Du brauchst nie wieder Passwörter | So einfach sind Passkeys

Schmutz

Und dann noch Werbung für Nord VPN, was ist nur aus der ct geworden... traurig, traurig.

Ich hab mir einen Passkey bei Google eingerichtet. ABER: wenn ich auf der Arbeit im Google Chrome Browser versuche mich per QR-Code mit dem Smartphone einzuloggen, werde ich immer danach aufgefordert mein Passwort einzugeben. Da scheint das mit dem Passkey leider vorne und hinten nicht zu klappen und ich weiß nicht, woran es liegt.
Noch etwas: Synology unterstützt Passkeys leider nur auf seiner eigenen Webseite. Viel wichtiger wäre aber doch, Passkeys für den Login auf der Synology-NAS zuzulassen. Ist aber nicht so. Jedenfalls hätte ich bisher nicht verstanden, wie ich das einrichten soll.
Außerdem wundert mich: PayPal hat großspurig angekündigt Passkeys zu unterstützen und passiert ist bisher nix. Man muss immer noch tausend SMS Bestätigungen über sich ergehen lassen, bis man einmal was verschicken darf. Oder klappt das bei euch, Keno?

@@Neptun-8 Nö.

Richtig, das hat mich auch gleich angesprungen. Aber wenigstens kann nichts zwischen einer Website und einem deiner Geräte abgefangen werden. Das ist schon mal was.

Damit ist gemeint, dass z.B. der Betreiber der Webseite Dein "Geheimnis" (früher das Passwort, jetzt Deinen privaten geheimen Key) gar nicht erfährt. Deshalb kann ein "böser" Webseitenbetreiber damit auch keinen Unsinn anstellen und er kann auch nicht gehackt werden, sodass danach die Passwörter aller Nutzer ausgelesen werden könnten (Wobei letzteres heutzutage auch nicht mehr möglich sein sollte, weil nir noch Prüfsummen der Passwörter gespeichert werden).g

Genau das habe ich auch gedacht.

@@ksibln Wer die Website betreibt entscheidet sich dafür ob er Passwörter hasht. Es ist genauso heute wie vor 20 Jahren möglich Passwörter im Klartext in die Datenbank zu schreiben. Wie man PWs speichert und abgleicht ist eine Entscheidung die bei der Entwicklung getroffen wird.

Der Betreiber der Seite besitzt in dem Fall deinen öffentlichen Key. Wie der Name schon sagt, ist dieser von jedem einsehbar. Du besitzt deinen privaten Key, den du logischerweise so behandeln solltest wie deine übliche Passwörter, also privat halten. Es ist das zwei-Schlüssel-System einer asymethrischer Kryptographie.

Ich nutze auch heute schon Bitwarden plattformübergreifend. Da ich mir längst nicht alle Passwörter merken kann. Das brauche ich dann sowieso, wenn ich an einem fremden PC sitze.

Immerhin klappt das dann auch offline und ich brauche keinen Internetzugriff am Handy.

Mir ist so eine Panne schon passiert, nämlich bei Apple - 2 Wochen musste ich auf die Wiederherstellung warten, nur weil die Daten nicht aktuell waren -tolle Wurst

​@basicallyhumanIst korrekt, trotzdem liegt mein privater Schlüssel eben nicht ausschließlich bei mir, was das System unterminiert...

Hab das gleiche "Problem" das immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?

genau, ich wuerde den Key gerne von meinem AndroidHandy auf meinem Linux Desktop speichern. Ich meine einen Schluessel muss man doch auch in den Geldbeutel stecken koennen oder?

Ach, hätte ich doch nicht nur zuhören sollen 😬🙈😅

Ich schaue mir das Video erst gar nicht an. Bringt nichts

Da muss man aber sagen ein Autist in der IT - Kann sich alle Passwörter und mehr sowieso merken. ;)

Ich glaube das will man nicht wissen. 😅

Gar nicht so abwegig.

Tja, dann sperrt man einfach alle seine Keys und stellt sich neue aus!

​@@Bogomil76die Oma mit 80 macht das umgehend binnen 60 Sekunden 😉. Sie hatte sich doch gerade erst auf die Passkeys umgestellt...

@@U_H89 Ah, die Argumentationskette, alte Menschen!

@@Bogomil76 achso, die gleich außen vor lassen und aussperren 😉🤷

Korrekt erfasst, wozu dann noch eine weitere Erklärung?

"Lokal auf dem Gerät" ist nicht ganz richtig. Der charakteristische Unterschied ist, dass Passkeys via Cloud, zwar Ende-zu-Ende-verschlüsselt, aber eben doch synchronisiert und gesichert werden, d.h. sie sind im Prinzip kopierbar und daher nur durch die Ende-zu-Ende-Verschlüsselung geschützt, welche bisher auch nur garantiert wird von drei US-Anbietern, die alle dem Patriot Act unterliegen, d.h. wenn sie Hintertüren in die Verschlüsselung einbauen müssen, weil ein FISA-Urteil sie dazu zwingt, dürften sie es niemandem sagen. Schlüssel auf FIDO2-Sticks sind in einem speziellen Chip unauslesbar gespeichert, der dann auch die Kryptoalgorithmen mit ihnen rechnet (sicher, aber auch teuer, das sind keine ganz einfachen Prozessoren, so ein Stick kostet mindestens 30 Euro). Da kommt eine NSA noch nicht mal theoretisch ran, und kein FISA-Gericht der USA kann daran was ändern. Man kann so einen Schlüssel noch nicht einmal von einem Stick auf einen anderen kopieren. Das meinte Keno damit, dass die hohe Anforderung an die Schlüsselsicherheit zugunsten der Passkey-Lösung gelockert worden ist, damit die Leute nicht mehr die teuren Sticks kaufen müssen, und auch keine Angst davor haben müssen, dass ihnen ein Schlüssel mal verloren geht (es gibt ihn ja immer verschlüsselt in der Cloud). Denn bei den FIDO2-Sticks braucht man, um gegen Schlüsselverlust gewappnet zu sein, immer zwei Sticks, die man beide an jedem Web-Dienst anmeldet. Denn sonst geht der einzige Stick verloren, und man ist erstmal ausgesperrt, bis man sich mindestens einen neuen Stick verschafft und den über irgendeinen Recovery-Mechanismus wieder an allen Diensten angemeldet hat. Das heisst, man muss den neuen Stick wiederholt neu anmelden, an jeder Website, an der man den verloren gegangenen verwendet hat. Das ist das Verfügbarkeitsproblem privater Schlüssel in der Public-Key-Kryptographie, was viele Lösungen behindert hat, insbesondere E-Mail-Verschlüsselung, aber auch Authentifizierung - nur bei Dokumentensignatur ist das entschärft. Ich baue beruflich Anwendungen von Public-Key-Kryptographie seit 30 Jahren. Das Problem tauchte da immer wieder auf.
Es wäre denkbar und wie ich finde, auch praktikabel, Passkeys nur auf Smartphones zu erzeugen. Die verfügen heutzutage schon lange über einen den FIDO2-Sticks vergleichbaren Sicherheitsprozessor, Secure Enclave auf iPhones, Secure Element auf Androiden (vorgeschrieben für Geräte, die Android 9 oder neuer ausführen). Mit denen könnte man Keys erzeugen, die sich nicht auf die E2E-Verschlüsselung der Cloud verlassen müssen, um sicher zu sein. Man müsste dann zwar immer den QR-Code/Bluetooth-Weg gehen, wenn man sich an irgendeinem PC auf einer Webseite mit dem Passkey auf dem Smartphone anmelden will, aber die Schlüsselsicherheit würde das schon erhöhen. Unterstützt aber (bisher noch) keiner der Anbieter. Vielleicht kommt das noch. Würde die Passkeys dann auch an Internet-Kiosk-Systemen verwendbar machen. Denn es kommt ja hoffentlich keiner auf die Idee, sich da mit seinem iCloud- oder Google-Account anzumelden?

@@olafschluter706 Nur wenn man sie Google/Apple anvertraut, ich kann sie aber auch „einfach“ in einem lokalen Passwortmanager (der Passkeys unterstützt) nutzen.

Verascrypt

​@@highhorizon Ich benutz auf meinem USB stick gocryptfs weil da muss ich nicht exclusiv speicherplatz für nen container oder partition reservieren.

@@Henry-sv3wv du arbeitest aber mit Ubuntuu oder ?

Genau die gleiche Frage habe ich mir auch gestellt. Zum Beispiel wenn man auf PayPal ein Passkey auf einem bestehenden Konto einrichtet bleibt das alte Passwort bestehen. Ich habe somit nach Aussagen von PayPal zwei Möglichkeiten mich einzuloggen. So richtig rund ist das für mich auch noch nicht...

Dann investiert man einmal 70 € in zwei Hardwareschlüssel. Einen für den täglichen Gebrauch, einen für den Tresor oder den Blumentopf im Schuppen.

Die Frage ist in sich unlogisch, entweder er liest etwas aus, oder es ist verschlüsselt, aber wie kann man was entschlüsseltes auslesen?

Erdbeere wird aktuell noch nicht unterstützt, soll aber bald kommen.

Wie das bei Android geht, kann Ich Dir nicht sagen. Jedenfalls sind die Passkeys aus diesem Grund an einen Apple-, MS- oder Google-Cloud-Account gebunden, es gibt sie dann immer noch in verschlüsselter Form in der Cloud. Einen Google-Account hat man ja als Android-Nutzer, sobald man was aus dem Google Play Store laden will, ohne kann man einen Androiden nur sehr eingeschränkt betrieben (so verhält es sich mit iPhones und dem Apple-iCloud-Account auch). Es geht als um das Recovery des Zugangs zum Google-Account bei Verlust des Passkeys, mit dem man sich da anmeldet. Wenn man auf den wieder Zugriff hat, dann hat man auch wieder Zugriff auf seine Passkeys, alle, wenn Google nicht zwischenzeitlich auch komplett abgebrannt ist, und dann haben wir alle andere Sorgen. Ich habe für meinen Google-Account (ist ja auch für Apple-User nützlich, z.B. hier) noch als Fallback das Passwort + OTP. Ich würde auch erst mal nachsehen, wie Google sich das Passkey-Recovery vorstellt und welches Verfahren es da anbietet, bevor ich die Passwort/OTP-Alternative wegwerfe.
Bei Apple ist es so, dass es für den Fall, wenn wirklich alle Stricke reissen, und man kein Gerät mehr hat, das an die iCloud-Daten rankommt, ein iCloud-Recovery-Passwort gibt, mit dem man wieder an diese Daten kommt. Und in den iCloud-Daten stecken die Passkeys. Das Recovery-Passwort hat man bei der Einrichtung des iCloud-Accounts festgelegt, hat man 2-Faktor-Authentifizierung da an, ist es einfach das iCloud-Anmeldepasswort. Hat man die Advanced-Data-Protection an, also Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten, dann ist dieses Recovery-Passwort ein hinreichend langer (gute 300 Bit) kryptographischer Key als Buchstaben/Zahlen-Folge, den ich ausgedruckt in meinem Schreibtisch habe - mir graut vor dem Gedanken, den mal eines Tages womöglich gar in das Mäuseklavier von einem Smartphone eintippen zu müssen. Achja, bei iCloud + Advanced Data Protection gibt es dann noch die Möglichkeit, einen Recovery-Account anzugeben, also jemand anderen, der auch einen iCloud-Account hat und über den man seine Daten wieder erlangen kann. Bei mir ist das meine Tochter. Meine Versicherung hinsichtlich meiner iCloud-Daten dafür, falls mein Haus abbrennt - und damit auch der Zettel mit dem Key. BTW: Apple erzwingt, dass man sich diesen Key ausdruckt, wenn man ADP anschaltet. Die wollen ihren Support schonen vor Anfragen, bei denen sie nicht helfen können.
Apple hat angekündigt, Passkeys für iCloud-Accounts als zweiten Faktor einzuführen und damit ihre proprietäre 2 Faktor-Technik abzulösen. Das Fallback beim 2. Faktor auf SMS wird aber wohl logischerweise beibehalten. Man kann als Kommentar sowohl zur Bedrohung von Internet-Accounts wie auch zur Sicherheit von Passkeys allerdings auch noch folgendes feststellen: schon seit längerer Zeit erzwingt Apple die 2-Faktor-Authentifizierung für iCloud-Accounts, die im Developer Program von Apple registriert sind, denn diese Accounts haben Zugriff auf Signaturschlüssel, mit denen sie Apps signieren und in den Appstore stellen können. Da hat Apple nun nicht etwa Passkeys als 2. Faktor eingeführt, sondern die Hardware-Variante mit der höheren Schlüsselsicherheit: FIDO2-Sticks. Passkeys werden da nicht zugelassen. Dabei wären die einzigen, die iCloud-Passkeys angreifen können, eigentlich nur die Leute von Apple, indem sie bei der E2E-Verschlüsselung der Keys betrügen.
Ceterum censeo die Nachrichtendienste der Welt sollten einen Service anbieten dafür, Bürgern wieder Zugang zu ihren Cloud-Daten zu verschaffen. Das würde das Leben so erleichtern

Recovering access or adding new devices
When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup.
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Since screen lock PINs and patterns, in particular, are short, the recovery mechanism provides protection against brute-force guessing. After a small number of consecutive, incorrect attempts to provide the screen lock of an existing device, it can no longer be used. This number is always 10 or less, but for safety reasons we may block attempts before that number is reached. Screen locks of other existing devices may still be used.
If the maximum number of attempts is reached for all existing devices on file, e.g. when a malicious actor tries to brute force guess, the user may still be able to recover if they still have access to one of the existing devices and knows its screen lock. By signing in to the existing device and changing its screen lock PIN, password or pattern, the count of invalid recovery attempts is reset. End-to-end encryption keys can then be recovered on the new device by entering the new screen lock of the existing device.
Screen lock PINs, passwords or patterns themselves are not known to Google. The data that allows Google to verify correct input of a device's screen lock is stored on Google's servers in secure hardware enclaves and cannot be read by Google or any other entity. The secure hardware also enforces the limits on maximum guesses, which cannot exceed 10 attempts, even by an internal attack. This protects the screen lock information, even from Google.
When the screen lock is removed from a device, the previously configured screen lock may still be used for recovery of end-to-end encryption keys on other devices for a period of time up to 64 days. If a user believes their screen lock is compromised, the safer option is to configure a different screen lock (e.g. a different PIN). This disables the previous screen lock as a recovery factor immediately, as long as the user is online and signed in on the device.

Naja Deutsche Banken stecken ja auch im letzten Jahrhundert fest
Die Sparkassen zb mit ihrer extra tan App
Und sowas geht dann aber nur, wenn man den Code sich per Brief hat zuschicken lassen
Es gibt viel sicherere Methoden, aber willkommen in Deutschland

Naja bis Banken etwas anbieten was sie vorher nicht kannten, dauert Jahrzehnte.

solange es keine brauchbaren code für entwicker gibt(z.B für eine PHP Webseite) wird sich das nie durchsetzen.
Schade das es noach einem Jahr immer noch keine beispiele gibt.
Wie schwer ist es ein Github Repo zu machen mit einer DB
register.php, verify.php, login.php mit einer vernünftigen biblothek.
Solange dies nicht verfügbar ist wird das nichts. Auf die Programmierer nicht ins Boot geholt werden, wird sich das nicht gross etablieren. Wiedermal eine schöne Idee mit schlechter umsetztung. Habe jetzt mit ChatGPT4 Stunden versucht ein Test zu bauen doch ohne erfolg.

Ne, du kannst ja auf dem ersten Smartphone direkt einen Passkey abspeichern und damit dich anmelden.

SO habe ich das auch verstanden...

Technisch gibt es da keinen Grund für.
Es wäre aber gut für den Zugriff auf die Passkeys eine Autorisierung zu erfordern (Fingerabdruck, Gesicht oder das einzige Passwort was du dir dann noch merken musst).
So kann jemand der dein Gerät stielt nicht plötzlich auch auf all deine Online Konten zugreifen.

Denn war das missverständlich. Nein, Passkeys funktionieren auch auf Geräten, die überhaupt keine Biometrie anbieten - wie bspw. meinem Mac mini. Ggf. kann ich einen Passkey erst mit meinem Anmelde-Passwort am lokalen Gerät freigeben - die Server können da in der Anforderung zur Authentisierung Bedingungen stellen, die das erforderlich machen. Normalerweise aber reicht auf PCs ein Mausklick.

Es geht auch auf einem Desktop oder Laptop, mit PIN/Passwort!

Achso eine Frage kam mir doch auf, weil du sms Recovery so positiv bzw. Unproblematisch dargestellt hast. Mein letzter Stand war, dass es super einfach ist die SMS zu fälschen oder das Angreifer im Prinzip kein Problem haben diese abzufangen oder so?

Du brauchst einen Pin, Fingerabdruck oder faceID nur für Dein Smartphone, oder Computer. Der Schlüssel ist ja auf Deinem Gerät hinterlegt.
Ohne das Gerät/Schlüssel ist faceID usw. nutzlos.

Bei einem guten Fingerabdrucksystem kann man Fingerabdrücke nicht so einfach klauen. Und der Angreifer muss ja auch erst mal physischen Zugriff auf Dein Gerät haben, also zu Dir ins Büro oder zu Dir nach nach Hause kommen.
Bei Apple beispielsweise wird nicht der Fingerabdruck gespeichert, sondern nur eine Reihe von Merkmalen, mit deren Hilfe man einen Fingerabdruck auf Richtigkeit überprüfen kann. Aus diesen Daten kann man aber keinen Fingerabdruck ableiten. Außerdem hat Apple eine Lebenderkennung des Fingers. Damit ist die Verwendung eines z.B. von einem Gegenstand abgenommenen Fingerabdruck nahezu unmöglich.

@@GerhardAEUhlhorn wieder gefährliches Halbwissen.
Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein.
Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... .
Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist.
Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.

@@malibudancer8472Herrlich, anderen Halbwissen vorwerfen, ubd dann selbst Halbwissen verteilen!

@HerrRoerich also wenn Deine Fingerabdruck Daten „geklaut“ werden, dann sind Deine Fingerabdruckdaten geklaut, so what?
Was soll im Anschluss schon damit passieren? Es benötigt im Anschluss noch jemand auch physikalischen Besitz des Gerätes, welches Du mit dem Fingerabdruck auch entsperrst! Dir muss also jemand erst Deinen Fingerabdruck klauen UND das Handy/Notebook!
Wenn Du das bemerkst, dann kannste die Passkeys vorher sperren lassen!
Btw. weniger James Bond/Mission Impossible gucken

..was macht du, wenn der FIngeabdruckleser nicht mehr funktioniert? Das habe ich derzeit bei meinem Huawei I30. Von heute auf morgen tot. Ich hab ganz schön dumm aus der Wäsche geguckt, als ich bei der Überweisung (2 Faktor Authentifizierung) plötzlich wieder ein Kennwort eingeben sollte.

Ich nutze Ubuntu Linux, Windows und Android auf Tablet und Smartphone. Daher überall Bitwarden eingerichtet.

Geht auch mit PIN.

es wird halt mehr versprochen als es wert ist

Einfach bei der Nutzung einen Aluhut aufsetzen, dann passiert nichts.

@@kayh4656 genauso wurde vor einigen Jahren noch mit Leuten geredet, die meinten die USA hätten überall Backdoors drin und würden weltweit alles mithören. War natürlich krasser Unfug... Bis ein Edward Snowden da etwas veröffentlichte... "Abhören unter Freunden, das ging gar nicht."
Aber du warst da entweder noch nicht geboren oder hast gepennt... ...oder du bist einfach saumässig naiv. 🤷‍♂️

Solange man es streng nach Vorgabe macht, tatsächlich keine. Leider werden in dem beschriebenen System jedoch viele Dinge falsch gemacht.
So sollte ein privater Schlüssel ausschliesslich bei mir und sonst nirgends gespeichert sein. In dem Moment, wo ich ihn in die Cloud lade, ist das nicht mehr der Fall. Gleichzeitig erscheint es als werden die privaten Schlüssel von den Anbietern generiert, was meine persönliche Herrschaft über diese auch zu nichte macht.

Komfort hat eben seinen "Preis"

entweder passkey oder passwort gibt jetzt nicht mehr infos über dich preis, wenn du aber so angst vor deinen daten hättest wärst du nicht auf dieser platform

Daher warte ich bis Bitwarden/Vaultwarden als selfhosted Passwort-Manager diese Funktionen bekommt. Dann weiß ich wo alles gespeichert ist.

@@QDaveX Nutzte diesen Account für nichts anderes.

oder die abhänigkeit wird von einem zusätlichem objekt geschaffen.
was nicht unbedingt ein problem löst, sondern ein zusätzliches/neues problem schafft.

Du musst Dich bei jedem Dienst einloggen, den alten Key bzw. das Gerät deaktivieren und das neue Gerät aktivieren.

@@kayh4656 ist ja dann so ne richtig coole Lösung, alles auf Passkey umzustellen :-)

Wollten die nicht FIDO2?

Wie war das noch mit Wasser und Wein *hicks*

​@@paulmaier1751Passkey basiert auf FIDO2, erweitert um die in der Cloud synchronisieren Keys.

Passkey hat nichts mit Biometrie oder Windows Hello zu tun, lediglich die Anmeldung an Windows muss mit einem Password oder ein PIN gesichert sein, dann können chromebasierte Browser unter Windows zur Nutzung von Passkeys genutzt werden.

@@kayh4656 Man kann in Passkey Zwei Faktor sowohl über Yubikey, Biometrie, Bluetooth, Zertifikat, oder Windows-Hello einrichten

Passkeys ergeben doch sowieso nur mit biometrischen Daten Sinn. Wenn du wieder ein Passwort oder ähnliches nutzen würdest, dann kann man sich das in die Haare schmieren

Kommt eher selten vor, dass Blackhats Angriffe fahren, mit denen sie nur ein einziges Opfer erwischen. Einen ganz spezifischen Client angreifen machen nur nationale Geheimdienste im Umgang mit VIPs (und theoretisch diese neuen Bundesbehörde mit ihrem Bundestrojaner). Sind wir alle nicht, nehme ich mal an, und um die VIPs kümmern sich jede Menge Leute, die meisten davon in Counter-Intelligence unterwegs (und auch die Zielgruppe besagter Bundesbehörde hat ihre Mittel, sich zu schützen, die sind bloss schlimmstenfalls unbequem). Was Blackhats massenhaft tun, ist, Netze auszuwerfen, in die Massen von Opfern reingehen. Gefakte Websites plus Unicode-Domainname, DNS-Cache-Poisoning bei grossen Providern, Cross-Site-Scripting für Javascript-Injection, solche Sachen. Jeder Besucher der Website wird dann automatisch angegriffen, und beim Angreifer laufen massenhaft Daten auf. Beachte: dazu muss der noch nicht mal in den Server einbrechen, der die Nutzer bedient. Man nennt das wegen der wirklich treffenden Analogie auch Phishing, und das Ziel ist sogar weniger, konkret dann den Opfern sofort Schaden zuzufügen. Oft sind ausspionierte Zugangscredentials Grundlage für weitere Angriffe auf den Server (Beispiel: Bundestags-Hack). Vielleicht kann man aber dann auf erfolgreichen geknackten Accounts auch Ransomware platzieren zum Download...
Massenhaft wirksame Angriffe gegen Smartphones sind nicht so einfach. Die meisten Angriffsvektoren laufen auch hier über den Gerätebrowser. Und dringen dabei nur in Ausnahmefällen ins Gerät ein. Die meisten Phishing-Angriffe funktionieren auf Smartphones genauso wie auf PCs: erbeutet wird das User-Passwort, nicht mehr, aber auch nicht weniger. Eindringen ins Gerät sieht anders aus und funktioniert auch ganz anders. Die dafür ausgenutzten Sicherheitslücken im Gerät sind auch sehr viel kurzlebiger als die von Web-Sites.
Seit Beginn des Ukraine-Krieges geht es ziemlich ab im Cyberwar, praktisch wöchentlich berichtet zumindest die einschlägige Presse wie Heise von erfolgreichen Angriffen, die allesamt sehr grosse Beute haben (zuletzt: Microsoft Cloud Services). Wir hatten schon mal ruhigere Zeiten, wo Präsentationen für Cyber-Security-Awareness Beispiele für erfolgreiche Angriffe über Jahre sammeln mussten, um bloss die erste Folie vollzubekommen. Heute kann man nur mit erfolgreichen Angriffen aus der jüngeren Vergangenheit eine einstündige Präsentation füllen. Und käme danach erst zu den Gegenmaßnahmen. Waren aber in alle Regel Angriffe auf Web-Sites und Web-Services, die über aus dem Internet erreichbare Web-Dienste dieser Services erfolgten.
Aber: niemand wird ein Smartphone von uns klauen, um damit in die Accounts des Inhabers einzudringen. Smartphones werden geklaut, um sie zu verkaufen, das ist ihr grösster und unmittelbarer Wert (denn den meisten Blackhats gehts auch nur darum, Geld zu machen). Möglichst wiped und entkoppelt von jedem Account, insbesondere vom Cloud-Account beim OS-Anbieter. Angriffe, die es erlauben, das gestohlene Gerät zu wipen und vom Cloud-Account zu entkoppeln sind da interessant. Bei Apple-Geräten jedenfalls ist das sonst ein Hindernis, das Geräte für den Angreifer bricken kann. Wiederverkäufer von Apple-Geräten auf dem Gebrauchtmarkt wissen ein Lied davon zu singen. Die kriegen Geräte dieser Art oft aus Konkursmassen.
Man ist dennoch gut beraten, sein Gerät im Rahmen der technischen Möglichkeiten gegen fremden Zugriff abzusichern, also Passphrase statt bloss PIN (Biometrie ist bei Apple ansonsten nur eine Convenience-Funktion, die ganze Sicherheit des Geräts hängt von der Passphrase ab, und dass sich das Gerät löscht, wenn man die zu oft falsch eingibt - unbedingt einstellen!), sonst ist Opfer als "Beifang" eines Diebstahls garantiert. Jedenfalls, wenn ein entsperrtes Smartphone dann auch gleich erlaubt, Banküberweisungen zu tätigen. Aus gutem Grund erlauben die meisten Bank- oder Kreditkarten-Apps das nicht, die wollen dann noch einmal authentisieren und dass sogar bei jeder einzelnen Transaktion. Wie auch viele andere sicherheits-sensitive Apps wie bspw. meine OTP App.

@@quimicos_comunistas weil ja biometrische Daten nicht auch im weitesten Sinne kopierbar sind. :) Passkeys ergeben sehrwohl auch mit herkömmlichen Passwörtern Sinn. Alles was mit Technik zu tun hat, ist hackbar. Ob ein Passwort nun dein Keystore schützt oder dein Finger... Im Zweifel ist ein Passwort sogar sicherer, denn da kann man dich nicht mit physischer Gewalt dazu zwingen, es auf den Sensor zu legen. Sich ein kompliziertes, langes Passwort zu merken ist immernoch sicherer als eine bequeme Zugangstechnik oder mehrere hundert Passwörter. Nicht ohne Grund werden SSH-Keys mit Passwort+physischen Geräten gesichert, welche auch nur ein sehr langes Passwort ausspucken. Beides zusammen entschlüsselt dein SSH-Key mit dem Du auf den Server gehst.
Als Admin nimmt man alles mit, was man kriegen kann. :)

@@quimicos_comunistas Gefährliches Halbwissen ahoi... .
Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein.
Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... .
Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist.
Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.

@@quimicos_comunistas Und wenn man an die ganz bösen Buben gerät, wird einem der Finger abgeschnitten.

Denke nicht.

@@living.germany Aber @Geckoware weiß sicher am Besten, ob das Ironie war.

Ja, oder zwei bis drei Spiegel.

Welcher Browser wurde verwendet - ggf. kann der Passkey noch nicht, wie bspw. leider der Firefox? Es macht auf einem Browser, der Passkey kann, natürlich wenig Sinn, die Option "Auf einem anderen Gerät" zu wählen. Bei Safari, Chrome oder Edge jedenfalls sollte der Default-Weg über "Fortfahren" funktionieren, dann wird auf dem Handy ein Passkey erzeugt und registriert.

@@olafschluter706 Danke, das hat geholfen. Eine gute Woche wünsche ich dir

Dem ist im regelfall auch so "Vertraulich". Wenn du jemanden indendifizieren willst, kann er eine Nachricht mit seinem Privaten Key signieren. Dadurch das nur der Besitzer den Privaten Key hat, kannst du sicher sein, dass diese Person auch wirklich diese Person ist "Authentisch". Sinn dahinter ist nicht die Nachricht zu verschlüsseln dass niemand sie lesen kann. Ich hoffe das war verständlich 🙂

Er sagt ja auch nicht dass die Nachricht mit dem privaten Key „verschlüsselt“ wird, sondern „signiert“!

Beim RSA-Algorithmus wäre es tatsächlich so, dass man mit dem privaten Key verschlüsselte Nachrichten mit dem öffentlichen entschlüsseln kann. Weil das aber für vertrauliche Kommunikation keinen Sinn macht, verwendet man diese Eigenschaft des RSA-Algorithmus dort für die sogenannte "digitale Signatur". Bei Passkeys wird aber und vornehmlich sogenannte Elliptic-Curve-Kryptographie verwendet, und dort sind Verschlüsselungs- und Signaturfunktionen mathematisch gesehen nicht symmetrisch - funktionieren aber beide mit jedem EC-Schlüsselpaar. Was bei Challenge-Response-Verfahren mit Public-Key-Kryptorgraphie aber immer passiert, ist, dass der Empfänger der challenge die mit seinem privaten Schlüssel digital signiert und dem Server zurücksendet. Dadurch beweist er wie mit einer Unterschrift seine Identität.

@@olafschluter706 Vielen Dank :)

sehr vernünftige Einstellung

Watt?

@@Bogomil76 Ampere!

Es gibt heute immer noch zahlreiche Websites, welche die Passwörter einschränken (keine Sonderzeichen, etc.) und teils auch nur deutlich weniger als 32 Stellen zulassen.

@@Angus-MacGyver Volt?

@@GameNOWRoom Ohm!?