News PayPal: Passkeys sollen Passwörter ersetzen

[Hurricane.de]

Aktuell ist PayPal bei mir durch ein Passwort (leider mäßiger Qualität, aber naja) und 2FA (SMS an Handynummer) geschützt. Kenne viele Leute bei denen das so läuft.

In Zukunft könnte es dann für viele nicht so versierte User z.B. an einem Windows 11 PC mit Microsofts neuem Login-Quatsch (keine Passwörter mehr, stattdessen Biometrie oder 4-stellige PIN) so sein, dass man ohne jegliche weitere Authentifizierung nach Windows-Login mit PayPal zahlen kann? Das wäre in meinen Augen ziemlich dünn.
Biometrische Abfragen können teilweise durchaus mit Hilfsmitteln ausgetrickst werden, außerdem kann das Gerät nicht unterscheiden ob da jemand freiwillig seinen Finger auf den Scanner legt oder ob ich gewaltsam den Arm des Besitzers gegriffen und den Finger darauf gelegt habe, oder ob die Person überhaupt noch lebt.
Bei den Mobilgeräten sieht es noch düsterer aus. Da ist Biometrie zum entsperren absoluter Standard (nutze ich auch).

Wenn es keine biometrische Abfrage gibt, steht bei Windows trotzdem nur eine 4-stellige PIN, die nur aus Ziffern bestehen kann, zwischen einem Angreifer und dem Vollzugriff (also sofern man nicht explizit das alte Passwortsystem haben möchte). Ich sehe nicht, wie das sicherer sein soll als ein aktuelles 2FA Verfahren.

 

[UNDERESTIMATED]

Genau das wird dadurch verhindert.

In meinen Augen hat Paypal eine Tür geschlossen und 2 Meter weiter ein Scheunentor in die Wand gekloppt.
Du siehst die verschlossene Tür, ich das Tor.

Dann sind wir wohl verschieden.

 

[Mithos]

Ganz verstanden hab ich das nicht...

Ja, macht den "Scheiss" noch komplizierter so dass keine Sau mehr versteht was da wie funktioniert.

kann ohne Probleme sein PayPal-Konto leerräumen, weil man ja kein separates Passwort mehr benötigt?

Ist es denn zu viel verlangt einfach mal das verlinkte Video kurz zu überfliegen. Gefühlt 90% der Missverständnisse bzw. Fragen hier lassen sich damit beantworten.

Online Account, der ja zwingend voraussetzung ist damit ich den Dienst auf einen anderen Gerät nutzen kann

Von was für einem Account redest du? Wenn du dich bei Paypal anmelden willst brauchst du einen Paypal Account. Einen weiteren "Passkey-Account" wie du dir eventuell vorstellst gibt es nicht.

 

[Khalinor]

Dann loggt sich Mitarbeiter A in der Mittagspause mit dem Zugang von Mitarbeiter B auf dem PC ein

Dann sollte man tunlichst unterlassen seinen Privatkram am Dienst-PC zu erledigen.

 

[Suspektan]

Das Problem habe ich bei Paypal mit 2FA zwar bereits auf einer Seite, aber auf der anderen noch nicht

Nein, man muss nur den qr Code als Foto oder sonstwie speichern/ ausdrucken und kann damit den zweiten Faktor jederzeit wiederherstellen.

 

[Telechinese]

Dann sollte man tunlichst unterlassen seinen Privatkram am Dienst-PC zu erledigen.

...oder diesen neuen "Dreck" zu benutzen...

 

[kicos018]

Unterm Strich muss man festhalten das auch hier wieder irgendein Murx gebaut wird der hinten und vorne nicht durchdacht ist und schon gar nicht im Sinne des Kunden ist.

Hätten Milliarden-Konzerne wie Apple, MS oder Google doch nur jemanden mit Brainstorm-Kapazitäten wie dich in deren Meetings gehabt... Wir hätten schon nen ICE mit Direktanbindung zum Mars.

 

[nciht]

hackt dann jemand (ggf durch ne Lücke beim Anbieter) den Online Account

hackt jemand aktuell deine Mailadresse, kann er damit auch alle möglichen pws zurücksetzen...

Die Kontrolle über den User und dessen Accounts / Daten wandert immer mehr zu dem OS Hersteller.

Nein, der Sinn von dieser Art der Verschlüsselung ist eben, dass OS ggf. einen Schlüssel hat, den aber nciht entschlüsseln kann und dass der Server den Schlüssel nicht hat und auch nciht kennt bis er ihn quasi bekommt... - Ergo kann OS-Hersteller mit dem Schlüssel nix anfangen und der Server ohne den Schlüssel auch nciht auf deine Daten zugreifen. Gleichzeitig akzeptiert der Server den Schlüssel nicht, wenn er den Schlüssel von jemand anderem bekommt. So hab ich das zumindest verstanden...

 

[Wechsler]

und kann ohne Probleme sein PayPal-Konto leerräumen, weil man ja kein separates Passwort mehr benötigt? Willkommen in der Zukunft!

Ich habe gar kein PayPal-Konto. 😉

Und an mein Bankkonto kommt man online auch nicht heran.

 

[Suspektan]

User A benutzt überall das selbe Passwort, einmal bei der hoch sicheren Anwendung und einmal bei der Vereinswebseite die von einem Hobby-Admin betreut wird. Die wird gehackt, Angreifer gelangt an das Passwort und kann sich als User A überall einloggen.

