Amazon führt den Passkey-Support ein
von caschy | 42 Kommentare
Passkeys werden derzeit überall als sichere und einfachere Alternative zu Passwörtern verkauft. Die Wahrheit ist für viele Anwender eine andere, denn wenn man sich die ganzen Möglichkeiten anschaut, wie Passkeys gespeichert oder synchronisiert werden, so werden sicherlich viele Anwender erst einmal abwarten.
In der letzten Zeit haben viele Dienste die Unterstützung für Passkeys eingeführt, glücklicherweise erst einmal optional und nicht erzwungen. Auch Amazon hat diese Neuerung eingeführt, deutsche Nutzer können mittlerweile unter Mein Konto › Anmeldung & Sicherheit › Passkey das Ganze einrichten. Nachdem der Nutzer einen Passkey eingerichtet hat, wird er auf Wunsch, also optional, in einem Cloud-Service-Konto gespeichert (Beispiel: Apple- oder Google-Konto, Windows folgt bald). Nutzer können ihn auf allen Geräten verwenden, die mit diesem Konto verknüpft sind.
Falls Nutzer ihr Amazon-Konto mit anderen teilen, dann müssen diese anderen Personen auf dieser Seite ebenfalls einen Passkey einrichten. Wenn sie keinen eigenen Passkey einrichten möchten, können sich die anderen Personen mit einem Passkey von einem anderen Gerät anmelden. Solange sich dein Telefon in der Nähe ihrer Geräte befindet, werden die zwei Geräte über Bluetooth verbunden und der Hauptanwender wird aufgefordert, die Anmeldung auf seinem Telefon zu genehmigen.
Ganz krude bei Amazon: Normalerweise soll der Passkey nicht nur das Passwort ersetzen, sondern auch eine etwaige Zwei-Faktor-Authentifizierung. Amazon schreibt aber dazu: „Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.“
Ich sage mal so: Einfach und verständlich geht anders – und da kann man viele verstehen, die erst einmal mit den Passkeys abwarten. Oder habt ihr eine andere Meinung?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
| Vorschau | Produkt | Preis | |
|---|---|---|---|
|
Apple Watch Series 9 (GPS, 45 mm) Smartwatch mit Aluminiumgehäuse und Sport... |
449,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 (128 GB) - Schwarz |
792,00 EUR |
Bei Amazon ansehen |
|
Apple iPhone 15 Pro (128 GB) - Titan Natur |
1.039,00 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Passkey bei PayPal funktioniert super mit 1Password zusammen. Wenn man Passwörter komplett deaktivieren könnte dann wäre es echt ein Traum
Bei Microsoft bin ich komplett passwortlos. Als Passkeys habe ich ein Smartphone, 3 Yubi-Keys, 2 Windows-PC und 1Password eingerichtet. Das sollte für alle Eventualitäten ausreichen. Hoffe ich.
Ich check es immer noch nicht. Ich dachte ich kann Passkey mit meinem Yubikey nutzen?!
Ja schon, aber das ist vielen oder den meisten Benutzern zu umständlich und zu kompliziert. Daher werden die privaten Schlüssel auch in der Cloud synchronisiert. Das ist dann zwar nicht mehr so sicher, aber hoffentlich so komfortabel, dass es jeder benutzen kann/möchte. Dann wird sich das auch schneller durchsetzen.
Wenn ich das richtig verstanden habe, geht das alles über den FIDO2- oder WebAuthn-Standard. Dafür kann man dann auch den Yubikey (oder Nitrokey) nutzen. Nur kann man dann kein BackUp machen, sondern braucht einen zweiten Yubikey (oder eine alternative Login-Methode).
Endlich, FaceID oder TouchID am Mac ist so viel schneller.
Wenn man auf Sicherheit und Privacy pfeift.
Passkeys und die Technik dahinter sind mir aktuell noch zu hoch und zu neu. Vielleicht kommt der Tag, an dem ich mal ganz viel Zeit habe, mich ausgiebiger mit der Thematik zu beschäftigen, aber zum aktuellen Zeitpunkt empfinde ich ein sicheres Passwort sowie bei wichtigen Diensten einen zweiten Faktor als absolut ausreichend.
Danke, du sprichst mir aus der Seele.
Um es einfach zu machen (die Infobox erklärt es ja auch): Es wird eine asymmetrische Verschlüsselung eingesetzt. Dabei werden Einwegfunktionen (oder auch Falltürfunktion) benutzt, die sich nicht (oder nur extrem schwer) zurückberechnen lassen.
Dabei wird die Serveranfrage mit dem privaten Schlüssel (dem der Server-IP zugeordnet ist) „signiert“, die nur vom öffentlichen Schlüssel des Nutzers verifiziert werden kann. Durch diese Einwegfunktion ist es nicht möglich, anhand des öffentlichen Schlüssels eine Signierung zu fälschen.
Diese Technik wird übrigens auch in der E-Mail-Verschlüsselung (OpenPGP, S/MIME) und bei SSL/TLS verwendet und das schon seit den 90er (der erste asymmetrische Verschlüsselungsalgorithmus RSA wurde 1977 entwickelt). So neu ist das gar nicht. Indem Du diese Seite siehst, nutzt Du die Technik bereits.
