News PayPal: Passkeys sollen Passwörter ersetzen

Wird höchste Eisenbahn. PayPal Konten sind seit 3DSecure Zwang nun die "neuen" Kreditkarten im Darknet. Man ist als Onlinehändler schon geneigt, Kunden mit VPN nur noch sichere Zahlarten anzuzeigen, um sich den Stress zu ersparen.
 
Ich bevorzuge passwort + 2step Code
 
  • Gefällt mir
Reaktionen: Heinrich Bhaal, polyphase und sebish
SI Sun schrieb:
@MadCat[me]
Äpfel und Birnen, wie man hier so oft sagt.
GPS Daten können sich nicht in meine wichtigen Banking oder Shopping Accounts anmelden. GPS Daten können auch meine Katzenbilder und Hamstervideos nicht entschlüsseln.
GPS Daten stützen z.B. mein Navi und als Gegenleistung gibt man sein Bewegungsprofil zur Verbesserung der GPS Funktionen.
Das Prinzip ist also verständlich.

Bei Passwörtern ist es aber ein völlig anderes Thema.

Manipulierte GPS-Signale (GPS Spoofing) können im schlimmsten Fall Flugzeuge abstürzen lassen, zu Schiffskollisionen führen usw. Ist das Prinzip so verständlich? Kannst Du es ohne Wikipedia erklären?

Außerdem habe ich absichtlich auch TLS angeführt, was Du schön ignoriert hast. TLS ist beim Online-Banking genauso wichtig wie Dein Passwort, ansonsten würde letzteres nämlich unverschlüsselt übertragen oder Dir könnte jemand vorgaukeln Deine Bank zu sein.

TLS benutzt übrigens genauso zur Verifikation der Server-Identität asymmetrische Verschlüsselung mit einem Public-Private-Key-Verfahren, wie FIDO Pass Keys ...

SI Sun schrieb:
Viel wichtiger ist aber:

Warum sollte man Apple, Google und Microsoft vertrauen? Unternehmen, die ihr Geld mit meinen Daten verdienen? Und anderem auch durch das Sammeln von Daten, selbst wenn es gesetzlich verboten ist.

Von einem leichteren und sichereren Authentifizierungsverfahren haben alle etwas. Was meinst Du, wie viel Geschiss die og. Unternehmen jeden Tag wegen geklauten Accounts etc. haben? Das kostet alles Geld, viel Geld. Wenn FIDO Pass Keys das auch nur um fünf oder zehn Prozent verringern könnten, sparen die sich Millionen. Da braucht's keine finstere Motivation, die Du ihnen unterstellst.
 
koech schrieb:
ich habe es mal umgestellt ... und es stimmt natürlich immer noch, deine Passwortliste bzw. -datenbank könnte ebenfalls eine garstige Mitbewohnerin mausen.
Nur kann sie mit der Kepass-Datenbank wenig anfangen ohne das Hauptpasswort.

Meinen Fingerabdruck kann man im Schlaf oder Rausch oder eben von einem Glas oder einem Glas auf einem Foto bekommen ( CCC hat es demonstriert )

Der Reiz an einen 2FA ist ja: Etwas was man hat und etwas was man weiß (!).
Beim Passkey brauche ich nichts Wissen ... nur 2 Dinge haben: Gerät und Daumenabdruck.
 
  • Gefällt mir
Reaktionen: polyphase
HansDetflefAndi schrieb:
Firefox mit Kee zum KeePass is the way. Datenbank ist klein genug (+/-100kb) um diese 1x im Monat
D.h. Du hast eine lokale KeePass Datenbank auf deinem PC.
Wie machst du das dann auf deinem Mobilgerät und wie syncst du alles?

Und dann versendest du deine Datenbank jeden Monat per Mail an dich selbst?
 
Hmmm... wird der Passkey in einer lokalen Datei gespeichert? Und wenn ich mir einen fiesen Virus einfange, dann kann der Angreifer mit dem Passkey nach Lust und Laune auf mein PayPal Konto zugreifen? Oder was ist, wenn die Festplatte/SSD (ohne Backup) von uns/mir geht?

