Passkeys: 400 Mio. Google-Konten nutzen sie bereits
von caschy | 12 Kommentare
Zum Welt-Passwort-Tag 2024 trommelt Google auch in eigener Sache. Beispielsweise, wenn es um Passkeys geht. Das Unternehmen veröffentlichte erstmals Kennzahlen zur Akzeptanz von Passkeys und teilt mit, dass diese von 400 Millionen Google-Konten bereits über eine Milliarde Mal verwendet wurden. „Seit ihrer Einführung haben sich Passkeys als schneller als Passwörter erwiesen, da sie von den Nutzern lediglich verlangen, ihr Gerät durch einen Fingerabdruck, Gesichtsscan oder eine PIN zu entsperren, um sich anzumelden“, so Google.
Zukünftig sollen auch die Anwender Passkeys nutzen können, die im Advanced Protection Program (APP) angemeldet sind. Dieses schützt Benutzer, die dem höchsten Risiko gezielter Angriffe ausgesetzt sind, darunter Wahlkampfhelfer und Kandidaten, Journalisten, Menschenrechtsaktivisten und mehr. APP erforderte traditionell die Verwendung von Hardware-Sicherheitsschlüsseln als zweiten Faktor, aber bald können sich Benutzer zusätzlich zu ihren Hardware-Sicherheitsschlüsseln mit jedem beliebigen Passkey beim APP anmelden. Alternativ erlaubt man die Nutzung mit Passkeys als einzigen Faktor oder zusammen mit einem Passwort.
Man verbessert auch den Cross-Account-Schutz, ein Programm zum sicheren Austausch von Sicherheitswarnungen mit anderen Unternehmen. Dieses Programm schützt Nutzer, indem es verhindert, dass Cyberkriminelle eines ihrer Konten übernehmen und nutzen, um Zugang zu ihren anderen Diensten zu erhalten. Aktuell sichert Google damit 2,4 Milliarden Konten auf 3,4 Millionen verschiedenen Apps und Websites ab. Das Ziel sei es, durch eine stärkere Branchenkooperation noch mehr Nutzern ein sicheres Online-Erlebnis zu bieten. Dieses Vorhaben baut auf dem Shared Signals Framework auf, das Google 2019 mitentwickelt und gestartet hat.
Mal schauen, wie lange es dauert, bis Passkeys die Norm werden und von den Nutzern breitflächig akzeptiert und genutzt werden.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich habs wieder abgeschaltet, da es ja doch immer noch Benutzernamen/Passwort im Hintergrund benötigt und dies Sicherheitstechnisch keinerlei Vorteil bringt.
Ursprünglich sollte man sich ja ohne Eingabe eines Benutzernamens einloggen können. Oder es wurde falsch erklärt, oder ich habe es falsch verstanden.
Ob ein Benutzername eingegeben werden muss hängt von der jeweiligen Implementierung ab.
Bei Google ist dies tatsächlich der Fall und der Passkey dient nur der anschließenden Authentifizierung. Bei GitHub aber zum Beispiel kann man sich direkt mit Passkey identifizieren und authentifizieren, es ist also keine Eingabe z.B. einer E-Mail-Adresse nötig.
> Passkeys: A shattered dream:
https://news.ycombinator.com/item?id=40165998
Die armen 400 Mio. Google-Nutzer, die sich in das (leider sehr) geschlossene Passkey-System eingeschlossen haben :(.
Wie wäre es, wenn du den Passkey in Bitwarden o.ä. speicherst?
Nutzbar auf jedem Gerät, wo du Bitwarden installierst.
bitwarden.eu ist der europäische Server.
Google sorgt ja auch kräftig dafür, dass jeder aus Versehen auf den Knopf drückt. Insofern würde ich eher „haben“ statt „nutzen“ schreiben. 1 Milliarde Logins bei 400 Millionen Passkeys sind ja auch nur 2,5 Logins pro Nase.
Ich verstehe die Propaganda für die Passkeys einfach nicht. Es ist klar, dass diese Art der Autorisierung ist zwar aktuell eine der sichersten, allerdings bringt sie einen sofort in immense Schwierigkeiten, wenn das Endgerät, welches die Passkeys beinhaltet, kaputt/verloren geht. Da ist doch eine 2FA wesentlich besser und an eigentlich schon sehr sicher, wenn nicht irgendeinen Unsinn anstellt. Lasse mich gerne eines Besseren belehren, aber in meinen Augen sind Passkeys unnötig.
so wie ich das verstanden habe, kannst du ja mehrere Geräte für Passkey registrieren (pro Zugang, also hier Google).
Ist es nicht eher umgekehrt?
Einen „Passkey“ kann man sich doch wie ein Kennwort irgendwo zusätzlich notieren, während der „zweite Faktor“ – nun ja – eben *der* Faktor ist: Telefon kaputt oder weg, kein 2FA.
Ich hab lieber meinen unabhängigen Passwortmanager im Einsatz; von Google und Co würde ich nichtmal die 2FA-App nutzen wollen.
Wenn Dir jemand das Pad oder den Läppi klaut, diese zufällig entsperrt sind – gute Nacht.
Bei einem Passwortmanager braucht man zumindestens noch Face, Touch oder das Masterpasswort.
Was mir persönlich eher auffällt ist der Umstand das man bei Datenschutz und Sicherheitsarien von den grossen Anbieter mittlerweile eher denkt: wo ist der Haken; welche Nachteile hat man als User; was wollen die von mir?
Das – finde ich schon bedenklich.
Zumindest beim MS-Authenticator kannst Du einstellen, daß auch der zuerst biometrisch oder per Passwort entsperrt werden muss.
Leider gibt es noch viel zu wenig Anbieter, die Passkey nativ unterstützen.
Selbst verwende ich Passkeys wo immer möglich.
Der Komfort und Sicherheit sind hoch und dazu ist es bequem.
Für gefährdete Anwendungen, wie Banking, wünsche ich mir, dass passkey nur als zweiter Faktor eingebunden ist.
Was Authentifikatior Apps anbelangt, so finde ich die Abfrage eines biometrischen Merkmals, zum entsperren der App,
bei Microsoft gut gelöst.
Das wünsche ich mir auch von Google, oder weiß jemand, ob man das selbst einrichten kann, ohne third party?
Sau geil, obwohl die LeserInnen dieser Homepage defintiv Technikaffine sind, hat es keiner das „so richtig“ verstanden. Genau deshalb wird Passkeys scheitern. Nicht wegen der Technik, sondern weil hier irgendwelche „Nerds“ vergessen haben, dass man außerhalb ihrer Bubble eine andere Sprache spricht. Das ganze Spiel (und die Uneinsichtigkeit) kenne wir seit >20 Jahren von Linux. So lange das an ein System (Smartphone) oder einen Anbieter (Google, MS…) gekoppelt ist, kann man Passkeys niemanden ernsthaft empfehlen. Übrigens, man stelle sich vor, Google hat keine Lust mehr auf Passkeys und stellt das in „gewohnter Form“ wieder ein 😉