Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann. Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre… Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird. Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen. Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^ Danke dir für die Informationen.
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden. Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Ich hatte den Familienoberhauptvogel schon fast vergessen! Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D Familienoberhauptvogel, alter ... xD
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder? Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
cooles Video !=) Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren. Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht" Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏 Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey? Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind? Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen. Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
Du musst dann das Handy ganz stark, so richtig richtig mit Anlauf, vor die Stirn hauen. Klappt in 50% der Fälle, wenn es also beim ersten Mal nicht klappt einfach nochmal, nur noch etwas härter zuschlagen!
Mit dem Release von Android 14 kommt der Support von Drittanbietern wie Bitwarden. Über die Kompatiblitätsbibliothek kann die Funktion dann auch wieder von älteren Android Versionen genutzt werden, wenn ich alles richtig verstanden habe.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
Gibt es eine Empfehlung für den richtigen USB -Key oder Hinweise wie man Gute identifizieren kann. Zum Beispiel das sie Fido2 kompatibel sind oder so? Auch schön wäre, wenn du zeigst, wie man einen physischen Schlüssel klont, damit man auch beide Schlüssel zum selben Zweck verwenden kann. Oder wird das in der Software geregelt?
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
Wie ist das eigentlich mit dem Fido2 Key? Kann ich hier einen Fido2-Stick für alles verwenden? Oder muss ich für jeden Zugang einen eigenen Fido2-Stick haben?
Wie läuft es dann ab wenn man Passkeys in Google genutzt hat und dann auf Apple Produktw umsteigt. Dann sind die Accounts auch weg. Oder gibt es eine Möglichkeit die Passkeys zwischen Google und IOs zu schieben?
gibt es externe Fingerprinter? ich meine hardware die per USB-C einfach in ein Smartphone gesteckt werden können im USB-Stick-Format die quasi einen Ersatz-authenticator sein können?!
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
Aber Asymetrische Systeme WIE PGP oder SSL etc ist ja nix neues aber was ist wenn man z.b sein Handy Verliert auf dem die Private Keys sind oder neues Handy bekommt oder irgendwas passiert weshalb der Zugang zu den Priv. Keys verloren geht.. dann muss google etc ja doch wieder ran.
Moin! Ich finde das nicht so gut, weil ich den Fingerabdruck und den Iris- oder Gesichtsscan schon sehr persönlich finde. Aber egal, wir machen das und nun. Die Unternehmen haben jetzt unseren Fingerabdruck oder Scan und den Privat-Key. Jetzt könnten sie sich doch in jeden unserer Accounts anmelden. Oder versehe ich hier etwas nicht?
Ich sehe da andere Probleme. Wenn mein Passwort kompromittiert wird, dann habe ich sehr sehr sehr viele Möglichkeiten dieses zu ändern. Wenn mein Fingerabdruck kompromittiert wird, kann ich es max. 9 Mal ändern, wenn mein Iris Abdruck kompromittiert wird habe ich genau 0 Möglichkeiten den zu ändern. Ich wäre sehr vorsichtig damit wo ich meine Biometrischen Daten rausgebe. Wenn derjenige damit unsorgsam umgeht, habe ich ein echtes und teilweise nicht zu korrigierendes Problem.
Geräte speichern nicht den Fingerabdruck selbst, sondern nur eine mathematische Repräsentation (eine Art "Hash") des Fingerabdrucks, die es zwar erlaubt zu prüfen, ob der aufgelegte Finger dem Gespeicherten entspricht, aber nicht, den Fingerabdruck selbst zu rekonstruieren. Außerdem ist diese nur auf dem Gerät selbst gespeichert. Daher haben Unternehmen nicht unseren Fingerabdruck. Bzgl. des Private Keys: Zumindest bei Apple ist es so, dass der private Schlüssel, der für Passkeys/WebAuthn genutzt wird, nur end-to-end verschlüsselt synchronisiert wird. Daher haben Unternehmen auch keinen Zugriff auf den privaten Schlüssel. (Beide Sachen können jeweils in Apples "Security Whitepaper" nachgelesen werden)
@@patricksteffen9038Ich dachte der private Schlüssel verlässt nie das Gerät, sondern es wird eine Anfrage gestellt, ob der private Schlüssel zu dem public key passt. Liege ich damit falsch?
Bisher sind diese Passkeys bei mir immer nicht zweckmäßig. Gefühlt 2 von 3 mal soll ich einen neuen erstellen (und brauche dazu mein Passwort) und vielleicht einmal funktioniert dann einer dieser keys…
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
ich verstehe nicht warum man bei passkeys es nicht so macht wie bei einer hardware wallet und das mit einem Passwort o. biometric verbindet. Wenn das Gerät verloren oder kaputt geht gibt man einfach 12/24 Worte ein und alles ist wieder hergestellt. ? ...
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier. Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
PGP und SSH lässt grüßen. Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account. Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@SoulRanger84Toll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Frage : habe das mal getestet bei einer Seite. War easy. Habe aber die Möglichkeit weiterhin mich mit Passwort anzumelden ist das dann nicht sinnlos passkeys einzurichten wenn es weiterhin mit Passwort geht ? iOS Danke
Du hast völlig Recht, solange es noch die Möglichkeit gibt sich außer mit dem Passkey auch mit einem Password anzumelden, hebelt das Password die zusätzliche Sicherheit von Passkeys aus. Bei Microsoft kann man sein Konto inzwischen auf "Passwordlos" umstellen.
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts. Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Ich verstehe nicht, was passiert, wenn jemand einen Dienst von verschiedenen Geräten aus nutzen möchte? Ich möchte mich vielleicht von meinem Android Telefon, Tablet Aple oder Linux-Computer aus anmelden. Wo wird es dann mein Passkey gespeichert? 🤔
Wenn Du keinen Systemübergreifenden Passwordmanager oder die Synchronisation von Apple oder Microsoft nutzt, dann musst Du jedes Gerät für jeden Dienst registrieren. Die Schlüssel werden dann lokal auf den Geräten gespeichert.
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
Darf ich fragen … der private Schlüssel muss doch an die Website gesendet werden, damit geprüft wird ob‘s stimmt? Also ist es doch der selbe Müll als wenn ich ein random Passwort durch die Gegend sende. Im Video wurde nicht erklärt was mit den private key nun genau passiert ?
@@TheMorpheusTutorials Schon klar, aber WARUM. Was genau passiert da? Die Gegenstelle will doch irgendwas haben, etwas womit Sie das Validieren kann! Sonst könnt ja jedes Handy hinkommen und sagen "Is Okay, wir haben den richtigen Private Key, Versprochen! "
@@chipsmaster450 Hierbei vermischt du etwas das Thema asynchrone/asymmetrische Verschlüsselung. Zu einer solchen Verschlüsselung erstellst du immer ein Schlüsselpaar, ein Privaten und einen Public Key. wenn du nun eine Nachricht mit mir tauschen wollen würdest: nimmst du meinen Public Key (also den offenen bekannten Key) und verschlüsselst damit mit einem Algorithmus die Nachricht. Nun kann niemand die Nachricht entschlüsseln, es sei denn es ist derjenige mit dem Private Key, also ich. Nur mit dem Private Key den nur ich habe, kann die Nachricht nach spezifischen Algorithmus wieder entschlüsselt werden, wo kein Datenmüll entsteht.
Hab mal eine Frage: Wenn ich jetzt zb bei Google den passkey aktiviere, kann sich dann ein hacker trotzdem noch über mein passwort Zugriff verschaffen?
was wenn ich ahndy daheim vergesse iwo 400km weit weg bin und eltern anrufen muss die mir daten vom handy weitergeben müssen oder nen kumpel bei dem ich das handy vllt vergesse??? die kommen nicht rein ohne ein passwort
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen. Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde. Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren. So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht. Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Wäre ja irgendwie logischer den Fingerabdrucksensor mit der email ans neue Gerät zu senden 😅 den finger haben se dann Trotzdem nicht . Und dann szellt sich mir die frage wann der sichere Bereit gehackt wird xD oder seh ich den fehle4 nicht?😅
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
1. Wird (wenn) nur bei Neu angelegten Accounts funktionieren. 2. Haben sehr viele Handys keinen Biometric Scan. 3. Support von Big Companys, gibt's schon lange nur noch von Chat Software. 4. Die Sperrung der Passwortfunktion, würde ca 70-80% der Accounts unbrauchbar machen! Was quasi Selbstzerstörung wäre!
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
Jetzt bin ich verwirrt... als erster sagst du das Apple das System noch verschlechtert hat für passkey und wenn ich es Richtig verstanden hab, sagst Du das man es doch nutzen soll? Und zu Passwörter hätt ich glatt noch eine Frage. Du empfiehlst ja Bitwarden und als email protonmail. Jetzt hab ich beides aber protonmail hat auch einen Passwortmannager. Ist der genausogut wie Bitwarden oder sollte ich eher bei Bitwarden bleiben? Mittlerweile bin ich mehr verwirrt als vor dem gucken der Videos 🤣
Rückschritt von MFA auf einen unsicheren Faktor… schon vergessen, wie schnell Fingerabdrücke und Gesichtserkennung geknackt wurden? Vertrauen auf einem TPM Chip, von dem Du genau gar nichts weißt? Ggü Konzernen, die (nicht nur) in den USA an die Behörden liefern müssen?
@@SoulRanger84 Völlig einverstanden… Wenn jetzt der private Key in der Cloud landet oder aus einem TPM Chip aufgrund von Backdoors gestohlen oder nach der Generierung auf dem Weg in den TPM Chip ausgeleitet wird, braucht man nur noch deinen Fingerabdruck oder dein Gesicht und kann deine Identität annehmen. Keine große Sache, wenn der Gegner es will oder schlicht das Recht zur Zwangsentsperrung hat wie in D die Polizei. Die nimmt einfach dein Gesicht oder Finger und gut. Lies mal die Berichte dazu, das geht seit einiger Zeit. Im übrigen braucht man nicht deinen Fingerabdruck oder Gesicht, sondern die Prüfroutine muss dem BS ein ok zurückmelden.
7:35 einen Security Key ? Ich hab inzwischen 3 Stück. 2x einen Yubikey 5 NFC, und einen Gotrust IDEM. Der Gotrust unterstützt zu einem Fairen Preis, im Gegensatz zu den Yubi 5, auch FIDO2 / FIPS 140-2 , und den kann ich dadurch auch bei uns in Österreich für Behördenlogin nutzen(neben Passkey am iphone). Der Gotrust kostet rund 35€, der Yubi 5 FIPS ca 90€. Da fiel die Wahl leicht
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft. Noch mehr Kontrolle für Google? Nein.
Da ich keine biometrischen Sachen nutze.. nö. Und Ubikey? für den absurd überzogenen Preis? doppelt nö. Außerdem ist das das Einfallstor für eindeutige Identifizierung aka Tracking.
Hi Morpheus, Wenn ich an meinem PC oder im Browser nen key logger habe und meinen geheimen key eintippe ist das doch auch sofort hinfällig.. ich verstehe den Unterschied zu nem Passwort nicht 😂
@@AuftragschilIer genau ich hab nicht verstanden, wie diese Magie funktioniert. 4stelliger Windows Hello, General Password, Fingerprint, Gesichtserkennung… keine Ahnung was Morpheus hier erzählt hat.
Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
Danke!
Ich danke dir vielmals ❤️
Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
genau das sehe ich auch
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
Wer Google zu wichtig nimmt, hat die Kontrolle über sein Leben verloren...
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Jetzt hätte ich ja gerne ein Video dazu, wie man solche keys einrichtet und nutzt. Das wär klasse.
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zehen sollten auch gehen ;)
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
@@fibisworld7717jemand der den physischen Schlüssel zu deinem Haus hat, kommt auch hinein 🤷🏼♂️
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Hallo Cedric
Kannst du bitte mal Proton Pass
durchleuchten.
Wie sicher dieser kostenlose Dienst ist.
Danke für deinen tollen Content
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
@marcelzimmermann... Nebeneffekt + Ökosystem !!
Kannst du eventuell noch drauf eingehen was es bedeutet passkeys mit Passwort Managern wie 1Password zu nutzen?
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
Kann man beides gleichzeitig nutzen? Also Passkeys und einen physischen Schlüssel?
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Und was ist mit dem Thema Face ID und Fingerprint als Sicherheitstechnische Katastrophe?
Exakt, was ich mich fragte. Fingerprint relativ einfach fakebar...
4:47 Wieso? Es gibt doch auch Windows Hello, sodass man sich doch auch mit den biometrischen Scannern seines Windows-Laptops einloggen kann …
Sehr gut erklärt, mit Vor- und Nachteilen, sowie Ausblick. Außerdem geiles T-Shirt :D
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Natürlich geht es darum! Irgendwie muss man die ganzen Verschwörungstheoretiker in den Griff bekommen.
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@coloneljacensolo2011Wenn der private Schlüssel beim Anbieter gespeichert wird, dann braucht man eben keinen Zugriff aufs Smartphone.
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann.
Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre…
Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird.
Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Würde für Passwörter in Passwortmanagern ja auch gelten!
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen.
Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^
Danke dir für die Informationen.
@@crowATlinux
Nein bist Du nicht. Wer Apple, Google und staatlichen Akteuren vertraut hat die Kontrolle über seine Daten schon verloren 🙈
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden.
Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Geht bei iPhones schon.
weiß nich schreckt mich dennoch ab das wenn das smartphone stirbt das man an nichts mehr rankommt.Leider für mich keiner zukunftsichere alternative
Danke für den Beitrag. Sehr aufschlussreich und hilfereich.
verstehe ich das richtig, dass passkeys auch fingerprint/face-id benötigen?
schön wie das Video einfach 13:37 Minuten lang ist. Premium Content.
5:19 nicht in Deutschland und schon gar nicht in offiziellen Dokumenten der Stadt/Verwaltung/Finanzamt...
Ich hatte den Familienoberhauptvogel schon fast vergessen!
Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D
Familienoberhauptvogel, alter ... xD
Ein Stück goldene Geschichte 😁
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder?
Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
cooles Video !=)
Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Kannst du mal ein Tutorial zu den Yubikeys machen? Habe schon lange einen, nutze den aber kaum.
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber
ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren.
Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht"
Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
Passwort ist immer beste
Bankkonto geplättet .. da hilft ein offline sparbuch ...
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
Wie geht Sync Android PC und local Backup? Sonst macht es alles keinen Sinn.
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏
Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey?
Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind?
Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen.
Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
Wie schaut es aus wenn das Handy verliert oder kaputt geht durch ein Unfall, Wasserschaden, runtergefallen, usw.?
8:13 auch interessant: wie komm ich rein wenn ich nurnoch mein Smartphone habe, aber keine Finger (mehr)?
Wenn du in deinem Smartphone alternative Logins konfiguriert hast (über PIN, FaceID, etc) so, ansonsten - wie kommst du in dein Handy rein? ;)
Du musst dann das Handy ganz stark, so richtig richtig mit Anlauf, vor die Stirn hauen. Klappt in 50% der Fälle, wenn es also beim ersten Mal nicht klappt einfach nochmal, nur noch etwas härter zuschlagen!
@@nojomyth nase
Wie synchronisiert man die privaten Passkeys zwischen einem Windows 10 PC, einem Android 13 Smartphone und einem Android 13 Tablet?
Mit dem Release von Android 14 kommt der Support von Drittanbietern wie Bitwarden. Über die Kompatiblitätsbibliothek kann die Funktion dann auch wieder von älteren Android Versionen genutzt werden, wenn ich alles richtig verstanden habe.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
Also würdest du es am Ende trotzdem empfehlen, für beispielsweise PayPal usw. Passkey einzurichten?
Kann man nicht die Passkeys zusätzlich zum Passwort und 2FA nutzen oder muss man sich zwischen einem der beiden entscheiden?
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
2:16 was ist das für eine geile TFA-App?
Gibt es eine Empfehlung für den richtigen USB -Key oder Hinweise wie man Gute identifizieren kann. Zum Beispiel das sie Fido2 kompatibel sind oder so? Auch schön wäre, wenn du zeigst, wie man einen physischen Schlüssel klont, damit man auch beide Schlüssel zum selben Zweck verwenden kann. Oder wird das in der Software geregelt?
Funktioniert PassKeys auch dann auf Xiaomi, Honor, Huawei etc?
was machen wenn meine Geräte für Passkeys nicht geeignet sind ?kann ich dann meine Passwörter weiter nutzen ?
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
Was tun gegen überfälle die mich KO schlagen und mit meinem fingerabdruck zugang auf ALLES von mir bekommen?
Wie ist das eigentlich mit dem Fido2 Key? Kann ich hier einen Fido2-Stick für alles verwenden? Oder muss ich für jeden Zugang einen eigenen Fido2-Stick haben?
Der speichert für jeden Zugang einen eigenen Schlüssel ab. Deshalb auch die "Notwendigkeit " des Backups.
Wie läuft es dann ab wenn man Passkeys in Google genutzt hat und dann auf Apple Produktw umsteigt. Dann sind die Accounts auch weg. Oder gibt es eine Möglichkeit die Passkeys zwischen Google und IOs zu schieben?
Du kannst bei den Diensten einen weiteren Passkey registrieren, zusätzlich zum hoffentlich schon hinterlegten Backup-Key.
gibt es externe Fingerprinter? ich meine hardware die per USB-C einfach in ein Smartphone gesteckt werden können im USB-Stick-Format die quasi einen Ersatz-authenticator sein können?!
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
Aber Asymetrische Systeme WIE PGP oder SSL etc ist ja nix neues aber was ist wenn man z.b sein Handy Verliert auf dem die Private Keys sind oder neues Handy bekommt oder irgendwas passiert weshalb der Zugang zu den Priv. Keys verloren geht.. dann muss google etc ja doch wieder ran.
interessant *u** wird als Schimpfwort erkannt und UA-cam gibt mir ne Fehlermeldung: konnte nicht gesendet werden.
Moin!
Ich finde das nicht so gut, weil ich den Fingerabdruck und den Iris- oder Gesichtsscan schon sehr persönlich finde. Aber egal, wir machen das und nun. Die Unternehmen haben jetzt unseren Fingerabdruck oder Scan und den Privat-Key. Jetzt könnten sie sich doch in jeden unserer Accounts anmelden. Oder versehe ich hier etwas nicht?
Ich sehe da andere Probleme. Wenn mein Passwort kompromittiert wird, dann habe ich sehr sehr sehr viele Möglichkeiten dieses zu ändern. Wenn mein Fingerabdruck kompromittiert wird, kann ich es max. 9 Mal ändern, wenn mein Iris Abdruck kompromittiert wird habe ich genau 0 Möglichkeiten den zu ändern. Ich wäre sehr vorsichtig damit wo ich meine Biometrischen Daten rausgebe. Wenn derjenige damit unsorgsam umgeht, habe ich ein echtes und teilweise nicht zu korrigierendes Problem.
@Niki-hz9ct Korrekt, Du verstehst da leider was nicht! Aber macht nix, @paulbeck3550 hats auch nicht verstanden. Ihr seid also unter Euch ;)
Geräte speichern nicht den Fingerabdruck selbst, sondern nur eine mathematische Repräsentation (eine Art "Hash") des Fingerabdrucks, die es zwar erlaubt zu prüfen, ob der aufgelegte Finger dem Gespeicherten entspricht, aber nicht, den Fingerabdruck selbst zu rekonstruieren. Außerdem ist diese nur auf dem Gerät selbst gespeichert. Daher haben Unternehmen nicht unseren Fingerabdruck.
Bzgl. des Private Keys: Zumindest bei Apple ist es so, dass der private Schlüssel, der für Passkeys/WebAuthn genutzt wird, nur end-to-end verschlüsselt synchronisiert wird. Daher haben Unternehmen auch keinen Zugriff auf den privaten Schlüssel. (Beide Sachen können jeweils in Apples "Security Whitepaper" nachgelesen werden)
@@patricksteffen9038 Vollkommen korrekt, vorausgesetzt Apple speichert den E2E Schlüssel nicht mit im Backup ;)
@@patricksteffen9038Ich dachte der private Schlüssel verlässt nie das Gerät, sondern es wird eine Anfrage gestellt, ob der private Schlüssel zu dem public key passt. Liege ich damit falsch?
Also PayPal hat Passkey wieder entfernt. Weiß einer wieso?
Bisher sind diese Passkeys bei mir immer nicht zweckmäßig.
Gefühlt 2 von 3 mal soll ich einen neuen erstellen (und brauche dazu mein Passwort) und vielleicht einmal funktioniert dann einer dieser keys…
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
Mit so einem NFC Chip, kann man ja auch autoladesäulen freischalten. Warum dann auch nicht so. Der einfachste Weg ist doch manchmal der beste. Cheers.
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
Was genau wird im Chip gespeichert? Das Schlüsselpaar wird für jede Webseite einzeln erzeugt, die können es nicht sein.
Hey finde Passkeys sehr interessant, könntest du ein Video machen wie man Passkeys mit einem Sicherheitsschlüssel macht wie zb. dem Yubikey?
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
ich verstehe nicht warum man bei passkeys es nicht so macht wie bei einer hardware wallet und das mit einem Passwort o. biometric verbindet. Wenn das Gerät verloren oder kaputt geht gibt man einfach 12/24 Worte ein und alles ist wieder hergestellt. ? ...
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier.
Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
@@Evil_Morty1337Die passwortlose Anmeldung bei Microsoft funktioniert nur mit dem Google-Authenticator.
so kompliziert erklärt das da die oma am anfang schon nicht mitgekommen ist😂😂😂
PGP und SSH lässt grüßen.
Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account.
Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@IkmaLPCTund genau da beginnt das Problem.
Bis alles erfasst ist und schön in digitale social/öko scores verrechnet werden kann....
@@SoulRanger84Toll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Frage : habe das mal getestet bei einer Seite. War easy. Habe aber die Möglichkeit weiterhin mich mit Passwort anzumelden ist das dann nicht sinnlos passkeys einzurichten wenn es weiterhin mit Passwort geht ?
iOS
Danke
Du hast völlig Recht, solange es noch die Möglichkeit gibt sich außer mit dem Passkey auch mit einem Password anzumelden, hebelt das Password die zusätzliche Sicherheit von Passkeys aus. Bei Microsoft kann man sein Konto inzwischen auf "Passwordlos" umstellen.
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts.
Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Ich verstehe nicht, was passiert, wenn jemand einen Dienst von verschiedenen Geräten aus
nutzen möchte? Ich möchte mich vielleicht von meinem Android Telefon, Tablet Aple oder Linux-Computer aus anmelden. Wo wird es dann mein Passkey gespeichert? 🤔
Wenn Du keinen Systemübergreifenden Passwordmanager oder die Synchronisation von Apple oder Microsoft nutzt, dann musst Du jedes Gerät für jeden Dienst registrieren. Die Schlüssel werden dann lokal auf den Geräten gespeichert.
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
Darf ich fragen … der private Schlüssel muss doch an die Website gesendet werden, damit geprüft wird ob‘s stimmt? Also ist es doch der selbe Müll als wenn ich ein random Passwort durch die Gegend sende. Im Video wurde nicht erklärt was mit den private key nun genau passiert ?
Ne, der private Key bleibt bei dir
@@TheMorpheusTutorials Schon klar, aber WARUM. Was genau passiert da? Die Gegenstelle will doch irgendwas haben, etwas womit Sie das Validieren kann! Sonst könnt ja jedes Handy hinkommen und sagen "Is Okay, wir haben den richtigen Private Key, Versprochen! "
@@chipsmaster450 Hierbei vermischt du etwas das Thema asynchrone/asymmetrische Verschlüsselung. Zu einer solchen Verschlüsselung erstellst du immer ein Schlüsselpaar, ein Privaten und einen Public Key.
wenn du nun eine Nachricht mit mir tauschen wollen würdest:
nimmst du meinen Public Key (also den offenen bekannten Key) und verschlüsselst damit mit einem Algorithmus die Nachricht. Nun kann niemand die Nachricht entschlüsseln, es sei denn es ist derjenige mit dem Private Key, also ich. Nur mit dem Private Key den nur ich habe, kann die Nachricht nach spezifischen Algorithmus wieder entschlüsselt werden, wo kein Datenmüll entsteht.
Danke also genau anders rum ? Es wird eine Nachricht verschlüsselt und ich muss dann sagen wie das Ergebnis ist. Das macht nun Sinn
Hab mal eine Frage: Wenn ich jetzt zb bei Google den passkey aktiviere, kann sich dann ein hacker trotzdem noch über mein passwort Zugriff verschaffen?
was wenn ich ahndy daheim vergesse iwo 400km weit weg bin und eltern anrufen muss die mir daten vom handy weitergeben müssen oder nen kumpel bei dem ich das handy vllt vergesse??? die kommen nicht rein ohne ein passwort
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen.
Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde.
Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren.
So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
Wer ist eigentlich Dein Zielpublikum?
Ab etwa 11:20 verstehe ICH eigentlich nur noch Bahnhof 🤔
Warum eigentlich unbedingt Biometriedaten u. nicht irgendwelche physischen Schlüssel, wovon der ein oder andere im Safe als BU liegt?
Das mit dem private und public Schlüssel gibt es in der Linuxwelt seit eh und je, nichts neues also.
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
Passwörter sind ersetzbar, biometrische Daten sind einzigartig. Wenn diese einmal kompromittiert werden, dann Prost-Mahlzeit.
Wie sollen die kompromittiert werden, wenn sie das Gerät nicht verlassen? Außerdem ist die Nutzung von Passkeys nicht an Biometrie gebunden.
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht.
Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Dann schaffe dir doch yubi keys an oder eine der vielen alternativen.
Ich fände es toll, wenn du gerade zum Thema webauthn ein Video Tutorial machen könntest.
Wäre ja irgendwie logischer den Fingerabdrucksensor mit der email ans neue Gerät zu senden 😅 den finger haben se dann Trotzdem nicht .
Und dann szellt sich mir die frage wann der sichere Bereit gehackt wird xD oder seh ich den fehle4 nicht?😅
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
Nein. Du hast es nur nicht verstanden. Selbstverständlich hat jeder Dienst einen eigenen Schlüssel.
Find's gut, dass die Videolänge 13:37 ist
1. Wird (wenn) nur bei Neu angelegten Accounts funktionieren.
2. Haben sehr viele Handys keinen Biometric Scan.
3. Support von Big Companys, gibt's schon lange nur noch von Chat Software.
4. Die Sperrung der Passwortfunktion, würde ca 70-80% der Accounts unbrauchbar machen!
Was quasi Selbstzerstörung wäre!
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
Jetzt bin ich verwirrt... als erster sagst du das Apple das System noch verschlechtert hat für passkey und wenn ich es Richtig verstanden hab, sagst Du das man es doch nutzen soll? Und zu Passwörter hätt ich glatt noch eine Frage. Du empfiehlst ja Bitwarden und als email protonmail. Jetzt hab ich beides aber protonmail hat auch einen Passwortmannager. Ist der genausogut wie Bitwarden oder sollte ich eher bei Bitwarden bleiben? Mittlerweile bin ich mehr verwirrt als vor dem gucken der Videos 🤣
Rückschritt von MFA auf einen unsicheren Faktor… schon vergessen, wie schnell Fingerabdrücke und Gesichtserkennung geknackt wurden?
Vertrauen auf einem TPM Chip, von dem Du genau gar nichts weißt? Ggü Konzernen, die (nicht nur) in den USA an die Behörden liefern müssen?
@@SoulRanger84
Völlig einverstanden…
Wenn jetzt der private Key in der Cloud landet oder aus einem TPM Chip aufgrund von Backdoors gestohlen oder nach der Generierung auf dem Weg in den TPM Chip ausgeleitet wird, braucht man nur noch deinen Fingerabdruck oder dein Gesicht und kann deine Identität annehmen. Keine große Sache, wenn der Gegner es will oder schlicht das Recht zur Zwangsentsperrung hat wie in D die Polizei. Die nimmt einfach dein Gesicht oder Finger und gut. Lies mal die Berichte dazu, das geht seit einiger Zeit.
Im übrigen braucht man nicht deinen Fingerabdruck oder Gesicht, sondern die Prüfroutine muss dem BS ein ok zurückmelden.
7:35 einen Security Key ? Ich hab inzwischen 3 Stück. 2x einen Yubikey 5 NFC, und einen Gotrust IDEM. Der Gotrust unterstützt zu einem Fairen Preis, im Gegensatz zu den Yubi 5, auch FIDO2 / FIPS 140-2 , und den kann ich dadurch auch bei uns in Österreich für Behördenlogin nutzen(neben Passkey am iphone). Der Gotrust kostet rund 35€, der Yubi 5 FIPS ca 90€. Da fiel die Wahl leicht
Sry für Doppel Post die YT App spackt bisschen Rum auf Android mit: Text verwerfen oder weiterschreiben 😢
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft.
Noch mehr Kontrolle für Google? Nein.
Woher kommt diese Firma coursera ?? 🤔
Da ich keine biometrischen Sachen nutze.. nö. Und Ubikey? für den absurd überzogenen Preis? doppelt nö.
Außerdem ist das das Einfallstor für eindeutige Identifizierung aka Tracking.
Hi Morpheus,
Wenn ich an meinem PC oder im Browser nen key logger habe und meinen geheimen key eintippe ist das doch auch sofort hinfällig.. ich verstehe den Unterschied zu nem Passwort nicht 😂
Wieso tippen? Ich glaub du hast absolut gar nichts verstanden. XD
Es gibt keinen Key mehr der übermittelt wird.
@@AuftragschilIer genau ich hab nicht verstanden, wie diese Magie funktioniert. 4stelliger Windows Hello, General Password, Fingerprint, Gesichtserkennung… keine Ahnung was Morpheus hier erzählt hat.
Wieso ziehst das eine a so. Die Betonung liegt doch auf ss wie Pass 😅
Ich benutze auch 2FA und frage mich wie sicher das ganze ist… man braucht ja im Prinzip auch Zugang zu dem Account und los gehts.
Schön zusehen das du auch ein "Montagsmaler" bist
Warum wird in diesem Video verschwiegen, dass Microsoft sich mit Windows auch aktiv an der Einführung von Passkeys beteiligt?
Angriffsvektor Gerätewechsel?
Jup, genau das