natürlich wird das Passwort in irgendeiner Form gespeichert.

Und niemand kann mir erzählen dass er noch nie von einem Leak betroffen war wenn er schon ein paar Jahre im Internet unterwegs war. Einfach mal bei https://haveibeenpwned.com/ die Eugene E-Mail-Adresse eingeben. Mit passkeys wäre das kein Thema mehr.

 

[KitKat::new()]

Sicherheit ist aber das einzige Kriterium um das es vorranglich geht bei der ganzen Diskussion.

Nein, siehst du doch wie die ganze Zeit was anderes diskutiert wird, z.B. UX und Abhängigkeit von einem weiteren Gerät

Wie soll der Dienst dann erkennen, dass du das richtige Passwort eingegeben hast? Natürlich wird das Passwort in irgendeiner Form gespeichert.

Nein, keiner speichert heute mehr Passwörter. Da werden nur noch Hashes von Passwörtern gespeichert, ggf. Noch Salz.

Und niemand kann mir erzählen dass er noch nie von einem Leak betroffen war wenn er schon ein paar Jahre im Internet unterwegs war. Einfach mal bei https://haveibeenpwned.com/ die Eugene E-Mail-Adresse eingeben.

Nicht betroffen, nichtmal meine Trash Mails hat's erwischt

 

[maxrl]

Sofern also irgendwie möglich besser das Browser plugin nutzen welches die Daten direkt abgreift.
Auch wenn KeepassXC die passwörter nach 30 Sekunden wieder aus dem zwischenspeicher löscht.

Neben dem Browser plugin hat KeepassXC noch die AutoType option bei der es die Tastatur imitiert und die Daten für einen eintippt. Also falls jemand aus irgendwelchen gründen wie ich Probleme mit dem Browser Plugin hat kann man sich das ja anschauen.

 

[ComputerJunge]

Macht eh keiner. Will man schliesslich mit Handy synchronisieren, also MUSS es zugänglich sein.

Das DB-File muss grundsätzlich lesbar zugänglich sein, um seinen Zweck erfüllen zu können. ^^

Ich habe bis letztes Jahr ausschließlich über das lokale Netzwerk gesynced (auf das iPhone mittels iMazing). Mittlerweile nutze ich allerdings zum Sync auf das (neue) MacBook Pro zusätzlich einen Cryptomator-Container via OneDrive.

Copy&Paste wird gespeichert und von Windows Synchronisiert.
Sofern also irgendwie möglich besser das Browser plugin nutzen welches die Daten direkt abgreift.

Zum Glück ist der "Bullshit" abschaltbar.

Normalerweise nutze ich diese Trigger-Wörter nicht, aber hier hat es sich Microsoft vollauf verdient. Einen Sync von temporären Daten in einem privaten Netzwerk nur über eine zentrale Remote-Cloud mit intransparenter Übertragung verfügbar zu machen, ist dämlich. Dieser Sieg geht haushoch an Apples Airdrop (Linux-Optionen kenne ich nicht, daher keine Erwähnung).

Bei Security-relevanten Features verzichte ich allerdings auch weiterhin auf jegliches Browser-Plugin. Meine Wahl bleibt daher Autotype zusammen mit Two-Channel Auto-Type Obfuscation.

Da werden nur noch Hashes von Passwörtern gespeichert, ggf. Noch Salz.

Ich fürchte, dass es immer noch - zu viele - Ausnahmen von dieser Regel gibt. Die öffentlich bekannt werdenden Breaches werden nach meiner Wahrnehmung zwar geringer, aber nach den deutlich häufigeren-als-von-den-betroffenen-Services-erwarteten 😨-Ereignissen bleibe ich hier grundsätzlich skeptisch.

Neben dem Browser plugin hat KeepassXC noch die AutoType option bei der es die Tastatur imitiert und die Daten für einen eintippt.

Siehe oben.

Leider vermisse ich bei KeepassXC ("muss" ich auf MacOS nutzen) immer noch die Option, Passwortgenerator-Regeln namentlich speichern zu können.