Hat man durch 2FA auch so schon verhindert, einloggen kann man sich mit dem pw alleine nicht.

 

[Termy]

Also zum Beispiel dein Smartphone, mit der du jeden Zugriff per QR-Code abscannen autorisieren kannst, wie das mit PassKeys möglich ist?

Ein Dongle, der Online, Angreifbar, geschlossen (und damit per se nicht Vertrauenswürdig) und dazu noch ziemlich Empfindlich in Sachen Defekte ist? Na das klingt doch mal nach nem ganz dollen Geniestreich

 

[SI Sun]

Ich soll also einem Verfahren blind vertrauen, welches ich gar nicht verstehe?
Irgendeine Software macht irgendetwas, was durch Updates täglich etwas anderes sein kann.
Irgendein Anbieter kann entscheiden, ob er dieser Software vertraut bzw. diese unterstützt. Wenn nicht, dann muss ich zusätzlich dazu eine andere Software oder wieder das klassische Passwort nutzen?

Gegen komplexe Passwörter spricht nun, was genau?

Doch im Gegenzug sind komplexe Passwörter oft nicht mehr leicht zu merken und nicht jeder nutzt einen Passwortmanager zur Hilfe.

Völlig an den Haaren gezogen.
Mit einem eigenen System kann ich sehr lange und komplexe Passwörter erstellen und mir trotzdem merken.
Einfaches Beispiel:

• Ein kurzer Satz (40 Zeichen),
• die ersten zwei Buchstaben werden verdreht
• die letzten zwei Buchstaben werden durch Sonderzeichen ersetzt
• jedes dritte Wort ist eine Zahlenkombination
• das vorletzte Wort ist der Dienst, bei dem ich mich registriere

Nur ich selbst muss es verstehen. Und ich kann es viel komplexer machen.

Und ein Passwortmanager ist im Grunde eine digitale Liste. Die Komfortfunktionen wie automatisches Ausfüllen muss man schließlich nicht nutzen.

Ich selbst habe zu entscheiden, ob mein Passwort "sicher" oder nicht sein soll!
Wenn ich "Passwort" als mein Passwort festlege, ist das meine Sache. Beispielsweise für einen irrelevanten Wegwerf-Accounts für Foren, Registrierungen, Apps, etc. völlig egal! Das ist meine Sache!

 

[koech]

Zwar ist es wohl grundsätzlich zu begrüßen, wenn eine Nutzer-Authentifizierung nicht mehr über ein "statisches" Passwort geschieht, allerdings halte ich es für sehr bedenklich genau diese Authentifizierung an einen Gerätepark mit undurchschaubaren mathematischen und kryptischen (Rechen-)Operationen abzugeben, die dann auch noch durch alle Clouds der Welt gejagt werden.

Ob das wirklich sicherer wird? Gewiß bezüglich der Schwächen des althergebrachten PW-Verfahrens (wie oben oft erwähnt: schlechte PW, immer das gleiche PW, abgegriffene ungeschützte PW-Datenbanken, usw.).

Aber die bösen Bubinnen & Buben werden sicherlich auch nicht untätig sein und einfach andere Angriffsvektoren finden & ausnutzen.

Dann ist nicht nur Dein Zugang zu einem popeligen Shop kompromittiert, sondern sofort Deine gesamte digitale Identität.

Schöne neue Welt. Besonders für die BÖSEN...

 

[Sebbi]

Nein, der Sinn von dieser Art der Verschlüsselung ist eben, dass OS ggf. einen Schlüssel hat, den aber nciht entschlüsseln kann

ja und wo schlickt das OS die Daten hin, wenn du den Passkey aber mehreren verschiedenen Geräten nutzen willst? Richtig, dort wo deine Online Account Daten lagern, beim OS Hersteller !
Wenn der aber deinen Account dicht macht, hast du auf einmal ein Problem.

hackt jemand aktuell deine Mailadresse, kann er damit auch alle möglichen pws zurücksetzen...

viel Spaß damit, wenn 2FA aktiv ist. Entgegen den USA ist SIM Poisening hier nicht so möglich,

 

[Suspektan]

Spaß damit, wenn 2FA aktiv ist. Entgegen den USA ist SIM Poisening hier nicht so möglich

Was ist sim-poisining und was hat überhaupt die sim damit zu tun?
Doch nicht etwa code per sms, oder?
Ein open source authentificator und gut is.

 

[Nebuk]

Ist nur bei mir das Video nicht verfügbar? Bin nur mobil unterwegs und hab es via WLan (Hotel), Mobilfunknetz und mit und ohne VPN versucht.

Edit. Auch anderer browser (firefox)

 

[AvenDexx]

Nope, bei mir im Vivaldi am Desktop kann ich auch kein Video sehen.

 

[xammu]

Das Webauthn was nicht jeder Browser unterstützt? Dann habe ich ja für Vivaldi auf Android doch noch Hoffnung.

 

[Falc410]

In meinen Augen hat Paypal eine Tür geschlossen und 2 Meter weiter ein Scheunentor in die Wand gekloppt.
Du siehst die verschlossene Tür, ich das Tor.

Dann sind wir wohl verschieden

Dann hoffe ich für dich, dass du nicht in der IT-Sicherheit arbeitest mit diesen Augen 😅

 

[###Zaunpfahl###]

@Nebuk hatte ich auch.
Hab cookies gelöscht und mich erneut angemeldet