ComputerBase Menü
Aktuelles

News PayPal: Passkeys sollen Passwörter ersetzen

Ich finde das Prinzip (so wie ich es verstehe) sehr gut. Eigentlich ja das bekannte Private/Public Key verfahren, welches man ja bereits von SSH kennt.

Nur hoffe ich, dass es auch abseits von Apple, Microsoft oder Google möglich ist die Daten zu übertragen. Aktuell nutze ich auch Bitwarden, was sehr gut in alle genutzen Systeme eingebunden ist.
 
Wie es scheint führen hier einige Religionskriege um diesen Scheiß zu verteidigen.

Ich will weder eine APP auf dem Handy haben, noch irgendetwas in der Cloud, irgendwelche beschießene Dienste, die alles mit loggen und gebündelt nach Hause schicken, noch das ein OS automatisch im Hintergrund durchführt, ohne das ich die Kontrolle darüber habe. Am meisten nach dem beschießenen Windows 10 und 11.

Der Witz ist ja, dass wenn man Kinder hat, könnten die bei 5 minutiger Abwesenheit am PC alles mögliche bestellen, weil die Bestellschranke, das Passwort eingeben zu müssen als Hürde wegfällt.

Kurz, mit dem System wird dem Gerät vertraut und nicht mehr dem Benutzer davor, der wird dadurch beliebig, nachdem es einmalig eingerichtet wurde. Einmal Login beschafft oder den User zum ausführen von Schadecode gebracht, kann man das als Hacker für seine Zwecke missbrauchen ;)
 
Heinrich Bhaal schrieb:
Der Witz ist ja, dass wenn man Kinder hat, könnten die bei 5 minutiger Abwesenheit am PC alles mögliche bestellen, weil
Zum Vergrößern anklicken....
...du selber nicht in der Lage warst den Rechner entsprechend zu sperren?
 
  • Gefällt mir
Reaktionen: M-X
Heinrich Bhaal schrieb:
Der Witz ist ja, dass wenn man Kinder hat, könnten die bei 5 minutiger Abwesenheit am PC alles mögliche bestellen, weil die Bestellschranke, das Passwort eingeben zu müssen als Hürde wegfällt.
Zum Vergrößern anklicken....
Private keys werden normalerweise lokal verschlüsselt gespeichert und sind nur mit Passwort ("Passphrase") entschlüsselbar.
Heinrich Bhaal schrieb:
Kurz, mit dem System wird dem Gerät vertraut und nicht mehr dem Benutzer davor, der wird dadurch beliebig, nachdem es einmalig eingerichtet wurde.
Zum Vergrößern anklicken....
Dafür gibt es je nach Verfahren extra hardware, sodass du nicht deinem Gerät vertrauen musst, so wie ich das verstehe.
Deinem Gerät musst du natürlich auch bei klassischen Passwort-Authentisierungsverfahren vertrauen. Keylogger drauf und dein Zugang ist weg. Bei einer guten Implementierung eines asymmetrischen Verschlüsselungsverfahren gibt es Methoden, um die Schlüssel besser zu sichern, z.B. über externe Hardware oder allein über Mechanismen auf OS-Ebene, die schon mal userspace-Schadcode aussperren können. Fakt ist natürlich: Wenn eine Maschine kompromittiert wurde, dann sind auch alle Schlüssel, mit denen dort hantiert wurde, gewissermaßen verbrannt. Genau wie alle Passwörter, die dort gespeichert sind oder damit eingegeben wurden.

Im Detail kann es Kritik an diesen System geben, das Konzept ist und bleibt aber Goldstandard.
 
Ich verstehe Passkeys ebenfalls nicht.

Völlig realistisches und gar nicht mal so selten auftretendes Problem in der heutigen Zeit:

