News Passkeys: Google läutet die Zukunft ohne Passwörter ein

[ComputerJunge]

Ist dein Finger kaputt, kommst nur schwer wieder ran.

Meines Wissens können diese Systeme (ok, bei Yubi-Keys wohl nicht - da braucht es einen zweiten) durchaus alternative (dann ggf. natürlich wieder "altertümliche") Zugangsmethoden anbieten.

Zumindest bei Windows Hello ist es so, dass der vom Dienst - wie auch immer - angefragte Zugang zum Geheimnis (im bösen TPM liegend bzw. durch dieses repräsentiert) erst vom Nutzer auf dem Clienten freigegeben werden muss: Per Kamera, Fingerabdruck oder eben PIN - die bei entsprechender Konfiguration der zugelassenen Zeichen dann praktisch das klassische Passwort ist.

Eigentlich kann dieser Passkey ja nur so etwas wie ein Private Key aus einem asymmetrischen Authentifizierungsverfahren sein, oder?

 

[Geringverdiener]

solange es auf EU Ebene keine klaren Regelungen und Gesetze gibt wie Google damit umgehen darf, werde ich denen ganz bestimmt nicht meine biometrischen Daten anvertrauen

so sehen meine Passwörter aus : 294ü0wÖr8§b76hjznuwq34vpO8 . die sind mindestens genauso stabil wie biometrisch generierte Passwörter

ich glaube es geht denen auch nicht um die Sicherheit ihrer Ratten, sondern um die Identifikation dass DU es immer bist der gerade mit XY inteagiert........ ein Passwort kann ich jedem weitergeben, meine biometrischen Daten nicht

 

[DragonScience]

Ich glaube in Indien hatten sie doch auch probiert ein Gesichtsscan zur indentifikation her zu nehmen. Man konnte dadurch auch Leistung oder Unterstützung vom Staat beantragen. Jetzt haben se des Problem das es Leute geschafft haben das Gesicht irgendwie digital zu kopieren. Spricht die simulieren digital das Gesicht und der Scanner hat seine Gesichtsmerkmale und erkennt das als diese Person. Jetzt werden Leistungen in Anspruch genommen wovon die Original Gesichtsträger nicht mal was wissen.

Fingerabdruck und Gesicht mal Digital Raubkopiert...lässt sich hald schlecht tauschen....

 

[-=[CrysiS]=-]

Also, auf dem iPhone nutze ich ab und an gerne FaceID. Ansonsten bleibe ich bei gespeicherten Passwörtern oder nehme die aus meinem kleinen orangefarbigen Büchlein.

Bin aber auf die Entwicklung gespannt wenn es wirklich sicher ist, auf einen Manager habe ich keine Lust.

 

[Xood]

Biometrie -> Unsicher
PW im Kopf -> sicherer
Nein, alle dieses Passwortgedöns halte ich strikt Fern von meinem Telefon.

Biometrie wie Face ID (Apple-Gesichtserkennung) soll relative sicher sein, viel sicherer als ein Fingerabdruck.

PW im Kopf, ja, so mache ich das auch. Aber das geht dann für eine Handvoll wichtiger Webseiten: Banken, primärer Online-Store, Firma.
Alles andere passt bei mir nicht mehr zuverlässig rein.

Klar, wenn wenn man generell eine Handvoll Passwörter benötigt, dann geht es sicher.

Was ich jetzt nicht ganz verstehe: sind diese Passkeys lokal auf dem Gerät gespeichert und abgesichert?
Also quasi einfach nur lange Passwörter in einem biometrisch abgesicherten Passwortmanager?

Soweit ich dass verstehe ist es ein anderer Ansatz, sonst wäre es ja nichts neues. :-)
Sagen wir der Benutzer hat die App Passkeys (k.a. ob es die gibt). Der Zugang dafür, damit sie sich überhaupt nutzen lässt, kann dann mit Face ID, Fingerprint usw. gesichert werden.
Das heißt, maximal ein Passwort bisher.

Wenn man nun irgendwo ein neues Konto eröffnet oder ein vorhandenes umstellt:
Wird es bei dem Anbieter irgendeinen Code, QR-Code, etc geben, den man mit seiner Passkey-App scannt oder eingibt. Von nun an, ist die Verknüpfung gegeben und Logins bei diesem Anbieter werden mit der Passkey-App bestätigt.
Es gibt kein Passwort für den Anbieter. Die Verifizierung erfolgt nur durch die Passkey-App.
(vermutlich liegen irgendwo, irgendwelche Server, die den ganzen Ablauf unterstützen).

 

[Autokiller677]

solange es auf EU Ebene keine klaren Regelungen und Gesetze gibt wie Google damit umgehen darf, werde ich denen ganz bestimmt nicht meine biometrischen Daten anvertrauen

Die Daten liegen nur auf dem Gerät. In ordentlich gebauten Sensoren auch nur als Hash und nie als Klar"text".

so sehen meine Passwörter aus : 294ü0wÖr8§b76hjznuwq34vpO8 . die sind mindestens genauso stabil wie biometrisch generierte Passwörter

Passkeys werden nicht aus Biometrie generiert. Die Biometrie ist nur der Zugangsschlüssel, damit das Gerät die sicher gespeicherten Passkeys für den Login freigibt.

Effektiv ist es weiter eine 2-Faktor Anmeldung: Man braucht einen Schlüssel, damit die Keys freigegeben werden - und eben das Gerät, auf dem die Keys sind.

 

[Falc410]

solange es auf EU Ebene keine klaren Regelungen und Gesetze gibt wie Google damit umgehen darf, werde ich denen ganz bestimmt nicht meine biometrischen Daten anvertrauen

Können wir wegen solchen Posts bitte mal ein downvote einführen?

Zum topic: gerade am iPhone geschaut, das speichert den passkey automatisch in der iCloud Keychain ab. Ich konnte gar nicht auswählen, dass nur lokal zu speichern. Finde ich unschön. Wenn jemand Zugriff auf meinen iCloud Account bekommt, dann wird er doch automatisch Zugriff auf die passkeys haben. Bei Google werden die über Chrome ebenfalls synchronisiert. Ich würde die aber gerne mit einem eigenen Passwort sichern und nicht nur über den Cloud Dienst.

Zumindest der Login funktioniert einwandfrei im Safari bei Google mit dem passkey. Aber hier wurde automatisch faceid genutzt. Wenn die Erkennung fehl schlägt, muss man halt sein iPhone PIN / Passwort eingeben. Also sollte man hier keinen vierstelligen PIN verwenden oder diese extrem unsicheren Wisch-Gesten bei android

 

[Nero1]

Das große Problem, das ich sehe, ist, dass sie Passkeys halt nur auf dem Gerät liegen. Is das Gerät weg, kaputt oder nicht zugänglich und ich konnte die nicht irgendwie woanders speichern komm ich da nicht mehr rein, wenn ich nicht doch noch Passwörter habe. Oder hab ich da was falsch verstanden/muss das umgehen, indem ich mehrere Geräte als Passkey-Gerät anlege? Da hab ich halt doch lieber meinen Passwörter Vault von KeePassXC, der is völlig unabhängig vom device.

Als zweite Methode nice to have, aber PW ersetzen sehe ich da tbh noch nicht…jedenfalls mit meinem aktuellen Wissensstand dazu.

 

[ComputerJunge]

wie syncroniseren sich mehrere endgeräte?

Nach meinem Verständnis des Ansatzes: gar nicht. Jedes "Gerät" ist ein unabhängiger Schlüssel.

Siehe #32.

 

[Autokiller677]

Zum topic: gerade am iPhone geschaut, das speichert den passkey automatisch in der iCloud Keychain ab. Ich konnte gar nicht auswählen, dass nur lokal zu speichern. Finde ich unschön. Wenn jemand Zugriff auf meinen iCloud Account bekommt, dann wird er doch automatisch Zugriff auf die passkeys haben. Bei Google werden die über Chrome ebenfalls synchronisiert. Ich würde die aber gerne mit einem eigenen Passwort sichern und nicht nur über den Cloud Dienst.

Dann noch ein bisschen warten. Die großen PW-Manager wie Bitwarden arbeiten auch dran, Passkeys zu unterstützen - müssen sie letztlich, ansonsten werden sie in ein paar Jahren bedeutungslos.
Aber die wird man dann weiterhin mit einem Master-Passwort absichern können.

Ergänzung (4. Mai 2023)

Als zweite Methode nice to have, aber PW ersetzen sehe ich da tbh noch nicht…jedenfalls mit meinem aktuellen Wissensstand dazu.

Dann gerne einmal den Wissenstand ausbauen:
https://fidoalliance.org/passkeys/#faq

Das Konzept ist - im ggs. zu allem, was bisher war wie Yubikeys und co. - imho gut durchdacht und tatsächlich massentauglich.

 

[machiavelli1986]

Ist dein Finger kaputt, kommst nur schwer wieder ran.

Wenn der Kopf kaputt ist aber auch. Weiss jetzt nicht was statistisch mehr zum Zug kommt. Ich behaupte mal Kopf, hat man ja auch nur einen (kein zweiter der sich das Passwort merkt oder sich merkt wo man es allenfalls noch notiert hat:-D). Finger kann man meist mehr als einen registrieren.

 

[Falc410]

Nach meinem Verständnis des Ansatzes: gar nicht. Jedes "Gerät" ist ein unabhängiger Schlüssel.

Du kannst so viele Schlüssel anlegen wie du möchtest.

Die großen PW-Manager wie Bitwarden arbeiten auch dran, Passkeys zu unterstützen

Aktuell kommt das ja alles vom OS. Ist halt die Frage wie schnell die ihre API für drittsoftware freigeben. Wenn jede Software die auslesen kann ist es ja wieder witzlos.

 

[supermanlovers]

Also bin ich beim Login auf einem PC zwingend auf mein Smartphone angewiesen? Wäre nervig. Aus dem Grund nutze ich schon keine 2FA.

Biometrie -> Unsicher
PW im Kopf -> sicherer

Bei gefühlt 100 Webseiten/Apps/Diensten wird das nicht so leicht. Man neigt dazu das gleiche Passwort zu verwenden. Ich selbst nutze nur 4-5 Passwörter für alles. (ob Sonderzeichen erlaubt oder nicht, länge etc)

Ich müsste mal die Passwort Methode meiner Mutter testen. Sie nutz immer das gleiche 6-stellige Passwort und in der Mitte die 3 ersten Buchstaben der Website. xxxamaxxx (Amazon), xxxzalxxx (Zalando)

Ich wünsche mir eher eine Atem Authentifikation wie bei "Alien die Wiedergeburt".

 

[Falc410]

Oder hab ich da was falsch verstanden/muss das umgehen, indem ich mehrere Geräte als Passkey-Gerät anlege?

Über chrome und deinen Google Account oder iCloud Keychain.

Nach meinem Verständnis des Ansatzes: gar nicht. Jedes "Gerät" ist ein unabhängiger Schlüssel.

Du kannst mehrere passkeys auf einen Gerät anlegen oder auch auf mehreren Geräten. Sieht Screenshot. Weiß nicht wo ihr alle diese komischen Vermutungen her habt. Das system ist doch im Prinzip nichts anderes wie ein ssh key

 

[Nero1]

Dann gerne einmal den Wissenstand ausbauen

Danke für den Link, war tatsächlich sehr hilfreich.
Eine Frage dazu:

Passkey syncing is end-to-end encrypted and sync providers have strong account security protections.

Ist der Part technologisch so vorgesehen und nach Standard unumgänglich oder muss man sich da auf den Anbieter verlassen? Bei Apple ist es ohne zusätzliches Opt-in ja auch so, dass einige Daten ohne E2E gespeichert werden und Apple sich einen Decryption-Key vorhält. Wie sieht das bei Passkeys aus? Wie weit geht der Standard, wie groß ist die Freiheit der Anbieter?

Mir geht’s btw nicht darum paranoid zu wirken, das Interesse ist tatsächlich technischer Natur, da hier sicher einige mehr Knowledge zu dem Thema haben als ich.

 

[Chesterfield]

geil, jetzt reichen den big techs die persönichen daten schon nimmer, und wollen biometrische daten... warten wir mal ab, bald wollen sie DNA_Sequenzen von uns speichern

 

[DragonScience]

Ist dein Finger kaputt, kommst nur schwer wieder ran.

Da gabs mal die 24 Stunden DVD Video ausleih Store die nur 5qm groß waren und man ohne Personal per Karte und Fingerabdruck sich DVD`s ausleihen konnte. Ein Spezl der Maler und Kirchen Restauriert hatte musste irgendwas ordentlich zurecht schleifen, danach gingen die 2 gescannten Fingerabdrücke der Hand auch nicht mehr...

 

[GrumpyCat]

@CB Ich hätte mir da etwas weniger Fülltext und mehr technischen Hintergrund gewünscht.

Hierbei handelt es sich wohl einfach um WebAuthn/FIDO2 unter anderem Namen: Das Endgerät erzeugt ein Public/Private-Keypair, gibt den Public Key dem jeweiligen Dienst, und der schickt dann zum Login eine Challenge, die mit dem nur dem Endgerät verfügbaren Private Key signiert werden muss. Die Integration mit Fingerabdruck etc. ist nur Policy und technisch nicht zwingend nötig. Die Dienste bekommen vom Fingerprint keinerlei Daten.

Alles eigentlich alter kalter Kaffee. Yubikey und Co machen das schon ewig.

Spannend wird's, wenn einem das Endgerät abhandenkommt. Dafür muss dann irgendein Recovery-Mechanismus existieren, der schon immer sicherheitstechnisch das Nadelöhr war...

 

[Xiaolong]

Habe ich jetzt nicht rauslesen können. Wenn es in Zukunft nur Passkeys geben soll und mein Handy kaputt geht was dann? Komme doch ohne meine Passkeys auf dem Handy nicht mehr ran, Deadlock?

Auch eine schöne Methode um den Absatz anzukurbeln... Verkaufst zu wenig Smartphones? Setzte alte Versionen end of life um did Leute zu zwingen, weil es nicht mehr sicher ist oder die Anmeldung verweigert wird, nein danke

 

[andy_m4]

Biometrie ist halt darauf angewiesen, das der zu scannende Körperteil intakt ist. Außerdem kann man mir biometrische Merkmale auch leichter gegen meinen Willen abnehmen.Um mir ein Passwort zu entlocken müsste man mir schon drohen oder mich foltern.
Ein Passwort kann man im Fall des Falles auch wechseln. Ein biometrisches Merkmal eher nicht.

Ein Passwort kann man im Notfall auch unkompliziert weiter geben.

Der Nachteil ist, dass das Endgerät zum Schlüssel für alle Dienste wird, dessen Sicherheit mit der Sicherheit des Betriebssystems und der gewählten Authentifizierungsmethode steht und fällt.

Eben. Und das ist im Zweifel ein ranziges Smartphone, was schon sein Jahren keine Sicherheitsaktualisierungen mehr bekommen hat.
Ist ja nett, wenn man darum bemüht ist Authentifizierung sicherer und bequemer zu machen. Das ist natürlich alles eher brotlose Kunst, wenn sich die Bemühungen nur darauf beschränken und der Rest ein Scherbenhaufen inpuncto Security bleibt.

oder aufgrund eines defekten Gerätes

Das defekte Gerät kannst Du auch so haben. Dein Gesichtsscan wird auch durch ein Gerät ausgeführt. Das kann genauso kaputt gehen. Um Grunde hast Du mit Biometrie noch mehr Komplexität (und noch mehr was kaputt gehen kann) drin.

die Chance das eigene Passwort zu vergessen

Man kann das Passwort ja noch an einem geheimen Ort hinterlegen.