ComputerBase Menü
Aktuelles

Passkeys nur in der Theorie gut?

F

fieserfisch

Ensign
Registriert
Juli 2011
Beiträge
201
Hi Leute,

hab mich mal ein bisschen mit Passkeys beschäftigt, komme aber nicht so ganz weiter. Passkeys sind ja der heiße Scheiß und die werden überall gelobt und die ersten Fans wollen Passwörter jetzt am liebsten ganz abschaffen.

Dennoch konnte ich trotz längerer Suche keine Antworten auf einen meiner wichtigsten Anwendungsfälle finden und es wundert mich, dass das sonst keinen zu stören scheint.

Ich muss auch dazu sagen, dass ich kein großer Freund davon bin mich an einen der großen Tech Giganten zu binden und denen die Verwahrung und Synchronisation meiner Passkeys zu überlassen. Man denke nur mal, man verstößt bspw. bei Google versehentlich oder absichtlich gegen ihre Nutzungsbedingungen und sie sperren einem das Konto und zack sind auch alle Passkeys weg und man kommt nicht mehr ran, weil das Google Konto gesperrt ist. Daher sollte es schon ein Passwort-Manager wie Keepass sein mit dem man die Kontrolle über seine Anmeldedaten behält.

Das kombiniert man jetzt damit, dass ich mich gerne auf dem Arbeitspc an einer Webseite anmelden möchte. Ich kann auf Grund von Sicherheitseinstellungen etc. aber weder meine Keepass Datenbank auf dem Rechner nutzen, noch kann ich mein Handy per Bluetooth mit dem Arbeitspc verbinden. (Hatte irgendwo gelesen, das sowas notwendig wäre.) Wie also kann ich mich mittels Passkeys an einem fremden PC anmelden?

Und wenn sowas nicht möglich ist, wieso stört das keinen bei der ganzen Lobhudelei auf Passkeys?


PS.: Was ich wirklich feiern würde wäre eine Anmeldung wie bei meiner Bank. Ich habe die Banking App auf dem Handy, entsperre diese und auf der Webseite auf dem PC wird ein QR Code angezeigt den ich nur scannen muss und schon bin ich angemeldet. WhatsApp Web macht es ja auch so. DAS wäre mal ein echter Fortschritt.
 
fieserfisch schrieb:
dass ich mich gerne auf dem Arbeitspc an einer Webseite anmelden möchte
Zum Vergrößern anklicken....

Ab da wuerde ich ueber Passkeys garnicht weiter nach denken.
Wenn Eure IT / Firma das so gemacht hat ist dem so.

fieserfisch schrieb:
Was ich wirklich feiern würde wäre eine Anmeldung wie bei meiner Bank. Ich habe die Banking App auf dem Handy, entsperre diese und auf der Webseite auf dem PC wird ein QR Code angezeigt den
Zum Vergrößern anklicken....

Wozu noch PC? Das geht doch alles in der Banking App. Dafuer ist die doch da.
 
  • Gefällt mir
Reaktionen: fr13del, aragorn92 und SpamBot
Ich habe Passkeys eingerichtet und der Umgang damitist ernüchternd. Ein Laie bekommt das nicht so einfach hin.
Ergänzung ()

fieserfisch schrieb:
Hi Leute,

ch kann auf Grund von Sicherheitseinstellungen etc. aber weder meine Keepass Datenbank auf dem Rechner nutzen, noch kann ich mein Handy per Bluetooth mit dem Arbeitspc verbinden. (Hatte irgendwo gelesen, das sowas notwendig wäre.)
Zum Vergrößern anklicken....
Das ist nicht notwendig.
 
fieserfisch schrieb:
Ich muss auch dazu sagen, dass ich kein großer Freund davon bin mich an einen der großen Tech Giganten zu binden und denen die Verwahrung und Synchronisation meiner Passkeys zu überlassen. Man denke nur mal, man verstößt bspw. bei Google versehentlich oder absichtlich gegen ihre Nutzungsbedingungen und sie sperren einem das Konto und zack sind auch alle Passkeys weg und man kommt nicht mehr ran, weil das Google Konto gesperrt ist. Daher sollte es schon ein Passwort-Manager wie Keepass sein mit dem man die Kontrolle über seine Anmeldedaten behält.
Zum Vergrößern anklicken....
Du kannst deine Passkeys auch selbst verwalten, Apple und Google haben nur eben bereits eine implementierung in Android/iOS. Musst du aber nicht nutzen.
 