  • Nehmen wir an, ich habe ein iPhone und habe überall Accounts mit Passkeys
  • Die Schlüssel liegen also auf meinem iPhone. Ggf. netterweise von Apple noch in der Cloud, damit sie auf anderen Apple-Geräten verfügbar sind
  • Jetzt geht mein iPhone kaputt, ich verliere es, ich vergesse es zuhause, es wird mir geklaut, der Akku ist leer und ich bin unterwegs
  • Ich muss nun aber dringend noch eine Zahlung per PayPal tätigen (oder was auch immer)
  • meine Partnerin / mein Partner hat nun ein Android Smartphone
  • wie zum Henker kann ich mich nun bei PayPal einloggen???
--> Es gibt weiterhin ein Backup-Passwort? Das würde Passkeys völlig ad absurdum führen
--> Ich kann den ellenlangen Schlüssel manuell eingeben? Den kann sich kein Mensch auswendig merken, erst recht nicht für alle Dienste, d.h. wo hab ich diesen Schlüssel? Ausgedrückt zuhause im Safe? Nützt mir dann ja nichts. Oder speichere ich mir diesen Schlüssel bei einem Password-Manager-Dienst? Wie logg ich mich da ein ohne Passkeys? Die verwenden vielleicht glücklicherweise weiterhin normale Passwörter? Super, aber wofür hab ich dann Passkeys benötigt? Dann kann ich ja auch weiterhin einen Password-Manager verwenden und für die Dienste sehr sichere Passwörter verwenden
--> Ich kann ein neuen Passkey erstellen? Wohlmöglich wie "Passwort vergessen" per E-Mail? Super, da kann ich mich aber ja auch nicht mehr einloggen, weil ich ja den Passkey nicht auf dem Gerät meiner Partnerin habe. Und würde ich es doch irgendwie hinbekommen, könnte sie sich danach von ihrem Gerät stets bei meinem Account einloggen?

Das ganze würde doch nur funktionieren, wenn die Daten in der Cloud gespeichert werden und per Browser auch zugreifbar, sodass man sich wie bei meinem Password-Manager den Key auch herauskopieren kann und manuell beim Login eingeben kann. Nur so ist es möglich, dass ich mich auch mal von anderen Geräten einloggen kann, was in der Praxis nun mal gar nicht so selten bei unzähligen Menschen vorkommt.

Ebenso ist es heutzutage nicht selten, dass man verschiedenste Plattformen parallel nutzt. Ich verwende sowohl iOS, Android als auch Windows zurzeit. Also drei Plattformen, die keine gemeinsame Cloud haben um Passkeys zu synchronisieren.
 
  • Gefällt mir
Reaktionen: IHEA1234
Magellan schrieb:
Im Prinzip sind die Nachteile doch 1 zu 1 die selben wie bei einem Passwortmanager. Der Unterschied ist vereinfacht gesagt nur noch dass ich die Private Keys nicht selbst aussuche und diese das Gerät nie verlassen.

Unmengen einzigartiger und möglichst komplexer Passwörter einfach merken ist halt nicht praktikabel.
Zum Vergrößern anklicken....
Naja. Wenn ich mich z.B. auf der Arbeit, bei meinen Eltern / Freunden / im Vereinsheim am PC / wherever mal in einen privaten Account einloggen will, kann ich (wenn auch etwas nervig) das PW vom PW-Manager am Handy abtippen und gut ist. Das geht mit Passkeys nicht mehr.
 
@Sascha L Ich weiß jetzt auch nur das was ich bisher zu dem Thema gelesen habe, imho musst du dich dann auf einem anderen Gerät mit deiner Apple-ID anmelden und kannst dann das nutzen.

@Autokiller677
Auch dafür gibt es eine Lösung:

Auf einem anderen Gerät mit einem Passkey anmelden, der auf deinem iPhone gesichert ist

Dein iPhone speichert den Passkey im iCloud-Schlüsselbund. Dadurch wird er automatisch verwendet, wenn du auf einem anderen Gerät mit deiner Apple-ID angemeldet bist (iOS 16 oder tvOS 16 erforderlich).

Aber auch dann, wenn du ein Gerät verwendest, das nicht mit deiner Apple-ID verknüpft ist, kannst du beim Anmelden bei einem Account den Passkey verwenden, der auf deinem iPhone gesichert ist. Die Anmeldung umfasst für gewöhnlich die folgenden Schritte:

- Öffne den Anmeldebildschirm für den Account auf dem anderen Gerät.
- Tippe auf dem Anmeldebildschirm auf das Eingabefeld für den Accountnamen.
- Tippe auf „Weitere Optionen” und dann auf „Passkey von einem Gerät in der Nähe“ (oder ähnlich) und befolge die angezeigten Anleitungen, um einen QR-Code auf dem Bildschirm anzuzeigen.
- Verwende die Kamera des iPhone, um den QR-Code zu scannen.
Zum Vergrößern anklicken....
https://support.apple.com/de-de/guide/iphone/iphf538ea8d0/ios
 
Na dann bin ich mal gespannt. Könnte glatt die erst alltagstaugliche Lösung im Bereich FIDO / Yubikeys und co. werden. Dafür müssen dann aber auch alle Anbieter diese Zusatzmöglichkeiten implementieren. Mal schauen.
 
