News PayPal: Passkeys sollen Passwörter ersetzen

[UNDERESTIMATED]

Anstatt Identitäten zu autorisieren, autorisiere ich jetzt Geräte auf denen meine Keys liegen.

Vielleicht bin ich dafür zu sehr Pessimist, aber mir gefällt sowas ganz und gar nicht.

soll Passwörter ersetzen und dabei einfacher und sicherer sein.

Danke für diese Wortwahl, denn sicherer ist daran mal wieder gar nichts.
Erinnert mich an meine "neue sichere Kreditkarte", die ungefragt ihre Daten wegfunkt wenn nur einer danach fragt. Klasse! Die alte ohne NFC war natürlich total unsicher.

 

[Magellan]

Habe mir KeePass eingerichtet. Schon im ersten Durchlauf aus dem Kopf gleich mal 60 verschiedene Kennwörter hinterlegt. Seitdem sind locker nochmal 20-30 hinzugekommen. So langsam ebbt es endlich ab. Und ich bin so unglaublich glücklich, mir den Sch... nicht mehr selbst merken zu müssen

Bei mir sinds mittlerweile über 200 Passwörter im Safe - und dann kommen noch die meiner Frau dazu, die ihre ständig vergessen hat weswegen ich die auch noch wissen musste ^^

Nur die privaten versteht sich, geschäftlich kommen etwa nochmal so viele hinzu.

Und wir sind hier die Nerds, meine Erfahrungen aus dem Bekanntenkreis sind eher dass Passwörter wie Minka96! der Standard sind und das dann auch bei 30 Diensten identisch genutzt wird.

 

[Harsiesis]

Ich habe es immer noch nicht verstanden

Ich setzte mich irgendwo in der Firma an einen PC und möchte mich bei einloggen. Dann existiert auf diesem PC noch kein Key. Wie melde ich mich dann an wenn mit e-mail und PW nicht mehr geht?

Und dann wird doch irgendwie ein Key vom OS erstellt der dann brav auf der Kiste liegt an der ich nie mehr sitzen werde?

 

[C.J.]

Ich bin nicht so begeistert. Ich verwende keinen Passwortmanager, da ich nicht einem Stück Fremdsoftware meine gesamte digitale Identität anvertrauen will. Auch mache ich mir Sorgen darum, was passiert, wenn mal ein Gerät von mir kaputt geht mitsamt der dort gespeicherten Keys bzw. Passwörter. Das Problem habe ich bei Paypal mit 2FA zwar bereits auf einer Seite, aber auf der anderen noch nicht. Wird das neue Verfahren verpflichtend?

 

[frazzlerunning]

@Harsiesis Der Passkey wird mit deinem Windows-Account verknüpft. Wenn du dich an irgendeinem Windows-PC (mit Hello-Fähigkeit) setzt, und dich dort einloggst, ist der Passkey auch dort.

Wenn sich ein anderer User (mit anderem Windows-Account) einloggt, kommt der nicht an deine Passkeys, weil du dich mit deinem Finger/PIN/Gesicht verifizieren musst.

 

[oiisamiio]

Ich habe es immer noch nicht verstanden

Ich setzte mich irgendwo in der Firma an einen PC und möchte mich bei einloggen. Dann existiert auf diesem PC noch kein Key. Wie melde ich mich dann an wenn mit e-mail und PW nicht mehr geht?

Und dann wird doch irgendwie ein Key vom OS erstellt der dann brav auf der Kiste liegt an der ich nie mehr sitzen werde?

Tatsaechlich gibt es fuer Firmen bereits dieses Mircosoft Hello Gesicht/Finger oder PIN Ding... Ich waehle das immer ab um mich klassisch anzumelden. Ein Dongel zum mitnehmen der von jedem Geraet erkannt wird, das waere mal was... Aber die Loesung das hoert sich nach einer null Nummer an...

 

[HansDetflefAndi]

Firefox mit Kee zum KeePass is the way. Datenbank ist klein genug (+/-100kb) um diese 1x im Monat extern, per Mail etcpp zu sichern.
Ich weiß im Nachhinein nicht wie ich ohne KeePass all die Jahre gelebt habe.
Wird ein neuer Account eingerichtet, wird mal eben ein 48-256Bit Key generiert und gespeichert.

