ComputerBase Menü
Aktuelles

News PayPal: Passkeys sollen Passwörter ersetzen

Ist es, aber nicht jeder möchte sich extra Hardware kaufen die dann nur von wenigen Diensten unterstützt wird.

Wenn Apple und Microsoft und Google mitziehen und das im OS nativ unterstützen, dann ist das zwar nicht so sicher wie ein Hardware Token aber besser als das was wir jetzt haben und dann ziehen auch mehr Dienste mit die so etwas als Alternative zum Passwort unterstützen (siehe Paypal).
Ergänzung ()

Web-Schecki schrieb:
Übertragen wird maximal der Public-Key. Der ist aber kein Geheimnis
Zum Vergrößern anklicken....
Denkfehler, hast natürlich Recht.
 
Bequem und Sicherheit haben noch nie gut zusammen gepasst.

Die Angriffspunkte werden nur anders.

Demnächst schleiche ich durch dunkel Gassen, sorge für Bewusstlosigkeit ( Linker Haken, Knüppel, Alkoholm KO Tropfen .... oder einfach mein Anblick ) und entsperre mit den "Smartphone" und dem Finger des Opfers das Gerät. Kann natürlich auch die holde Gattin sein während man schläft ...

Es wurden schon von einem Foto die Fingerabdrücke von Uschi reproduziert

https://www.engadget.com/de-2014-12...von-von-der-leyen-aus-fotos-rekonstruier.html

Ich habe weder ein Smartphone noch ander Geräte mit Fingerscanner ....
da mache ich lieber unbequem weiter mit Keepass und meinen 26 Zeichen Passwort ... selbst wenn ich es manchmal 3x eingeben muss.
 
  • Gefällt mir
Reaktionen: UNDERESTIMATED
Hurricane.de schrieb:
dann sehe ich Passkeys gerade nicht als sicherer an als ein aktuelles 2FA Anmeldeverfahren.
Zum Vergrößern anklicken....
Kryptographisch ist es auch im Vergleich aus der Distanz auch nicht sicherer (meine ich).

Wenn aber die PIN durch eine kryptographisch besseres Verfahren auf Basis von Biometrie ersetzt wird, steigt in der Erwartungshaltung die Sicherheit in "der Breite". Ich glaube, die "Hoffnung" liegt darin begründet, dass das "besser" hier die Bequemlichkeit adressiert und damit in Summe eine größere Durchdringung als mit einem 2FA-Verfahren möglich wird.

Ich sehe ein großes Potential für das Verfahren, aber es wird ein langer und "anstrengender" Weg.
 
SI Sun schrieb:
Ich soll also einem Verfahren blind vertrauen, welches ich gar nicht verstehe?
Zum Vergrößern anklicken....

Tut jeder von uns zigfach täglich oder weißt Du genau, wie GPS funktioniert und warum die allgemeine und spezielle Relativitätstheorie notwendig sind, damit es das tut? Gleiches gilt für kryptographische Verfahren, z.B. für TLS, als die Verifikation einer Server-Identität und dem anschließenden Aushandeln eines Keys für die eigentliche Transportverschlüsselung. Du nutzt das ja alleine schon hier, um sicherzustellen, dass Du wirklich auf computerbase.de unterwegs bist und nicht auf einer Seite, die so tut.
 
  • Gefällt mir
Reaktionen: Tr0nism, KitKat::new() und Bonanca
@Falc410

Nein die "private-keys" werden nicht übers Internet an den Server des Webdienstes geschickt.
Weder bei den "resident Fido keys" - da bleiben die Keys auf dem FidoKey/SecureElement
noch bei den "Fido2 passkeys" - da werden die Keys end2end verschlüsselt ggf. zwischen deinen verschiedenen Geräten übertragen - aber nie zum Webservice und immer end2end verschlüsselt (Wenn der Hersteller deiner Geräte mit deinen Account Daten und Schlüsseln sorgsam umgeht).


TLS ist keine End2End Verschlüsselung zwischen dem FidoKey/SecureElement und der Entsprechung des Webservice sondern ist jeweils an den Systemgrenzen der Server über die die Nachricht so läuft aufgebrochen oder aufbrechbar. Selbst wenn die Übertragung von deinem Rechner zum Server durch TLS sicher wäre - dann übernimmt an der Stelle die wieder entschlüsselte Nachricht nicht der Prozessor des SecureElements/FidoKeys sondern der weniger sichere Systemprozessor.


Die Sicherung von Passwortdatenbanken ist aber oft genug offenbar nicht sicher umgesetzt - und es existieren deswegen umfangreiche Listen von Paßworten die die Bösewichte im Internet veröffentlicht haben. Das zähl ich deshalb zu einer der Bastellösungen mit der man versucht den Wettlauf mit den Angreifern zu gewinnen.