Oder was ist denn, wenn ich den Passkey mitnehmen will, dann muss ich den ja zwangsweise auf einem USB-Stick speichern oder mir selbst mailen, wodurch doch dann auch wieder erhebliche Sicherheitsrisiken entstehen.

Also ich weiß ja nicht... ich glaube ich bleibe lieber beim Passwort.
 
Falc410 schrieb:
Dann hoffe ich für dich, dass du nicht in der IT-Sicherheit arbeitest mit diesen Augen

Danke, ich für dich, dass dir niemals im Urlaub oder sonst wann irgendeines deiner Passkey Geräte abhanden kommt und auch, dass du niemals irgendwas auch nur geringst strafrechtlich relevantes auf irgendeinem deiner Accounts hast auf die du mit Passkey zugreifst.

Wenn's nämlich mal wirklich drauf ankommt siehst du ansonsten ziemlich alt aus und wünschst dir sehr schnell deinen Schlüssel für die Tür wieder.
 
@UNDERESTIMATED Dir steht es doch frei, genau wie bei einem physischen Schlüssel, so viele Sicherheitskopien anzufertigen wie du möchtest - und die auch zu speichern wo du möchtest. Die Passwörter in meinem Passwort Safe kenne ich auch nicht. Und da ich erst am WE das Handy gewechselt habe, musste ich feststellen, dass man beim Google Authenticator auch die 2FA Seeds auf ein weiteres Gerät kopieren kann ohne die alten löschen zu müssen. Ist halt immer eine Frage der Sicherheit - genau wie bei deinem Hausschlüssel. Wenn du ein Backup an einem Ort versteckst, solltest du dafür Sorgen, dass es sicher ist und nicht unter Fussmatte verstecken.
Ich nutze seit Jahren schon Passkeys beruflich, gerade für Cloud Dienste. Wen mein Arbeitsgerät weg ist, hätte ich immer noch ein verschlüsseltes Backup. Wenn jemand mein Backup entschlüsselt dann könnte er sich auch daran machen die Keys zu entschlüsseln natürlich. Also in jedem Fall ist eine sichere Aufbewahrung Pflicht aber ein Geräteverlust ist nicht automatisch ein Verlust von allen Zugangsdaten.
 
Das man nahezu jeden Schutz relativ leicht umgehen kann, wenn man physikalischen Zugriff hat , da sist hier dneke ich gar nicht das Thema, sondern eher , dass man hier das simple Abgreifen via Phishing erschwert oder gar verhindert. Klar kann man das Ganze sicher optimieren, aber es ist ein Schritt in die richtige Richtung. Wobei meistens gar nichts gehackt wird etc. sondenr man schlict auf Phishing reinfiel .
 
Muss für mich persönlich ja nicht unbedingt interessant sein, wenn dies für die breite Masse deutlich bessere Sicherheit darstellt.

Allerdings bleibe ich lieber beim Passwortmanager, der Bitwarden in meinem Fall ist. Dieser ist nämlich entkoppelt von Microsoft, Google, Apple, und co. und eben das ist auch gut so.

Hab ja gerade erst bei der frischen Windows 11 Installation sichergestellt, dass ich nur nen lokalen Account hab (was mittlerweile nicht mehr ohne Weiteres geht). Ich möchte mich ja gar nicht als MS Account XYZ anmelden. Aber entsprechend könnte ich wahrscheinlich auch keinen Passkey nutzen, bzw. renne in Probleme wenn ich vom PC meiner Eltern aus auf mein PayPal zugreifen möchte.

Wie würde das dann überhaupt mit Linux aussehen, wo eben kein so ein Online-Konto à la Apple ID erzwungen wird?

Wie autorisiere ich Zugriff Geräte mit anderem OS im Allgemeinen? Ich richte für mich PayPal Keypass am Windows Desktop PC ein und was dann, wenn ich mich z.B. mitm MacBook bei PayPal verbinden möchte? Muss ich dann meinen Win Desktop PC am laufen haben und den Zugriff erstmal verifizieren oder wie? Dass das nen Problem darstellen kann, wenn dieser eben nicht gerade in der Nähe ist, sollte klar sein.

Von daher scheint mir der Komfort für Casual aber auch Power User möglichweise gar nicht so hoch zu sein. Wenn ich mir vorstelle ich müsste jetzt bei jedem meiner Online Accounts für MS, Apple und Google jeweils die Passkeys einrichten... und dann am besten noch pro Gerät, hui...
 
Hach ja. Enpass + OTP + Nextcloud Sync. Reicht mir erstmal noch eine Weile. Für mich ausreichend sicher, da ich selbst Server und Clients verwalte :)
 
  • Gefällt mir
Reaktionen: Donnerkind
und wenn ich den passkey zu hause auf meinem PC gespeichert habe aber auf der arbeit was überweisen möchte? was dann? kann ich mich nicht mehr einloggen?
 
Ist sichergestellt oder gar nicht schon eingetreten, dass Apple nicht auch aus dem Thema einen exklusiven goldenen Käfig baut und dann nach der EU-Kommission geweint werden muss?
 
Mm klingt ein bisschen wie bei Discord. Wenn ich mich am PC neu anmelden muss, kann ich mit der App (im angemeldeten Zustand) einen QR Code scannen und werde am PC angemeldet.

Nur so halt “universeller”.

Vorerst bleibe ich dann doch bei Keepass und Strongbox.
Da kann ich auch meine SSH Keys hinterlegen und mit mobaxterm nutzen.
 
Mein Bruder schreibt sich seine vielen 8-10 stelligen Passwörter seit Jahren immer in ein kleines Notizbüchlein ein und verwahrt es in einem Safe, ist auch eine Möglichkeit, leider auch nicht 100% sicher.

Bin gespannt wie das mit Paypal und dem neuen Passwort (Key)-System in Deutschland/Österreich/Schweiz angenommen wird, aber solange es besseren Schutz vor (Internet) Betrügern bietet ist es natürlich positiv und prinzipiell eine gute Sache.
 
DonDonat schrieb:
Klingt nach einem sinnvollen extra Verfahren zu normalen Passwörtern.
Würde meinen Private-Key lokal aber wohl nicht mit Biometrie sichern, dann lieber ein neues Passwort merken, ist sicherer und einfacher zu ändern als Fingerabdrücke ;)
Japp. Kein Feund von Biometrie. Weder will ich die Daten speichern noch mich zum Schlüssel machen.


Bei Überfall und Raub wird sich einbürgern, dass das Opfer Finger oder Gesicht hinhält. Grenzbehörden (und Kinder) machen das leider auch, weil Biometrie es leicht macht.

http://news.bbc.co.uk/2/hi/asia-pacific/4396831.stm

Kriminelle lernen leider schnell. Finger ab und Auto weg.
 
Ich bin da skeptisch. Ich hoffe es wird dann auch möglich sein ohne den drei großen Anbietern sich selbst ein lokale Schlüsselcloud mit KeePass usw. anzulegen, ohne es im OS zu speichern.
Von der Idee klingt es ganz nett, aber wer garantiert mir das Regierungen oder andere Firmen nicht meine privaten Schlüssel aus der Cloud oder aus dem OS für ihre zwecke nutzen? Niemand und da das alles US Unternehmen sind sind diese sowieso dazu verpflichtet alles offen zulegen, wenn die Regierung es will.

Ich hoffe es wird noch lange möglich sein Passwörter zu verwenden bis alternativen die unabhängig von den drei großen Firmen funktionieren. Sowas wie KeePass oder so.
 
Wehe dem, der sen Handy verliert/liegen lässt oder gestohlen wird. Oder wenn eine Sicherheitslücke ausgenutzt wird, weil der Hersteller keine Updates anbietet (oder nur sehr stark verzögert). Bei iOS sehe ich deutlich weniger Probleme als bei Android (mit Ausnahme von google selbst, aber der Supportzeitraum ist hier dann ein Witz gegenüber Apple)
 
Zurück
Oben