 

[Mithos]

Ein Dongel zum mitnehmen der von jedem Geraet erkannt wird, das waere mal was

Also zum Beispiel dein Smartphone, mit der du jeden Zugriff per QR-Code abscannen autorisieren kannst, wie das mit PassKeys möglich ist?

 

[Harsiesis]

@Harsiesis Der Passkey wird mit deinem Windows-Account verknüpft. Wenn du dich an irgendeinem Windows-PC (mit Hello-Fähigkeit) setzt, und dich dort einloggst, ist der Passkey auch dort.

Aber wie logge ich mich denn ein? Das geht mir nicht in den Kopf.... irgendwo muss doch eine Authentifizierung stattfinden dass der Key generiert werden kann.

Um beim Beispiel MS zu bleiben. Ich habe weder einen PIN noch irgendwelche Biometrie, noch irgendeine komische QR Code app.

 

[Mithos]

Aber wie logge ich mich denn ein? Das geht mir nicht in den Kopf....

Gucke dir das Video aus dem Artikel an.

 

[Falc410]

Danke für diese Wortwahl, denn sicherer ist daran mal wieder gar nichts.

Naja es ist schon "sicherer" da die Keys nicht so leicht erraten werden können und es ist unmöglich, den selben Key mehrfach zu verwenden. Das sind die Hauptprobleme mit Passwörtern. User A benutzt überall das selbe Passwort, einmal bei der hoch sicheren Anwendung und einmal bei der Vereinswebseite die von einem Hobby-Admin betreut wird. Die wird gehackt, Angreifer gelangt an das Passwort und kann sich als User A überall einloggen.

Genau das wird dadurch verhindert.

 

[cuthbert]

Ok Passkeys sind an mir vorbeigegangen bisher. Ich kannte bisher nur die Fido Sticks und Webauthn durch ein entsprechendes Gerät (Windows oder Android). Passkeys scheinen da die logische Weiterentwicklung zu sein. Mit dem Nachteil, dass man einem Cloud Provider vertrauen muss...
Da finde ich PW plus offline 2FA (Fido Stick, OTP...) irgendwie immer noch etwas sympathischer.

Bei mir sinds mittlerweile über 200 Passwörter im Safe - und dann kommen noch die meiner Frau dazu, die ihre ständig vergessen hat weswegen ich die auch noch wissen musste ^^

Bei uns sind es mittlerweile über 500 Passwörter, da sammelt sich ganz schön was an mit der Zeit

Ich bin nicht so begeistert. Ich verwende keinen Passwortmanager, da ich nicht einem Stück Fremdsoftware meine gesamte digitale Identität anvertrauen will.

Solltest du noch einmal überdenken.. Ich bin viel zu faul, mir für jeden Popel-Shop oder sonstigen Service ein neues PW auszudenken. Seit knapp 10 Jahren nutze ich nun Keepass(XC) und könnte gar nicht mehr ohne. Bei jedem neuen Online Konto lege ich da einen Eintrag an und lasse mir ein Passwort erzeugen, welches ich mir nicht mehr merken muss.

Dank eigener Nextcloud kann ich meine Keepass Datenbank (256bit verschlüsselt) auch bequem zwischen PC und Handy snychronisieren. Aber auch mit Dropbox etc wäre es kein Problem, so lange man nicht auch den Datenbank-Schlüssel mit hoch lädt.

 

[frazzlerunning]

@Harsiesis Wenn du auf einem Nicht Hello-fähigem Gerät bist, wird dir das Passkey-System gar nicht angeboten werden.

Der Witz am Passkey ist ja, dass das OS (über den Account) dem Dienst bestätigt, das der User vor dem Gerät auch der richtige ist.

 

[Wechsler]

Ich habe das Problem rund um Passwörter und Identitätsdiebstahl gelöst, indem ich möglichst viele Accounts komplett gelöscht habe. Was bei vielen Anbietern gar nicht so einfach ist.

Der PayPal-Account ist auch längst weg.

 

[Telechinese]

Ganz verstanden hab ich das nicht...
Wie will die Gegenstelle "wissen", das Ich Ich bin, wenn der Key auf irgend einem Gerät liegt, "das sich auch ein Anderer aneignen" kann???
Die Passwörter müssens erst aus meinem Hirn rauslöten... diese komische "Key-auf-Gerät" Lösung erscheint mir nicht sicher...

 

[leipziger1979]

Ja, macht den "Scheiss" noch komplizierter so dass keine Sau mehr versteht was da wie funktioniert.
Es ist nur noch zum kotzen was einem als Kunde mittlerweile bei diesem ganzen "digitalen" Scheiss zugemutet wird.
Jeder noch so "bekloppte" Dienstleister oder Bank oder weiss der Geier wer kocht sein eigenes Süppchen mit App, PIN, PUK, TAN, 2FA, QR-Code usw.

Soweit ich das verstehe speichert z.B. Apple die Passkeys in der Cloud analog zum Apple/Google Passwortmanager eben, allerdings end to end verschlüsselt also in entschlüsselter Form hat man sie nur auf dem eigenen Gerät

Und wenn das geklaut wird oder defekt ist hat man Pech gehabt?
Und unabhängig davon, wenn ich das mit "Cloud" schon wieder lese, oje.

Wird ein Gerät genutzt, das Passkeys noch nicht unterstützt, kann die Anmeldung via Passkey mittels QR-Code über das iPhone erfolgen.

Und was mache ich als PC Nutzer mit dem QR Code?
Den kann ich mir ausdrucken und muss den dann per eMail schicken?

Unterm Strich muss man festhalten das auch hier wieder irgendein Murx gebaut wird der hinten und vorne nicht durchdacht ist und schon gar nicht im Sinne des Kunden ist.

 

[Heavenly]

Wenn dieses "Passkeys" von der Fido-Allianz ist, kann ich dann auch statt den "großen bösen" meinen Fido2- oder Fido1-Stick verwenden?

Und mal so am Rande: Wann unterstützt denn diese Kommentarfunktion mal Fido? Nervig, immer Authenticator-Codes abtippen zu müssen…

 

[Haggis]

Vermutlich müsste man den Private-Key immer mitnehmen, wenn man mobil Zugang zu PayPal haben möchte.

Oder der Dienst (also hier z.B. PayPal) erlaubt es, mehrere PublicKeys zu hinterlegen.

 

[Weyoun]

@Harsiesis Wenn du auf einem Nicht Hello-fähigem Gerät bist, wird dir das Passkey-System gar nicht angeboten werden.

Der Witz am Passkey ist ja, dass das OS (über den Account) dem Dienst bestätigt, das der User vor dem Gerät auch der richtige ist.

Ich stelle mir gerade folgendes Szenario vor: Kleines mittelständiges Unternehmen, dass nur wenige PCs einsetzt (deutlich weniger PCs als Mitarbeiter, weil nicht jeder einen für seine tägliche Arbeit benötigt). Dann loggt sich Mitarbeiter A in der Mittagspause mit dem Zugang von Mitarbeiter B auf dem PC ein (es gibt für einen PC nicht mehrere Microsoft-Lizenzen) und kann ohne Probleme sein PayPal-Konto leerräumen, weil man ja kein separates Passwort mehr benötigt? Willkommen in der Zukunft!

 

[Sebbi]

jaaaa geil .... ganz doll diese Passkeys ...

hackt dann jemand (ggf durch ne Lücke beim Anbieter) den Online Account, der ja zwingend voraussetzung ist damit ich den Dienst auf einen anderen Gerät nutzen kann, sind ALLE Konten die Passkey nutzen gleich kompromitiert und der Nutzer hat extrem viel Spaß.
Also genau wie bei einen Passwortmanager. Der einzige Unterschied: Die Kontrolle über den User und dessen Accounts / Daten wandert immer mehr zu dem OS Hersteller.

Ganz großes Kino

Und wenn man das ganze ohne einen Online Account macht, dann hat man das nachsehen, wenn man sich unterwegs an einen Rechner mal eben Anmelden will, wenn nur noch Passkey akzeptiert wird, weil das andere ja sooo unsicher ist.

Ich hoffe nur mal das weiterhin auch so optional bleibt und die Passwort / F2A als Möglichkeit erhalten bleibt, denn diese den gleichen Schutz, ist nur etwas unbequemer und kostet die Diensteanbieter leichten Aufwand.