Funktioniert super auf der Seite, in der App aktuell nur login mit password.
Prinzipiell eine super Sache, wenn man Dienste alleine nutzt. Gerade bei Amazon, welches wir in der Familie gemeinsam verwenden, stelle ich mir das komplizierter war und warte deswegen erst mal ab.
Du musst doch sowieso auf jedem Gerät einen eigenen Passkey einrichten, das ist also kein Problem. Alternativ gibt es z.B. unter iCloud die Möglichkeit, Passkeys mit anderen zu teilen.
„Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.“
Das macht Paypal auch so, nervt extrem. 2FA einfach ausschalten ist auch nicht unbedingt eine Lösung, da der Login mit Passwort als Fallback ja weiterhin funktioniert.
Diesbezüglich darf die Umsetzung von Passkeys wirklich noch verbessert werden.
ja total bescheuert, passkey ist doch in sich schon multi factor.. warm bestehend man dann noch auf einen 2fa on top.
Microsoft macht das bei ihrer Implementierung besser..
Passkey + OTP, wäre für mich ok; ohne OTP, also kein 2FA, ist mir zu unsicher. Für mich ist 2FA, natürlich getrennt gespeichert, ob mit Passkey oder Passwort, aktuell am sichersten. Mit Passkeys natürlich bequemer, aber ich warte erst mal ab, bis alles überall sauber implementiert ist.
Ich dachte man würde sich mit dem Passkey einem Schritt sparen?
Jetzt ist es dort so, dass ich die Mail eingebe und dann im nächsten Schritt erst Login mit Passkey vorgeschlagen wird, der Aufwand ist da jedoch der gleiche wie das Passwort per FaceID einfügen zu lassen.
Ist es einfach nur verbesserungsbedürftig implementiert oder habe ich da etwas falsch aufgefasst?
Dann ist es noch nicht ideal implementiert. Eigentlich sollten die Webseite und der Browser Passkeys Autofill unterstützen, das heisst auf der Loginseite wird dir beim Benutzername dein Passkey vorgeschlagen. Wählst du diesen aus, musst du ihn nur noch per Fingerabdruck, Gesichtserkennung oder PIN entsperren und schon wirst du eingeloggt.
Das ist einfach verbesserungswürdig implementiert.
GitHub macht z.B. vor wie man es richtig macht: https://github.com/login
Man muss keine E-Mail-Adresse vorher eingeben. Nur „Sign in with passkey“ antippen, bestätigen und fertig. 1Password schlägt sogar sofort vor, den hinterlegten Passkey zu benutzen. Der Button „Sign in with passkey“ muss so nichtmal geklickt werden.
Weiß jemand wo der private Schlüssel generiert wird? Auf der Webseite oder auf meinem Rechner?
Idealerweise im Sicherheitschip des Security-Token (z. B. Yubikey oder Nitrokey). Aber auf jeden Fall lokal und niemals auf dem Server.
Ich finde die Technik ja nicht schlecht, aber Android bietet mit Android 14 nur die Synchronisation über das Google-Konto. Andere Apps sind noch außen vor. Und da mein Pixel 5 keine Updates mehr bekommen wird, wird sich bei meinem Handy wohl auch nicht mehr viel tun. Also bleiben Passkeys bei mir erstmal in der Garage.
Ab Android 14 sollte man doch in den Einstellungen eine Drittanbieter-App für Passwörter und Passkeys einstellen können? Es sind leider noch nicht viele Apps, die diese Funktion nutzen, glaube nur Dashlane, NordPass und Enpass zurzeit. Ich habe leider kein Gerät mit Android 14 und kann es deshalb nicht selbst überprüfen.
Bei meinem Pixel7a und Android 14 steht da: BitWarden.
Und ich dachte, auf den Passkey unterstützen Seiten benötige man keinen Benutzernamen/Passwort mehr.
QR Code abscannen und am Handy freigeben, zack ist man drin. So hatte ich das verstanden.
Damit eben niemand mehr Datenbanken klauen kann mit Benutzernamen und Passwörtern. So ergibt es keinen Sinn mehr. Aber vielleicht habe ich das auch alles einfach nur falsch verstanden.
Das hängt tatsächlich von der Implementierung der Website ab. Also theoretisch kann eine Webseite ein Login ohne Benutzername anbieten, weil die Webseite eigentlich nur einen öffentlichen Schlüssel von dir benötigt, um dich zu authentifizieren. Auf deinen Gerät hast du den dazugehörigen privaten Schlüssel und vielleicht einen Anzeigenamen für den Account, damit du weisst um welchen Account es sich handelt. Die Webseite bräuchte keinen personenbezogenen Benutzernamen mehr, sondern könnte seinen Usern auch zufällige User IDs vergeben. In der Praxis werden die meisten Webseiten trotzdem noch Benutzernamen oder E-Mail-Adressen verwenden.