  • Gefällt mir
Reaktionen: aragorn92, Nebuk und JumpingCat
Ich halte ehrlich gesagt sehr wenig von Passkeys...
Cloud-Lösungen lehne ich kategorisch ab. Das ist zwar die komfortabelste Lösung für Nutzer, Passkeys von bspw. Google zu nutzen, aber aufgrund diverser Überwachungsmaßnahmen, regelmäßigen Überschreitungen von Befugnissen und Gesetzen durch solche Unternehmen, die systematische und eigennützige Geheimhaltung von bekannten Sicherheitslücken und regelmäßiger Bugs und Leaks, sind Zugangsdaten das mit Abstand letzte, was in irgendeine Cloud-Lösung gehört.
Selbst Passwortmanager wie Bitwarden nutze ich nicht, damit mehrere Geräte online synchronisiert werden und greife auf Offline-Passwortmanager wie KeePass zurück.

Und die Offline-Lösungen halte ich für zu umständlich, besonders wenn man mit mehreren und wechselnden Geräten alles synchron halten möchte oder noch schlimmer, die Einrichtung bei Diensten und Seiten ständig neu durchführen muss.

Meiner Ansicht nach sind Passkeys nur ein weiterer Versuch, die Nutzer an die Anbieter dieser Lösungen (z.B. Google) zu binden. Je abhängiger man wird, desto eher ist man bereit noch mehr damit zu verknüpfen und vor allem für Abos zu zahlen.

Abgesehen davon, sind solche Online-Lösungen selbst in unserem Unternehmen verboten, weil sie zu viele unnötige Risiken haben. Und das kommt von einer großen Abteilung voller hoch qualifizierter und anerkannter Profis. Ich denke immer, dass ich mich gut auskenne, aber gegen die bin ich noch ein winziger Fisch ohne Publikationen oder Doctor Titel...

Benutzername + Passwort + geräteunabhängige 2FA ist absolut ausreichend.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Drahminedum, pfreampfl, LingUaan und eine weitere Person
Passkeys haben Vorteile im Kampf gegen Phishing. Aber ich finde, wenn man Passwort-Manager auf PC und Handy hat, ist man nicht soviel schlechter dran. Da kann man auch die echten URLs hinterlegen.
 
Ich habe Google Gemini gefragt. Es sagt Passkeys sind toll und sollte ich verwenden 🙄😜
 
  • Gefällt mir
Reaktionen: fr13del, fef_ on_berg, Coeckchen und eine weitere Person
Ich habe Perplexity gefragt und die Erklärung von Google soll ganz gut sein. Hier fehlt ja Grundlagenwissen.

BTW die Lösung vom Steam-Authentikator ist auch ganz gut (weil oben ging's um eine Banking-App)

Die Keys können doch im Windows verwaltet werden. Und man bekommt den Passkey, um sich in Zukunft dann damit anzumelden, wenn man sich erfolgreich z. B. gegenüber Paypal authentifiziert hat.

Firefox geht nicht mit Paypal, ansonsten sollte das auch browserunabhängig sein.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: aragorn92
Was mich persönlich am meisten irritiert bei Passkeys ist, dass es zuerst hieß, dass die im sicheren Speicher eines Geräts gespeichert werden (USB-Dongle wie Yubikey, Handy oder halt im TPM vom PC) und da niemals rausextrahiert werden können.
Das klang für mich ziemlich geil, weil nun jemand mein Gerät klauen müsste (und das Passwort knacken), um an meine Passkeys zu gelangen.

Jetzt sagen Google, Microsoft und co "Hey, lad deine Passkeys zu uns und wir synchronisieren die auf alle deine Geräte" 😳
Das unterwandert doch komplett die Sicherheit, da diese Passkeys ja anscheinend DOCH von Gerät zu Gerät wandern können, und wahrscheinlich auch zu irgendwelchen Schlapphüten!

Also auch nicht besser als ein (komplexes, einzigartiges) Passwort....
 
Klar, wenn man einen Passwortmanager (richtig) inklusive 2FA-App verwendet, wie es hier, einem IT-Forum vielleicht viele tun, hat man von einem Passkey möglicherweise keinen richtigen Vorteil. Aber wir sind auch nicht unbedingt die Zielgruppe, sondern die ganzen Hanseln, deren Passwörter jedes Jahr auf dieser tollen Liste der schwächsten Passwörter landet. Oder zumindest sonst ziemlich einfach ist "Burgschloss+1", welches dann auch noch, manchmal in leicht abgewandelter Form wie "Burgschloss+2" für alle Webseiten benutzt wird.
 
  • Gefällt mir
Reaktionen: Conqi
Eine Hardware, wie Yubikey kann mit aktueller Firmware 100 Passkeys. Sicherlich kommen bald neue Stick die mehr können.
 
  • Gefällt mir
Reaktionen: aragorn92
BFF schrieb:
Wozu noch PC? Das geht doch alles in der Banking App. Dafuer ist die doch da.
Zum Vergrößern anklicken....
Damit nicht die App und die Freigabe auf demselben (möglicherweise kompromittierten) Gerät sind. Da werden aus den 2 Faktoren bestenfalls 1.5 Faktoren.
 
  • Gefällt mir
Reaktionen: Nebuk
fieserfisch schrieb:
und zack sind auch alle Passkeys weg und man kommt nicht mehr ran,
Zum Vergrößern anklicken....
Egal wo man seine Passwörter hat, ein Backup sollte man haben. Auf Papier im Safe, verschlüsselt im Daten Backup...
Ergänzung ()

fieserfisch schrieb:
Was ich wirklich feiern würde
Zum Vergrößern anklicken....
Das ist doch nichts anderes als die form von 2fa und das hat man doch eh schon überall.
 
fieserfisch schrieb:
Das kombiniert man jetzt damit, dass ich mich gerne auf dem Arbeitspc an einer Webseite anmelden möchte. Ich kann auf Grund von Sicherheitseinstellungen etc. aber weder meine Keepass Datenbank auf dem Rechner nutzen, noch kann ich mein Handy per Bluetooth mit dem Arbeitspc verbinden. (Hatte irgendwo gelesen, das sowas notwendig wäre.) Wie also kann ich mich mittels Passkeys an einem fremden PC anmelden?
Zum Vergrößern anklicken....
Die Frage ist doch, warum du auf deinem Arbeits-PC deine privaten Einträge brauchst. Das sollte eigentlich nicht so sein. Arbeitskram bleibt in der Arbietswelt, Privatkram bleibt in der Privatwelt.

AI-Nadja schrieb:
Selbst Passwortmanager wie Bitwarden nutze ich nicht, damit mehrere Geräte online synchronisiert werden und greife auf Offline-Passwortmanager wie KeePass zurück.
Zum Vergrößern anklicken....
Bitwarden lässt sich glücklicherweise selbst hosten. Habe ich auf meinem NAS auch so gemacht. Somit bleibt alles in eigener Hand und landet in keiner Cloud. Aber ja, diese Option hat nicht jeder. Insgesamt hat für mich zumindest Bitwarden besser funktioniert als KeePass, vor allem auf mobilen Geräten. (Habe davor KeePass genutzt.)

AI-Nadja schrieb:
Meiner Ansicht nach sind Passkeys nur ein weiterer Versuch, die Nutzer an die Anbieter dieser Lösungen (z.B. Google) zu binden. Je abhängiger man wird, desto eher ist man bereit noch mehr damit zu verknüpfen und vor allem für Abos zu zahlen.
Zum Vergrößern anklicken....
Verstehe ich nicht. Man muss doch nicht zwingend Google oder sonst irgendein Big Tech Unternehmen für Passkeys nutzen. Die meisten Leute werden es zwar aus Bequemlichkeit tun, aber das ist dann deren freie Entscheidung und kein Zwang.

AI-Nadja schrieb:
Benutzername + Passwort + geräteunabhängige 2FA ist absolut ausreichend.
Zum Vergrößern anklicken....
In den meisten Fällen stimme ich dir da zu. Es ist dennoch recht unbequem, extra zu einem zweiten Gerät greifen zu müssen, um an das nötige OTP für den Login ran zu kommen. Ich glaube das ist auch der Grund dafür, weshalb man Passkeys gerne verbreitet haben will. Die Lösung mit den OTPs ist den meisten Leuten eben einfach zu umständlich, weshalb sich das auch nicht gut durchsetzt.
 
Vexz schrieb:
Verstehe ich nicht. Man muss doch nicht zwingend Google oder sonst irgendein Big Tech Unternehmen für Passkeys nutzen. Die meisten Leute werden es zwar aus Bequemlichkeit tun, aber das ist dann deren freie Entscheidung und kein Zwang.
Zum Vergrößern anklicken....

Ich verstehe das grundsätzlich Problem nicht. Hier scheint ein Missverständnis vorzuliegen. Google kann mit dem dem Teil des Passkeys nichts anfangen außer mir eine Komfortlösung zu bieten. Selbst wenn ich bei der NSA meine Passkeys synchronisiere ist das nicht mehr oder weniger gefährlich.
 
  • Gefällt mir
Reaktionen: fr13del und Vexz
NJay schrieb:
Apple und Google haben nur eben bereits eine implementierung in Android/iOS. Musst du aber nicht nutzen.
Zum Vergrößern anklicken....
Naja, irgendwie muss man das schon, wenn man das ernsthaft einsetzen will und (primär) mobil unterwegs ist.

Ich nutze KeePass und Firefox und am PC funktioniert das auch wunderbar. Wenn ich mich aber am Handy per Passkey in Computerbase einloggen will, kommt nur der Dialog von Android und sagt mir, ich habe keinen Passkey für die Seite. Das selbe Spiel in der Twitter App.

AI-Nadja schrieb:
Und die Offline-Lösungen halte ich für zu umständlich, besonders wenn man mit mehreren und wechselnden Geräten alles synchron halten möchte
Zum Vergrößern anklicken....
Irgendeinen x-beliebigen Cloudspeicher einbinden, aufs NAS syncen oder sonst was. Auch nicht aufwendige als andere Dokumente zu synchronisieren.

AI-Nadja schrieb:
Meiner Ansicht nach sind Passkeys nur ein weiterer Versuch, die Nutzer an die Anbieter dieser Lösungen (z.B. Google) zu binden.
Zum Vergrößern anklicken....
Nicht alles ist gleich eine Verschwörung. Passkeys sind in vielen Fällen ein realer Zugewinn an Sicherheit für den durchschnittlichen Nutzer, weils keine doppelt genutzten Passwörter mehr gibt, kein "Fußballverein123" und man seine Passwörter auch nicht einfach so am Telefon durchgeben kann.

AI-Nadja schrieb:
Benutzername + Passwort + geräteunabhängige 2FA ist absolut ausreichend
Zum Vergrößern anklicken....
Ja und jetzt frag mal in deinem Freundes- und Bekanntenkreis rum wie viele das rigoros durchziehen. Mehrfach genutzte Passwörter sind die absolute Norm und MFA wird kaum genutzt, wenns nicht erzwungen wird wie beim Onlinebanking.

schalli110 schrieb:
Was mich persönlich am meisten irritiert bei Passkeys ist, dass es zuerst hieß, dass die im sicheren Speicher eines Geräts gespeichert werden (USB-Dongle wie Yubikey, Handy oder halt im TPM vom PC) und da niemals rausextrahiert werden können.
Zum Vergrößern anklicken....
Und was machst du dann, wenn du einen neuen PC kriegst? Das wäre doch total inpraktikabel.
 
