News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[seyfhor]

Leute, keine Panik!! Also wenn ich das auch nahc den Kommentaren richtig verstanden habe, dann braucht ihr keine Biometrie!! Weiterhin 123 als Passwort für den Passkey reicht anscheinend!!!

Wo ist jetzt der große Vorteil einen Passkey zu nutzen anstatt ein Passwort vom Pwd Manager am PC?
Mal angenommen ich kann ein beliebig langes, verschlüsselt übertragenes generiertes Passwort nutzen.
Auf der anderen Seite würde ich für den Passkey das selbe Passwort verwenden wie beim Manager.
Den Manager kann ich sichern, raucht der PC ab, dann ist auch der Passkey weg!?

Und wie komme ich denn vom PC und vom Handy in den selben Account?

 

[Falc410]

Vielleicht weil im Text damit geworben wird, das man eben kein Passwort mehr eingeben muss? Also muss der Key übermittelt werden und damit weiß man eben wer, wann und wo, also echt ...

Dann lies den Text nochmal richtig bitte bevor du weiter Unwahrheiten verbreitest.

Wo ist jetzt der große Vorteil einen Passkey zu nutzen anstatt ein Passwort vom Pwd Manager am PC?

Der Vorteil ist, dass wenn eine Webseite gehackt wird, die Angreifer nicht dein Passwort klauen können.

 

[Iwwazwersch]

Und hier stellt sich die erwartete Frage. Warum muss man überhaupt bei Google angemeldet sein - wenn die Passkeys lokal auf den Geräten sind?

Riecht nach Plattformbindung? Man könnte sagen, um ein externe Sicherheitsabfrage durchzuführen. Wahrscheinlich eher um Migration auf Google-freie System zu erschweren, wäre ja schade um die vielen Passkeys? Nicht das man da auf etwas mit Linux oder iOS umzieht. Das will Google ja nun wirklich nicht.

Leider falsch was du schreibst.

Das Ziel ist es, wie ich oben geschrieben habe, dasss dies Betriebsystem (Microsoft, Google, Apple) übergreifend funktioniert. Also genau das Gegenteil von dem du ausgehst.

Weitergabe einzelner Passkeys ist AFAIK eines der Kernfeatures.

Und hier stellt sich die erwartete Frage. Warum muss man überhaupt bei Google angemeldet sein - wenn die Passkeys lokal auf den Geräten sind?

Hier geht es um das einrichten eines Andorid Gerätes, merkste vielleicht selbst.

P.S. entgegen der landläufig auch hier herrschenden Meinung, werden die Keys in der jeweiligen Cloud des Betriebssystems bzw. Passwortspeicher gespeichert, und nicht ausschließlich auf dem Gerät, eben wegen dem Verlust von Geräten. Daher sollen sich die Passkeys ja auch von beispielsweise von Apple zu Google oder Microsoft synchronisieren.
Das ist das Endziel.

Das ist gewissermaßen der Nachteil und Gleichzeitig der Vorteil. Je nachdem wie man es sieht.

Aber gerne mal die entsprechenden Quellen bei der FIDO Allianz besuchen oder auch die verlinkte Quelle des Google Blogs.

Passkey scheint einfach ein neuer name für eine bestimmte Variante von FIDO2 Credentials zu sein, mit der Besonderheit das diese Credentials übertragen werden können und nicht z.B. wie bei Yubikeys fest an den jeweiligen Key gebunden sind.

Einfachgesagt ist es Webauthn2, das ist aber auch bekannt.

Leute, keine Panik!! Also wenn ich das auch nahc den Kommentaren richtig verstanden habe, dann braucht ihr keine Biometrie!! Weiterhin 123 als Passwort für den Passkey reicht anscheinend!!!

Der Passkey hat ansich kein Passwort. Der Passkey ist durch dein Endgerät gesichert. Wenn natürlich dein Handycode 1234 ist, ist er damit gesichert. Aber dann musst du immernoch dein Handy physisch aus der Hand geben.

 

[Knuddelbearli]

Wenn du dich bei Google(!) einloggst, weiß Google, dass du dich eingeloggt hast. Wow, das ist ja ein Ding!
Wenn du dich bei Amazon einloggst, weiß Amazon, dass du dich eingeloggt hast.

Die Annahme, dass Google, weil sie bei den eigenen Diensten(!) die Möglichkeit für Passkeys anbieten, automatisch jeden anderen Passkey kennen würden entbehrt jeder Grundlage (und steht auch nirgendwo in der News).

... Darum geht es nicht, es geht darum, wenn ich bei Google den Passkeys für zB Amazon benutze, entweder gebe ich den Key dann selber bei Amazon ein oder Google weiß eben, dass ich mich einlogge, bei Google sicher auf letzers drängen wird. Den verdammt nochmal lest die News, dort wird sogar vom Google damit geworben das man eben kein Passwort mehr eingeben muss, wenn man stattdessen den Key eingeben müsste wäre ja nichts gewonnen, also wird man das über die Cloud lösen wollen. Echt nicht schwer, oder? (Ja, ich kann auch so sarkastisch ironisch wie du schreiben ...)

 

[MC´s]

Absolut zu begrüßen, Google (Alphabet) sind für mich die einzige Wahl in Mobilsektor, Apple wird technologisch immer mehr abgehängt meiner Meinung nach 👍🏻.

 

[JohnVienna]

Solange es keine Nachteile gibt bin ich auch dafür, mal sehen was die Zukunft bringt?

 

[Seven2758]

Und hier stellt sich die erwartete Frage. Warum muss man überhaupt bei Google angemeldet sein - wenn die Passkeys lokal auf den Geräten sind?

So weit wie ich es verstehe:
Seit Januar 2023 werden die Passkeys wohl lokal gespeichert, aber der Google Passwortmanager speichert und synchronisiert den Passkey über mehrere Geräte hinweg.

Passkeys, die in Chrome unter Android erstellt werden, werden im Passwortmanager von Google gespeichert.
Passkeys sind eine neue Technologie und die unterstützten Umgebungen entwickeln sich noch. Ab Januar 2023 werden Schlüssel/Wert-Paare in Chrome und macOS nur noch auf lokalen Geräten gespeichert.

Der Google Passwortmanager speichert, schaltet und synchronisiert Passkeys unter Android. Passkeys aus dem Google Passwortmanager sind für alle Android-Apps verfügbar, einschließlich Chrome und anderer Browser. Passkeys werden gespeichert, wenn der Nutzer einen Passkey auf einem Android-Gerät erstellt, synchronisiert und seine Passkeys mit den anderen Android-Geräten des Nutzers synchronisiert. Außerdem werden die Passkey-Secrets Ende-zu-Ende verschlüsselt. Dadurch können Nutzer auf allen Android-Geräten, die den Google Passwortmanager verwenden, Passkeys verwenden, solange sie mit demselben Google-Konto angemeldet sind.
Quelle

 

[Vexz]

Wenn weiterhin ein Passwort basierter Login erlaubt ist dann ist das ein mögliches einfallstor für den Angreifer. Daher am besten konsequent nur noch passkeys in Zukunft

Aber geht denn "nur noch Passkeys" überhaupt zu verwenden, so dass die Eingabe eines Passworts gar keine Option mehr ist?

Ich hoffe. Denn das Konzept aktuell hat für mich eher nur Nachteile (außer ggf. der "erhöhten Sicherheit"), insofern man nen Passwortmanager für alles verwendet.

Wenn es weiterhin eine Option bleibt, machen Passkeys alles nur unsicherer. Denn wenn man diese gar nicht erst nutzt, können sie auch nicht missbraucht werden. Umso weniger Anmeldemethoden als Option zur Verfügung stehen, umso besser. Da will man eigentlich nur die sicherste Methode haben (was wohl aktuell Passkeys sein sollen). Aber solange Passwörter immer noch eine Option sind, bringen Passkeys keinen Mehrwert bei der Sicherheit, sondern das Gegenteil. Ich hoffe man versteht, was ich sagen will.

 

[Falc410]

Darum geht es nicht, es geht darum, wenn ich bei Google den Passkeys für zB Amazon benutze, entweder gebe ich den Key dann selber bei Amazon ein oder Google weiß eben, dass ich mich einlogge, bei Google sicher auf letzers drängen wird.

Du willst es einfach nicht verstehen sondern nur sinnlos rumstänkern.

 

[Iwwazwersch]

.. Darum geht es nicht, es geht darum, wenn ich bei Google den Passkeys für zB Amazon benutze, entweder gebe ich den Key dann selber bei Amazon ein oder Google weiß eben, dass ich mich einlogge, bei Google sicher auf letzers drängen wird.

Nein, Nein, Nein. Viel mehr kann ich dazu nicht schreiben.

Den verdammt nochmal lest die News, dort wird sogar vom Google damit geworben das man eben kein Passwort mehr eingeben muss, wenn man stattdessen den Key eingeben müsste wäre ja nichts gewonnen, also wird man das über die Cloud lösen wollen. Echt nicht schwer, oder? (Ja, ich kann auch so sarkastisch ironisch wie du schreiben ...)

Kannst ironisch schreiben, machts aber nicht richtiger. Man muss den Key nicht "eingeben".

Dann einzige was stimmt, dass es über die Cloud gelöst wird. Dann hört es aber auch auf.

 

[dasbene]

Wie kommt man am Ende an die Passkeys dran um sich dann z.B. im Webbrowser anzumelden?

Im Prinzip übergibt man seine komplette Zugangsverwaltung an Apple/Google/o.Ä.
Und wie behält man Zugriff der Anbieter dann einem den Zugang sperrt?

 

[Knuddelbearli]

Dann lies den Text nochmal richtig bitte bevor du weiter Unwahrheiten verbreitest.

Lol andere durch die Blume lügen vorwerfen, echt unterste Kanone und peinlich so ein Verhalten...

Google wirbt in diesem Werbetext nunmal damit, dass man eben kein PW mehr eingeben muss, wenn man stattdessen einen Key eingeben müsste (oder willst du an jedem PC einen Fingerabdruckscanner dazu bauen?) ist nichts gewonnen, also wird Google den Key sicher automatisch über die Cloud an die anzumeldende Webseite oder zumindest Browser übertragen wollen...
Klar gibt es auch passkeys ohne das Problem und ohne Google, Apple und Co, aber wie werden wohl 99% der Leute das nutzen?!? Solange es optional ist OK, aber so manche hier fordern ja das es PW ganz ablösen soll.

 

[Iwwazwersch]

Aber geht denn "nur noch Passkeys" überhaupt zu verwenden, so dass die Eingabe eines Passworts gar keine Option mehr ist?

Bisher nicht, sind auch auch erst am Anfang. Man kann schlecht Knall auf Fall alles umstellen

Im Prinzip übergibt man seine komplette Zugangsverwaltung an Apple/Google/o.Ä.
Und wie behält man Zugriff der Anbieter dann einem den Zugang sperrt?

Das ist ein valider Punkt.

 

[Knuddelbearli]

Dann einzige was stimmt, dass es über die Cloud gelöst wird. Dann hört es aber auch auf.

Und jetzt denk mal weiter, wenn es über die Cloud gelöst wird, findet eine Kommunikation statt sobald du dich anmelden willst ...

 

[Falc410]

Aber geht denn "nur noch Passkeys" überhaupt zu verwenden, so dass die Eingabe eines Passworts gar keine Option mehr ist?

Aktuell bei Google noch nicht. Wird aber sicher kommen. Und andere Dienste werden in Zukunft selbst entscheiden können. Ich gehe stark davon aus, dass in 2 Jahren die Banken Passwörter abschaffen und nur noch passkeys Erlauben.

Aber solange Passwörter immer noch eine Option sind, bringen Passkeys keinen Mehrwert bei der Sicherheit, sondern das Gegenteil. Ich hoffe man versteht, was ich sagen will.

Du hast zwar nicht ganz unrecht aber Passkeys sind trotzdem einfacher zu sichern und können nicht so leicht abhanden kommen. Theoretisch kann natürlich das Smartphone infiziert werden mit einem Trojaner. Ich würde auch lieber sofort Passwort Auth abschalten. Zweigleisig fahren bringt wenig außer Komfort

 

[Iwwazwersch]

Und jetzt denk mal weiter, wenn es über die Cloud gelöst wird, findet eine Kommunikation statt sobald du dich anmelden willst ...

Und denk du mal nach. Die Passkeys werden über die Cloud synchronisiert (!) aber nicht beim Anmeldevorgang davon abgerufen.

Es wird natürlich der lokal liegende Passkey verwendet. Daher findet keine Kommunikation mit Google/Apple oder Marsmenschen statt.

 

[Dalek]

also wird Google den Key sicher automatisch über die Cloud an die anzumeldende Webseite oder zumindest Browser übertragen wollen...

Nein.

Das ist FIDO2/Webauthn, mit den Stichworten kannst du rausfinden wie das funktioniert. Das ist immer ein Challenge/Response Verfahren, und in dieser Variante noch mit Biometrie oder PIN gesichert. Das passiert aber lokal, dein Gerät redet mit der Webseite auf der du dich anmeldest. Die Synchronisierung überträgt den geheimen Schlüssel der das Verfahren ermöglicht, aber das bedeutet nicht das jedes Mal Google da irgndwo dazwischen mitwirkt.

 

[Knuddelbearli]

Und denk du mal nach. Die Passkeys werden über die CLoud synchronisiert (!) aber nicht beim Anmeldevorgang davon abgerufen.

Es wird natürlich der lokal liegende Passkey verwendet.

Ok dann erklär mir bitte wie folgender Fall funktioniert. Vielleicht verstehe ich es dann besser.
Bin am PC (eventuell ein fremder PC), will mich bei Amazon einloggen, Passkeys liegt natürlich am Smartphone. Wie melde ich mich bei Passkeys an, ohne dass ich ein Key eingebe oder mit dem von Google gehostetem Passwortsafe (die dann ja den Zugriff von der ServerIP sehen) kommuniziert wird?

 

[frazzlerunning]

wenn es über die Cloud gelöst wird

Moment: Die Synchronisierung der Passkeys auf mehrere Geräte wird über die Cloud gelöst.

Die Anmeldung bei einem Dienst, der Passkeys unterstützt erfolgt über das Endgerät-OS, das den User Identifiziert (über FaceID/Fingerabdruck/PIN/...) und dann den Key an den Dienst übermittelt.
Ohne weitere Übermittlung an Google/Apple/Microsoft.

 

[Falc410]

Lol andere durch die Blume lügen vorwerfen, echt unterste Kanone und peinlich so ein Verhalten...

Ich hab dir mehr als einmal gesagt, dass du weder den Text noch die Technologie verstanden hast und du schreibst trotzdem immer noch weiter komplette Unwahrheiten. Nicht nur ich hab dich da drauf hingewiesen. Wessen Verhalten peinlich ist, ist denke ich offensichtlich. Ich komm mir vor mit einem 5-jährigen zu diskutieren, der alles besser weiß. Du kannst deine Meinung haben, das ist vollkommen in Ordnung. Aber bitte hör auf weiter Unwahrheiten zu verbreiten - denn andere Leute lesen das und glauben dir dann. Genau so verbreiten sich Gerüchte / Fake News. Nur weil davon überzeugt bist, recht zu haben, macht es deine Aussagen noch lange nicht wahr.