ComputerBase Menü
Aktuelles

News Passkeys: Google läutet die Zukunft ohne Passwörter ein

kokiman schrieb:
Ich weiss das CB nicht der Hardcore IT-Nerd Platz ist aber dieser Satz.. wirklich? Von Passwort-Managern habt ihr doch auch schon gehört und sogar Artikel/News geschrieben. Liest sich gerade echt ein bisschen wie Werbeveranstaltung für dieses neue Verfahren.
Zum Vergrößern anklicken....
This. Das fällt mir öfters auf bei Computerbase (und anderen Seiten). Der fertig gelieferte Artikel wird dankend angekommen, Eigenrecherche Fehlanzeige. Grad beim Thema IT Security. Ein Tag später zerlegt Fefe in seiner Freizeit und mit Fachwissen dann jeden Artikel.
 
  • Gefällt mir
Reaktionen: Seven2758
Falc410 schrieb:
Ich hab dir mehr als einmal gesagt, dass du weder den Text noch die Technologie verstanden hast und du schreibst trotzdem immer noch weiter komplette Unwahrheiten. Nicht nur ich hab dich da drauf hingewiesen. Wessen Verhalten peinlich ist, ist denke ich offensichtlich. Ich komm mir vor mit einem 5-jährigen zu diskutieren, der alles besser weiß. Du kannst deine Meinung haben, das ist vollkommen in Ordnung. Aber bitte hör auf weiter Unwahrheiten zu verbreiten - denn andere Leute lesen das und glauben dir dann. Genau so verbreiten sich Gerüchte / Fake News. Nur weil davon überzeugt bist, recht zu haben, macht es deine Aussagen noch lange nicht wahr.
Zum Vergrößern anklicken....
Andauernd angriffe/schlecht machen und das man es nur nicht versteht usw, statt einfach mal zu versuchen es dem andere zu erklären spricht nicht gerade für die Gegenseite...
Habe jetzt mal ein konkretes Beispiel gepostet. Vielleicht geht es ja dann...
 
Knuddelbearli schrieb:
Ok dann erklär mir bitte wie folgender Fall funktioniert. Vielleicht verstehe ich es dann besser.
Zum Vergrößern anklicken....
Für diesen Fall (fremder PC) müsste ich jetzt nochmal genau recherchieren, wie das abgefangen wird aber vielleicht weiß das ja jemand gerade :)
 
Geringverdiener schrieb:
ich glaube es geht denen auch nicht um die Sicherheit ihrer Ratten, sondern um die Identifikation dass DU es immer bist der gerade mit XY inteagiert........
Zum Vergrößern anklicken....
Das geht aber auch über das TPM - zumindest am Rechner...
 
Autokiller677 schrieb:
Und bei Apple ist die iCloud Keychain definitiv nicht mit bei den Dingen, die Apple einsehen könnte. Die ist E2E.
Zum Vergrößern anklicken....
bei Apple ust erstmal allea closed source, d.h. die können dir sonst was erzählen

Ich verlasse moch weder bei Passwortmanagern noch bei anderen E2EE Diensten auf solche Versprechen, widersprechen sie doch der Vertrauensgarantie von E2EE
 
Knuddelbearli schrieb:
will mich bei Amazon einloggen, Passkeys liegt natürlich am Smartphone
Zum Vergrößern anklicken....
Bei einem fremden PC meldest du dich mit deinem normalen Passwort an (das ja noch immer funktioniert)an.

Am eigenen PC meldest du dich entweder im Browser bei Google an, das synct den Passkey an den Browser, der Browser fragt beim OS nach ob der User sich richtig identifiziert und gibt dann den Passkey an Amazon weiter zum einloggen. Siehe @Falc410

Oder du nutzt direkt Microsofts Cloud und die Passkeys sind im TPM gesynct, und wieder selbes Spiel: am OS identifizieren, das OS gibt den Passkey zum einloggen an Amazon.
 
Knuddelbearli schrieb:
Bin am PC (eventuell ein fremder PC),
Zum Vergrößern anklicken....
Finde den Fehler. Du gibst deine Keys nicht aus der Hand. Aktuell sind deine Keys bei Google bzw in der iCloud gespeichert aber afaik kann man die nicht über das Web abrufen. Wäre auch nicht zu empfehlen und ich bin mir ziemlich sicher, dass das nicht gehen wird. In deinem Szenario würde dir vermutlich Amazon einen QR Code anzeigen als Challenge und du scannst den mit einem Gerät auf dem deine passkeys liegen. Aber dein Szenario ist aktuell noch gar nicht vorgesehen da die keys in einem geschützten Bereich des jeweiligen Betriebssystems liegen. Also mal eben den key auf einen anderen PC kopieren ist nicht. Das soll den User schützen - bei SSH Keys sieht man ja wie oft die Leute ausversehen ihren Key sonst wo Ablegen (GitHub zb)

Edit: wenn du chrome benutzt kannst du dich natürlich am fremden Rechner dort einloggen und hast dann Zugriff auf die keys. Aber hier ist auch wieder Henne / Ei Problem wenn nur noch passkeys erlaubt wären. Also wirst du dich dort wenn es keine Passwörter mehr gibt, wohl genau so authentifizieren wie ich beschrieben habe.
 
  • Gefällt mir
Reaktionen: maxrl
Falc410 schrieb:
Und was hat das mit dem Thema hier zu tun? Gar nichts.
Zum Vergrößern anklicken....

eh doch? "...An ihre Stelle treten optimalerweise über biometrische Verfahren abgesicherte Passkeys..."
Geht doch um die Biometrie und eben nicht mehr um Passwort eintippeln. Sondern freischaltung über biometriche Verfahren.

"Die „passwortlose Zukunft“ sieht vor, die bereits in den Mobil- oder anderen Geräten vorhandenen Schutztechnologien zu nutzen um sich bei externen Diensten anzumelden. Zu diesen gehören unter anderem biometrische Sicherheitskonzepte wie der Fingerabdruck oder die Gesichtserkennung.
 
Iwwazwersch schrieb:
Für diesen Fall (fremder PC) müsste ich jetzt nochmal genau recherchieren, wie das abgefangen wird aber vielleicht weiß das ja jemand gerade :)
Zum Vergrößern anklicken....
Kann ja auch nicht sein, dass ich mich bei jedem Gerät wo ich mich wo anmelden will, zuerst mit Google anmelden muss (abgesehen davon, wie melde ich mich dann per passkeys zuerst mit google an? XD), damit weiß Google dann zwar tatsächlich nicht, wo ich mich anmelden, aber erhält jede Menge anderer Daten.

@Falc410 also kann man nicht mehr mal eben so einen anderen PC nutzen? Sobald man sich auch wo anmelden will/muss (was ja immer häufiger wird das ohne Anmeldung Funktion massiv eingeschränkt wird)

Gut dann kann ich ja erst recht hoffen, dass sich das niemals komplett durchsetzen wird, sondern immer normales Passwort erhalten bleibt ...
 
  • Gefällt mir
Reaktionen: rosenholz
Harsiesis schrieb:
PW im Kopf -> sicherer
Zum Vergrößern anklicken....

Du hast also nur 1 Passwort für alle Deine Dienste? Gratulation, ist natürlich sehr viel sicherer... /S ;)

Wenn Du doch mehr als Eins haben solltest, wie viele kannst Du Dir sicher merken, also auch so, dass Du es nach 1 Jahr Nichtbenutzung noch weisst? Ich brauche alleine auf Arbeit knapp 200 Passwörter, welche sich auch regelmäßig ändern, im privaten Umfeld vielleicht 50. Die hast Du nicht alle im Kopf und dafür ist sowas wie Passkeys eine gute Lösung...
 
  • Gefällt mir
Reaktionen: Falc410
RAMSoße schrieb:
eh doch?
Zum Vergrößern anklicken....
Nein. Wie du deine Passkeys schützt ist dir überlassen. Wenn du am iPhone kein FaceID und TouchID eingerichtet hast, werden die nur durch dein Gerätepasswort geschützt. Du gibst zu keiner Zeit deine Biometriedaten weiter, schon gar nicht an den Dienst bei dem du dich einloggst.
 
  • Gefällt mir
Reaktionen: maxrl, rosenholz, ZeusTheGod und 2 andere
@M@tze man kann sich auch im Kopf eigene Regeln basteln, wie das Passwort je nach Webseite aussieht, also Variationen des immer selben Passworts je nach Dienst.

zB habe ich Folgendes früher gemacht. Mein masterpw und je nach erstem und letzten Buchstaben der Webseite (zB AN für Amazon) das dann variiert.
Bin davon dann aber ab da es dann doch oft zu Datendiebstähle gekommen ist (damals eben noch oft ohne verschlüsselung...) und mit genug solchen Passwörter man dann dem System auf die Schliche kommen kann. Wobei ich wirklich bezweifle das sich jemand die Mühe machen wird.
 
  • Gefällt mir
Reaktionen: seyfhor
Knuddelbearli schrieb:
also kann man nicht mehr mal eben so einen anderen PC nutzen?
Zum Vergrößern anklicken....
Richtig erkannt. Aber du solltest an einem fremden PC noch viel weniger ein Passwort benutzen. Du weißt ja nicht was für Keyloggee etc auf dem PC laufen. Daher ist die Anmeldung mit Bestätigung über ein vertrautes Endgerät deutlich besser auf einem fremden Gerät. Da kann dann nämlich wirklich nichts geklaut werden. Also gerade für Paranoide User ist das Passkey Protokoll doch deutlich besser?
Ergänzung ()

Knuddelbearli schrieb:
man kann sich auch im Kopf eigene Regeln basteln, wie das Passwort je nach Webseite aussieht, also Variationen des immer selben Passworts je nach Dienst.
Zum Vergrößern anklicken....
Ich empfehle seit Jahren Supergen Pass. Baut dir mit einer Einweg-Hashfunktion aus einem Master Passwort reproduzierbar Passwörter für jede Webseite. Findet man bei Google sofort und läuft als JavaScript Bookmark komplett lokal.
 
  • Gefällt mir
Reaktionen: maxrl
Den Zugang zu allen Diensten über ein einziges fragiles komplexes technisches Gerät zu realisieren und dann noch per Biometrie abzusichern ist wohl das Dümmste was man machen kann. Das ist einziger Single Point of Failure. Wenn dann noch eine persönliche Identifikation und Zugangskontrolle über eine Big-Tech Cloud erfolgt hab ich die Kontrolle über mein Leben an dritte abgetreten, und ich vermute das es genau darum geht..
Da lob ich mir doch einen guten Passwortsafe wie Keepass, der auf jedem möglichen Endgerät läuft. Gute Passwörter erzeugt mir der automatisch..
 
  • Gefällt mir
Reaktionen: lord_mogul, rosenholz, blackTEHhawk und 3 andere
Falc410 schrieb:
Edit: wenn du chrome benutzt kannst du dich natürlich am fremden Rechner dort einloggen und hast dann Zugriff auf die keys.
Zum Vergrößern anklicken....
Und zack sind wir wieder dort, dass dann Google (eben über Chrome) weiß wann und wo ich mich einlogge bzw sogar welche Seite ich besuche ...
 
Knuddelbearli schrieb:
Ok dann erklär mir bitte wie folgender Fall funktioniert. Vielleicht verstehe ich es dann besser.
Bin am PC (eventuell ein fremder PC), will mich bei Amazon einloggen, Passkeys liegt natürlich am Smartphone.
Zum Vergrößern anklicken....
Die Sache funktioniert, wenn dein Handy im gleichen WLAN oder per BT mit dem PC verbunden wäre. Dann ist dein Handy der Authenticator, wie z.B. ein Yubikey, auf dem ja der Passkey gespeichert ist.
Bis diese Verzahnung allerdings funktioniert wird noch ein wenig Zeit vergehen. Gibt zu dem Thema auch ausführliche heise+ Artikel die ich gerade nochmal überfolgen habe.

https://www.heise.de/hintergrund/Zugangssicherheit-2FA-MFA-und-FIDO2-erklaert-7487385.html?seite=all
https://www.heise.de/hintergrund/Pa...-ab-eine-Einschaetzung-7490606.html?seite=all
Ergänzung ()

Knuddelbearli schrieb:
Und zack sind wir wieder dort, dass dann Google (eben über Chrome) weiß wann und wo ich mich einlogge ...
Zum Vergrößern anklicken....
Immernoch Nein, weil der lokal heruntergeladene Passkey verwendet werden würde. Ist das wirklich so schwer zu verstehen?
 
  • Gefällt mir
Reaktionen: maxrl und rosenholz
seyfhor schrieb:
Wo ist jetzt der große Vorteil einen Passkey zu nutzen anstatt ein Passwort vom Pwd Manager am PC?
Zum Vergrößern anklicken....
Es ist etwas simpler und sicherer was die Handhabung beim Websitebetreiber angeht. Die primäre Zielgruppe von Passkeys sind aber auch nicht Leute wie du und ich, die einen Passwortmanager nutzen und sich über sowas Gedanken machen. Die Zielgruppe sind die 90% der Leute, die das nicht tun.

seyfhor schrieb:
Und wie komme ich denn vom PC und vom Handy in den selben Account?
Zum Vergrößern anklicken....
Indem deine Passkeys über welchen Dienst auch immer gesynct werden. Aktuell vor allem Apple, Google, Microsoft und in Zukunft hoffentlich noch mehr Anbieter.

RAMSoße schrieb:
"...An ihre Stelle treten optimalerweise über biometrische Verfahren abgesicherte Passkeys..."
Geht doch um die Biometrie und eben nicht mehr um Passwort eintippeln. Sondern freischaltung über biometriche Verfahren.
Zum Vergrößern anklicken....
Die Biometrie ist aber nur der Schlüssel, um an die Passkeys zu kommen. Das kann auch eine PIN sein wie im Artikel genannt, das ist dir überlassen. Es landen so oder so keine biometrischen Daten irgendwo im Netz deswegen.

Knuddelbearli schrieb:
(abgesehen davon, wie melde ich mich dann per passkeys zuerst mit google an? XD)
Zum Vergrößern anklicken....
Dafür wird dann weiter auf Passwort und MFA zurückgegriffen. Genau so wie ich jetzt auch das Passwort für meinen Passwortmanager nicht im Passwortmanager speichere.

Knuddelbearli schrieb:
also kann man nicht mehr mal eben so einen anderen PC nutzen?
Zum Vergrößern anklicken....
Du musst dich halt vorher beim entsprechenden Hoster deiner Passkeys anmelden. Wenn du das nicht willst, solltest du dich nicht auf fremden Geräten einloggen, was sowieso eine schlechte Idee ist.
 
  • Gefällt mir
Reaktionen: maxrl
@Iwwazwersch ok das klingt dann wieder interessanter, wenn ich dem Kumpel genug vertraue, dass ich dort mein PW eingebe (also dass kein Keylogger mitläuft) dann bin ich vermutlich eh im WLAN
Wobei mir halt auch noch viele andere Probleme einfallen, wo man aktuell mit PW kein Problem hat, zB wie sieht es mit Account Sharing aus.

Solange beides geht, alles kein Problem, aber ich sehe da vor allem Vorteile für die Unternehmen, weniger für mich (wenn man eh ordentlich mit Passwörtern umgeht), also Wahrscheinlichkeit hoch, dass es durchgedrückt wird.
 
Knuddelbearli schrieb:
Und zack sind wir wieder dort, dass dann Google (eben über Chrome) weiß wann und wo ich mich einlogge bzw sogar welche Seite ich besuche ...
Zum Vergrößern anklicken....
Wobei das bei der Nutzung von Chrome mit Google Konto ja nichts neues ist, dazu braucht es keine Passphrases
 
Knuddelbearli schrieb:
Und zack sind wir wieder dort, dass dann Google (eben über Chrome) weiß wann und wo ich mich einlogge bzw sogar welche Seite ich besuche ...
Zum Vergrößern anklicken....
das weiß Google doch jetzt schon wenn du chrome benutzt 🤦‍♂️
Anderer Browser kein android phone und gut ist. Dann funktioniert das so wie ich es beschrieben habe.
 
  • Gefällt mir
Reaktionen: maxrl
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

MichaG
News PayPal: Passkeys sollen Passwörter ersetzen
7 8 9
Antworten
168
Aufrufe
20.125
Autokiller677
Autokiller677
linuxnutzer
App-Passwörter bei gmail
Antworten
14
Aufrufe
4.831
linuxnutzer
linuxnutzer
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz