Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Ich hatte den Familienoberhauptvogel schon fast vergessen! Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D Familienoberhauptvogel, alter ... xD
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
Alles schön und gut.., nur hat eben nicht jeder Smartphone Nutzer Bock drauf, sämtliche biometrischen Daten seinem Smartphone und damit auch dem jeweiligen Hersteller anzuvertrauen....! Ich persönlich bevorzuge da eher die 2FA. Einfach und sicher.
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts. Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft. Noch mehr Kontrolle für Google? Nein.
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht. Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Prinzip nicht verstanden? Mit den biometrischen Daten wird der lokale "Tresor" aufgeschlossen, in dem die Schlüssel aufbewahrt werden, sie dienen nicht zu Anmeldung und verlassen ebenso wenig das Gerät wir die Schlüssel.
@@kayh4656 LOL. Und wo ist der Unterschied, ob ich den Schlüssel zum Aktenkoffer in der Hand an der Halskette trage, welcher erst den Zugangs-Schlüssel beinhaltet oder gleich den Zugangsschlüssel an der Halshette.trage? Wie auch immer: Biometrische Daten sind immer eine recht schlechte Idee zur Zugangssicherung. Ausnahme wäre evt. der Abdruck der kleinen Zehe oder die Pennis-Biometrie. Dann hat nur die (Ehe)frau und/oder Geliebte Zugang. ;)
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏 Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey? Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind? Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen. Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
ja krass. Ich bleibe beim Yubikey aber für die Massen ist es ok wenn nur Apple und Google das verwaltet. Ich werde das Gefühl nicht los dass die 2 großen den Dreibuchstabigen das Hintertürchen sichern wollen😂🙈 Paranoja läst grüßen…
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
@@hansmichel9693 Passkeys werden zur Anmeldung bei den von Dir benutzten Diensten (Amazon, Apple, Google, Microsoft u.s.w). genutzt. Der jeweilige Dienstanbieter hat den Öffentlichen Passkey und DU den wie sollte es anders sein, den Privaten Passkey. Diese beiden Passkeys werden miteinander verglichen und erst wenn diese übereinstimmen öffnet sich Dein mit diesem Passkey verknüpfte Konto (Google,Microsoft u.s.w). Als Tipp: Höre einfach mal den Podcast des BSI, Folgte 40 zum Thema PASSKEYS. Der Podcast ist sehr interessant und spannend zu hören.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen. Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde. Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren. So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird. Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen. Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^ Danke dir für die Informationen.
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden. Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder? Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann. Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre… Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
cooles Video !=) Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Auch ich bin ein rießiger Fan von Passkeys. Ich teile ähnliche Bedenken wie du, dass wir bis jetzt die privaten Schlüssel den großen Tech-Playern anvertrauen müssen. Als Familienadmin habe ich mich aber um die Einführung von FIDO USB-Sticks gedrückt, weil ich die Leute eh nicht überzeugt bekomme, dass sie zwei Sticks pflegen müssen. Alles was über zwei Aktionen erfordert, ist für den DAU mindestens eine Aktion zu viel und wird als unbrauchbar abgetan. Passkeys kümmern sich mehr oder weniger selbstständig um das Backup des Schlüsselbundes.
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren. Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht" Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
Du musst dann das Handy ganz stark, so richtig richtig mit Anlauf, vor die Stirn hauen. Klappt in 50% der Fälle, wenn es also beim ersten Mal nicht klappt einfach nochmal, nur noch etwas härter zuschlagen!
Schwerer und sicherer. 😂😂 Als ob. Man hat nur ein Gesicht und ein Finger. Passwörter kann man ändern, das Gesicht und den Finger nicht! Dann lieber ein Zwangs-Login oder Löschung des Accounts. Besonders dann, wenn man einen Account aufgedrängt bekommt wie bei Google bei Android Handys! Fazit: Ich möchte beim Passwort bleiben!
Ich bleibe schön bei den Passwörter, mir ist der Fingerabdruck einbisschen zu viel. Ich bräuchte wohl ein neues Handy um mich mit den Finger anmelden zu können.
Was passiert eigentlich wenn ich mein handy verliere? Dann ist meine biometrische Authentifizierungsmöglichkeit ja auch futsch.Dann habe ich auch keinen Zugriff auf nix mehr. Oder mein Handy geht kaputt.
@@coloneljacensolo2011 wenn ich ein einziges Smartphone habe und mich mit diesem am PC irgendwo verifizieren muss, und eben jenes Smartphone ins Klo fällt.Mal so gesagt.Was dann?
@@HD-t3i Du kannst auch ein Passkey auf dem PC (Windows)/Mac oder Notebook/Macbook erstellen. In beiden Fällen wird der Private Key im TPM-Modul (ist in den modernen Prozessoren von Intel und AMD schon integriert) bzw. das Pentant von den Apple-Rechnern gespeichert. Zum entsperren des TPM-Moduls wird unter Windows Windows Hello (PIN, Fingerabdruck, FIDO2-Sicherheitsschlüssel, Gesichtserkennung mit spezieller Kamera) verwendet. Ich denke nicht, dass auf einen Schlag alle Passkey-fähigen Geräte kaputt oder verloren gehen. Wenn eins der Geräte verloren oder kaputt gehen oder gestohlen werden, kann man von einen anderen Gerät aus den Public-Key des betreffenden Geräts löschen.
Du hast immernoch Backup oder Wiederherstellungs Codes. Die kannst du zb. ausdrucken und zu Hause sicher verwahren. Da die sonst nirgendwo verwendet werden, können sie ua. bei der Eingabe auch nicht abgefangen/abgefischt werden.
@@herkommlicheeigenmarke7989 DAS ist doch mal eine gute Antwort. Ich muss mich dazu mal noch etwas belesen. Allerdings ist das natürlich recht sinnfrei wenn nur eine Handvoll Anbieter dies verwenden. Wenn dann sollte diese Option überall angeboten werden. Also auch Foren etc. Bei Microsoft brauch ich keinen Login.Mein Ipad verwende ich nur als Zeichengerät und Smartphone(Android) auch nur weil es eben sein muss. Mails administriere ich selbst...da bleibt ja nix mehr übrig ;) Und alle anderen zig Logins funktionieren fast ausschliesslich über Passwörter.
Na wer diesen Firmen traut, der ist halt wieder abhängig von einer Technologie, die völlig intransparent ist. Dann könnte ich ja auch gleich mein Passwort an alle Firmen weiterleiten
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
PGP und SSH lässt grüßen. Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account. Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@SoulRanger84Toll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
Mit dem Release von Android 14 kommt der Support von Drittanbietern wie Bitwarden. Über die Kompatiblitätsbibliothek kann die Funktion dann auch wieder von älteren Android Versionen genutzt werden, wenn ich alles richtig verstanden habe.
Moin! Ich finde das nicht so gut, weil ich den Fingerabdruck und den Iris- oder Gesichtsscan schon sehr persönlich finde. Aber egal, wir machen das und nun. Die Unternehmen haben jetzt unseren Fingerabdruck oder Scan und den Privat-Key. Jetzt könnten sie sich doch in jeden unserer Accounts anmelden. Oder versehe ich hier etwas nicht?
Ich sehe da andere Probleme. Wenn mein Passwort kompromittiert wird, dann habe ich sehr sehr sehr viele Möglichkeiten dieses zu ändern. Wenn mein Fingerabdruck kompromittiert wird, kann ich es max. 9 Mal ändern, wenn mein Iris Abdruck kompromittiert wird habe ich genau 0 Möglichkeiten den zu ändern. Ich wäre sehr vorsichtig damit wo ich meine Biometrischen Daten rausgebe. Wenn derjenige damit unsorgsam umgeht, habe ich ein echtes und teilweise nicht zu korrigierendes Problem.
Geräte speichern nicht den Fingerabdruck selbst, sondern nur eine mathematische Repräsentation (eine Art "Hash") des Fingerabdrucks, die es zwar erlaubt zu prüfen, ob der aufgelegte Finger dem Gespeicherten entspricht, aber nicht, den Fingerabdruck selbst zu rekonstruieren. Außerdem ist diese nur auf dem Gerät selbst gespeichert. Daher haben Unternehmen nicht unseren Fingerabdruck. Bzgl. des Private Keys: Zumindest bei Apple ist es so, dass der private Schlüssel, der für Passkeys/WebAuthn genutzt wird, nur end-to-end verschlüsselt synchronisiert wird. Daher haben Unternehmen auch keinen Zugriff auf den privaten Schlüssel. (Beide Sachen können jeweils in Apples "Security Whitepaper" nachgelesen werden)
@@patricksteffen9038Ich dachte der private Schlüssel verlässt nie das Gerät, sondern es wird eine Anfrage gestellt, ob der private Schlüssel zu dem public key passt. Liege ich damit falsch?
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier. Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Hallo @Morpheus, ich bin vor kurzem auf diesen Kanal gestoßen, finde ihn sehr informativ. Auch des Thema mit Sicherheit, 2FA und Passkey. Eins verstehe ich allerdings nicht, weil ich mich noch nicht so tief mit dem Thema befasst habe. Aber werde durch solche Videos mehr und mehr für das Thema Sicherheit sensibilisiert. Danke dafür! Apple und Google haben doch dann meine kompletten und wichtigsten Daten was mich im Netz als Person von einer KI unterscheidet, oder? Irgendwie sehe ich das auch als hohes Risiko an, wenn ich zu einer AppleID einen Fingerabruch und ein Gesicht hinterlegen muss... Ist es wirklich sicher? Kann Apple nicht an meine Daten, weil Sie verschlüsselt sind (gibt doch bestimmt irgendwelche Backdoors, für FBI und ähnliche Strafverfolgungsbehörden) d.h. Hacker haben dann zukünftig nur noch ein Ziel. Apple, Google und Co. (wo mein PassKey synchronisiert ist) und dann hat man alle Daten vom Millionen von Nutzern.
Theoretisch sind die Passwörter nur in den Chips des jeweiligen Endgerätes, allerdings weiss keiner was es für Hintertüren gibt, wenn diese entdeckt werden muss auch immer ein Sicherheitsupdate nachgeschoben werden.
Wie ist das eigentlich mit dem Fido2 Key? Kann ich hier einen Fido2-Stick für alles verwenden? Oder muss ich für jeden Zugang einen eigenen Fido2-Stick haben?
Darf ich fragen … der private Schlüssel muss doch an die Website gesendet werden, damit geprüft wird ob‘s stimmt? Also ist es doch der selbe Müll als wenn ich ein random Passwort durch die Gegend sende. Im Video wurde nicht erklärt was mit den private key nun genau passiert ?
@@TheMorpheusTutorials Schon klar, aber WARUM. Was genau passiert da? Die Gegenstelle will doch irgendwas haben, etwas womit Sie das Validieren kann! Sonst könnt ja jedes Handy hinkommen und sagen "Is Okay, wir haben den richtigen Private Key, Versprochen! "
@@chipsmaster450 Hierbei vermischt du etwas das Thema asynchrone/asymmetrische Verschlüsselung. Zu einer solchen Verschlüsselung erstellst du immer ein Schlüsselpaar, ein Privaten und einen Public Key. wenn du nun eine Nachricht mit mir tauschen wollen würdest: nimmst du meinen Public Key (also den offenen bekannten Key) und verschlüsselst damit mit einem Algorithmus die Nachricht. Nun kann niemand die Nachricht entschlüsseln, es sei denn es ist derjenige mit dem Private Key, also ich. Nur mit dem Private Key den nur ich habe, kann die Nachricht nach spezifischen Algorithmus wieder entschlüsselt werden, wo kein Datenmüll entsteht.
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
was wenn ich ahndy daheim vergesse iwo 400km weit weg bin und eltern anrufen muss die mir daten vom handy weitergeben müssen oder nen kumpel bei dem ich das handy vllt vergesse??? die kommen nicht rein ohne ein passwort
Bisher sind diese Passkeys bei mir immer nicht zweckmäßig. Gefühlt 2 von 3 mal soll ich einen neuen erstellen (und brauche dazu mein Passwort) und vielleicht einmal funktioniert dann einer dieser keys…
Wie läuft es dann ab wenn man Passkeys in Google genutzt hat und dann auf Apple Produktw umsteigt. Dann sind die Accounts auch weg. Oder gibt es eine Möglichkeit die Passkeys zwischen Google und IOs zu schieben?
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
Frage : habe das mal getestet bei einer Seite. War easy. Habe aber die Möglichkeit weiterhin mich mit Passwort anzumelden ist das dann nicht sinnlos passkeys einzurichten wenn es weiterhin mit Passwort geht ? iOS Danke
Du hast völlig Recht, solange es noch die Möglichkeit gibt sich außer mit dem Passkey auch mit einem Password anzumelden, hebelt das Password die zusätzliche Sicherheit von Passkeys aus. Bei Microsoft kann man sein Konto inzwischen auf "Passwordlos" umstellen.
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
ich verstehe nicht warum man bei passkeys es nicht so macht wie bei einer hardware wallet und das mit einem Passwort o. biometric verbindet. Wenn das Gerät verloren oder kaputt geht gibt man einfach 12/24 Worte ein und alles ist wieder hergestellt. ? ...
@@svenlima ja und besonders wenn du dein Handy verlierst es geklaut wird oder deine Simkarte verlierst oder sie kaputt geht kommst du nicht mehr in deine Accounts obwohl du das passwort hast
Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
genau das sehe ich auch
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
Wer Google zu wichtig nimmt, hat die Kontrolle über sein Leben verloren...
Jetzt hätte ich ja gerne ein Video dazu, wie man solche keys einrichtet und nutzt. Das wär klasse.
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
Danke!
Ich danke dir vielmals ❤️
schön wie das Video einfach 13:37 Minuten lang ist. Premium Content.
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Sehr gut erklärt, mit Vor- und Nachteilen, sowie Ausblick. Außerdem geiles T-Shirt :D
Ich hatte den Familienoberhauptvogel schon fast vergessen!
Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D
Familienoberhauptvogel, alter ... xD
Ein Stück goldene Geschichte 😁
so kompliziert erklärt das da die oma am anfang schon nicht mitgekommen ist😂😂😂
Danke für den Beitrag. Sehr aufschlussreich und hilfereich.
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zehen sollten auch gehen ;)
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
@@fibisworld7717jemand der den physischen Schlüssel zu deinem Haus hat, kommt auch hinein 🤷🏼♂️
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
Wie schaut es aus wenn das Handy verliert oder kaputt geht durch ein Unfall, Wasserschaden, runtergefallen, usw.?
Hallo Cedric
Kannst du bitte mal Proton Pass
durchleuchten.
Wie sicher dieser kostenlose Dienst ist.
Danke für deinen tollen Content
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Kannst du eventuell noch drauf eingehen was es bedeutet passkeys mit Passwort Managern wie 1Password zu nutzen?
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
Alles schön und gut.., nur hat eben nicht jeder Smartphone Nutzer Bock drauf, sämtliche biometrischen Daten seinem Smartphone und damit auch dem jeweiligen Hersteller anzuvertrauen....!
Ich persönlich bevorzuge da eher die 2FA. Einfach und sicher.
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Geht bei iPhones schon.
Und was ist mit dem Thema Face ID und Fingerprint als Sicherheitstechnische Katastrophe?
Exakt, was ich mich fragte. Fingerprint relativ einfach fakebar...
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts.
Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
@marcelzimmermann... Nebeneffekt + Ökosystem !!
Kann man beides gleichzeitig nutzen? Also Passkeys und einen physischen Schlüssel?
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Hab seit 10 Jahren Das selbe Passwort und wurde noch nie gehackt :D
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft.
Noch mehr Kontrolle für Google? Nein.
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht.
Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Dann schaffe dir doch yubi keys an oder eine der vielen alternativen.
Login mit biometrischen Daten ist fast so, wie mit dem Passwort auf dem T-Shirt aufgedruckt herumzulaufen.
Die Verbindung zwischen Metallica-Shirt und Metallica als Passwort, kommt bestimmt häufiger vor als man vermuten mag. XD Fühlt sich wer erwischt?🤣
@@AuftragschilIer LOL, das wär mal einen Versuch wert, die Accounts aller Metallica-Konzert-Besucher versuchen zu hacken.
Prinzip nicht verstanden? Mit den biometrischen Daten wird der lokale "Tresor" aufgeschlossen, in dem die Schlüssel aufbewahrt werden, sie dienen nicht zu Anmeldung und verlassen ebenso wenig das Gerät wir die Schlüssel.
@@kayh4656 LOL. Und wo ist der Unterschied, ob ich den Schlüssel zum Aktenkoffer in der Hand an der Halskette trage, welcher erst den Zugangs-Schlüssel beinhaltet oder gleich den Zugangsschlüssel an der Halshette.trage?
Wie auch immer: Biometrische Daten sind immer eine recht schlechte Idee zur Zugangssicherung. Ausnahme wäre evt. der Abdruck der kleinen Zehe oder die Pennis-Biometrie. Dann hat nur die (Ehe)frau und/oder Geliebte Zugang.
;)
@@kayh4656daran glaube ich nicht.. ich wittere böses
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
Nein. Du hast es nur nicht verstanden. Selbstverständlich hat jeder Dienst einen eigenen Schlüssel.
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏
Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey?
Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind?
Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen.
Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
Das Thema klingt sehr interessant! Danke dir für das Video
ja krass. Ich bleibe beim Yubikey aber für die Massen ist es ok wenn nur Apple und Google das verwaltet.
Ich werde das Gefühl nicht los dass die 2 großen den Dreibuchstabigen das Hintertürchen sichern wollen😂🙈 Paranoja läst grüßen…
Das fühlst Du richtig, die haben bei Google und Co. eh schon eigene Büros (siehe Twitter).
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
@@Evil_Morty1337Die passwortlose Anmeldung bei Microsoft funktioniert nur mit dem Google-Authenticator.
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
weiß nich schreckt mich dennoch ab das wenn das smartphone stirbt das man an nichts mehr rankommt.Leider für mich keiner zukunftsichere alternative
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
@@hansmichel9693 Passkeys werden zur Anmeldung bei den von Dir benutzten Diensten (Amazon, Apple, Google, Microsoft u.s.w). genutzt. Der jeweilige Dienstanbieter hat den Öffentlichen Passkey und DU den wie sollte es anders sein, den Privaten Passkey. Diese beiden Passkeys werden miteinander verglichen und erst wenn diese übereinstimmen öffnet sich Dein mit diesem Passkey verknüpfte Konto (Google,Microsoft u.s.w).
Als Tipp:
Höre einfach mal den Podcast des BSI, Folgte 40 zum Thema PASSKEYS. Der Podcast ist sehr interessant und spannend zu hören.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
Was ist wenn ich das Gerät Wechsel, dann ist doch der passkey nicht mehr gültig oder?
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen.
Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde.
Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren.
So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
Passwörter sind ersetzbar, biometrische Daten sind einzigartig. Wenn diese einmal kompromittiert werden, dann Prost-Mahlzeit.
Wie sollen die kompromittiert werden, wenn sie das Gerät nicht verlassen? Außerdem ist die Nutzung von Passkeys nicht an Biometrie gebunden.
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird.
Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Würde für Passwörter in Passwortmanagern ja auch gelten!
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen.
Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^
Danke dir für die Informationen.
@@crowATlinux
Nein bist Du nicht. Wer Apple, Google und staatlichen Akteuren vertraut hat die Kontrolle über seine Daten schon verloren 🙈
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden.
Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
4:47 Wieso? Es gibt doch auch Windows Hello, sodass man sich doch auch mit den biometrischen Scannern seines Windows-Laptops einloggen kann …
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
Mit so einem NFC Chip, kann man ja auch autoladesäulen freischalten. Warum dann auch nicht so. Der einfachste Weg ist doch manchmal der beste. Cheers.
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
verstehe ich das richtig, dass passkeys auch fingerprint/face-id benötigen?
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder?
Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Natürlich geht es darum! Irgendwie muss man die ganzen Verschwörungstheoretiker in den Griff bekommen.
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@coloneljacensolo2011Wenn der private Schlüssel beim Anbieter gespeichert wird, dann braucht man eben keinen Zugriff aufs Smartphone.
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann.
Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre…
Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
schade, dass du auf Fragen nicht antwortest. Ansonsten gefällt mir den Kanal gut
Kannst du mal ein Tutorial zu den Yubikeys machen? Habe schon lange einen, nutze den aber kaum.
Hey finde Passkeys sehr interessant, könntest du ein Video machen wie man Passkeys mit einem Sicherheitsschlüssel macht wie zb. dem Yubikey?
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
cooles Video !=)
Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Fingerabdruck von einem Getränkeglas genommen und Handy geklaut => Zugriff auf ALLES!!!
Ich weiß nicht, ob ich das will.
Das mit dem private und public Schlüssel gibt es in der Linuxwelt seit eh und je, nichts neues also.
Auch ich bin ein rießiger Fan von Passkeys. Ich teile ähnliche Bedenken wie du, dass wir bis jetzt die privaten Schlüssel den großen Tech-Playern anvertrauen müssen. Als Familienadmin habe ich mich aber um die Einführung von FIDO USB-Sticks gedrückt, weil ich die Leute eh nicht überzeugt bekomme, dass sie zwei Sticks pflegen müssen. Alles was über zwei Aktionen erfordert, ist für den DAU mindestens eine Aktion zu viel und wird als unbrauchbar abgetan.
Passkeys kümmern sich mehr oder weniger selbstständig um das Backup des Schlüsselbundes.
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber
ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren.
Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht"
Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
Passwort ist immer beste
Bankkonto geplättet .. da hilft ein offline sparbuch ...
Dann muss ich jetzt wohl eure Daumen abschneiden 😂
Oh man. Einfach mein Herzen kurz in 1000 Teile gebrochen in Minute 09:03 …. Schlüssel beim Schlüsselmanager No Go. Dann ist es wohl zu spät 🫣😮💨
Ich fände es toll, wenn du gerade zum Thema webauthn ein Video Tutorial machen könntest.
8:13 auch interessant: wie komm ich rein wenn ich nurnoch mein Smartphone habe, aber keine Finger (mehr)?
Wenn du in deinem Smartphone alternative Logins konfiguriert hast (über PIN, FaceID, etc) so, ansonsten - wie kommst du in dein Handy rein? ;)
Du musst dann das Handy ganz stark, so richtig richtig mit Anlauf, vor die Stirn hauen. Klappt in 50% der Fälle, wenn es also beim ersten Mal nicht klappt einfach nochmal, nur noch etwas härter zuschlagen!
@@nojomyth nase
Find's gut, dass die Videolänge 13:37 ist
Schwerer und sicherer. 😂😂
Als ob.
Man hat nur ein Gesicht und ein Finger.
Passwörter kann man ändern, das Gesicht und den Finger nicht!
Dann lieber ein Zwangs-Login oder Löschung des Accounts.
Besonders dann, wenn man einen Account aufgedrängt bekommt wie bei Google bei Android Handys!
Fazit: Ich möchte beim Passwort bleiben!
Schön zusehen das du auch ein "Montagsmaler" bist
Ich bleibe schön bei den Passwörter, mir ist der Fingerabdruck einbisschen zu viel.
Ich bräuchte wohl ein neues Handy um mich mit den Finger anmelden zu können.
Bin mal gespannt wie sich das entwickelt und ob sich das wirklich für die breite Masse durchsetzt.
Danke fürs informieren 👍
Was passiert eigentlich wenn ich mein handy verliere? Dann ist meine biometrische Authentifizierungsmöglichkeit ja auch futsch.Dann habe ich auch keinen Zugriff auf nix mehr. Oder mein Handy geht kaputt.
Du kannst dir zum Beispiel bei Google und Microsoft mehrere Passkeys (für jedes Gerät jeweils eins) erstellen.
@@coloneljacensolo2011 wenn ich ein einziges Smartphone habe und mich mit diesem am PC irgendwo verifizieren muss, und eben jenes Smartphone ins Klo fällt.Mal so gesagt.Was dann?
@@HD-t3i Du kannst auch ein Passkey auf dem PC (Windows)/Mac oder Notebook/Macbook erstellen. In beiden Fällen wird der Private Key im TPM-Modul (ist in den modernen Prozessoren von Intel und AMD schon integriert) bzw. das Pentant von den Apple-Rechnern gespeichert. Zum entsperren des TPM-Moduls wird unter Windows Windows Hello (PIN, Fingerabdruck, FIDO2-Sicherheitsschlüssel, Gesichtserkennung mit spezieller Kamera) verwendet. Ich denke nicht, dass auf einen Schlag alle Passkey-fähigen Geräte kaputt oder verloren gehen. Wenn eins der Geräte verloren oder kaputt gehen oder gestohlen werden, kann man von einen anderen Gerät aus den Public-Key des betreffenden Geräts löschen.
Du hast immernoch Backup oder Wiederherstellungs Codes.
Die kannst du zb. ausdrucken und zu Hause sicher verwahren.
Da die sonst nirgendwo verwendet werden, können sie ua. bei der Eingabe auch nicht abgefangen/abgefischt werden.
@@herkommlicheeigenmarke7989 DAS ist doch mal eine gute Antwort. Ich muss mich dazu mal noch etwas belesen. Allerdings ist das natürlich recht sinnfrei wenn nur eine Handvoll Anbieter dies verwenden. Wenn dann sollte diese Option überall angeboten werden. Also auch Foren etc. Bei Microsoft brauch ich keinen Login.Mein Ipad verwende ich nur als Zeichengerät und Smartphone(Android) auch nur weil es eben sein muss. Mails administriere ich selbst...da bleibt ja nix mehr übrig ;) Und alle anderen zig Logins funktionieren fast ausschliesslich über Passwörter.
Ich, als Kundenservice Mitarbeiter, freue mich schon darauf, dass uns Kunden Fotos Ihres Gesichtes als Fax senden, um Zugang zu bekommen.
😂ja es ist eben nicht sicher und zu Ende gedacht.😂
Na wer diesen Firmen traut, der ist halt wieder abhängig von einer Technologie, die völlig intransparent ist. Dann könnte ich ja auch gleich mein Passwort an alle Firmen weiterleiten
Oder meinen Fingerabdruck den Sicherheitsbehörden - haben wir ja rechtswidrig sowieso schon per Ausweis tun müssen
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
PGP und SSH lässt grüßen.
Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account.
Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@IkmaLPCTund genau da beginnt das Problem.
Bis alles erfasst ist und schön in digitale social/öko scores verrechnet werden kann....
@@SoulRanger84Toll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
Wie synchronisiert man die privaten Passkeys zwischen einem Windows 10 PC, einem Android 13 Smartphone und einem Android 13 Tablet?
Mit dem Release von Android 14 kommt der Support von Drittanbietern wie Bitwarden. Über die Kompatiblitätsbibliothek kann die Funktion dann auch wieder von älteren Android Versionen genutzt werden, wenn ich alles richtig verstanden habe.
Wie praktisch, jetzt hat Google nicht nur den Zugriff auf die Daten von meinem Telefon, sondern auf mein ganzes Leben. 👍
Moin!
Ich finde das nicht so gut, weil ich den Fingerabdruck und den Iris- oder Gesichtsscan schon sehr persönlich finde. Aber egal, wir machen das und nun. Die Unternehmen haben jetzt unseren Fingerabdruck oder Scan und den Privat-Key. Jetzt könnten sie sich doch in jeden unserer Accounts anmelden. Oder versehe ich hier etwas nicht?
Ich sehe da andere Probleme. Wenn mein Passwort kompromittiert wird, dann habe ich sehr sehr sehr viele Möglichkeiten dieses zu ändern. Wenn mein Fingerabdruck kompromittiert wird, kann ich es max. 9 Mal ändern, wenn mein Iris Abdruck kompromittiert wird habe ich genau 0 Möglichkeiten den zu ändern. Ich wäre sehr vorsichtig damit wo ich meine Biometrischen Daten rausgebe. Wenn derjenige damit unsorgsam umgeht, habe ich ein echtes und teilweise nicht zu korrigierendes Problem.
@Niki-hz9ct Korrekt, Du verstehst da leider was nicht! Aber macht nix, @paulbeck3550 hats auch nicht verstanden. Ihr seid also unter Euch ;)
Geräte speichern nicht den Fingerabdruck selbst, sondern nur eine mathematische Repräsentation (eine Art "Hash") des Fingerabdrucks, die es zwar erlaubt zu prüfen, ob der aufgelegte Finger dem Gespeicherten entspricht, aber nicht, den Fingerabdruck selbst zu rekonstruieren. Außerdem ist diese nur auf dem Gerät selbst gespeichert. Daher haben Unternehmen nicht unseren Fingerabdruck.
Bzgl. des Private Keys: Zumindest bei Apple ist es so, dass der private Schlüssel, der für Passkeys/WebAuthn genutzt wird, nur end-to-end verschlüsselt synchronisiert wird. Daher haben Unternehmen auch keinen Zugriff auf den privaten Schlüssel. (Beide Sachen können jeweils in Apples "Security Whitepaper" nachgelesen werden)
@@patricksteffen9038 Vollkommen korrekt, vorausgesetzt Apple speichert den E2E Schlüssel nicht mit im Backup ;)
@@patricksteffen9038Ich dachte der private Schlüssel verlässt nie das Gerät, sondern es wird eine Anfrage gestellt, ob der private Schlüssel zu dem public key passt. Liege ich damit falsch?
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier.
Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Hallo @Morpheus, ich bin vor kurzem auf diesen Kanal gestoßen, finde ihn sehr informativ. Auch des Thema mit Sicherheit, 2FA und Passkey.
Eins verstehe ich allerdings nicht, weil ich mich noch nicht so tief mit dem Thema befasst habe. Aber werde durch solche Videos mehr und mehr für das Thema Sicherheit sensibilisiert. Danke dafür!
Apple und Google haben doch dann meine kompletten und wichtigsten Daten was mich im Netz als Person von einer KI unterscheidet, oder?
Irgendwie sehe ich das auch als hohes Risiko an, wenn ich zu einer AppleID einen Fingerabruch und ein Gesicht hinterlegen muss...
Ist es wirklich sicher? Kann Apple nicht an meine Daten, weil Sie verschlüsselt sind (gibt doch bestimmt irgendwelche Backdoors, für FBI und ähnliche Strafverfolgungsbehörden)
d.h. Hacker haben dann zukünftig nur noch ein Ziel. Apple, Google und Co. (wo mein PassKey synchronisiert ist) und dann hat man alle Daten vom Millionen von Nutzern.
Theoretisch sind die Passwörter nur in den Chips des jeweiligen Endgerätes, allerdings weiss keiner was es für Hintertüren gibt, wenn diese entdeckt werden muss auch immer ein Sicherheitsupdate nachgeschoben werden.
Sind die Passkeys wirklich nur auf den Endgeräten? Bei Apple werde ich gezwungen den iCloud Schlüsseldienst zu verwenden…
Wie ist das eigentlich mit dem Fido2 Key? Kann ich hier einen Fido2-Stick für alles verwenden? Oder muss ich für jeden Zugang einen eigenen Fido2-Stick haben?
Der speichert für jeden Zugang einen eigenen Schlüssel ab. Deshalb auch die "Notwendigkeit " des Backups.
Wie geht Sync Android PC und local Backup? Sonst macht es alles keinen Sinn.
Kann man nicht die Passkeys zusätzlich zum Passwort und 2FA nutzen oder muss man sich zwischen einem der beiden entscheiden?
Darf ich fragen … der private Schlüssel muss doch an die Website gesendet werden, damit geprüft wird ob‘s stimmt? Also ist es doch der selbe Müll als wenn ich ein random Passwort durch die Gegend sende. Im Video wurde nicht erklärt was mit den private key nun genau passiert ?
Ne, der private Key bleibt bei dir
@@TheMorpheusTutorials Schon klar, aber WARUM. Was genau passiert da? Die Gegenstelle will doch irgendwas haben, etwas womit Sie das Validieren kann! Sonst könnt ja jedes Handy hinkommen und sagen "Is Okay, wir haben den richtigen Private Key, Versprochen! "
@@chipsmaster450 Hierbei vermischt du etwas das Thema asynchrone/asymmetrische Verschlüsselung. Zu einer solchen Verschlüsselung erstellst du immer ein Schlüsselpaar, ein Privaten und einen Public Key.
wenn du nun eine Nachricht mit mir tauschen wollen würdest:
nimmst du meinen Public Key (also den offenen bekannten Key) und verschlüsselst damit mit einem Algorithmus die Nachricht. Nun kann niemand die Nachricht entschlüsseln, es sei denn es ist derjenige mit dem Private Key, also ich. Nur mit dem Private Key den nur ich habe, kann die Nachricht nach spezifischen Algorithmus wieder entschlüsselt werden, wo kein Datenmüll entsteht.
Danke also genau anders rum ? Es wird eine Nachricht verschlüsselt und ich muss dann sagen wie das Ergebnis ist. Das macht nun Sinn
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
was machen wenn meine Geräte für Passkeys nicht geeignet sind ?kann ich dann meine Passwörter weiter nutzen ?
was wenn ich ahndy daheim vergesse iwo 400km weit weg bin und eltern anrufen muss die mir daten vom handy weitergeben müssen oder nen kumpel bei dem ich das handy vllt vergesse??? die kommen nicht rein ohne ein passwort
Was genau wird im Chip gespeichert? Das Schlüsselpaar wird für jede Webseite einzeln erzeugt, die können es nicht sein.
Also PayPal hat Passkey wieder entfernt. Weiß einer wieso?
Bisher sind diese Passkeys bei mir immer nicht zweckmäßig.
Gefühlt 2 von 3 mal soll ich einen neuen erstellen (und brauche dazu mein Passwort) und vielleicht einmal funktioniert dann einer dieser keys…
Wie läuft es dann ab wenn man Passkeys in Google genutzt hat und dann auf Apple Produktw umsteigt. Dann sind die Accounts auch weg. Oder gibt es eine Möglichkeit die Passkeys zwischen Google und IOs zu schieben?
Du kannst bei den Diensten einen weiteren Passkey registrieren, zusätzlich zum hoffentlich schon hinterlegten Backup-Key.
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
interessant *u** wird als Schimpfwort erkannt und UA-cam gibt mir ne Fehlermeldung: konnte nicht gesendet werden.
Frage : habe das mal getestet bei einer Seite. War easy. Habe aber die Möglichkeit weiterhin mich mit Passwort anzumelden ist das dann nicht sinnlos passkeys einzurichten wenn es weiterhin mit Passwort geht ?
iOS
Danke
Du hast völlig Recht, solange es noch die Möglichkeit gibt sich außer mit dem Passkey auch mit einem Password anzumelden, hebelt das Password die zusätzliche Sicherheit von Passkeys aus. Bei Microsoft kann man sein Konto inzwischen auf "Passwordlos" umstellen.
Wieso ziehst das eine a so. Die Betonung liegt doch auf ss wie Pass 😅
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
5:19 nicht in Deutschland und schon gar nicht in offiziellen Dokumenten der Stadt/Verwaltung/Finanzamt...
Ein weiterer Schritt Richtung RFID chip :)
Also würdest du es am Ende trotzdem empfehlen, für beispielsweise PayPal usw. Passkey einzurichten?
ich verstehe nicht warum man bei passkeys es nicht so macht wie bei einer hardware wallet und das mit einem Passwort o. biometric verbindet. Wenn das Gerät verloren oder kaputt geht gibt man einfach 12/24 Worte ein und alles ist wieder hergestellt. ? ...
2:16 was ist das für eine geile TFA-App?
2FA mag ich nicht, weil ich den Firmen meine Handynummer nicht geben will.
@@svenlima ja und besonders wenn du dein Handy verlierst es geklaut wird oder deine Simkarte verlierst oder sie kaputt geht kommst du nicht mehr in deine Accounts obwohl du das passwort hast