Ich soll meinen Schlüssel in der Cloud ablegen? Bei Micrsoft? Bei Google? Bei Apple? Damit „wer auch immer“ es leichter hat auf meine Daten zuzugriefen? Never! Bevor es nicht eine bequeme Möglichkeit gibt, lokal die Keys zu speichern und problemlos damit auf andere Gerät umzuziehen: Nein Dank.
Nein, „sollst“ du nicht. Dazu zwingt dich keiner, du kannst deine Passkeys auch in einem Passwortmanager deiner Wahl verwalten, die das unterstützen.
KeePass funktioniert auch… unter iOS z.B. mit Strongbox, dann kannst du selbst entscheiden ob Lokal oder Cloud.
Du kannst Passkeys auch auf einem Hardware Security Key wie YubiKey oder Nitrokey abspeichern. Dann sind sie nur lokal aber trotzdem portabel, solange du den Security Key bei dir trägst. Natürlich brauchst du noch einen zweiten Key als Backup für den Fall, dass du den Security Key verlierst.
– Was passiert, wenn der YubiKey gestohlen/verloren wird. Kommt dann jeder einfach in alle Logins rein? Kann der die möglichen Webseiten sehen, oder ’nur‘ probieren, ob zB Amazon oder Paypal funktioniert?
– Wie einfach kann man den YubiKey kopieren für Backups? Bzw, kann man die Passkeys einfach zwischen irgendeiner Cloud und YubiKey(s) synchronisieren?
– Wo genau ist jetzt der Vorteil, wenn man Passkeys per (Google)-Cloud nutzt, ggü dem ‚klassichen‘ Login per Google oder gar dem Benutzername/Passwort per Autofill aus einer Cloud? Um Passkeys aus einer Cloud zu nutzen, muss man sich dort ja erstmal irgendwie ’normal‘ einloggen.
– Was passiert, wenn der letzte YubiKey verloren ist, bzw die Cloud nicht mehr existiert? Gibts irgendein dem ‚Passwort vergessen eMail‘ ähnliches Verfahren?
Ich denke, du solltest dich erst einmal grundsätzlich mit der Funktionsweise und dem Aufbau von Passkeys vertraut machen, da erübrigen sich schon viele deiner Fragen. Es gibt mittlerweile genug Quellen, die dir erklären können, wie der Zugang zu einer Website über ein kryptograpisches Schlüsselpaar sicher und komfortabel funktioniert.
Passkeys werden Ende-zu-Ende verschlüsselt in der Cloud gespeichert, Google/Apple haben also keinen Zugriff. Natürlich musst du dieser Aussage vertrauen und kannst es vielleicht nicht einfach selbst überprüfen. Bald lassen sich Passkeys aber auch über Passwort-Manager von Drittanbietern nutzen, wovon einige auch Open Source sind.
Sobald ich die in Bitwarden ablegen kann werde ich die überall wo es möglich ist einrichten. Die Funktion soll ja dieses Jahr noch kommen. Dann bleiben die lokal bei mir.
Bei meinem Pixel7a und Android 14 steht da „BitWarden“ in den Einstellungen unter „Passwörter, PassKey und Datendienste“
Bei mir erscheint der Punkt „Passkey“ nicht.
Jemand eine Idee?
Der Punkt erscheint nur bei Browsern, die Passkeys „komplett“ unterstützen. Leider aktuell z.B. nicht in Firefox, obwohl die Registrierung und Verwendung eines FIDO2 Hardware-Schlüssels (z.B. Yubikey) mit Firefox möglich sein sollte (bei Microsoft geht das glaube ich).
Mit Chrome unter Windows konnte ich sowohl den Yubikey, als auch einen auf meinem Google-Handy gespeicherten Passkey registrieren.
was passiert am firetv? Man hat passkey aktiviert und totp deaktiviert. Möchte ungern den ftp abmelden, betrifft aber dann zb auch den Kindle,..
Frage für einen Freund..
habe den 2fa deaktiviert und dachte, die anderen apps erfordern nun yubikey oder login geht nicht. Weit gefehlt, kindle app auf dem handy ging trotz yubikey / passkey mit username/pw und ohne einen weiteren schutz! Sofort wieder totp aktiviert.
Jetzt wird bei der kindle App wieder der 2fa angefordert.
Super. Danke. Das war das Problem
Ich habe einen Passkey auf dem iphone eingerichtet, der wird im Schlüsselbund gespeichert und funktioniert auch auf dem ipad. Jetzt will ich noch einen auf einem Linux-Rechner mit Chrome hinzufügen, Amazon zeigt aber nur die Optionen an, dass ich das auf einem Smartphone machen kann oder per Hardware-Schlüssel.
Normalerweise sollte das in Chrome auch so gehen, tut es jedenfalls z.B. mit google. Hat Amazon das etwas seltsam implementiert?
Private Keys über die Cloud oder andere Dienste syncen und die Leute denke es wäre sicherer als Passwörter. Lost.
Bei Google kann ich einen Passkey erstellen, bei WhatsApp, PayPal und Amazon gibt es nur Fehlermeldungen beim Versuch ein Passkey zu erstellen. Woran kann das liegen? Chrome auf Android 14