News PayPal: Passkeys sollen Passwörter ersetzen

[dev/random]

Hmmm... wird der Passkey in einer lokalen Datei gespeichert? Und wenn ich mir einen fiesen Virus einfange, dann kann der Angreifer mit dem Passkey nach Lust und Laune auf mein PayPal Konto zugreifen?

Nein, die private keys sollen hierbei eben nicht in einer Datei zugreifbar sein, sondern nur in einem "sicheren Element" wie einem TPM oder Hardware-Token (yubikey) vorhanden sein.

Was passiert bei Passkeys, wenn ich den Zugang zu allen registrierten Geräten verliere? Müssen meine Backups in Zukunft dann billige Smartphones sein? Kann ich die Keys als Klartext exportieren und ausdrucken (wäre eigentlich mein Favorit, um ein Fallback zu haben, was nicht von Technologie abhängig ist)?

Die FAQs (https://fidoalliance.org/passkeys/#faq) sagen dazu nix.

Statt einem Backup des private key wird auf Redundanz gesetzt, also immer mindestens zwei Geräte mit passkeys einrichten. Dann führt der Verlust eines Geräts nicht zum Verlust des Zugangs. Die FAQ erwähnt übrigens, dass ein yubikey auch als Recovery-Zugang genutzt werden könnte, falls alle Geräte mit passkey verloren gehen.

Die single-device passkeys sind vergleichbar mit anderen private keys, die nur auf dedizierter Hardware leben (HSM, smartcard, ssh private key auf yubikey, ...). Durch fehlende key export Möglichkeiten steigt die Sicherheit, aber Backups sind nicht mehr möglich. In der Regel ist einfache oder doppelte Redundanz aber genauso zuverlässig wie ein key backup.
Das stimmt natürlich nicht für die multi-device passkeys die in die Cloud wandern können. Hier scheint Bequemlichkeit Vorrang vor Sicherheit zu haben.

 

[Autokiller677]

Muss ich dann jedes Mal, wenn ich einen neuen Passkey einrichte, meinen Yubikey aus dem Bankschließfach holen oder wo auch immer der dann ist? Das wäre nicht sehr praxistauglich... oder ist es für alle Dienste das gleiche Keypair, so dass ich das Backup nur einmal machen müsste?

 

[M-X]

Nein, die private keys sollen hierbei eben nicht in einer Datei zugreifbar sein, sondern nur in einem "sicheren Element" wie einem TPM oder Hardware-Token (yubikey) vorhanden sein.

Ist das gesichert (das dies nicht möglich sein wird) ? Das wäre ein riesen Drawback. Ich kann meine Keys selber mit meiner Software managen. (Geht ja bei SSH Keys auch) wenn der DAU das in einem vom OS zu Verfügung gestellten secure enclave speichern will kann er das ja machen, ich will aber selber die Kontrolle über meine Keys behalten.

 

[Autokiller677]

Die Lösung dafür sind dann Yubikeys o.ä.

Irgendwelche Dateien, die von Malware leicht manipuliert oder entwendet werden können sind halt eher suboptimal.

 

[M-X]

Ein unflexibles Hardware Device ist für mich keine Lösung. Wir werden sehen. Kann mir kaum vorstellen das man nicht an die Passkeys ran kommt.

 

[andy_m4]

Man kann natürlich pro Hardware-Device damit argumentieren das wenn mein Rechner infiziert wird zumindest mir nicht der Key geklaut.
Das Ding ist aber, dieses Hardware-Device hab ich ja nicht aus Jux&Dollerei, sondern will es irgendwann ja auch mal benutzen. Ich will mich damit in mein Online-Banking einloggen, mein Paypal verwalten, wasauchimmer. Wenn mein PC infiziert ist hat halt spätestens dann die Malware die Chance meine Sitzung zu übernehmen und da Schmu zu machen.

Ist also beileibe nicht so das infizierte Rechner jetzt plötzlich kein Problem mehr sind. Wenn es also dafür die Lösung sein soll, dann ist sie eher unvollständig. :-)

 

[dev/random]

Natürlich sind Hardware-Token nicht das Allheilmittel. Wenn der Rechner infiziert ist, hat man immer ein Problem.
Aber mit Hardware-Token ist es ein viel geringeres Problem, da nur die aktuellen Sitzungen betroffen sind aber nicht der private key. Das limitiert den Schaden und senkt den Wiederherstellungs-Aufwand im Vergleich zu einem überall gültigen Passwort, einem lokal im Dateisystem oder Browser verfügbaren (backup) key oder auch einem kompromittierten Passwort-Manager.
Aber ob das den zusätzlichen Aufwand für ein Token wert ist muss halt jeder für sich selbst entscheiden.

Nachtrag: Theoretisch hätten Token wie yubikey noch den Vorteil, an jedem Gerät verwendbar zu sein. Leider fehlt diese Token-Unterstützung gerade bei Smartphone-Apps von Banken, Paypal, usw., obwohl das sowohl per NFC wie USB technisch machbar wäre.

 

[andy_m4]

Ich wollte ja auch nur den Eindruck entgegentreten das ein infizierter PC nicht mehr ganz so schlimm sei.
Und ja. Das mag dann sicher besser sein wenn nicht alle Logins betroffen sind aber je nachdem welche Sitzung betroffen ist, ist das schon schlimm genug um mal beim Beispiel Online-Banking zu bleiben. Vor allem wie kulant reagiert die Bank im Schadensfall. Bei Passwort-Logins habe ich vermutlich noch ganz gute Chancen. Beim nem Hardware-Device der als sicher gilt wirds dann vielleicht schon schwieriger.

Außerdem macht so ein Hardware-Device auch neue Bedrohungsfelder auf. Wenn mein Laptop weg kommt dürfte das in aller Regel ziemlich schnell auffallen. So ein USB-Stick großes und leichtes Hardware-Device merke ich vermutlich eher später.

Ich will das jetzt gar nicht schlechtreden oder so. Aber sind halt Dinge, über die man mal reden sollte. Denn Du sagst ja selber das diese Dinge kein Allheilmittel sind. Nur wird von den Befürwortern sehr viel über etwaige Vorteile gesprochen und nicht gerade offensiv über die Grenzen und möglichen Probleme.
Dann darf man sich über ne generelle Skepsis auch nicht wundern.

obwohl das sowohl per NFC

Genau. Das Hardware-Device über Funk verfügbar machen. Was soll da schon schief gehen. :-)

Aber das zeigt sehr schön in welche Richtung es vermutlich laufen wird. Da wird eine eigentlich gar nicht mal so verkehrte Idee durch Features und Bequemlichkeitsfunktionen in ihrer Sicherheit so weit herab gesetzt, das man dann am Ende doch nicht mehr so viel gewonnen hat.

 

[Autokiller677]

Ein unflexibles Hardware Device ist für mich keine Lösung. Wir werden sehen. Kann mir kaum vorstellen das man nicht an die Passkeys ran kommt.

Kannst ja aktuell mal versuchen an Bitlocker Keys o.ä. was heute schon im den geschützten Bereichen liegt ran zu kommen. Wäre mir neu, dass das einfach ginge.