Google macht Passkeys zur Standard-Anmeldemethode für alle Nutzer
von caschy | 55 Kommentare
Das ist mal eine Ansage, vielleicht aber auch eine nötige, um den neuen Standard voranzutreiben. Anfang dieses Jahres hat Google die Unterstützung für Passkeys eingeführt. Laut eigener Aussagen des Unternehmens habe man positives Feedback von den Nutzern erhalten, deshalb mache man heute den Zugriff auf Passkeys noch einfacher, indem man sie als Standardoption für alle persönlichen Google-Konten anbietet.
Das bedeutet, dass Nutzer bei der nächsten Anmeldung an ihrem Konto aufgefordert werden, Passkeys zu erstellen und zu verwenden, was ihre zukünftigen Anmeldungen vereinfacht. Das bedeutet auch, dass in euren Google-Kontoeinstellungen die Option „Wenn möglich, Passwort überspringen“ aktiviert ist.
Um Passkeys zu nutzen, verwenden Nutzer einfach einen Fingerabdruck, einen Gesichtsscan oder eine PIN, um ihr Gerät zu entsperren. Auch wenn Passkeys einen großen Fortschritt darstellen, ist es so, dass es Zeit braucht, bis sich neue Technologien durchsetzen – Passwörter werden also möglicherweise noch eine Weile verfügbar sein. Aus diesem Grund haben Benutzer auch bei Google weiterhin die Möglichkeit, sich mit einem Passwort anzumelden, und können sich von Passkeys abmelden, indem sie »Wenn möglich, Passwort überspringen« deaktivieren.
Was sind Passkeys?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
ich werde nach PW gefragt…
Jetzt müsste nur noch der Passkey-Support für Bitwarden kommen, dann würde ich direkt umsteigen.
Ich bin zurück zu 1P, das Entwicklungstempo und die leeren Versprechungen von Bitwarden haben mir gereicht. Hab seit dem Start das Abo bezahlt, nun gekündigt*. Aber nicht wegen Passkeys, die 10 Dienste die das überhaupt anbieten als alternative Anmedlung sind nicht wirklich erwähnenswert, da wird man wohl Jahre warten müssen bis das beim Massenmarkt ankommt.
*war traurig, denn 1P besteht ja fast nur aus nem Marketing- und Supportteam. Das bezahlt man letztendlich nur damit. Hätte gerne weiter das kleinere Bitwardenteam unterstützt aber sorry, UI ist grausam und Funktionsumfang mieserabel (entspricht exakt 10 Euro jährlich).
Bringt mir leider nichts, weil es Firefox immer noch nicht unterstützt.
Nischenprodukte werden meist erst später unterstützt.
Stimmt, das Nischenprodukt ist Passkey.
Hm, ich war ja auch lange Firefox Verweigerer, aber seit Google es unmöglich gemacht hat Videos nicht automatisch starten zu lassen, bin ich dort. Das könnte also zukünftig vielleicht doch interessant werden. Jeder hat so seinen Punkt wo das Fass am überlaufen ist…
Ich nutze Passkeys bereits wo es möglich ist. eine Sache habe ich noch nicht verstanden, sind Passkeys an Geräte gebunden? Muss ich, wenn ich mich mit einem anderen Smartphone bei Google anmelde einen separaten Passkey erstellen?
Du kannst deine Passkeys geräteübergreifend nutzen, z. B. wenn du die Passkeys über den iOS Schlüsselbund oder ein anderes Tool synchronisierst.
Was natürlich bedeutet, dass die Sicherheit von Anfang an völlig broken ist.
„Sicher speichern“ und „automatisch zwischen Geräten synchronisieren“ schließt sich hart aus.
Du kannst den Secretkey auf jedem gerät speichern wie du willst. Der darf dir dann allerdings nicht abhanden kommen! Du musst dich also num um deine absolute Gerätesicherheit kümmern. Das ist bei Passwort+2Fa bisher anders, da teilt sich die Verantwortlichkeit mehr. Ist dein SecretKey weg, dann kann man mit dem einem SecretKey alles.