Conqi schrieb:
Ich nutze KeePass und Firefox und am PC funktioniert das auch wunderbar. Wenn ich mich aber am Handy per Passkey in Computerbase einloggen will, kommt nur der Dialog von Android und sagt mir, ich habe keinen Passkey für die Seite. Das selbe Spiel in der Twitter App.
Zum Vergrößern anklicken....
Das liegt am Handy. Entweder man hat (noch) kein Android 14 oder der Hersteller hat die Implementierung noch nicht vollzogen, dass man auch andere Apps für Passkeys verwenden kann. Vor dem Problem stehe ich aktuell mit meinem Nothing Phone 1 auch. Allerdings soll diesen Monat noch Nothing OS 3 kommen und damit soll auch diese Funktion dann gehen. Musst du mal bei deinem Handy gucken, wie da der Stand ist.
 
Vexz schrieb:
Das liegt am Handy.
Zum Vergrößern anklicken....
Ne, scheinbar liegt es eher daran, dass die Unterstützung in Firefox auf Android noch etwas wacklig ist und meine App Keepass2Android hat es auch noch nicht implementiert. Ähnlich sieht es bei vielen Lösungen momentan noch aus leider. Wirklich zuverlässig scheint bisher nur die direkte Implementierung von iOS und Android zu funktionieren.
 
Conqi schrieb:
Ne, scheinbar liegt es eher daran, dass die Unterstützung in Firefox auf Android noch etwas wacklig ist und meine App Keepass2Android hat es auch noch nicht implementiert. Ähnlich sieht es bei vielen Lösungen momentan noch aus leider.
Zum Vergrößern anklicken....
Das ist aber nur eine Frage der Zeit.

Was ich bei der ganzen Passkey-Diskussion immer spannend finde:

Passkeys sind im Prinzip einfache public-key Crypto und sehr ähnlich zu SSH-Keys, die in der IT schon seit Jahrzenten der Standard sind um sich auf Linux-Servern einzuloggen. Sie sidn nichts neues oder besonders, sie sollen eben nur "nahtlos" ins OS integriert werden um den DAUs den Umstieg so einfach wie möglich zu machen.
 
  • Gefällt mir
Reaktionen: Nebuk
NJay schrieb:
Passkeys sind im Prinzip einfache public-key Crypto und sehr ähnlich zu SSH-Keys
Zum Vergrößern anklicken....
Um genau zu sein sind Passkeys eigentlich nur FIDO2 ohne die Bindung an einen Hardwaretoken. Also ja, im Kern ist das eine simple Publik-Key Geschichte mit etwas drumherum, damit der Key nur auf der zugehörigen Webseite funktioniert.

In Keepass sieht man auch ganz gut, was da so hinter steckt.
1728032892866.png
 
  • Gefällt mir
Reaktionen: guzzisti
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

T
Passkeys: bei welchen Webseiten funktionieren sie nicht wirklich?
Antworten
6
Aufrufe
1.020
taucher65
T
Drexel
Passkeys mit Google Passwortmanager
Antworten
7
Aufrufe
1.554
Thomrock
Thomrock
Denjo25
Frage zu Passkeys und mehreren Geräten auf ComputerBase
Antworten
2
Aufrufe
351
Denjo25
Denjo25
M
Verständnis- und Detailfragen zu Passkeys
Antworten
2
Aufrufe
1.674
thrawnx
T
M
News Passkeys: Google läutet die Zukunft ohne Passwörter ein
15 16 17
Antworten
320
Aufrufe
38.072
taucher65
T
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz