News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[Autokiller677]

Bin am PC (eventuell ein fremder PC), will mich bei Amazon einloggen, Passkeys liegt natürlich am Smartphone.

https://support.apple.com/en-ie/guide/iphone/iphf538ea8d0/ios
Letzter Abschnitt auf der Seite.
Amazon zeigt einen QR-Code an, Scannst den mit dem Smartphone, fertig eingeloggt. Keys kommen nie auf das fremde Gerät.

 

[Nero1]

Wie melde ich mich bei Passkeys an, ohne dass ich ein Key eingebe oder mit dem von Google gehostetem Passwortsafe (die dann ja den Zugriff von der ServerIP sehen) kommuniziert wird?

Laut Apple reichts dort nen QR-Code zu scannen…wie das am Ende im Hintergrund abläuft is mir aber gänzlich unbekannt. Ich hab leider keinen Passkey zur Hand, vlt richte ich mir das spaßeshalber mal ein und teste rum. Vlt wird dann über das Handy mit der Schnittstelle der Webseite kommuniziert, ähnlich wie bei einer Zahlungsfreigabe beim Einkaufen per Banking App. Ist man dann authentifiziert wird man weiter geleitet. Sollte eigentlich nicht so problematisch sein.

 

[0xffffffff]

Und davon merke ich mir hundert Stück? Klingt ziemlich unpraktikabel.

Ich sehe das so: Du merkst Dir ein paar, einmal für deinen Passwort-Manager und für ein paar Konten bei denen Du doch im Zweifel auch ohne Zugriff auf den PW-Manager anmelden können musst. Alternativ kannst Du für dich ein passendes Pattern finden, derartige Phrasen kontextbezogen herzuleiten, sofern Du keinen PW-Manager nutzen möchtest.

Klingt meiner Erfahrung nach auch schwieriger als es ist. Über ähnliche Phrasen habe ich mir in relativ kurzer Zeit das japanische Alphabet (Hiragana, Katakana) und viele Kanji einprägen können, zumindest für mich klappt das nach etwas Gewöhnung erschreckend gut. Und ich bin beileibe kein Mensch dem es leicht fällt Dinge auswendig zu lernen.

Siehe auch XKCD.

 

[KitKat::new()]

Auf die Keys im TPM hat niemand Zugriff außer dem Betriebssystem (Microsoft/Apple/Google). Die Keys kannst du selbst nicht kopieren.

Auch auf einem PC, wo quasi jedes Programm Adminrechte hat?

 

[Knuddelbearli]

Nein. Auf die Keys im TPM hat niemand Zugriff außer dem Betriebssystem (Microsoft/Apple/Google). Die Keys kannst du selbst nicht kopieren.

Ähm Moment mal, das habe ich davor anders verstanden, man kann da nicht wie bei Fido oÄ auch selber verwalten, sondern ist immer ans OS gebunden? Oder gilt das nur, wenn man auch im OS anfängt und man kann das auch unabhängig davon nutzen? Dann halt ohne den eigenen geschützten Bereich.

 

[Autokiller677]

wie das am Ende im Hintergrund abläuft is mir aber gänzlich unbekannt.

Da wird eine Variation von "Smartphone sagt Website Bescheid, dass der Login ok ist / welcher User jetzt eingeloggt sein soll" laufen.

Der QR Code wird eine Art Antwort-URL und einen Einmal-Token enthalten, mitdem die Website dann aus der Antwort vom Smartphone weiß, um welchen Anmeledeversuch es geht.

 

[der Unzensierte]

Für meine Passwörter nutze ich prinzipiell nur brain.exe und habe ein Backup mit paper.works an sicherer Stelle hinterlegt. Passwörter sind für verschiedene Dienste different angelegt, noch nicht einmal im Ansatz gleich und werden auf beiden Medien in gewissen Abständen geändert. 2FA lasse ich mir noch gefallen, aber dann hört der Spaß auf. Da werde ich ganz sicher nichts outsourcen, das passt nicht in mein Konzept von Sicherheit und Privatsphäre.
offtopic: Windows in naher Zukunft auch nicht mehr

 

[Knuddelbearli]

Da wird eine Variation von "Smartphone sagt Website Bescheid, dass der Login ok ist / welcher User jetzt eingeloggt sein soll" laufen.

Was ja genau das wäre, was ich Anfangs kritisiert habe, dass damit Google (oder Apple oder MS) weiß wann ich mich wo einlogge. Mir wurde erklärt, dass das angeblich nicht so ist. Bist du dir da sicher? Wie gesagt mir wurde es jetzt anders erklärt (wobei ich die Erklärungen auch nicht unproblematisch finde aus der Sicht was für Daten dabei anfallen)

 

[frazzlerunning]

@Knuddelbearli Der Witz an Passkeys ist, dass du die Keys nicht in der Hand hast, sondern das OS des Geräts das du nutzt der Website sagt, dass der richtige Nutzer vor dem Gerät ist. Und das sich das OS um eventuelle Synchronisierung der Passkeys an meherer Geräte kümmert.

Im Endeffekt sieht das OS: Amazon will wissen ob Knuddelbearli vor dem Screen ist. Du identifizierst dich gegenüber dem OS, das OS sagt Amazon: Ja, passt.
Du musst dem OS schon vertrauen. Microsoft/Google/Apple werden nicht wissen wollen, wie oft du dich auf welchem Gerät auch immer bei bestimmten Websites anmeldest, daher wird das OS nicht 'nach Hause telefonieren' und jede Anmeldung mitteilen, auch wenn es das könnte.

 

[Knuddelbearli]

Was nichts anderes heißt, als das ich damit meinen Besitz an den Zugangsdaten abgebe?!?

je mehr ich erfahre, desto schlimmer wird es... anfangs dachte ich es ist nur ein Problem, wenn man Passkeys von Google, MS oder Apple nutzt, (wobei das Problem wohl nur bei fremden Geräten ist) aber dachte man kann halt auch einfach sich selber darum kümmern, aber jetzt geht das nichmal?

 

[basix]

Ich denke die Chance das eigene Passwort zu vergessen bzw. keine Möglichkeit mehr haben auf Keepass zuzugreifen oder aufgrund eines defekten Gerätes oder anderer Gründe nicht mehr auf den zweiten Faktor zugreifen zu können ist um ein vielfaches höher als dass der eine Finger, mit dem du dich anmeldest, unwiederbringlich verloren oder kaputt geht und dir die Zugriffe deswegen verwehrt bleiben.

Naja, geh mal intensiv Klettern und versuche dich dann mit dem Fingerprint einzuloggen. Kann in die Hose gehen, ich rede da aus Erfahrung. Und Klettern/Bouldern ist keine Randsportart mehr. Klar ist der Finger nicht unwiederbringlich verloren, kann aber ein paar Tage dauern

Im Endeffekt benötigt man bei seinem Endgerät einfach zwei Optionen: Passwort und etwas anderes seiner Wahl (Stimme, Gesicht, Finger, ...). Dann klappt das auch, wenn eine der zwei mal versagen sollte

 

[Kronos60]

Ich bleibe bei Keepass solange es geht. Meine Passwörter würde ich Google sicher nicht anvertrauen.

 

[Dalek]

Da wird eine Variation von "Smartphone sagt Website Bescheid, dass der Login ok ist / welcher User jetzt eingeloggt sein soll" laufen.

Ich konnte auf die schnelle nicht so richtig rausfinden wie es funktioniert, aber eine Variante die standardisiert wurde ist "CTAP 2.2 hybrid" die einen QR Code und dann Bluetooth verwendet. Mir ist aber nicht völlig klar ob das die Variante ist die Google benutzt.

https://fidoalliance.org/specs/fido...or-protocol-v2.2-rd-20230321.html#sctn-hybrid

Wenn ich das richtig verstehe benutzt das einen Tunnel-Service der abhängig vom Authenticator ist. Also vermutlich Google wenn man es von einem Android Handy aus macht.

 

[Donnerkind]

Gibts eigentlich schon eine halbwegs seriöse (CCC o.ä.) Betrachtung von dieser "ultimativen" Authentifizierung (aus allen Blickwinkeln, nicht nur der Technik, sondern auch Kontrolle, Umgang und Komfort)?

Hm, also Steve Gibson, der mit SQRL ein ähnliches, aber in manchen Details noch leicht besseres Verfahren entwickelt hat¹, behandelt das Thema in einigen Folgen des „Security Now“-Podcasts, beginnend ab Folge 870 (Transkript und Audio-Link).

¹ so weit ich mich erinnere, werden z.B. die Keys hier nicht einmal erzeugt und gespeichert, was quasi einem Passwortsafe entspricht, sondern bei jeder Anfrage neu generiert.

Und davon merke ich mir hundert Stück? Klingt ziemlich unpraktikabel.

Ich habe zwar noch viele Legacy-Passwörter, die ich mir im Laufe der Zeit gemerkt habe, aber neue werden fast immer von KeepassXC zufällig generiert. Die einzigen, die ich mir heutzutage merken müsste: Festplattenverschlüsselung (das stärkste von allen, weil der Rest nur darüber zugänglich ist), Benutzerpasswort für die Anmeldung und die Passphrase für die Keepass-Datenbank.

 

[<jhk>]

so schlecht wie der fingerabdrucscanner in meinem pixel 7 fukntioniert, wäre das aktuell nichts für mich.

Bei meinem Pixel 6a war er auch eher schlecht. Die Lösung: Den selben Finger mehrmals als unterschiedliche Finger anlegen 🙂

 

[Dummsday]

Google: Wir läuten die Zukunft ohne Passwörter ein
Ich läute die Zukunft ohne Google ein..

Mal schauen wer gewinnt..

 

[Foxley]

ich will ja nicht zu viel verraten aber es gibt eine software womit man den USB Stick zum Login Schlüssel macht. https://www.pcwelt.de/article/10877...seln-in-schritten-zum-sicheren-usb-stick.html

man ist google weit voraus xD P.s. Biometrie viel zu unsicher.

 

[markox]

Ist dein Finger kaputt, kommst nur schwer wieder ran.

Kaputt muss er gar nicht sein. Ich wühle viel im Garten und nach der ersten Gartenwoche im Frühling kann ich bis zum Herbst eigentlich den Fingerabdruck vergessen mit der aufgerauten, trockenen Haut. Da ist dann nicht viel über von der Struktur und der Scanner erkennt nur noch selten etwas.

Es hat halt nicht jeder immer die perfekt manikürten Bürohände, da könnt ich schrubben so viel ich will:

https://abload.de/img/comp_img_20230504_150aqcjt.jpg
https://abload.de/img/comp_img_20230504_1506xe1d.jpg

 

[Vexz]

Bei meinem Pixel 6a war er auch eher schlecht. Die Lösung: Den selben Finger mehrmals als unterschiedliche Finger anlegen 🙂

Hilft auch nicht bei jedem. Ich hatte bei meinem Pixel 6 meinen rechten Daumen 5x eingespeichert (öfter ging nicht) und dennoch hatte ich grade mal in nur 10% aller Fälle Erfolg, mit diesem Daumen das Handy zu entsperren. Deshalb liegt es jetzt auch hier im Schrank und wurde durch ein anderes Gerät ersetzt.

 

[Weyoun]

Biometrie -> Unsicher
PW im Kopf -> sicherer

Schlag auf den Kopf => Amnesie => Passwort weg