Autokiller677 schrieb:
Das geht mit Passkeys nicht mehr.
Zum Vergrößern anklicken....
Laut Video kann man angeben, dass auf Öffentlichen Computern die Zugänge nicht gespeichert werden. So sollte das kein Problem sein.
Da für jedes Gerät ein eigener Passkey erstellt wird, kann dieser auch einfach gesperrt werden. Dies geht bei einem Passwort nicht, außer man legt für jeden Zugang ein PW an.
 
nkler schrieb:
Laut Video kann man angeben, dass auf Öffentlichen Computern die Zugänge nicht gespeichert werden. So sollte das kein Problem sein.
Zum Vergrößern anklicken....
Das hat mit dem Grundproblem "Wie bekomme ich überhaupt einen Key auf den öffentlichen PC" aber erstmal nix zu tun.
Da braucht es eine Lösung wie die von Apple, die @Magellan zitiert hat. Hoffentlich bekommen auch Google und vor allem MS sowas hin...

Auch die Frage des Restores nach Totalverlust ist interessant. Backups des PW Managers und Backup-Codes / Seeds für 2FA habe ich an mehreren Orten hinterlegt - sowohl digital als auch ausgedruckt. Wenn ich also z.B. auf einer Reise überfallen werde und dann alle Geräte (Smartphone, Tablet, Laptop) weg sind, komme ich trotzdem an meine Accounts ran.

Was passiert bei Passkeys, wenn ich den Zugang zu allen registrierten Geräten verliere? Müssen meine Backups in Zukunft dann billige Smartphones sein? Kann ich die Keys als Klartext exportieren und ausdrucken (wäre eigentlich mein Favorit, um ein Fallback zu haben, was nicht von Technologie abhängig ist)?

Die FAQs (https://fidoalliance.org/passkeys/#faq) sagen dazu nix. Bevor aber nicht klar ist, wie Disaster Recovery und co. alltagstauglich (und - wenn ich es anderen empfehlen soll - auch für DAUs) möglich ist, wird das halt nix.
 
Zuletzt bearbeitet:
Heinrich Bhaal schrieb:
Der Witz ist ja, dass wenn man Kinder hat, könnten die bei 5 minutiger Abwesenheit am PC alles mögliche bestellen, weil die Bestellschranke, das Passwort eingeben zu müssen als Hürde wegfällt.
Zum Vergrößern anklicken....

Das ist doch Quatsch. Das Risiko hast Du heute ja schon, wenn Du dich von einer angemeldeten Webseite nicht abmeldest. Bei diesem Verfahren kannst du dich genau so von der Webseite abmelden wie schon immer. Wenn Du dann wieder rein willst braucht es den Finger, das Gesicht oder was auch immer zur Identifizierung. Aber wie @kicos018 schon gesagt hat, wie wärs mit Sperren? Wenn man so durchs Leben geht, dann bestehen die Lücken potenziell (wohl auch praktisch) schon heute zu genüge. Nicht ausloggen, Session-Cookies nicht löschen, Kinder am Eltern-PC tun und machen lassen (zumindest ein eigener Benutzer wäre ja kein Problem, wenn es kein eigener PC sein soll), da ist man doch selber Schuld nicht?
 
Autokiller677 schrieb:
Die FAQs (https://fidoalliance.org/passkeys/#faq) sind da noch sehr dünn. Bevor aber nicht klar ist, wie Disaster Recovery und co. alltagstauglich (und - wenn ich es anderen empfehlen soll - auch für DAUs) möglich ist, wird das halt nix.
Zum Vergrößern anklicken....
https://passkeys.dev - Hier gibt es noch ein bisschen mehr Informationen aber solange es noch keinen vernünftigen Linux Support gibt, ist es für mich eh uninteressant.
 
  • Gefällt mir
Reaktionen: Autokiller677 und Falc410
Danke für den Link. Interessant ist ja vor Allem der Device Support https://passkeys.dev/device-support/

Passkeys created in iOS or iPadOS can be used on:

Passkeys created on Android can be used on:

Passkeys created in macOS can be used on:

  • MacBooks using the same Apple ID and iCloud Keychain (synced automatically)
  • iPhones and iPads using the same Apple ID and iCloud Keychain (synced automatically)
Single-device passkeys created in Windows can be used on:

  • the same Windows device that created them
Zum Vergrößern anklicken....
Damit ist das erst einmal nicht interessant für mich. Ich möchte nicht alle Key an einem Mobilen Gerät erstellen müssen, da ich die meiste Zeit doch immer noch an einem PC oder Macbook arbeite. Und von dort bekommt man die nicht runter. Und selbst wenn ich die auf dem iPhone erstelle kann ich sie in Windows nur noch in Edge und Chrome aber nicht FF verwenden. Tja, leider uninteressant für mich. Ich hatte gehofft, ich kann die Keys selbst verwalten / syncen. So ähnlich wie mein Elster Zertifikat welches ich zum einloggen nutze.
 
testwurst200 schrieb:
Ich kann mich generell mit solchen Passwort Manager nicht anfreunden.
Ich habe ein Standard Passwort welches immer eine kleine Abweichungen enthält.
So kann ich mir für alles die Passwörter merken.
Ja auch nicht der heilige Gral mit seinen Schwächen aber so finde ich es besser :)
Zum Vergrößern anklicken....
Ich habe bei mir vier verschiedene, die dann je nach Art des Dienstes / der Plattform gegliedert sind und jeweils eine kleine Änderung darin erfahren, so dass ich mir diese alle merken kann. Jedes hat auch eine ordentliche Länge und ist alphanumerisch mit Groß-/Kleinschreibung und Sonderzeichen versehen.

@Topic: Grundsätzlich finde ich neuere, sichere Methoden schon super. Ein Freund von mir wird dauernd mit seinen verschiedenen Diensten (Apple, Facebook, Netflix, etc.) gehackt, obwohl er angeblich auch Passwörter dergleichen wie ich verwendet. Irgendwo hat er bei sich eine Schwachstelle, die entweder wirklich da ist oder auf OSI Layer 8 liegt. Er ist zwar E/E Ingenieur, aber beim Thema PC und Software oft absolut blank.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: testwurst200
kicos018 schrieb:
...du selber nicht in der Lage warst den Rechner entsprechend zu sperren?
Zum Vergrößern anklicken....
Sperrst du den Rechner privat Zuhause bei jedem aufstehen?
Und was ist, wenn die Datei auf dem Rechner abgelegt ist und es User unabhängig funktioniert?
Web-Schecki schrieb:
Im Detail kann es Kritik an diesen System geben, das Konzept ist und bleibt aber Goldstandard.
Zum Vergrößern anklicken....
Extra Hardware wurde im Video nicht gezeigt. Aber mit dem Rest hast du Recht.
machiavelli1986 schrieb:
Nicht ausloggen, Session-Cookies nicht löschen, Kinder am Eltern-PC tun und machen lassen (zumindest ein eigener Benutzer wäre ja kein Problem, wenn es kein eigener PC sein soll), da ist man doch selber Schuld nicht?
Zum Vergrößern anklicken....
Ich logge mich immer aus, aber die Funktion soll ja das einloggen ohne Passworteingabe ermöglichen ;)
 
  • Gefällt mir
Reaktionen: Fuchiii
Seh hier nix sinnvolles für mich. AM PC brauch ich den Krempel nicht, da organisier ich meine Passwörter mit Keepass.

Und aufs Handy kommen mir solche grundlegenden Befugnisse sicher nicht drauf - da ist der Großteil mittels Fingerprint gesichert.
 
Interessant wäre, wie das unter Windows läuft. Ich verwende Paypal nicht am Handy.
 
Heinrich Bhaal schrieb:
Sperrst du den Rechner privat Zuhause bei jedem aufstehen?
Zum Vergrößern anklicken....
Wenn das Risiko besteht, dass jemand anders damit Mist macht? Ja.

Heinrich Bhaal schrieb:
Und was ist, wenn die Datei auf dem Rechner abgelegt ist und es User unabhängig funktioniert?
Zum Vergrößern anklicken....
Es gibt keine Datei, die irgendwo einfach abgelegt wird (s.u.). Und User-Management ist auch drin, sonst wären ja gemeinsam genutzte Geräte gar nicht sinnvoll möglich. Du kommst nicht einfach mal kurz an die Keys der anderen User.

Heinrich Bhaal schrieb:
Extra Hardware wurde im Video nicht gezeigt. Aber mit dem Rest hast du Recht.
Zum Vergrößern anklicken....
Extra Hardware können Keys wie Yubikey sein. Aber auch im PC ist hier soweit ich es verstehe immer extra Hardware erforderlich, in Form eines TPMs - denn dort werden die Keys gespeichert, nicht einfach irgendwo in einer Datei auf der Platte.
Solche Funktionen dürften mit der Grund sein, warum MS TPMs mit Win11 zur Plicht gemacht hat. Apple verbaut das eh seit Jahren (heißt da halt SecureEnclave) und auch in der Android-Welt ist das mittlerweile quasi immer dabei.

Heinrich Bhaal schrieb:
Ich logge mich immer aus, aber die Funktion soll ja das einloggen ohne Passworteingabe ermöglichen ;)
Zum Vergrößern anklicken....
Die Funktion ermöglicht das Einloggen ohne ein dienstspezifisches Passwort. Die autorisierung des Users wird trotzdem geprüft - am Smartphone meist dann per Sperrcode / Fingerprint / FaceID. Unter Windows könnte ich mir vorstellen, dass man sein Login-PW nochmal eingeben muss (oder halt Biometrie, wenn vorhanden).

Der Plan ist nicht "oh, ein entsperretes Gerät, jetzt kann ich mich überall einloggen".
 
  • Gefällt mir
Reaktionen: machiavelli1986
frazzlerunning schrieb:
Der Witz am Passkey ist ja, dass das OS (über den Account) dem Dienst bestätigt, das der User vor dem Gerät auch der richtige ist.
Zum Vergrößern anklicken....
So ungefähr habe ich das auch verstanden. Nicht mehr ICH entscheide, wer Zugang zu meinem digitalen Leben hat, sondern eine Firma entscheidet das für mich. Meiner Meinung nach geht exakt darum: es geht nicht um Sicherheit für den ANWENDER und schon gar nicht um mehr Service für den Anwender.

Es geht um KONTROLLE des Anwenders. Das erfolgt in drei Schritten:
1. Hundert Prozentige Identitätsfeststellung wer was wann wo macht (Überwachung)
2. Verknüpfung aller Aktivitäten
3. Definition durch die Firmen/ den Staat, was man tun darf und was nicht

Bei einem Passwort kann ich zum Beispiel eben dieses einfach weitergeben. Bei einem Passwort kann ich selbst entscheiden, welche Zugangssoftware ich verwende. Bei einem Passwort kann ich selbst entscheiden, wann ich eben dieses ändere. Und so weiter.

Keine Frage: wenn man die Anwender 100% kontrolliert/ überwacht, dann erhält man als Kollateraleffekt natürlich (!) auch den Account-Schutz. Man nennt das auch das "China-Prinzip": hundertprozentige Kontrolle der Bürger erhöht die öffentliche Sicherheit und Ordnung.
Ergänzung ()

Heinrich Bhaal schrieb:
Kurz, mit dem System wird dem Gerät vertraut und nicht mehr dem Benutzer davor,
Zum Vergrößern anklicken....
Das ist nur vorübergehend. Die Zielrichtung ist ganz klar, dass auch jedes Login personifiziert wird. Stichwort Biometrische Sicherheitsmerkmale.
 
Geht's auch ne Nummer kleiner?

Die gleiche Argumentation könnte man sonst auch zu jedem Passwort-Manager führen. Da entscheidet dann auch die Firma / Person, die den macht, ob du darfst oder nicht. Hmm, Paypal? Das Passwort geb ich nicht mehr raus!

Es geht auch nicht um Identitätsfeststellung. Keiner verlangt den Perso dafür oder sonstwas. Du musst nur nochmal deine Berechtigung zum User-Account auf dem Gerät bestätigen, statt wie sonst die Berechitgung zum PW-Manager durch das Master-Passwort. Und den kannst du nach wie vor mit einem Pseudonym, extra E-Mail usw. anlegen, wenn dir danach ist.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

matze787
Microsoft - Einrichtung eines Passkeys? (Mac OS)
Antworten
6
Aufrufe
829
matze787
matze787
M
News Passkeys: Google läutet die Zukunft ohne Passwörter ein
15 16 17
Antworten
320
Aufrufe
38.127
taucher65
T
K
Schutzkonzept für E-Mails, Passwörter usw
Antworten
3
Aufrufe
1.899
Knuddelbearli
K
R
PayPal Passwort geknackt
2
Antworten
27
Aufrufe
4.121
smuper
S
Fragesteller
Netzbetreiber sollen IP-Adressen und Passwörter herausgeben
Antworten
11
Aufrufe
2.188
Fragesteller
Fragesteller
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz