News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[Knuddelbearli]

Immernoch Nein, weil der lokal heruntergeladene Passkey verwendet werden würde. Ist das wirklich so schwer zu verstehen?

Ähm es schrieb ich soll dann Chrome benutzen, klar weiß dann Chrome wie ich surfe, wenn ich mit Chrome surfe?!? Um das Android Smartphone komme ich leider schwer herum, also versuche ich zumindest den PC komplett sauber von Google zu halten.
Außer natürlich Google baut auch ein, dass man deren Dienst zB mit Firefox nutzen kann.

 

[Iwwazwersch]

Wobei mir halt auch noch viele andere Probleme einfallen, wo man aktuell mit PW kein Problem hat, zB wie sieht es mit Account Sharing aus.

... (wenn man eh ordentlich mit Passwörtern umgeht).

Merkste selbst oder

 

[Knuddelbearli]

Wo ist das Risiko eines gesharten Spotify oder Netflix Passworts, wenn man überall andere Passwörter hat?

Also ne sehe da nichts was da zu merken sein sollte ;-)

 

[M@tze]

man kann sich auch im Kopf eigene Regeln basteln, wie das Passwort je nach Webseite aussieht, also Variationen des immer selben Passworts je nach Dienst.

zB habe ich Folgendes früher gemacht. Mein masterpw und je nach erstem und letzten Buchstaben der Webseite (zB AN für Amazon) das dann variiert.

Das ist mir bekannt, aber Du glaubst nicht wirklich dass dieses schon recht alte Verfahren nicht auch "kriminellen Elementen" geläufig ist? Das Problem bei der Sache ist, wenn eins bzw. zwei Deiner Passwörter auf kompromittiert wird, man doch relativ leicht Rückschlüsse auf das masterpw bzw. die Variationen ziehen kann und dann sind auf einen Schlag gleich alle Logins gefährdet.

Aber immer noch besser, als immer das selbe Passwort zu verwenden.

 

[Iwwazwersch]

Ähm es schrieb ich soll dann Chrome benutzen, klar weiß dann Chrome wie ich surfe, wenn ich mit Chrome surfe?!? Um das Android Smartphone komme ich leider schwer herum, also versuche ich zumindest den PC komplett sauber von Google zu halten.
Außer natürlich Google baut auch ein, dass man deren Dienst zB mit Firefox nutzen kann.

Wenn du mit Chrome surfst hat das aber nichts mit dem Passkey zu tun. Dieser wird ja dann theoretisch im Windows gespeichert und könntest dann auch mit Firefox weitersurfen.

 

[frazzlerunning]

Google baut auch ein, dass man deren Dienst zB mit Firefox nutzen kann.

Dazu muss Firefox die Unterstützung liefern.

 

[KitKat::new()]

Richtig erkannt. Aber du solltest an einem fremden PC noch viel weniger ein Passwort benutzen. Du weißt ja nicht was für Keyloggee etc auf dem PC laufen. Daher ist die Anmeldung mit Bestätigung über ein vertrautes Endgerät deutlich besser auf einem fremden Gerät. Da kann dann nämlich wirklich nichts geklaut werden.

Was geklaut werden kann, ist dein vertrautes Endgerät. Ohne Abhängigkeit von diesem verlierst du deinen Zugriff wenigstens nicht.

Und wenn man sich entscheidet auf einem fremden PC ein PW einzugeben, ist es doch klar, dass das damit implizit ein vertrautes Endgerät ist

 

[Iwwazwersch]

Wo ist das Risiko eines gesharten Spotify oder Netflix Passworts, wenn man überall andere Passwörter hat?

Also ne sehe da nichts was da zu merken sein sollte ;-)

Das diese weniger komplex sind.
Natürlich ist das kein großes Problem in diesem Fall. Ist aber auch eine "besondere Nutzung".

Üblicherweise ist auch das Passwortsystem natürlich dafür gedacht dass sich EIN Benutzer anmeldet und nicht 100.

 

[Harsiesis]

Ich brauche alleine auf Arbeit knapp 200 Passwörter..

Nur? jöööööööööö

200 ist nicht einmal die Hälfe unserer Server an EINEM Standort . Und auch da macht Passkey keinen Sinn. Solche Passwörter gehören in Syspass oder Äquivalente und sicher nicht in die Abhängigkeit von Biometrie!

 

[Knuddelbearli]

Wenn du mit Chrome surfst hat das aber nichts mit dem Passkey zu tun. Dieser wird ja dann theoretisch im Windows gespeichert und könntest dann auch mit Firefox weitersurfen.

Siehste ja selbst, was das dann aber für Verrenkungen sind ...
Chrome zum Aktivieren um Passkey zu nutzen, um dann mit was anderem weiterzusurfen. Aus Bequemlichkeit werden das dann halt viele dann doch nicht machen usw

Wie gesagt:
Solange beides geht, alles kein Problem, aber ich sehe da vor allem Vorteile für die Unternehmen (zB eben passwortsharing für Streaming, man macht es maximal unbequem aus dem Ökosystem auszubrechen usw) weniger für mich (wenn man eh ordentlich mit Passwörtern umgeht), also Wahrscheinlichkeit hoch, dass es durchgedrückt wird.
Habe keinen Bock auf goldenen Käfig, nur weil viele nicht richtig mit Passwörtern umgehen können.

 

[Iwwazwersch]

200 ist nicht einmal die Hälfe unserer Server an EINEM Standort . Und auch da macht Passkey keinen Sinn.

Es geht ja auch hauptsächlich um Hinz und Kunz.

Abhängigkeit von Biometrie!

Es gibt keine zwingende Abhängigkeit von Biometrie. Es gibt die Möglichkeit diese zu nutzen, nicht mehr und nicht weniger.

 

[seyfhor]

Der Passkey hat ansich kein Passwort. Der Passkey ist durch dein Endgerät gesichert.

Und der Passkey ist völlig unabhängig vom Gerät? Also wenn ich mich am PC registriere, dann habe ich den Key ersmtal dort *) und kann den auf meinem Handy speichern? Aber so lange der Key irgendwo gespeichert ist, sagen wir ein USB Stick, hat jeder damit Zugriff!? Ohne weiteres Passwort!? Das Mehr an Sicherheit ist auf der Seite dann erstmal nur, dass der Key hoffentlich irgendwo "physisch" im eigenen Besitz ist.


*) aber dann habe ich einen Ordner mit zig Keys, die ich schön jeweils Anbieter.key nenne, so dass, falls jemand den Stick findet, jeder schön überall rein kommt
Und NEIN, eine komfortable Speicherung bei Google sehe ich nicht als besser an.

 

[Iwwazwersch]

(zB eben passwortsharing für Streaming, man macht es maximal unbequem aus dem Ökosystem auszubrechen usw)

Wenn du denkst das ist der Hintergrund für die Entwicklung dafür ist, dann gute Nacht.

 

[andy_m4]

Ja, wenn du dein Handy aus der Hand gibst.

Oder wenns gehackt wird durch Sicherheitslücken.

Das Handy ist nur ein Teil des Schlüsselbunds. Zusätzlich zum Handy, also dem Passkey in der 'Secure Enclave' / im TPM

Nicht das sowas nicht schon geknackt wurde. Das hatten wir ja nun schon ein paar Mal.

 

[Knuddelbearli]

@Iwwazwersch Wo sage ich das? Lies den Satz komplett und lege mir keien Worte in den Mund. Es geht darum das man dann eben Passwörter als Alternative abschafft. Zum hunderzehnten mal, solange PW und Passkey geht alles kein Problem,..

 

[Iwwazwersch]

Oder wenns gehackt wird durch Sicherheitslücken.

Und Passwort ist sicherer?

Nicht das sowas nicht schon geknackt wurde. Das hatten wir ja nun schon ein paar Mal.

Und Passwort ist sicherer?

 

[seyfhor]

Der Vorteil ist, dass wenn eine Webseite gehackt wird, die Angreifer nicht dein Passwort klauen können.

Ja ok, das ist interessant Sofern man aber bei jedem Anbieter ein eigenes Passwort hat, dann ist die Tatsache, dass der Hacker dann mein Passwort hat auch egal, wenn meine Kreditkartendaten da gespeichert waren

 

[Falc410]

man aber bei jedem Anbieter ein eigenes Passwort hat, dann ist die Tatsache, dass der Hacker dann mein Passwort hat auch egal,

Haben die meisten aber nicht. So ist nun mal die Realität.

 

[frazzlerunning]

Also wenn ich mich am PC registriere, dann habe ich den Key ersmtal dort *) und kann den auf meinem Handy speichern?

Nein. Auf die Keys im TPM hat niemand Zugriff außer dem Betriebssystem (Microsoft/Apple/Google). Die Keys kannst du selbst nicht kopieren.

Um sie auf einem anderen Gerät nutzen zu können, musst du dich gegenüber dem Betriebssystem identifizieren (Finger/Gesicht/PIN/...). Dann bestätigt das OS dem neuen Gerät, das der richtige User das erlaubt hat. Dann identifizierst du dich am neuen Gerät, und das OS dort erstellt Keys.

 

[M@tze]

Nur? jöööööööööö

200 ist nicht einmal die Hälfe unserer Server an EINEM Standort

Oh Mann, jetzt wird es albern. Geht das jetzt Richtung Kindergarten?

Show me yours, I'll show you mine. Mal sehen wer den Längeren hat und mein großer Bruder hat noch ganz viel mehr Passwörter als wie Du...

Lesen und verstehen, ich hatte nicht geschrieben dass unsere geschäftlichen Passwörter in Passkeys gespeichert werden sollten. Hier geht es um das private Umfeld und DU hattest geschrieben, dass Dein Passwort im Kopf am sichersten ist - was stimmt aber eben nicht praktikabel ist, wenn man "ein paar mehr" hat...