News Passkeys: Google läutet die Zukunft ohne Passwörter ein
- Ersteller mischaef
- Erstellt am
- Zur News: Passkeys: Google läutet die Zukunft ohne Passwörter ein
- Registriert
- Sep. 2018
- Beiträge
- 3.447
Danke. Ich korrigiere mein Post.Falc410 schrieb:
Knuddelbearli
Commodore
- Registriert
- Nov. 2009
- Beiträge
- 4.550
Azeron schrieb:
Dann fällt aber der Hauptvorteil, mit dem vor allem geworben wird (kein Eingeben von Passwörtern) aber wieder weg, da man den Key ja manuell eingeben muss... Auch du solltest die News richtig lesen ;-)
Also absolute berechtige Kritik hier im Thread. Erst recht, da es ja um Google bzw deren Werbe"news" geht.
Wenn Big Tech komplett dafür ist liegt es irgnedwie nahe, dass da nicht unbedingt nur der Nutzer im Vordergrund stehtGeringverdiener schrieb:ich glaube es geht denen auch nicht um die Sicherheit ihrer Ratten, sondern um die Identifikation dass DU es immer bist der gerade mit XY inteagiert........ ein Passwort kann ich jedem weitergeben, meine biometrischen Daten nicht
Falc410
Vice Admiral
- Registriert
- Juni 2006
- Beiträge
- 6.640
Passwort Authentication mit SSH aktivieren ist dumm. Natürlich erlaubt man nur Key basierten Login.Yuuri schrieb:
Warum sollten die wissen wo du dich anmeldest? Was hat das mit dem Thema zu tun? Davon abgesehen wenn du chrome, Safari oder Edge benutzt, wissen die doch eh auf welchen Webseiten du bist. Und ich will gar nicht wissen wie viel Leute die Passwörter browser aktuell speichernKnuddelbearli schrieb:
Seven2758
Lieutenant
- Registriert
- Dez. 2012
- Beiträge
- 628
Passkeys müssen nicht mit Biometrie gesichert werden, wie im Artikel steht gehen auch PIN-Codes oder auch HW Sicherheitsschlüssel.
Zu diesen gehören unter anderem biometrische Sicherheitskonzepte wie der Fingerabdruck oder die Gesichtserkennung, aber auch eventuell vorhandene Hardware-Sicherheitsschlüssel sowie PIN-Codes sollen als virtuelle Torwächter herangezogen werden können.
Der Vorteil von Passkeys ist halt, dass Passkeys eine gewisse bessere Sicherheit gegenüber einfachen oder zu kurzen Passwortern bieten. Wie @flaphoschi schreibt, ist es für den Endnutzer bequemer, da dieser keine starken Passwörter mehr generieren muss.
Hinsichtlich der Frage des Zugriffs und der Speicherung der Cloud schreibt Google:
Bzgl. Verlust oder Übertragung:
When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup.
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Quelle
Die Idee ist nicht schlecht, da ich viele mit zu schwachen Passwörtern bzw. mit einem Passwort für alles kenne.
Ich selbst bleibe weiterhin bei selbst gehosteten Vaulwarden + VPN + YubiKey.
Zu diesen gehören unter anderem biometrische Sicherheitskonzepte wie der Fingerabdruck oder die Gesichtserkennung, aber auch eventuell vorhandene Hardware-Sicherheitsschlüssel sowie PIN-Codes sollen als virtuelle Torwächter herangezogen werden können.
Der Vorteil von Passkeys ist halt, dass Passkeys eine gewisse bessere Sicherheit gegenüber einfachen oder zu kurzen Passwortern bieten. Wie @flaphoschi schreibt, ist es für den Endnutzer bequemer, da dieser keine starken Passwörter mehr generieren muss.
Hinsichtlich der Frage des Zugriffs und der Speicherung der Cloud schreibt Google:
- Für Passkeys ist das Tracking von Nutzern oder Geräten zwischen Websites nicht zulässig. Ein Passkey wird nie mit mehr als einer Website verwendet. Passkey-Protokolle sind sorgfältig so konzipiert, dass keine mit Websites geteilten Informationen als Tracking-Vektor verwendet werden können.
- Passkey-Manager schützen Passkeys vor unbefugtem Zugriff und unbefugter Nutzung. Im Google Passwortmanager werden Passkey-Secrets von Anfang bis Ende verschlüsselt. Nur der Nutzer kann darauf zugreifen und sie verwenden. Obwohl er auf den Servern von Google gesichert ist, kann er nicht von Google verwendet werden, um die Identität eines Nutzers anzunehmen.
Bzgl. Verlust oder Übertragung:
When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup.
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Quelle
Die Idee ist nicht schlecht, da ich viele mit zu schwachen Passwörtern bzw. mit einem Passwort für alles kenne.
Ich selbst bleibe weiterhin bei selbst gehosteten Vaulwarden + VPN + YubiKey.
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Ob der Standart das erzwingt weiß ich nicht explizit, hab bisher aber nirgendwo einen Aufschrei dazu gesehen, dass es nicht so wäre.Nero1 schrieb:
Und bei Apple ist die iCloud Keychain definitiv nicht mit bei den Dingen, die Apple einsehen könnte. Die ist E2E.
Apple hat hier eine Übersicht, was wie verschlüsselt wird: https://support.apple.com/en-us/HT202303
Knuddelbearli
Commodore
- Registriert
- Nov. 2009
- Beiträge
- 4.550
Vielleicht weil im Text damit geworben wird, das man eben kein Passwort mehr eingeben muss? Also muss der Key übermittelt werden und damit weiß man eben wer, wann und wo, also echt ...Falc410 schrieb:
Wir sind im Kommentarbereich einer News, natürlich bezieht man sich auf das, was in der News steht. Und da wird eben auch damit geworben, dass man kein Passwort mehr eingeben muss. Und am Ende geht es in dieser News rein um Google, natürlich werden sie alles tun, damit man deren Cloudservice nutzt, wo der Key dann automatisch übertragen wird.
Und gerade von Firefox gibt es genug Forks wo man, selbst wenn man sehr paranoid ist, sicher gehen kann, dass eben nichts gespeichert/verfolgt wird ...
Autokiller677
Fleet Admiral
- Registriert
- Jan. 2009
- Beiträge
- 10.312
Öhm no, das ist der Normalfall, überall da, wo wirklich auf Sicherheit geachtet wird.Yuuri schrieb:
Meine Cloud-Server habe ich auch alle nur über Keys zugänglich. Wenn wirklich alles schiefgeht, kann ich bei den gemieteten über die Management-Konsole und KVM direkt ran und einen neuen Key reinspeichern. Und bei denen, die ich physisch verwalte, kann ich dann halt auch vor Ort drangehen, lokal einloggen und reparieren.
SSH Login nur über Passwort - big no.
- Registriert
- Dez. 2011
- Beiträge
- 6.204
Wenn ich auf besagtem Smartphone dann mein Passwort eingebe, ist das wie genau besser?andy_m4 schrieb:
Was genau erfahren Google, Apple und Co. denn wenn ein weiterer Eintrag in meinem End-to-End-verschlüsselten Safe auftaucht? Außerdem ist man langfristig ja auch nicht auf die eingeschränkt, wenn die Technik etwas mehr Verbreitung findet. Bitwarden etwa arbeitet ja schon an einer Umsetzung.forstman94 schrieb:
Und davon merke ich mir hundert Stück? Klingt ziemlich unpraktikabel.0xffffffff schrieb:
Wenn mein Gerät einen Key von einer Webseite empfängt und verifiziert, wissen Google und Apple davon gar nichts bzw. auch nicht mehr als wenn ich den Login klassisch durchführe. Das findet lokal statt.Knuddelbearli schrieb:
Iwwazwersch
Lieutenant
- Registriert
- Juli 2007
- Beiträge
- 978
iOS 16 ist jetzt nicht zwingend ewig.Simanova schrieb:
Google versucht das nicht einzuführen. Google ist der erste große Dienst außer (Paypal USA) der es möglich macht sich damit einzuloggen.
