Google Passwortmanager: Automatische Umstellung auf Passkeys kommt auf Android
von caschy | 16 Kommentare
Die Zukunft des sicheren Anmeldens liegt angeblich in Passkeys – darüber sind sich viele einig. Google treibt die Entwicklung nun weiter voran und rollt aktuell ein interessantes Feature für Android-Nutzer aus. Der Google Passwortmanager kann künftig Passwörter automatisch in Passkeys umwandeln, sofern die entsprechende Website oder App diese Technologie unterstützt.
Die Umwandlung erfolgt nach dem Abnicken automatisch beim nächsten Login auf einer kompatiblen Seite. Nutzer müssen sich nicht mehr manuell durch Einstellungen klicken, um von klassischen Passwörtern auf Passkeys umzusteigen. Die Anmeldung funktioniert dann wahlweise per Fingerabdruck, Gesichtserkennung oder PIN-Eingabe.
Google arbeitet parallel an einer Import- und Export-Funktion für Passkeys. Dies soll den Wechsel zwischen verschiedenen Passwortmanagern oder Google-Konten deutlich vereinfachen. Die Synchronisation von Passkeys zwischen verschiedenen Geräten wurde erst im September 2024 in Chrome eingeführt.
Das Feature wird aktuell schrittweise ausgerollt. Nicht alle Nutzer sehen die neue Option sofort, dies deutet auf eine serverseitige Aktivierung hin. Wer nachsehen möchte, ob die Funktion bereits verfügbar ist, findet sie unter Einstellungen > Datenschutz & Sicherheit > Weitere Sicherheitseinstellungen > Autofill mit Google > Google Passwortmanager > Einstellungen (oder noch schneller über die Suche in den Einstellungen).
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
>> Die Anmeldung funktioniert dann wahlweise per Fingerabdruck, Gesichtserkennung oder PIN-Eingabe.
Ist es nicht eher so, dass man den Passkey-Speicher auf dem Gerät biometrisch oder per PIN freischaltet?
Ja und? Fingerabdruck und Gesichtserkennung sind doch biometrische Verfahren.
Vermutlich wollte Johann darauf hinaus, dass die eigentliche Anmeldung an einem Service eben nicht per biometrischem Verfahren oder PIN erfolgt sondern via Passkey.
Und das davorgeschaltete Entsperr-Verfahren (egal ob biometrisch oder PIN) nichts mit der Anmeldung an einem Service zu tun hat sondern lediglich (lokal) den Passkey-Store entsperrt. Dem dahinterliegenden Service ist es herzlich egal, ob der Passkey via Fingerabdruck, PIN, Stimmerkennung, auf einem Hardware-Dongle oder als Text-Strings in einem Passwort-Manager gespeichert abgelegt wären.
Wenn ich meinen regulären Passwort-Manager (mit AutoType, meinetwegen) biometrisch entsperre, findet die eigentliche Anmeldung am Service dennoch mit Username + Password statt, was dann automatisch für mich eingegeben wird. Das würde man ja auch nicht als „biometrische Anmeldung“ ansehen.
Danke, Dieter. Genau das war gemeint.
Leider verstehen viele Leute das Verfahren nicht und setzen Passkey mit „Biometrie“ gleich und lehen deshalb das Verfahren ab, weil sie der Meinung sind, ihre biometrischen Daten würden Apple, Google oder Microsoft weitergebeben.
aso, das is neu? Hans heute auch unter dem dev-tools gesehen. aber hab mir da nix weiter dabei gedacht. habs heute geschafft, dass ich meinen Passwortmanager vom Autofill Plugin getrennt hab. und da is mir aufgefallen, das es das auch schon gibt. hab ungefähr vor einem Monat mit passkeys Ind Authentifizierung begonnen. und momentan ist das Datenschutzrechtlich echt noch eine voll Katastrophe. vor allem wenn man wie ich ein Samsung Handy hat. einmal nicht aufgepasst und schon sehen wildfremden Menschen die persönlichsten Daten. am Anfang hab ich’s net Mal richtig gemerkt, dass andere meinen Medien Server anhören, meinen Soundcloud Account durchforsten und private Fotos begaffen. Samsung Handys sind da echt sehr mitteilungsbedürftig. ein gutes privacy-tool kann da echt viel wert sein. weil in meinem hobby Heimnetzwerk will ich auch keinen haben.
Wann und wie sehen wildfremde Menschen welche persönlichen Daten? Und was hat das mit Passkeys zu tun
Geht das auch verständlich?
Steh Passkeys leider sehr kritisch gegenüber, schlicht und ergreifend weil es viel zu komplex ist. Hatte die Tage eine Einladung zu einem Passkeys-Webinar bei Heise. Kosten 69,90€. Damit wäre dann auch alles gesagt. Ich bin äußerst technikaffin (sonst wäre ich nicht hier), aber selbst ich versteh nur einen Bruchteil des Systems, auch weil die Sprache bewusst kompliziert gehalten wird (Passkeys ist das neue Linux 😉 ). Wie willst Du das jemanden erklären, der keine Ahnung von Technik hat. Was macht der, wenn sein Smartphone ins Klo gefallen ist? Diverse Youtuber feiern ab, wie toll und sicher Passkeys ist, werden Sie aufgefordert nur ein einziges mal zu zeigen, was passiert, wenn ein Smartphone verloren geht, geklaut wird oder schlicht zerstört, dann ist die Luft raus. Und wenn es einer tut, dann wird es spannend, weil da widersprechen sich einige. Die Markenbindung zu Google, MS und Apple wird zudem noch viel mehr gestärkt. Verliere ich meine Zugang zu diesen Anbietern, bin ich auch bei allen anderen raus. Kritik ist übrigens überhaupt nicht gerne gesehen in den Foren. Naja, sind ja auch die größten Werbekunden, die gerne ihre Marktmacht behalten wollen.
Was ist daran so schwer zu verstehen? Wenn das Smartphone in Klo fällt, richte ich auf dem neuen Smartphone meinen Passwordmanager wieder ein und alles ist gut. Der Passwordmanager ist eine unabhängige Software ohne Verflechtungen zu Google, MS oder Apple. Zusätzlich nutze ich noch zwei YubiKeys. Einen habe ich am Schlüsselbund, der andere liegt sicher verwahrt an einem geheimen Ort
Das ist nicht normal. in der Regel nutzen User die Passwort Manager von Google bzw. Apple und haben keine YubiKeys.
Du bist da ein technischer Experte, ein Einhorn der Sicherheitstechnik.
Ursprüngliche Idee ist dass die Passkeys gerätegebunden sind, aber das war „zu kompliziert“ und jetzt werden die über die Cloud Synchronisiert.
Aber wenn dein Handy nicht mehr brauchbar ist, und du keine weiteren Geräte hast, kommst du halt ggf auch nicht mehr an deinen Google bzw Apple Account und entsprechend deine Passkeys dran.
>> Das ist nicht normal. in der Regel nutzen User die Passwort Manager von Google bzw. Apple und haben keine YubiKeys.
Ein Apple-Konto kannst Du per Passkey nur mit minimum zwei Hardware-Schlüsseln schützen.
>> Aber wenn dein Handy nicht mehr brauchbar ist, und du keine weiteren Geräte hast,
Dafür druckt man sich ja die Einmalkennworte (Google) bzw. den Wiederherstellungcode (Apple) aus, die bei der Einrichtung der Passkeys erzeugt werden.
Genau mit solch einer Reaktion hab ich gerechnet. Wie richtest Du deinen „Passwörtersafe“ ein, wenn Dir dein Schlüssel dazu ins Klo gefallen ist? Du musst diesen Schlüssel vorher auf irgendein Gerät kopiert haben (PC, Tablet oder spezielle USB-Sticks). Oder aber (und das haben nun ja auch Google und Co. gemacht), deine Anmeldung läuft weiterhin über ein „normales“ Passwort. Womit sich der eigentlich Sicherheitsvorteil gerade deutlich minimiert. Das ist übrigens derzeit auch die Hauptkritik an Passkeys (selbst bei Heise). Aber klär mich sachlich auf, anstatt persönlich zu werden.
>> Wie richtest Du deinen „Passwörtersafe“ ein, wenn Dir dein Schlüssel dazu ins Klo gefallen ist?
Entweder mit einem zweiten Gerät (bei mir zweites Handy oder iPad), mit einem Hardwarkey (bei mir 2 x Yubikey, 1 x Google Titan) oder mit den Einmal-Sicherheitscodes, die ich ausgedruckt und sicher verwahrt habe (bei mir 1Password, Google, Apple, Microsoft).
Ergänzung:
>> Du musst diesen Schlüssel vorher auf irgendein Gerät kopiert haben
Nein, es muss nicht „dieser“ Schlüssel sein, sondern „ein“ hinterlegter Schlüssel. Bei den meisten Diensten kann/muss man mehr als einen Passkey einrichten.
Hardwareschlüssel lassen sich nicht kopieren und bei den Softwarelösungen bin ich mir nicht ganz sicher, ob da tatsächlich die „nackten“ Schlüssel über die Cloud synchronisiert werden oder ein Container, der die Schlüssel enthält.
„dann ist die Luft raus.“
Dir hätte das Passkeys-Webinar bestimmt nicht geschadet.
Wenn „diverse Youtuber“ (ist das irgendein Begriff für Kompetenz oder Qualität?), das nicht wissen, hätte die vielleicht auch das Heise-Seminar besuchen sollen, anstatt Unsinn und/oder Unwissenheit zu verbreiten.