 

[Restart001]

Soll ich mal lachen? In Zukunft kann man biometrische Daten hacken? lol, nicht mit Mir.

 

[DorMoordor]

Einen Sync von temporären Daten in einem privaten Netzwerk nur über eine zentrale Remote-Cloud mit intransparenter Übertragung verfügbar zu machen, ist dämlich. Dieser Sieg geht haushoch an Apples Airdrop (Linux-Optionen kenne ich nicht, daher keine Erwähnung).

Da würde ich mal KDE Connect nennen. Nutze ich sehr gerne, vor allem als remote "Maus" Ersatz. Datenübertragung geht aber auch

 

[Silencium]

Ich muss gestehen, irgendwann einfach keine Passwörter mehr zu haben wäre ein Segen. Ich nutze zwar 1Passwortmanager, aber dennoch wäre es genial sich irgendwo einmal anzumelden, und damit überall in seinen Accounts eingeloggt zu sein, WENN ES SICHER IST.

Genau dort sehe ich persönlich, für mich, das Problem. Ich nutze aus 1P, allerdings Version 7! 1) Sehe ich nicht ein für den Bums ein Abo abzuschließen, ich hasse diese Abosoftware! 2) Passwörter gehen auf gar keinen Fall konzentriert in die Cloud, mir scheissegal wie sicher das sein soll - sahen ja jüngst wie es dann aussieht wenn solch ein Anbieter dann doch nicht ganz so gut abgesichert hat. Ich halte meine Hand zumindest für KEINE Firma ins Feuer, auch wenn sie angeblich noch so tolle Sicherheitsmaßnahmen getroffen haben mag.
3) Ich möchte von meinen Passwörtern ein Backup haben und in der Lage sein diese zu ändern. Denn PW, egal welcher Art, werden meist kompromittiert werden. Lediglich ein gut gepflegter HW-Token ist in meinen Augen relativ sicher - auch hier sollte man mindestens zwei nutzen #Backup

Für mich persönlich betrachte ich diese Technologie für den Ottonormalverbraucher, welcher sonst seinen Namen rückwärts als Kennwort nutzt - Neulich erst wurde einem Kunden das E-Mailkonto geklaut, wegen genau dieser Nummer. Menschen die ein wenig mehr im Thema Cybersecurity unterwegs sind, würde ich dort eher weniger sehen. Vielleicht täusche ich mich aber auch! Muss mich mal noch mehr mit dem Thema beschäftigen. Stimme im Übrigen der häufigen Kritik am Artikel zu: zu dünn, bzw. jetzt habt ihr die Chance auf einen Folgeartikel mit tieferem Einblick in die Technik. Apple verfolgt ja einen ähnlichen Gedanken wie Google.

EDIT

Weil ich es gerade gelesen habe: Doch, der Fall, dass Du Dir die Fingerkuppe unkenntlich machst ist schnell erreicht - noch nie geschnitten, verbrannt oder Ähnliches? Da wollt ihr das genau wie machen? Euch ist noch nie das Endgerät kaputtgegangen? Also bei manchen denke ich mir schon, dass sie recht naiv an die Sache gehen und sich das Leben doch sehr einfach machen und sich diese Lösung schönreden. Security kommt in 99% der Fälle mit Einbußen der Benutzbarkeit daher - deal with it!

 

[Falc410]

Weil ich es gerade gelesen habe: Doch, der Fall, dass Du Dir die Fingerkuppe unkenntlich machst ist schnell erreicht - noch nie geschnitten, verbrannt oder Ähnliches? Da wollt ihr das genau wie machen? Euch ist noch nie das Endgerät kaputtgegangen?

Und was hat das mit dem Thema zu tun? Passkeys können auch über ein Passwort entsperrt werden. Fingerabdruck ist nur Komfortfunktion. Ebenso können sie gesynced werden, also ist ein Verlust des endgerät auch nicht tragisch.

 

[Donnerkind]

Macht eh keiner. Will man schliesslich mit Handy synchronisieren, also MUSS es zugänglich sein.

Wieso will man das? 🤡