Apple, Microsoft und Google sitzen hier in einem Boot und wollen dies Betriebssystem übergreifend integrieren, damit du dich auch an deinem Windows PC, Android Gerät oder Apple Gerät bei deinen Diensten anmelden kannst ohne ein Passwort.
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.546
Hab ja auch nicht behauptet, das das besser ist.Conqi schrieb:
Der Punkt ist der: Wenn ich auf dem Handy mein Passwort eingebe, dann ist der konkrete Dienst an dem ich mich anmelde in Gefahr.
Wenn das Handy der "Schlüsselbund" ist dann sind alle Dienste in Gefahr.
Wenn du dich bei Google(!) einloggst, weiß Google, dass du dich eingeloggt hast. Wow, das ist ja ein Ding!Knuddelbearli schrieb:
Wenn du dich bei Amazon einloggst, weiß Amazon, dass du dich eingeloggt hast.
Die Annahme, dass Google, weil sie bei den eigenen Diensten(!) die Möglichkeit für Passkeys anbieten, automatisch jeden anderen Passkey kennen würden entbehrt jeder Grundlage (und steht auch nirgendwo in der News).
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.721
Seven2758 schrieb:
Weitergabe einzelner Passkeys ist AFAIK eines der Kernfeatures.
Und hier stellt sich die erwartete Frage. Warum muss man überhaupt bei Google angemeldet sein - wenn die Passkeys lokal auf den Geräten sind?
Riecht nach Plattformbindung? Man könnte sagen, um ein externe Sicherheitsabfrage durchzuführen. Wahrscheinlich eher um Migration auf Google-freie System zu erschweren, wäre ja schade um die vielen Passkeys? Nicht das man da auf etwas mit Linux oder iOS umzieht. Das will Google ja nun wirklich nicht.
Iwwazwersch
Lieutenant
- Registriert
- Juli 2007
- Beiträge
- 978
Ja, wenn du dein Handy aus der Hand gibst.andy_m4 schrieb:
frazzlerunning
Commander
- Registriert
- März 2017
- Beiträge
- 2.716
iOS 16 hat die Unterstützung für Passkeys mitgebracht, nicht die Möglichkeit das auf jeder Website zu nutzen.
Solange das Betriebssystem des Endgeräts keine Unterstützung mitbringt, funktioniert das Passkey-System nicht.
Solange das Betriebssystem des Endgeräts keine Unterstützung mitbringt, funktioniert das Passkey-System nicht.
Ergänzung ()
Das Handy ist nur ein Teil des Schlüsselbunds. Zusätzlich zum Handy, also dem Passkey in der 'Secure Enclave' / im TPM / ..., brauchts ja auch noch die Identifikation des Users durch Fingerabdruck/FaceID/PIN/...andy_m4 schrieb:
Passkey scheint einfach ein neuer name für eine bestimmte Variante von FIDO2 Credentials zu sein, mit der Besonderheit das diese Credentials übertragen werden können und nicht z.B. wie bei Yubikeys fest an den jeweiligen Key gebunden sind.
Mal sehen wie sich das entwickelt, ich bin nicht unbedingt ein Fan davon die Sachen ganz ohne Passwort zu machen. Aber da das unter der Haube FIDO2 ist bedeutet das vermutlich deutlich mehr Unterstützung für meine Yubikeys.
Nicht übertragbare Tokens sind halt auch sehr lästig in der Handhabung. Das ist für Normalanwender für den Routineeinsatz einfach zu viel Aufwand. Ich hab inzwischen 4 Yubikeys im Einsatz, aber das ist halt sehr weit weg vom Durchschnittsnutzer.
Mal sehen wie sich das entwickelt, ich bin nicht unbedingt ein Fan davon die Sachen ganz ohne Passwort zu machen. Aber da das unter der Haube FIDO2 ist bedeutet das vermutlich deutlich mehr Unterstützung für meine Yubikeys.
Nicht übertragbare Tokens sind halt auch sehr lästig in der Handhabung. Das ist für Normalanwender für den Routineeinsatz einfach zu viel Aufwand. Ich hab inzwischen 4 Yubikeys im Einsatz, aber das ist halt sehr weit weg vom Durchschnittsnutzer.