FIDO Keys haben meines Wissens eine PIN und keine Passphrase. Ne Passphrase hat vielleicht ein Passwortmanager. Aber an sich gibt's zwischen PIN und Passphrase auch keinen sicherheitstechnischen Unterschied. Ist halt was was man sich merken muß.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Web-Schecki
Nebuk schrieb:
Ist nur bei mir das Video nicht verfügbar? Bin nur mobil unterwegs und hab es via WLan (Hotel), Mobilfunknetz und mit und ohne VPN versucht.
Zum Vergrößern anklicken....
Das war ein Bug ist nun behoben. Bitte entschuldigt die Umstände!
 
  • Gefällt mir
Reaktionen: fahr_rad, Nebuk, MichaG und eine weitere Person
@MadCat[me]
Äpfel und Birnen, wie man hier so oft sagt.
GPS Daten können sich nicht in meine wichtigen Banking oder Shopping Accounts anmelden. GPS Daten können auch meine Katzenbilder und Hamstervideos nicht entschlüsseln.
GPS Daten stützen z.B. mein Navi und als Gegenleistung gibt man sein Bewegungsprofil zur Verbesserung der GPS Funktionen.
Das Prinzip ist also verständlich.

Bei Passwörtern ist es aber ein völlig anderes Thema.

Viel wichtiger ist aber:
Passkeys are a joint initiative of Apple, Google, and Microsoft to make authentication better.
https://www.passkeys.io/
Zum Vergrößern anklicken....

Warum sollte man Apple, Google und Microsoft vertrauen? Unternehmen, die ihr Geld mit meinen Daten verdienen? Und anderem auch durch das Sammeln von Daten, selbst wenn es gesetzlich verboten ist.

Am Ende ist es eine Vertrauenssache.
Kann man diesen drei Unternehmen aus den USA vertrauen?

Für mich als Nutzer ist aber wichtiger:
Wie melde ich mich an einem neuen / fremden PC oder Smartphone, vielleicht ohne Windows, iOS oder Android in meinen Accounts an?
Was ist, wenn ich GrapheneOS ohne Google Dienste nutze?
Was ist, wenn ich Linux Distro Hopper ohne Cloud-Dienste bin?
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: Heinrich Bhaal
Ich blick da nicht mehr durch.
Ist ja nicht so dass man nur 1 PC und nur 1 OS besitzt.
Wenn da normales 2FA mittels Handy und Codeeingabe nicht mehr funktioniert war es das mit Paypal.
 
Falc410 schrieb:
Denkfehler, hast natürlich Recht.
Zum Vergrößern anklicken....
Und das ist eben doch ein substanzieller Unterschied zu herkömmlichen Passwörtern. Man überträgt keine Geheimnisse mehr über das Internet und man speichert auch keine Geheimnisse bei einem Anbieter, dessen Kompetenz man blind vertrauen muss.
Passwortdiebstähle haben heutzutage meist zwei Ursachen:
  • Phishing, also ein Betrüger schafft es, dir dein Geheimnis zu klauen.
  • Anbieterdatenbanken mit Nutzerdaten landen im Internet und die Passwörter sind nicht weiter gesichert.
Gegen beides kann ein guter Passwortmanager bei korrekter Verwendung helfen bzw. die Folgen mildern, aber das Grundproblem bleibt vorhanden und ist nicht zufriedenstellend lösbar.

Mit einer ordentlichen asymmetrischen Verschlüsselung als Authentisierungsmethode musst du nur noch deine private keys hüten, was deutlich einfacher ist (nur jemand, der dir Böses will, wird dich je danach fragen) und zudem vollständig in deinen Verantwortungsbereich fällt, womit deine eigene Kompetenz entscheidend ist. Deshalb sind solche Systeme aktuell der Goldstandard.

Zu FIDO kann ich konkret nichts sagen, aber die Aussage, dass es sich einfach nur um automatisch generierte, zufällige und automatisch verwaltete Passwörter handele, ist schlicht nicht korrekt.
 
  • Gefällt mir
Reaktionen: ComputerJunge und Falc410
senf.dazu schrieb:
TLS ist keine End2End Verschlüsselung zwischen dem FidoKey/SecureElement und der Entsprechung des Webservice sondern ist jeweils an den Systemgrenzen der Server über die die Nachricht so läuft aufgebrochen oder aufbrechbar. Selbst wenn die Übertragung von deinem Rechner zum Server durch TLS sicher wäre - dann übernimmt an der Stelle die wieder entschlüsselte Nachricht nicht der Prozessor des SecureElements/FidoKeys sondern der weniger sichere Systemprozessor.
Zum Vergrößern anklicken....
Ich weiss nicht wieso du immer auf dem FidoKey rumreitest (nennen wir es USB Token?), aber selbst wenn, der Webservice spricht ja nicht mit dem Token direkt, sondern der Browser wird wohl eine Funktion im OS aufrufen um an den richtigen Key zu kommen. Aber das ist ja nur dafür da, wie du authentifiziert wirst gegenüber der Webseite. Die Verschlüsselung der Daten die übertragen werden, wird weiterhin bei TLS sein und natürlich ist das Ende zu Ende. Warum sollte TLS 1.2 oder neuer nicht sicher sein?
Um zukünftig ein Public-Key Verfahren nutzen zu können bei einer Webseite brauche ich doch keinen SecureElements Prozessor oder wie du das nennst. Mir geht es erst einmal um das Verfahren und nicht um die Unterstützung für irgendeinen Fido-Hardware Token.
senf.dazu schrieb:
Die Sicherung von Passwortdatenbanken ist aber oft genug offenbar nicht sicher umgesetzt - und es existieren deswegen umfangreiche Listen von Paßworten die die Bösewichte im Internet veröffentlicht haben.
Zum Vergrößern anklicken....
Die Listen existieren primär weil Webseiten eben Passwörter im Klartext oder mit einem unzureichendem Hash-Algorithmus (MD5, SHA1 etc. dann noch ohne Salt) abgelegt haben. Passwortmanager anzugreifen wäre viel ineffizienter. Die gängigen Passwortmanager sind alle gut implementiert und mir ist jetzt keine größere Lücke bekannt über die Passwörter abgegriffen worden sind. Natürlich kann ein anderer Prozess auf eine entschlüsselte Datenbank zugreifen wenn die im Speicher liegt, aber wenn die Keys zukünftig eben nicht in der SecureEnclave liegen sondern irgendwo im Filesystem (sonst könnten sie ja nicht in der Cloud gesichert werden), dann kann ein Angreifer auch auf diese Keys zugreifen wenn er das OS kontrolliert. Durch die PIN / Passphrase (ist das selbe, synonym) sind diese eben verschlüsselt.
 
Maike23 schrieb:
da mache ich lieber unbequem weiter mit Keepass und meinen 26 Zeichen Passwort ...
Zum Vergrößern anklicken....
Maike23 schrieb:
Kann natürlich auch die holde Gattin sein während man schläft ...
Zum Vergrößern anklicken....
ich habe es mal umgestellt ... und es stimmt natürlich immer noch, deine Passwortliste bzw. -datenbank könnte ebenfalls eine garstige Mitbewohnerin mausen.

Ansonsten hast Du natürlich recht, die Diebe werden ihre Angriffsvektoren ganz schnell umstellen.

Scheinbar herrscht hier einiges Mißverständnis bzgl. der Funktion/Sicherheit solcher Verfahren. Eigentlich machen FIDO/Passkey erst einmal nichts anderes, als für einen (nach heutigen Maßstäben) sicheren Transport der User-Identifikation durchs Internet zum Dienst/Anbieter zu sorgen.

Schwachpunkte bleiben dabei einerseits die fehlerfreie (!), vertrauenswürdige Identifikation des echten Nutzers und zwar auf mehreren verschiedensten Geräten und Platformen und andererseits die zu erwartende hohe Verschränkung mit Deiner kompletten digitalen Identität.

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.
 
Zuletzt bearbeitet:
Web-Schecki schrieb:
Zu FIDO kann ich konkret nichts sagen, aber die Aussage, dass es sich einfach nur um automatisch generierte, zufällige und automatisch verwaltete Passwörter handele, ist schlicht nicht korrekt.
Zum Vergrößern anklicken....
Das ist schon klar, aber für den Endanwender verhält es sich so. Das war die Intention hinter der Aussage. Bis heute benutzt kaum jemand S/MIME oder PGP und wenn ich meiner Mutter erkläre wie das funktioniert und was ein public und private Key ist, da steigt die aus. Und genau hier soll das jetzt ansetzen um public-key Verfahren für die Masse nutzbar zu machen. So habe ich zumindest die Idee verstanden.
 
Maike23 schrieb:
Demnächst schleiche ich durch dunkel Gassen, sorge für Bewusstlosigkeit ( Linker Haken, Knüppel, Alkoholm KO Tropfen .... oder einfach mein Anblick ) und entsperre mit den "Smartphone" und dem Finger des Opfers das Gerät. Kann natürlich auch die holde Gattin sein während man schläft ...
Zum Vergrößern anklicken....
Ich ertappte mich auch schon mehrmals bei dem Denkfehler "ja, aber wenn ich dann das Hardware-Token verliere?". Das stimmt, aber das macht das Verfahren ja auch (erst) sicher. Der Recovery-Key ist dann die letzte Rettung.

Ich bleibe aber auch vorerst/weiterhin bei Keypass - und gebe den Master Key auch jedes Mal schön brav auf dem iPhone ein (bei 30 sec timeout Zeit). Ich hatte früher leider zu häufig meine Schlüssel verloren. ;)
 
Man braucht also auf jeden Fall einen Fingerabdruckscanner oder ein Smartphone mit Fingerabdruckscanner und Bluetooth am Desktop PC?
 
Falc410 schrieb:
Und genau hier soll das jetzt ansetzen um public-key Verfahren für die Masse nutzbar zu machen. So habe ich zumindest die Idee verstanden.
Zum Vergrößern anklicken....
Klar, und wenn das am Ende zufriedenstellend funktioniert, dann wäre das doch super! Hängt natürlich von der tatsächlichen Umsetzung ab und was die ganzen Unternehmen, die beteiligt sind, für eigene Interessen verfolgen. Dazu kann ich nichts sagen und Kritik daran ist möglicherweise berechtigt.
 
  • Gefällt mir
Reaktionen: Falc410
Web-Schecki schrieb:
Mit einer ordentlichen asymmetrischen Verschlüsselung als Authentisierungsmethode musst du nur noch deine private keys hüten, was deutlich einfacher ist (nur jemand, der dir Böses will, wird dich je danach fragen) und zudem vollständig in deinen Verantwortungsbereich fällt, womit deine eigene Kompetenz entscheidend ist. Deshalb sind solche Systeme aktuell der Goldstandard.
Zum Vergrößern anklicken....
Guter Punkt: Social Hacking wird dadurch m. E. deutlich(st) erschwert, auch - oder gerade weil - die "Safesschlüssel"-Metapher viel nachvollziehbarer ist
 
Was spricht denn gegen das aktuelle 2FA-Verfahren mit Authenticator App, das Paypal nutzt? Oder soll das einfach nur den ersten Faktor ersetzen?
 
Turrican101 schrieb:
Oder soll das einfach nur den ersten Faktor ersetzen?
Zum Vergrößern anklicken....
Siehe die Ausführung von Web-Schecki.

In Kurzform:
  • ein Hack der Serverseite wird aus Sicht des Nutzers - so er denn den Recovery-Key schön aufbewahrt hat - sicherheitstechnisch eine Anekdote
  • die Generierung/Erfassung des zweiten Faktors wird ersetzt durch einen anderen "Faktor", welcher das lokale (meint nur in der CPU/TPM oder einem vergleichbaren "Sicherheitschip") Auslesen des privaten Schlüssels freigibt.
    Damit kann dann z.B. eine Signatur-basierte Authentifizierung gegen den Service erfolgen (der Service kann dann mit dem ihm bekannten public key den Hash der Signatur verifizieren). Aus Sicht der Benutzeraktion gibt es dann wieder "nur" einen wahrnehmbaren Faktor.
Jetzt muss "man" "nur" noch an sichere Hardware "glauben". Wobei ich dazu tendiere, das zu tun (zumindest für Apples Secure Enclave).
 
frazzlerunning schrieb:
Und wenn jemand zwei deiner Abweichungen für zwei Konten erkennt, kann er auch alle anderen erraten. Super.
Zum Vergrößern anklicken....
Wenn jemand schon an 2 unterschiedliche Passwörter gelangt ist, dann hat man an einer anderen Stelle ein viel größeres Problem.
 
SI Sun schrieb:
Ich soll also einem Verfahren blind vertrauen, welches ich gar nicht verstehe?
Zum Vergrößern anklicken....
No Offense aber du weißt heute auch nicht bei deiner Gegenseite welche Sicherungesmaßnahmen oder eben nicht genutzt werden. Wie werden die Passwörter gespeichert?! Klartext, MD5, Hash mit Salt.?!

Du vertraust aber aktuell allen Anbietern bei denen du ein Konto hast auch blind, das diese optimale Sicherungsmaßnahmen anwenden, was die wenigsten tun.
 
  • Gefällt mir
Reaktionen: Falc410 und ComputerJunge
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

matze787
Microsoft - Einrichtung eines Passkeys? (Mac OS)
Antworten
6
Aufrufe
829
matze787
matze787
M
News Passkeys: Google läutet die Zukunft ohne Passwörter ein
15 16 17
Antworten
320
Aufrufe
38.147
taucher65
T
K
Schutzkonzept für E-Mails, Passwörter usw
Antworten
3
Aufrufe
1.899
Knuddelbearli
K
R
PayPal Passwort geknackt
2
Antworten
27
Aufrufe
4.121
smuper
S
Fragesteller
Netzbetreiber sollen IP-Adressen und Passwörter herausgeben
Antworten
11
Aufrufe
2.188
Fragesteller
Fragesteller
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz