News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[ComputerJunge]

dass in 2 Jahren die Banken Passwörter abschaffen und nur noch passkeys Erlauben.

Beim Zeitraum halte ich dagegen. ^^

(Erste) Pilotierungen halte ich für möglich.

 

[leipziger1979]

Natürlich.
Google hat uns alle doch lieb und liebt uns alle so sehr das sie überhaupt keine Hintergedanken haben.
Für wie blöd halten die die Menschen eigentlich?

biometrische Sicherheitskonzepte wie der Fingerabdruck oder die Gesichtserkennung

Blöd nur das das, wenn auch verschlüsselt, irgendwo abgelegt werden muss.
Und wenn das mal jemand, wie auch immer, gehackt hat hast ein Riesenproblem, denn neue Fingerabdrücke oder ein neues Gesicht sind schwer zu bekommen.

 

[seyfhor]

reichts dort nen QR-Code zu scannen…

Also ohne komplett auf's Handy zu setzen geht's gar nicht!? Würde ja sagen ich leg mir dafür ein altes Handy nur als Schlüsselbund hin, aber das hat dann ja noch länger kein Update mehr bekommen.
"Tag des neuen Handys" ersetzt dann "Änder dein Passwort Tag" (oder wie der heißt). Muss ja sicher bleiben der Schlüsselbund.

Ich sehe hier und da Vorteile, vor allem ist es für faule Menschen vielleicht ein Vorteil und zugleich auf jeden Fall sicherer.

Aber das mit dem Sync der hochsensiblen Keys macht mir Sorgen. Ja, das mag noch sicher sein, noch interessiert es ja keinen, aber sobald alle Menschen, alle ihre digitalen Keys bei Google, Apple und Microsoft gespeichert haben, dann will da jeder dran.

Wie sieht es denn da mit Linux aus?

 

[Domi83]

Passkeys Sind vereinfacht gesagt ähnlich zu public / private key Konzepten.

Ich glaube dazu gab es sogar schon mal was und da wurde auch dieser Vergleich genannt

Wenn die Onlinedienste die Möglichkeit bieten wie bei SSH, dass man dort den Public Key hinterlegen kann, wäre das eventuell eine charmante Lösung. Schön einen 4096bit Key (der eine mehr, der andere weniger) erstellen, hochladen, freuen.

Aber ob ich das auf dem Handy brauche oder haben will... keine Ahnung. Das höchste der Gefühle ist pushTAN von der Bank. Aber allgemein bin ich da wohl eher Altmodisch mit dem Gerät

 

[Iwwazwersch]

ich will ja nicht zu viel verraten aber es gibt eine software womit man den USB Stick zum Login Schlüssel macht. https://www.pcwelt.de/article/10877...seln-in-schritten-zum-sicheren-usb-stick.html

man ist google weit voraus xD P.s. Biometrie viel zu unsicher.

Ist auch das Verfahren der FIDO Allianz. Schlussendlich wird bei Passkey, dein Mobilgerät zu einem solchen Hardwareschlüssel.

Die Grundmechaniken sind die gleichen.

 

[Aslo]

Ist mir zu umständlich. Bleibe bei Passwörtern.

 

[frazzlerunning]

Also ohne komplett auf's Handy zu setzen geht's gar nich

Wenn du die Passkeys in Edge auf Windows erstellst, brauchst du auf diesem Rechner natürlich kein Handy. Und auch auf keinem anderen Rechner, auf dem du dich in Windows mit demselben Account anmeldest.

Wie sieht es denn da mit Linux aus?

Schlecht. Leider.

 

[aid0nex]

Google und Co. dürften wohl hauptsächlich daran interessiert sein die Authentifizierung bei allen möglichen Diensten zu übernehmen um all diese Accounts zu verknüpfen und einer Person zuzuordnen. Diese Infos sind Gold wert! Siehe eingebettete Facebook Like Buttons und co - damit lässt sich richtig fett Kohle verdienen.

 

[Dummsday]

Microsoft/Google/Apple werden nicht wissen wollen, wie oft du dich auf welchem Gerät auch immer bei bestimmten Websites anmeldest, daher wird das OS nicht 'nach Hause telefonieren' und jede Anmeldung mitteilen, auch wenn es das könnte.

Microsoft/Google/Apple und Konsorten wollen grundsätzlich alles über dich wissen und zu Ihrem Nutzen soviel Kontrolle über dich ausüben wie irgendwie möglich..

 

[Iwwazwersch]

Natürlich.
Google hat uns alle doch lieb und liebt uns alle so sehr das sie überhaupt keine Hintergedanken haben.
Für wie blöd halten die die Menschen eigentlich?



Blöd nur das das, wenn auch verschlüsselt, irgendwo abgelegt werden muss.
Und wenn das mal jemand, wie auch immer, gehackt hat hast ein Riesenproblem, denn neue Fingerabdrücke oder ein neues Gesicht sind schwer zu bekommen.

Hallo Herr Aluhut.

natürlich will Google/Apple/Mircosoft Geld verdienen nur ist dashier kein Baustein dazu.

Leider hast du das Konzept dieses Verfahrens nicht verstanden.

Zusätzlich werden deine biometrischen Daten nirgendwohin snychronisiert. Die werden wie üblich ausschließlich auf dem Gerät abgelegt, falls man biometrische Authentifizierung benutzt.

 

[Dummsday]

Schlag auf den Kopf => Amnesie => Passwort weg

Dafür gibt es doch immer noch den Zettel unter der Tastatur, an der Pinwand, hinterm Wandbild etc.. neben den 287 anderen Zetteln.
Nennt sich "Security by Confusion"..

 

[Iwwazwersch]

Oder Security bei Brand

 

[Snooty]

Und wie aktiviere ich das bspw. bei Paypal? Am Desktop werde ich immer nach Name und Passwort gefragt + SMS PIN.

 

[Iwwazwersch]

Und wie aktiviere ich das bspw. bei Paypal?

Sollte aktuell nur bei PayPal in den USA funktionieren. Von einem Rollout in Deutschland habe ich nich nicht gehört

 

[Dummsday]

Linux ?

Schlecht. Leider.

Wohl eher zum Glück

 

[Domi83]

natürlich will Google/Apple/Mircosoft Geld verdienen nur ist dashier kein Baustein dazu.

Das kann man übrigens auch netter ausdrücken du "piep" "pieeeeep"

Aber kommen wir zum Kern der Vermutung... VIELE denken gleich an so etwas wie "melde dich mit deinem Google Konto an" oder "melde dich mit deinem Amazon Konto an" und das ist hier halt nicht der Fall. Ab und an ist es schon geil, wenn man die Leute nicht gleich beschimpft, sondern erst einmal überlegt WARUM die Person so etwas vermutet

Wohl eher zum Glück

Warum "zum Glück?", nur weil einige mit Linux nichts anfangen können und davon ausgehen dass es schlecht ist?

 

[aluis]

Google will also, ich zitiere: "Torwächter" werden. Natürlich weil Google nur das Beste für (Fremd-)Kunden möchte

 

[Sebbi]

fein, also in Zukunft nicht nur einzelne Logins abgreifen, sondern gleich das gesammten Bündel, wenn man den privaten Schlüssel abfangen kann.
wie geil doch sowas ist, sieht man doch anhand des aktuellen Angriffsvectors via Token Diebstahl.
Selbst wenn man sich ausloggt und wieder einloggt, bleibt in vielen Fällen der geklaute Token gültig und der Angreifer hat freie Bahn.

Super!

Und wehe dem, der mal einen Defekt hat und nicht mehr an die Daten des Gerätes rankommt. der ist sowas von gekniffen.

 

[Piecemaker]

Passkeys sind super.

Das große Problem, das ich sehe, ist, dass sie Passkeys halt nur auf dem Gerät liegen. Is das Gerät weg, kaputt oder nicht zugänglich und ich konnte die nicht irgendwie woanders speichern komm ich da nicht mehr rein, wenn ich nicht doch noch Passwörter habe.

Habe ich jetzt nicht rauslesen können. Wenn es in Zukunft nur Passkeys geben soll und mein Handy kaputt geht was dann? Komme doch ohne meine Passkeys auf dem Handy nicht mehr ran, Deadlock?

Wenn dein Smartphone weg ist, nimmst du das Smartphone eines Freunds und loggst dich ein. Dein Login ist zB dein Daumen. Den benötigst du und ein Gerät was den scannen kann.

Biometrie ist halt darauf angewiesen, das der zu scannende Körperteil intakt ist. Außerdem kann man mir biometrische Merkmale auch leichter gegen meinen Willen abnehmen.Um mir ein Passwort zu entlocken müsste man mir schon drohen oder mich foltern.

Du kannst dir doch aussuchen wie der Passkey funktioniert. ZB mittels Fingerabruck, Gesichtsscan oder eben auch Passwort. Genauso wie du dein Smartphone entsperrst, loggst du dich dann bei CB ein. Und wie du dein Smartphone entsperrst, bleibt dir überlassen.

Darf ich vorstellen: Sätze oder zusammenhangslöse Wörter als Passphrase
Beispiel: "Computer Computer an der Wand, wer ist der beste Forennutzer im ganzen Land?"

Und je schwachsinniger, umso leichter zu merken. Dank mir später!

Sowas unterrichtet man heute in Rechenzentren, dank dem BSI.

Es ist aber dumm, da sich niemand 20 dieser Sätze mit jeweiliger Zugehörigkeit zu einem Login merken kann. Und schon gar nicht wenn du auch noch jedes halbe Jahr das Passwort änderst.

Ich sehe das so: Du merkst Dir ein paar, einmal für deinen Passwort-Manager und für ein paar Konten bei denen Du doch im Zweifel auch ohne Zugriff auf den PW-Manager anmelden können musst.

Passwortmanager = Passkey

 

[DorMoordor]

Ich habe schon verstanden, wie das ganze funktionieren soll. Da ich um die Google (Apple/MS...) Cloud aber nach Möglichkeit einen riesigen Bogen mache, würde es mich sehr interessieren, wie ich die Keys syncen kann, ohne sowas zu nutzen.
Ich hätte auf jeden Fall wesentlich weniger Bauchschmerzen, wenn ich die Keys in meiner KeePass DB speichern könnte ohne dass diese im TPM (oder was auch immer) gespeichert werden. Ich habe halt gerne selber die Kontrolle, wo meine Daten liegen