Ich schließe mich den kritischen Menschen an. Passwort mit 2 FA langt. Mit den Passkeys gibt man die Hoheit über die eigenen Zugänge aus der Hand. Das passiert mir mit meiner Passwortliste so schnell nicht.
Es gibt aber auch noch phishing und hier hat Passkeys die Nase meilenweit vorne.
Doch: Das Passwort (idealerweise nur der Hash) liegt aber auch noch auf dem Server. Da alle Passwörter der Nutzer da liegen, ist das ein lohnendes Ziel für Hacker. Der Betreiber kann außerdem damit machen, was er will. Zum Beispiel unverschlüsselt in einer Exceltabelle liegen lassen.
Nur durch Passkeys hast Du die Hoheit über Deine Zugänge, da der Betreiber Deinen privaten Schlüssel nie zu sehen bekommt (außer natürlich Du synchronisierst die unverschlüsselt über die Cloud). Natürlich musst Du dann auch darauf aufpassen und ein Backup machen. Genauso wie bei einem Passwortzettel auch.
Ich stimme Dir aber zu: Passwort mit 2FA reicht aus. Nur sind Passkeys sicherer und komfortabler.
Wie läuft es, wenn man mehrere Accounts bei Google (oder anderen Anbietern) besitzt? Für sich, für Eltern, für Verein usw.
Bekommt dann Google mit, dass man mehrere Accounts verwaltet,
Bestimmt bekommt das Google mit. Scheint sie aber nicht weiter zu interessieren.
Ich habe drei Google-Accounts auf Passkey umgestellt, die Zugänge funktionieren vollkommen problemlos.
Nichts, aber auch gar nichts wird mich von Name+Passwort wegbringen. 2FA ist bereits deaktiviert, Passkeys werde ich deaktvieren.
Mein Anspruch ist, dass ich bei Totalverlust aller meiner Hardware einfach den Zettel aus der Schublade hole, wo das Passwort draufsteht.
Ein gutes Passwort ist vollkommen sicher. Für mich als Nutzer ist die Gefahr, gehackt zu werden, viel kleiner als das in diesem ganzen Authentifizierungs-Gewusel irgendwelche Geräte oder Notfall-Codes nicht verfügbar sind, weil mir im Wanderurlaub das Handy runtergefallen ist. NEVER.
Naja, das Ding ist, für Benutzer+Passwort trägt der Seitenbetreiber eine hohe verantwortung für die Sicherheit. Deswegen gibts ja Passkey, das von der Industrie gegründet wurde (MS, Apple, Google etc.) und deswegen wird es gepusht, weil sie die Verantwortung über Passkeys auf den nutzer umlegen wollen.
Dieses Risiko sollte man prinzipiell nicht außer Acht lassen.
Die Gefahr „Handy runtergefallen“ ist jedoch leicht zu umgehen, in dem man vorab einer vertrauten Person einen Notfallzugriff auf den Passwort-Manager gewährt oder ähnliches.
Das sehe ich auch so. Bei immer mehr neuen Sicherheitsfeatures sehe ich nur die Nerverei und die Gefahr, dass ich selbst ausgesperrt werde, während sich die Gefahr durch Außenstehende gehackt zu werden eher leicht erhöht oder gleichbleibt.
Du erhöhst die Sicherheit nicht, weil es dich nervt oder weil du dich aussperren könntest. Das ist eine interessante Einstellung. Hast du es nicht verstanden oder haben es die anderen nicht verstanden? Ich habe da einen Verdacht…
Was „erhöht“ denn hier die Sicherheit? Ich bin in Netzen unterwegs seit 1989 mit 2400-Baud-Modem, und mit dem Sicherheitsmechanismus „Passwort“ nicht ein einziges mal gehackt worden. Was ist denn „sicherer als sicher“?
Wenn ich unterschiedliche sichere Kennwörter benutze kann mich keiner hacken, ist in 25 Jahren nicht passiert.
Wenn ein Anbieter Kennwörter im Klartext speichert und/oder gehackt wird, dann ist es der falsche Anbieter.
Wenn ich die Passkeys im Browser/in der Cloud speichere dann unterscheidet es sich in der Sicherheit (auf meiner Seite) nicht von normalen Kennwörtern.
Was verstehst du daran nicht?
Das Problem besteht ja nicht nur darin, dass du gehackt wirst. Sondern einer der Betreiber im Internet, wo du einen Account hast. Wenn dann dort dein Name und Passwort in der Datenbank vorkommt, hat der Hacker leichtes Spiel. Das funktioniert mit dem Passkey nicht!
Ein Passwort steht in einer Datenbank salted und hashed. Nicht mal mit einer Rainbow-Table lässt sich das entschlüsseln.
Selbst wenn der Betreiber komplett verantwortungslos wäre und Plaintext-Passwörter verwenden würde – es war nie die Rede davon, überall dasselbe Passwort zu verwenden.
Ergo: Das Szenario ist irrelevant.
Guten Morgen und herzlich Willkommen im Internet.
Die Gigabyte-weise Passwort Leaks kommen demnach woher?
1. In der Regel leaken nicht Passwords, sondern salted hashes von Passwords. Siehe oben, völlig nutzlos. Verstehen die Medien aber nicht.
2. Wo cleartext-passwords leaken, ist NUR die gehackte Plattform betroffen, denn Du verwendest ja anderswo ein anderes Passwort, richtig?
3. Wo eine Plattform gehackt wurde und die DB rausgetragen, da IST die Plattform bereits kompromittiert. Die können dir auch einfach ein neues Passwort setzen und das verwenden, wenn sie wollen.
4. Sowas wie SSO nicht verwendet, dann bleibt der Schaden lokal.
Das heisst, die Risiken sind deutlich kleiner als die Risken von Geräteverlust, Einmalcodes auf Zetteln und dergleichen.
Was mich ehrlich nervt: „Sicherheit“ scheint so eine Art „Jokerkarte“ zu sein. Selbst bei Techies setzt das Hirn aus, und dann „Ah, Sicherheit, super, mache ich!“ — man muss das doch mal gesamtheitlich betrachten und ALLE Risiken einbeziehen, nicht nur Hacks, sondern auch Aussperrung, Geräteverlust, Zettel-Risiken etc.
Sehe ich ähnlich, wer überall das gleiche Passwort nutzt ist selbst Schuld, zugegeben, bei so komischen Foren oder sowas mache ich das auch, aber nicht bei heikleren Sachen.
Dazu ein KeePass mit lokaler Schlüsseldatei.
Letztens wollte mein iPad irgendwas mit PassKey, danach konnte ich mir nirgends mehr einloggen. Danke dafür, hab das direkt wieder ausgeschaltet, wenn das die coole Zukunft ist, dann nein danke.
Toll. Der Rest von uns nimmt sich die 5 Minuten, um sich mit neuen Standards auseinanderzusetzen und hat dann auch keine Probleme. Ob nun Passwort oder Passkey, wenn dich ein Totalverlust der Hardware irgendwo aussperrt, dann machst du halt was falsch. Nicht Googles Problem.
Was hat das mit „auseinandersetzen“ zu tun?
Ich fahre Montag in den Urlaub. Mein Handy ist der Auth-Faktor. Handy fällt mir von der Okertalsperre, Ende-Gelände. „Du musst ja nur ein zweites Gerät mitnehmen! Oder eine Token-Liste! Oder eine vertrauenswürdige Person!“. Da muss man sich schon fragen, WAS hier genau konstruiert ist. Meine Frau will nunmal nicht mit in den Wanderurlaub, Token-Liste hat sowieso niemand dabei, wäre in der Ferienwohnung auch super unsicher, und wenn ich mich mit meinem Zweitgerät bei Google anmelde, will der “wegen 500 km weit weg vom letzten Login“ erstmal eine Authentifizierung von genau dem Handy haben, das ja kaputt ist.
Ne, lass mal. Vor ein paar Jahren ging mein Handy nicht mehr an, ich wollte sofort ein neues kaufen, weil war eh fällig, und was macht der Onlineshop? Schickt vor der Zahlung eine PIN per SMS an mein kaputtes Handy. Super! Ein paar Jahre später: Mein brandneues Handy geht auf der Baustelle kaputt, und der Garantiefall soll bestätigt werden… auf dem Handy. Glücklichweise ging das auf den Restsplittern des Bildschirms plus einer Maus(!) noch.
DAS ist MEINE Gefahr. Das ICH raus bin. Google hat ein ganz anderes Problem. Sie wollen sicher gehen, dass nicht irgendwer irgendwelche Accounts nutzen kann, um Spam zu verballern, im Appstore zu vandalisieren und so weiter. Aber das ist nicht MEIN Problem. Ich habe ein wildes Passwort, und da kommt realistisch keiner so wirklich ran. Es ist nicht meine Aufgabe, Googles Probleme zu lösen.
Du hast ja echte Probleme mit deinen Handys oder suchst du nur Ausreden, dich neuer Technik zu verwehren? Dein letzter Absatz ist ja auch ganz schön an den Haaren herbeigezogen. Man kann natürlich immer das Salz in der Suppe finden, man muss nur lange danach suchen.
Wo ist jetzt dein Argument gegen das Szenario „Endgerät geht verloren“? Hast Du noch immer das erste Handy deines Lebens, oder ist dir möglicherweise auch schon mal eins kaputt/verloren gegangen?
Du redest auch nur so klug daher bis dein Smartphone möglichst weit weg von Zuhause kaputt ist und du nicht mehr telefonieren oder an Geld kommen kannst.
Es muss ja nicht einmal der Verlust der Hardware sein. Telefonnummer reicht schon, z.B. bei Amazon und einer dort NICHT eingestellten 2FA.
Beim Login haben wir nach der Eingabe von Account & PW die nette Info bekommen man möchte zu unserer Sicherheit noch die Nummer verifizieren, braucht man ja zwingend um einen Account anzulegen. (SMS mit Code).
Die Nummer gab es nun leider schon lange nicht mehr, sollte eigentlich mit einer aktuellen upgedatet werden, Alexa wurde auf einem Tablet genutzt (Oma) um die Echos zu betreiben.
Keine der hinterlegten und natürlich bekannten „Sicherheitsfragen“ war gut genug, man klickt sich im Kreis und landet stets bei den gleichen Optionen die die Lösung bringen sollen.
OK, dann eben der Support. Dieser hat ausgiebig alle relevanten Infos abgefragt und dann darauf verwiesen er könne leider nicht weiterhelfen.
Auf die Frage „Und nu?“ Die Antwort: Macht halt einen neuen Account auf.
So geht Kundenservice. Logindaten und auch hinterlegte Sicherheitsfragen (eigentlich genau für so etwas) sind wertlos wenn die Nummer nicht mehr benutzt werden kann.
Anm. Account diente nur für den Betrieb der Geräte also nicht für Käufe etc.
Trotzdem extrem nervig alles nun wieder neu einzurichten.
„Die Nummer gab es nun leider schon lange nicht mehr, sollte eigentlich mit einer aktuellen upgedatet werden, “
Und das Problem liegt jetzt bei Amazon, weil du nicht in der Lage ist, deine Handynummer zu aktualisieren? Come on…
Ja, liegt es, weil komplexere Szenarien dazu neigen, Fehler zu produzieren.
Nur mal so als Beispiel: Trotz Kontowechselservice habe ich gerade gut ein Jahr gebraucht, zu einer anderen Bank zu wechseln. Es kommt immer noch mal ’ne Rechnung von einem Laden, den man vergessen hatte. Oder plötzlich funktioniert Amazon nicht mehr, weil das die alte Karte hinterlegt war. Und drei Wochen später das gleiche bei PayPal. Und selbst nach über einem Jahr stellt sich raus, dass meine Frau immer noch ihre alte Partnerkarte beim Onlineshopping verwenden wollte…
Und jetzt im Vergleich der Sicherheits-Benefit im Vergleich zu Passwörtern:
Keiner.
Lesen und verstehen ist nicht so deine Sache?
Ich helfe dir mal: Der ganze Zirkus ist losgegangen als versucht wurde sich einzuloggen um genau die hinterlegten Daten zu aktualisieren.
Ok, dan nächste mal vielleicht erst mal vom hohen Ross der Unfehlbarkeit absteigen, lesen, verstehen und sich dann dumme Kommentare sparen (siehe auch weiter unten).
Macht uns allen beim lesen dann viel mehr Freude.
stehe dem auch eher skeptisch gegenüber und mich nerven auch schon diese Bank-Briefe für TAN oder App Freischaltung (z.b. DKB).
Es ist durchaus mal der Fall dass ich 3 Monate in der Welt unterwegs bin und eben keinen Briefkasten habe.
Tut mi dann für euer Leben leid, wenn ihr jeden Tag in euren Postkasten gucken müsst, aber von genau solchen Fällen spricht Jörg da. Wenn du komplett am Arsch bist (und dafür kannst du meist auch nichts selber), weil dich ein versiffter Balinese abgezockt hat mit ner Machete, stehste nämlich ohne Geldbeutel und Handy da und guckst erst mal dumm aus der Wäsche.
Manche Leute schwören da halt auch PAsswort und Benuname. Zu Recht !
Diese 2FA Gedöns ist alles schön und gut, solange du deine Simkarte nicht verlierst. gut gibt es auch schon wege mit E-Sim und das auf Cloud zu speichern oder sich ne neue zu erzeugen, aber das muss man alles erst mal machen, wenn einem die Hütte brennt.
Passkeys sind für mich auch ein dummer Versuch der Industrie die Verantwortung abzugeben.
Passwörter sind erst mal „fein“.
Für richtig schützenswerte Dinge gerne noch 2FA, wie z.B. Google Account wo dann ein Onlinespeicher dahintersteht wo auch mehr Infos drin liegen wieder.
Aber Passkeys ….. ich weiß nicht …..
„Diese 2FA Gedöns ist alles schön und gut, solange du deine Simkarte nicht verlierst.“
Du kannst auch Ersatznummern eingeben (Dienstlich, Freundin, Frau etc.) Aber vermutlich sind die Sim-Karten dann auch gerade verloren gegangen. Irgendwas ist ja immer…
Wie kommt man auf die Idee, das die Industrie die Verantwortung an die Verbraucher abgeben will? Sicherheit ist heute scheinbar egal, da werden einfach Ausreden gesucht, noch und nöcher. Ich habe schon mit zwei Idioten bei ebayKleinanzeigen zu tun gehabt, die ihre Ware mit einem geklauten PayPal bezahlt haben. Da hätte ich mir gewünscht, Passkey bzw. 2FA wäre bei PayPal Zwang gewesen. Dann wäre mir das erspart geblieben. Vielleicht einfach mal ein bisschen weiter denken…
Deine „kein Problem“-Ersatzlösungen werden von Post zu Post immer wilder. Inzwischen muss man deiner Meinung nach schon:
– An alles denken, wo man seine Telefonnummern hinterlegt hat
– Stets eine Liste mit Einmalcodes dabei haben
– Telefonnummern anderer „vertrauenswürdiger“ Personen hinterlegen
– Alternativ mehrere Telefonverträge haben
…damit DU auf unsicheren Wegen mit zwielichten Leuten handeln kannst.
– oder –
…dir den Satz merken „Mein Kennwort kann keiner rausfinden, ausser er haut mich (Facebook)“, und schon weisst Du wieder: MKk0r,aehmFb“
– und das nächste mal Vorkasse auf’s Konto. Warum – weisst Du ja jetzt.
Das gibt es. Wiederherstellungs-Codes oder so, lautet das.
Und die sind… irgendwo. Schreibtisch? Schublade? Archiv im Keller? Auf jeden Fall: Irgendwo, zuhause. Oder, noch geiler: Auf dem Gerät, das grad geklaut wurde.
Gegenfrage: Wenn Du ein absolut sicheres Haus hättest, keine Fenster und nur eine Tür: Würdest Du einem smarten Türschloss vertrauen, dass sich ausschliesslich mit deinem Handy öffnen lässt?
Ich nicht.
Puh, ich hätte nicht gedacht, dass hier in einem Technikblog so viele Aluthutträger unterwegs sind. Für alles hat man Ausreden (Handy geht kaputt, Handy fällt von der Okertalsperre uvm.) parat, um die Sicherheitstechnologie nicht nutzen zu wollen. Wenn ihr mal selbst an Betrüger gerät, weil die PayPal Accounts von anderen gehackt haben, werdet ihr euch wünschen, dass Passkey und/oder 2FA Pflicht wären. Es geht also nicht immer nur um den eigenen Account. Es gibt leider Leute da draußen, die es nicht hinbekommen, ihre Accounts richtig zu schützen oder auf Pishing-Mails hereinfallen.
Ihr Unverständnis mag daraus resultieren, dass sie ein Beispiel für den Dunning-Kruger-Effekt sind.
Das ist die Schuld von PayPal – entweder, du hast das Geld endgültig bekommen, oder nicht. Kein Geld, keine Ware.
Ist Passkey quasi eine verbesserte 2FA, nur dass zwingend immer das eigene Smartphone vorausgesetzt wird?
Nein, Passkey ersetzt dein Passwort. Eine 2FA ist dann nicht mehr nötig. Weil ohne dein Smartphone kommt keiner in den Account deines Anbieters.
Natürlich kommt ein Cracker an den Account und die dahinterliegenden Daten, nur eben nicht über ein Passwort. Das ist aber auch zweitrangig. Denn: Wenn du für jeden Anbieter einen anderen Benutzernamen (bspw. E-Mail-Variante anbieter+mustermeier@web.de), und ein anderes Passwort hast. Dann ist dein Angriffsvektor sehr gering. Wenn du 2FA machst, noch geringer.
Bei Passkey gibst du deine Hoheit aber aus der Hand nur in dein Smartphone. Und sicherst nur den Zugang beim Anbieter halbwegs ab. Der Anbieter kann dennoch eine Fehlinterpretation im Zugang haben und dann kommt der Cracker auch darüber rein.
Das Problem mit Passkey ist aber, die Verantwortung liegt dann komplett bei dir. Ist dein Endgerät mit dem Passkey weg, kommst du auch nie mehr rein. Ganz einfach.
Du tust ja so, als wenn man sich nur und ausschließlich mit nur einem einzigen Passkey anmelden könnte. Warum sollten die Wiederherstellungsmöglichkeiten, wie z.B. Wiederherstellungscodes, Rücksetzmails oder alternative Loginmethoden, wegfallen? Gibt es dafür einen sinnvollen Grund?
Smartphones sind auch keine zwingende Voraussetzungen. FIDO2-Sticks (wie Yubikey oder Nitrokey) gehen auch, Smartphones sind nur komfortabler, da man die (fast) immer dabei hat.
Nebenbei: dass es der Anbieter verbockt und Angreifer über Schwachstellen oder Fehlkonfiguration ins System kommen, hast Du bei Passwörtern auch. Selbst wenn sie mit 2FA abgesichert sind.
Und das Du Deine „Hoheit“ abgibst, in dem die „Verantwortung […] komplett bei dir“ liegt, erschließt sich mir auch nicht. Wenn Du die alleinige Verantwortung hast, liegt doch die Hoheit bei Dir.
Die Stimmung hier brodelt, virtuelle Fackeln und Mistgabeln werden ausgegeben…
Ich mache mir auch immer Gedanken meine Accounts bestmöglich abzusichern, möchte mich aber selber auch nicht aussperren. Daher finde ich Jörgs Argumente auch realistisch. Auf das Aussperren im Urlaub bezogen zb. Die meisten haben doch ein Smartphone bzw ein einziges Gerät dabei. Und wenn dieses abhanden kommt ist auch die SIM erstmal weg. Sich mal eben bei einem fremden PC einloggen und das Gerät zu sperren etc ist ja dann nicht möglich ohne ein weiteres Gerät zum Code abrufen. Bei 2FA zumindest. Denn die Backup-Codes mitzuführen, macht das jemand?
Evtl habe ich ja einen Denkfehler in meinen Beispiel. Also wenn jemand eine sichere Methode hat um solche Szenarien zu vermeiden, bin ich immer für neuen Input dankbar!
Einen schönen Abend!
Das siehst du richtig, Benutzername und Kennwort sind am sichersten. Wir waren 2016 im Ausland und Google erkannte dies: Einloggen wäre nur von zuhause möglich gewesen. Seitdem alles bei Google wegtransferiert.
Ich verstehe zwar kein Wort, hoffe aber, dass mir diese Technologie es ermöglicht, möglichst bald von dem elenden LastPass wegzukommen, und den Zugriff der ganzen Familie auf ungefähr 537.352 Online-Acxounts zu vereinfachen
Naja, das kannst du auch jetzt schon: gib jedem die gleiche E-Mail-Adresse udn das gleiche Passwort und sichere alles mit 2FA ab. Das ist das gleiche wie Passkeys. Nur hast du den Vorteil, dass du bei dem Verlust des 2FA-Geräts über Wiederherstellungscodes noch rein kommst. Ist dein Passkey-Gerät weg, kommst du nicht mehr rein.
Selbstverständlich ist das überhaupt nicht das Gleiche: Passkeys arbeiten wie asymmetrische Verschlüsselungen. Der Server hat einen „öffentlichen Schlüssel“ und Du (d. h. ein Sicherheitschip) hast einen „privaten Schlüssel“. Der Sicherheitschip beantwortet die Serveranfrage mithilfe des privaten Schlüssels (abhängig von der Server-IP), ohne ihn herausgeben zu müssen. Diese Antwort kann der Server mit dem öffentlichen Schlüssel verifizieren. Das ist deutlich sicherer, da der Server das Geheimnis, wie Passwort oder 2FA-Secret, nicht kennt.
Wie bei allen anderen Möglichkeiten brauchst Du natürlich ein Backup. Das könnten vermutlich auch Wiederherstellungscodes sein oder das alte Passwort. Die Annahme, dass man sich nur noch über diese eine Möglichkeit einloggen kann und jegliche Alternativen und Wiederherstellungsmöglichkeiten wegfallen, kann ich nicht nachvollziehen.
Aber selbstverständlich ist es weniger komfortable, einen Securetoken (z. B. Nitrokey, Yubikey usw.) einzurichten, immer dabei zu haben und Backups einzurichten. Daher hat Google das aufgeweicht und synchronisiert „irgendwie“ die privaten Schlüssel doch, sodass ein Gerätewechsel (und Backup?) möglich ist und das Smartphone ausreicht.
Ich bleibe beim Loginname und Passwort. Die braucht man auch um an die Passkeys heran zu kommen. Und für die Fernzugriff gibt es SSH-Keys, was im Endeeffekt das Grundmodell von Passkeys ist?
Beunruhigend ist mit welchem Nachdruck das durchgesetzt werden soll. Da gehen die Alarmglocken an. Google will selten Gutes für uns, meistens geht es darum was gut für Google ist. Den Leuten Chrome anzudrehen ist für Google zum Beispiel gut, der lädt die Werbung schneller und belegt viel RAM (den Google nicht zahlen muss) und hat keine Ad-Blocker. Und wehe man hat keinen Google Account, dann macht die Googlesuche jedes mal auf das neue Druck.
Soll heissen. Ich habe nichts gegen die Idee SSH-Keys für normale Leute auszurollen. Aber die Firmen dahinter haben einen schlechten Leumund.