Ich hab mir einen Passkey bei Google eingerichtet. ABER: wenn ich auf der Arbeit im Google Chrome Browser versuche mich per QR-Code mit dem Smartphone einzuloggen, werde ich immer danach aufgefordert mein Passwort einzugeben. Da scheint das mit dem Passkey leider vorne und hinten nicht zu klappen und ich weiß nicht, woran es liegt. Noch etwas: Synology unterstützt Passkeys leider nur auf seiner eigenen Webseite. Viel wichtiger wäre aber doch, Passkeys für den Login auf der Synology-NAS zuzulassen. Ist aber nicht so. Jedenfalls hätte ich bisher nicht verstanden, wie ich das einrichten soll. Außerdem wundert mich: PayPal hat großspurig angekündigt Passkeys zu unterstützen und passiert ist bisher nix. Man muss immer noch tausend SMS Bestätigungen über sich ergehen lassen, bis man einmal was verschicken darf. Oder klappt das bei euch, Keno?
5:20 "Der private Key liegt nur bei Dir und kann deswegen auch nicht abgefangen werden", aber 6:34 "Apple speichert die Passkeys nämlich im verschlüsselten iCloud Backup und synchronisiert sie..." Damit ist es doch dann wieder das gleiche wie vorher mit gespeichterten Passwörtern oder nicht?
Richtig, das hat mich auch gleich angesprungen. Aber wenigstens kann nichts zwischen einer Website und einem deiner Geräte abgefangen werden. Das ist schon mal was.
Damit ist gemeint, dass z.B. der Betreiber der Webseite Dein "Geheimnis" (früher das Passwort, jetzt Deinen privaten geheimen Key) gar nicht erfährt. Deshalb kann ein "böser" Webseitenbetreiber damit auch keinen Unsinn anstellen und er kann auch nicht gehackt werden, sodass danach die Passwörter aller Nutzer ausgelesen werden könnten (Wobei letzteres heutzutage auch nicht mehr möglich sein sollte, weil nir noch Prüfsummen der Passwörter gespeichert werden).g
@@ksibln Wer die Website betreibt entscheidet sich dafür ob er Passwörter hasht. Es ist genauso heute wie vor 20 Jahren möglich Passwörter im Klartext in die Datenbank zu schreiben. Wie man PWs speichert und abgleicht ist eine Entscheidung die bei der Entwicklung getroffen wird.
Der Betreiber der Seite besitzt in dem Fall deinen öffentlichen Key. Wie der Name schon sagt, ist dieser von jedem einsehbar. Du besitzt deinen privaten Key, den du logischerweise so behandeln solltest wie deine übliche Passwörter, also privat halten. Es ist das zwei-Schlüssel-System einer asymethrischer Kryptographie.
Also im Endeffekt nix anderes als die Public-Key-Authentifizierung wie bei z.B. ssh? Nur mit dem Nachteil dass ich meine privaten Keys nicht selbst wegsichern kann, sondern schön via Google oder Apple Backup in deren Cloud schiebe?
Es muss halt sichergestellt sein, dass man auch im Notfall an seine Daten/ Accounts ran kommt. Selten passiert es halt, dass kein Handy oder Notebook da ist und ich mich an einem fremden PC oder sonst was irgendwo einloggen muss.
Ich nutze auch heute schon Bitwarden plattformübergreifend. Da ich mir längst nicht alle Passwörter merken kann. Das brauche ich dann sowieso, wenn ich an einem fremden PC sitze.
Mir ist so eine Panne schon passiert, nämlich bei Apple - 2 Wochen musste ich auf die Wiederherstellung warten, nur weil die Daten nicht aktuell waren -tolle Wurst
Hi, ich bin ja eher so ein DAU. Und das wissend, mach ich mir halt Sorgen um Sicherheit. Danke für das verständliche und erfirschende Video. Du bist ein guter Erklär-Bär.
Ist die Schwachstelle dann nicht der Entsperrcode für das Smartphone? Ich muss, um meinen Fingerabdruck oder Face-ID auf einem fremden Android-Smartphone zu registrieren, lediglich das Smartphone in die Finger bekommen und den Entsperrcode kennen. Der wird zumindest bei Samsung alle Tage und bei einem Neustart abgefragt. Wie sichere ich mich dagegen ab?
Ich hätte mir noch etwas mehr technischen Hintergrund gewünscht, is ja schließlich die c't her .😉 Wie bekomme ich den Privat Key? Wo wir der abgelegt? TPM, Titan M2, ...? Welches verfahren wird benutzt? RSA?
genau, ich wuerde den Key gerne von meinem AndroidHandy auf meinem Linux Desktop speichern. Ich meine einen Schluessel muss man doch auch in den Geldbeutel stecken koennen oder?
Was ist der Unterschied von Passkey und fido2 Stick? Hört sich im Video an, als wenn Passkey eine Art fido2 Stick als Software ist, die lokal auf einem Gerät gespeichert ist. Wäre gut wenn ct oder heise zu diesem Thema ein "ruhiges" Video mit etwas technischer Erklärung machen würde.
"Lokal auf dem Gerät" ist nicht ganz richtig. Der charakteristische Unterschied ist, dass Passkeys via Cloud, zwar Ende-zu-Ende-verschlüsselt, aber eben doch synchronisiert und gesichert werden, d.h. sie sind im Prinzip kopierbar und daher nur durch die Ende-zu-Ende-Verschlüsselung geschützt, welche bisher auch nur garantiert wird von drei US-Anbietern, die alle dem Patriot Act unterliegen, d.h. wenn sie Hintertüren in die Verschlüsselung einbauen müssen, weil ein FISA-Urteil sie dazu zwingt, dürften sie es niemandem sagen. Schlüssel auf FIDO2-Sticks sind in einem speziellen Chip unauslesbar gespeichert, der dann auch die Kryptoalgorithmen mit ihnen rechnet (sicher, aber auch teuer, das sind keine ganz einfachen Prozessoren, so ein Stick kostet mindestens 30 Euro). Da kommt eine NSA noch nicht mal theoretisch ran, und kein FISA-Gericht der USA kann daran was ändern. Man kann so einen Schlüssel noch nicht einmal von einem Stick auf einen anderen kopieren. Das meinte Keno damit, dass die hohe Anforderung an die Schlüsselsicherheit zugunsten der Passkey-Lösung gelockert worden ist, damit die Leute nicht mehr die teuren Sticks kaufen müssen, und auch keine Angst davor haben müssen, dass ihnen ein Schlüssel mal verloren geht (es gibt ihn ja immer verschlüsselt in der Cloud). Denn bei den FIDO2-Sticks braucht man, um gegen Schlüsselverlust gewappnet zu sein, immer zwei Sticks, die man beide an jedem Web-Dienst anmeldet. Denn sonst geht der einzige Stick verloren, und man ist erstmal ausgesperrt, bis man sich mindestens einen neuen Stick verschafft und den über irgendeinen Recovery-Mechanismus wieder an allen Diensten angemeldet hat. Das heisst, man muss den neuen Stick wiederholt neu anmelden, an jeder Website, an der man den verloren gegangenen verwendet hat. Das ist das Verfügbarkeitsproblem privater Schlüssel in der Public-Key-Kryptographie, was viele Lösungen behindert hat, insbesondere E-Mail-Verschlüsselung, aber auch Authentifizierung - nur bei Dokumentensignatur ist das entschärft. Ich baue beruflich Anwendungen von Public-Key-Kryptographie seit 30 Jahren. Das Problem tauchte da immer wieder auf. Es wäre denkbar und wie ich finde, auch praktikabel, Passkeys nur auf Smartphones zu erzeugen. Die verfügen heutzutage schon lange über einen den FIDO2-Sticks vergleichbaren Sicherheitsprozessor, Secure Enclave auf iPhones, Secure Element auf Androiden (vorgeschrieben für Geräte, die Android 9 oder neuer ausführen). Mit denen könnte man Keys erzeugen, die sich nicht auf die E2E-Verschlüsselung der Cloud verlassen müssen, um sicher zu sein. Man müsste dann zwar immer den QR-Code/Bluetooth-Weg gehen, wenn man sich an irgendeinem PC auf einer Webseite mit dem Passkey auf dem Smartphone anmelden will, aber die Schlüsselsicherheit würde das schon erhöhen. Unterstützt aber (bisher noch) keiner der Anbieter. Vielleicht kommt das noch. Würde die Passkeys dann auch an Internet-Kiosk-Systemen verwendbar machen. Denn es kommt ja hoffentlich keiner auf die Idee, sich da mit seinem iCloud- oder Google-Account anzumelden?
@@olafschluter706 Nur wenn man sie Google/Apple anvertraut, ich kann sie aber auch „einfach“ in einem lokalen Passwortmanager (der Passkeys unterstützt) nutzen.
Geht das denn auch mit der Android-Installation? Wenn ich aus meinem Google-Konto mein Kennwort entfernt habe, kann ich dann Android noch ganz normal installieren? Immerhin muss ich recht früh im Setup mein Benutzernamen und mein PAsswort eingeben. Und wenn ja, ab welcher Android-Version werden Passekeys bei der Installation unterstützt?
Was ist, wenn ich kein Smartphone habe und am PC keine Kamera und keinen Touchscreenmonitor? Soll ja nicht gerade selten sein, daß Leute sich lediglich "nur" auf den reinen PC konzentrieren und auch keinen Anlass sehen, sich eine Kamera oder teuren Touchscreenmonitor zu besorgen. Funktioniert Passkey nur mit Fingerabdruck und Gesichtsscan? Oder hab ich was grundlegend nicht verstanden?
@@kayh4656 Was sind Hardwareschlüssel? Wo ist das Schlüsselloch dafür im PC? Und was soll der Scheiß mit dem Tresor oder Blumentopf im Schuppen? Du Schlaumeier, gib eine anständige Antwort.
Ich würde gerne einmal erklärt bekommen, wie das BSI seine Sicherheitsstandards definiert. Worauf basieren deren Vorgaben (Forschung, best Practice, Logik)? Wer hat das letzte Wort? Könnt ihr dazu ein Video machen?
Hm ich versteh nicht ganz wie das geht, ich hab jetzt nen passkey bei amazon, aber ich kann mich trotzdem noch mit Benutzer und Passwort anmelden und somit den passkey ignorieren. Ich kann die alten Loginmethoden nicht entfernen
Passkey auf eBay eingerichtet, funktioniert aber irgendwie trotzdem nicht, obwohl es ja so einfach sein soll. Mit Username und Passwort und SMS hat es dann doch auch ohne Passkey geklappt. Für mich noch seltsam, weil mir nicht klar ist, wo haargenau der Passkey liegt. Ich gebe also die Sicherheit meines Schlüssels an Google und Apple ab, oder?
und wie funktionieren diese passkeys, wenn ein fremdes gerät genutzt werden muss. ich kritisiere die hardware abhänigkeit. ohne SIM/SMS wäre man z.b. bei einem wohnungsbrand, der alles vernichtet, ganz schön aufgeschmissen...
Habe das Passkey-Prinzip noch nicht ganz verstanden: Muss dann jedes Gegenüber diese Technik anbieten, bspl. Onlineshops? Das tun ja die meisten noch gar nicht. Und brauche ich dann für bspw. 10 Onlineshops auch 10 Passkeys?
Ist ja alles ganz hübsch und nett und alle überschlagen sich mit Lob, aber was mache ich, wenn ich meine Passkeys auf dem Handy habe, das Handy wird mir gestohlen oder es ist komplett defekt. Wie melde ich mich dann noch im Internet auf einer Webseite an oder an einem neuen Handy, wenn ich bspw. wie eben empfohlen auch das Passwort aus dem Account gelöscht habe und nicht jeder hat noch ein Tablet wo der Google Account drauf läuft oder ist im Browser ständig im Google Account eingeloggt. Bei den ganzen Lobpreisungen hab ich immer das Gefühl, keiner denkt mal bis zu Ende...bis zum Worst Case...
dann gibt es immernoch ne Notfall Email adresse die man sowieso im account angeben muss, falls man sich über die erste adresse (und die dort eingestellten Login Methoden) aus welchen Gründen auch immer, nicht mehr anmelden kann... aber ich verstehe deinen Kritik punkt absolut.. aber wiegesagt, "recovery oder rücksetzen" geht bei jedem Dienst... noch...
wie sichert man einen passkey, wenn man nur ein device hat? synchronisieren ist schön, aber wenn der einzige key zu meinem google acc mein phone ist und dieses abhanden kommt, dann muss ich ja mit einem ersatzgerät irgendwie erstmalig wieder zugang erhalten. wie würde sowas ablaufen? bzw wie wäre das zu lösen? irgendein zweitschlüssel, der nicht ein zweites phone oder laptop o.ä. ist muss doch möglich sein, oder?
Bin PC Nutzer. Habe keinen Fingerabdruck oder Gesichtsscanner (Windows-Hello) am PC Muss ich dann wieder auf 2-Faktor zurückgreifen? Und ganz im Ernst, auch wenn es sicherer ist, geht mir 2-Faktor richtig auf die Nerven. Auf der Arbeit, bei Bankkonten und Ähnlichem verstehe ich das ja, aber bei Google, Netflix und Co.... Mein PC zuhause hat nicht mal ein Passwort, da werde ich mir keine Hello-fähige Kamera (ab 120,-€) kaufen für Passkey, solange es auch anders geht und auf der Arbeit, zeigen dir mir ebenfalls einen Vogel wenn ich damit um die Ecke komme. Solange das nicht zum Standard wird oder man gezwungen wird, werde ich weder 2F, noch Passkey im Alltag als Standard nutzen (wie gesagt, es gibt Accounts da sollte man immer so sicher sein wie es geht, aber nicht bei allen).
Passkey hat nichts mit Biometrie oder Windows Hello zu tun, lediglich die Anmeldung an Windows muss mit einem Password oder ein PIN gesichert sein, dann können chromebasierte Browser unter Windows zur Nutzung von Passkeys genutzt werden.
Sorry Keno, bin tagtäglich im Internet unterwegs - hab noch nicht eine Website gesehen, bei denen ich Accounts habe, die auch passkey anbieten würden. Was ist z.B. mit Banken?
Naja Deutsche Banken stecken ja auch im letzten Jahrhundert fest Die Sparkassen zb mit ihrer extra tan App Und sowas geht dann aber nur, wenn man den Code sich per Brief hat zuschicken lassen Es gibt viel sicherere Methoden, aber willkommen in Deutschland
Ich finde es immer fragwürdig wenn es heißt "man kann das dann einfach mit seinem Fingerabdruck entsperren". Was mache ich denn, wenn meine Fingerabdruckdaten geklaut werden? Das darf mir dann maximal 10 Mal passieren, bevor ich auf Zehenabdrücke ausweichen muss, oder wie? 😅
Bei einem guten Fingerabdrucksystem kann man Fingerabdrücke nicht so einfach klauen. Und der Angreifer muss ja auch erst mal physischen Zugriff auf Dein Gerät haben, also zu Dir ins Büro oder zu Dir nach nach Hause kommen. Bei Apple beispielsweise wird nicht der Fingerabdruck gespeichert, sondern nur eine Reihe von Merkmalen, mit deren Hilfe man einen Fingerabdruck auf Richtigkeit überprüfen kann. Aus diesen Daten kann man aber keinen Fingerabdruck ableiten. Außerdem hat Apple eine Lebenderkennung des Fingers. Damit ist die Verwendung eines z.B. von einem Gegenstand abgenommenen Fingerabdruck nahezu unmöglich.
@@GerhardAEUhlhorn wieder gefährliches Halbwissen. Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein. Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... . Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist. Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.
@HerrRoerich also wenn Deine Fingerabdruck Daten „geklaut“ werden, dann sind Deine Fingerabdruckdaten geklaut, so what? Was soll im Anschluss schon damit passieren? Es benötigt im Anschluss noch jemand auch physikalischen Besitz des Gerätes, welches Du mit dem Fingerabdruck auch entsperrst! Dir muss also jemand erst Deinen Fingerabdruck klauen UND das Handy/Notebook! Wenn Du das bemerkst, dann kannste die Passkeys vorher sperren lassen! Btw. weniger James Bond/Mission Impossible gucken
..was macht du, wenn der FIngeabdruckleser nicht mehr funktioniert? Das habe ich derzeit bei meinem Huawei I30. Von heute auf morgen tot. Ich hab ganz schön dumm aus der Wäsche geguckt, als ich bei der Überweisung (2 Faktor Authentifizierung) plötzlich wieder ein Kennwort eingeben sollte.
geht passkey ohne smartphone? dann ist es eine option. ansonsten bleib ich bei onlykey, da brauch ich nur einen pin zu merken, hab aber zugang zu 24 passwörtern die 50 stellig sein können.
8:49 Wie soll die Passwort-Recovery über E-Mail funktionieren, wenn man dort auch Pass-Keys verwendet? Recovery über SMS-Code geht auch schlecht, wenn das Handy kaputt ist, oder?
Keno meint die Passkey-Recovery, also, was passiert, wenn man seinen Passkey nicht mehr hat. Und so, wie man beim Password-Recovery per E-Mail kein Passwort mehr wissen muss, muss man auch beim Passkey-Recovery per E-Mail keinen Passkey mehr haben. Was man in der Mail bekommt, ist ein zeitlich begrenzt gültiger Link, den man anklickt, und der ein einmalig gültiges Anmeldepasswort enthält, dass der Website-Betreiber extra für diesen Zweck erstellt hat. Nach dem Anklicken des Links landet man dann auf einer Seite, auf der man dann quasi schon angemeldet ist, und dort registriert man dann einen neuen Passkey. Einfach mal ausprobieren.
@@olafschluter706 Wenn man aber seinen Email Account mit einem Passkey abgesichert hat, kann man die Email mit dem Link schlecht öffnen, wenn man keinen Zugriff mehr auf die Passkeys hat. Das meint er, wenn ich das richtig verstehe
@davidc1633 Aber nur weil z. B. das Handy kaputt ist, heißt das ja nicht, dass man nie wieder Zugriff auf die Handynummer bekommt. Zu Not neue SIM Karte beantragen, dann bekommt man zur alten Nummer eine neue Karte und auch die entsprechenden SMS.
Hab das gleiche "Problem" das immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
Wunderbar. Aber ich hab alte Geäte welche in Benutzung sind. Fingerabdruck - kennt das nicht. Gesichtserkennung dto. Fakt das funkt nicht. Oder liege ich hier falsch?
Sehr schönes und informatives Video. Leider nur sehr schnell (und hektisch) erklärt. Ich hatte Mühe, dir zu folgen. Bei mir ist auch noch eine Frage aufgekommen, was ist der Vorteil von Passkey gegenüber einem Fido2 Stick (abgesehen vom Kauf) ?
Wieso kann ich die Passkeys nicht geräteübergreifend nutzen? Gerade getestet: Bei Paypal mit dem Mac Passkey erstellt, auf dem iPhone mit Passkey eingeloggt, fertig.
Und was wenn ich PassKeys ohne Zutun von proprietären Diensten wie Google oder MS synchronisieren will? Open source Alternativen? NextCloud? Self-hosted? KeePass?
Aber was ist wenn der Passkey auf dem pc, Smartphone gespeichert wird, können Hacker trotzdem durch sicherheitslücken apps oder Betriebssystem da ran kommen? dann wäre es eine Leichtigkeit das Konto zu benutzen; oder was ist mit viren und Trojaner?
Und wenn das Gerät weg ist (kaputt, gestohlen, verloren) einfach per Mail-Recovery neuen Passkey erstellen? Und was ist, wenn der Mail-Account mit einem Passkey geschützt wird??? Der Mail-Zugang ist der wichtigste, weil man damit Zugang zu jedem Dienst bekommt. Über eben diese Recovery-Funktion.
Wie genau funktioniert das den nun? Ich habe versucht ein Passkey bei Adobe einzurichten. Wenn ich das am PC mit Win 10 und dem Chrome Browser versuche. Kommt eine Meldung die mich auffordert einen USB Stick einzustecken und kein QR Code?!
Habe ich das richtig verstanden, dass das nur mit mobil-Geräten funktioniert, die auch über einen Fingerabdruck-Scanner verfügen? Es geht also nicht an meinem Heim-PC, der keine Extras hat?
Technisch gibt es da keinen Grund für. Es wäre aber gut für den Zugriff auf die Passkeys eine Autorisierung zu erfordern (Fingerabdruck, Gesicht oder das einzige Passwort was du dir dann noch merken musst). So kann jemand der dein Gerät stielt nicht plötzlich auch auf all deine Online Konten zugreifen.
Denn war das missverständlich. Nein, Passkeys funktionieren auch auf Geräten, die überhaupt keine Biometrie anbieten - wie bspw. meinem Mac mini. Ggf. kann ich einen Passkey erst mit meinem Anmelde-Passwort am lokalen Gerät freigeben - die Server können da in der Anforderung zur Authentisierung Bedingungen stellen, die das erforderlich machen. Normalerweise aber reicht auf PCs ein Mausklick.
Hab das "Problem" das Bei Google Passkey, immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
Funktioniert das dann auch mit offline Passwörtern und mit dem Login für den PC oder das Handy? User braucht man dafür weiterhin ein normales Passwort?
was ist denn, wenn mein usb stick oder sonstwas kaputt geht? Bei 2fa gibt es ja diese Notfallcodes häufig, oder die möglichkeit das zu sichern. USBs sind klein und allem möglichen ausgesetzt, auch dem verlieren und verschluckt werden von Haus- und anderen "Klein"-Tieren.
Also asymetrisches Public Private Key Verfahren klingt ja toll, das macht ich seit Ewigkeiten so mit SSH. Was mit da aber garnicht gefällt ist das mit biometrischen Verfahren freezuschalten... Kann man die Passkeys nicht über ein Passwort verschlüsseln, wie wie ich das mit meinen SSH Keys mache? Private Schlüssel möchte ich nicht einfach unverschlüsselt auf den Geräten liegen haben. Wenn dann nur verschlüsselt und über Nextcloud gesynct in einem Passwort-Safe wie KeePass.
Das heißt aber auch das jedes Gerät wo ich mich einloggen möchte einen Fingerscanner oder eine Kamera haben muss, so wie ich das verstanden habe, oder ?
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
Ich mag die Idee nach wie vor, möchte aber unbedingt eine offene Lösung mit Verschlüsselung natürlich, zum selber hosten / synchronisieren sehen, damit ich die Dinger wirklich selbst unter Kontrolle habe.
fragt sich, was das für Agenturen bedeutet und wie man erreichen kann, dass das Verwalten von Internetseiten sowohl beim Kunden als auch in der Agentur möglich ist. Es ist schon unter google kaum möglich die Daten zu bearbeiten nachdem der Kunde ebenfalls auf das Google-Konto zurgreift. Aber für Internetseiten / Provider etc. müssen beide Parteien darauf zugreifen können. Ich kann ja nicht jedes Mal zu meinem Kunden fahren.
4:49 Das hab ich noch nicht ganz verstanden. Dachte immer, dass Nachrichten mit dem public key verschlüsselt werden und dann mit dem private key entschlüsselt werden. Andersrum kann ich eine mit einem privaten key verschlüsselte Nachricht nicht mit dem öffentlichen Schlüssel lesen. Wo ist mein Denkfehler?
Dem ist im regelfall auch so "Vertraulich". Wenn du jemanden indendifizieren willst, kann er eine Nachricht mit seinem Privaten Key signieren. Dadurch das nur der Besitzer den Privaten Key hat, kannst du sicher sein, dass diese Person auch wirklich diese Person ist "Authentisch". Sinn dahinter ist nicht die Nachricht zu verschlüsseln dass niemand sie lesen kann. Ich hoffe das war verständlich 🙂
Beim RSA-Algorithmus wäre es tatsächlich so, dass man mit dem privaten Key verschlüsselte Nachrichten mit dem öffentlichen entschlüsseln kann. Weil das aber für vertrauliche Kommunikation keinen Sinn macht, verwendet man diese Eigenschaft des RSA-Algorithmus dort für die sogenannte "digitale Signatur". Bei Passkeys wird aber und vornehmlich sogenannte Elliptic-Curve-Kryptographie verwendet, und dort sind Verschlüsselungs- und Signaturfunktionen mathematisch gesehen nicht symmetrisch - funktionieren aber beide mit jedem EC-Schlüsselpaar. Was bei Challenge-Response-Verfahren mit Public-Key-Kryptorgraphie aber immer passiert, ist, dass der Empfänger der challenge die mit seinem privaten Schlüssel digital signiert und dem Server zurücksendet. Dadurch beweist er wie mit einer Unterschrift seine Identität.
Apple speichert also den privaten Key in der Cloud 😅. Scheint bei Google aber nicht so zu sein (jedes Gerät muss einzeln freigegeben werden). Trotzdem bin ich noch etwas ratlos. Wir nutzen privat z.B. ein Chromebook auf dem jeder sich bei Bedarf mit seinem Konto anmelden kann. Macht auf solchen Geräten ein Passkey überhaupt Sinn? Dann könnte jedes meiner Familienmitglieder auf mein Konto zugreifen, oder?
Verstehe nicht ganz was dieses Prinzip sicherer macht als eine 2 Schritt Authentifizierung oderr was daran besser sein soll als eine zufällige Pin die man dann eingeben muß. Muss aber zu meiner Schande gestehen dass ich technisch nicht sehr bewandert bin. Habe aktuell fast überall eine 2 Schritt Af und auf dem Handy eine Af App um dann gegebenenfalls einen Code einzugeben.
Ich halte ein von Firefox generiertes Passwort in Bezug auf Privacy immer noch für besser als meinen Fingerprint oder meine Visage überall zu hinterlassen. Ein Passwort kann ich jederzeit ändern. Und wenn jemand ein Facepic von mir hat? Kann das nicht missbraucht werden?
Du brauchst einen Pin, Fingerabdruck oder faceID nur für Dein Smartphone, oder Computer. Der Schlüssel ist ja auf Deinem Gerät hinterlegt. Ohne das Gerät/Schlüssel ist faceID usw. nutzlos.
Das klingt absolut nicht sicher und es wurde auch nicht erklärt wie das im detail ablaufen soll. Ist ja nicht so dass konten jetzt schon kompromittiert sein könnten. Ein paar grafiken wären gut gewesen um den Vorgang früher und heute vorzuführen und die angriffsvektoren hervorzuheben. Außerdem woher soll der anbieter wissen dass dies auch tatsächlich mein zweites Gerät ist wenn ich für zwei verschiedene Geräte einen anderen passkey benötige da diese noch nicht zwischen geräten synchronisierbar sind? Gebe ich einfach einen benutzernamen ein und der server fragt ob das wirklich mein konto ist und ich bestätige mit "wallah ja ist meine" oder was?
Nö, mein Fingerabdruck oder FaceID bekommt kein Unternehmen. Ich bleib bei KeePass mit Master-Kennwort und Schlüsseldatei. Und in der Cloud wird schon mal gar nix abgelegt. Ich trau da keinem.
Also sind die Sachen bei den Anbieter verschlüsselt. Die könne gehackt werden und die Verschlüsslung knacken. Hmm. Was passiert wenn mein Smartphone verloren geht? Dann ist der Public key auch weg, oder habe ich nicht richtig aufgepasst ?
Was muss ich tun,wenn jemand mein Handy geklaut hat? Anders gefragt.wie mache ich den darauf abgelegten private Key ungültig? Muss ich dann bei zig Diensten einen neuen Passkey erzeugen?
Solange man es streng nach Vorgabe macht, tatsächlich keine. Leider werden in dem beschriebenen System jedoch viele Dinge falsch gemacht. So sollte ein privater Schlüssel ausschliesslich bei mir und sonst nirgends gespeichert sein. In dem Moment, wo ich ihn in die Cloud lade, ist das nicht mehr der Fall. Gleichzeitig erscheint es als werden die privaten Schlüssel von den Anbietern generiert, was meine persönliche Herrschaft über diese auch zu nichte macht.
Ich bin nicht tief genug im Thema aber ich erahne schon, dass es in Zukunft Szenarien geben wird, wo Leute zB ne triviale Handysicherung nutzen, auf dem dann alle Passkeys hinterlegt sind und Diebe es so noch viel leichter haben werden als beim Passwort + 2FA. Ne Art Masterschlüssel der zu schlecht gesichert ist. Vllt ist das auch Quatsch, aber ich bleibe gespannt.
Noch ist das doch keine Alternative. Ich habe in meinem Passwort-Manager (Keepass offline) an die 100 Einträge oder sogar mehr. Passkey wird von wieviel Anbietern jetzt genutzt? Wahrscheinlich kaum ein Bruchteil. Ich laufe dann mit 2 "Passwort-Managern" quasi rum. Solange das nicht überall der Standard ist, wird sich das nicht durchsetzen. Was passiert außerdem, wenn jemand mein Handy irgendwie klaut. Selbst die SMS-Recovery ist dann doch unsicher...Dass die Infos alle in einer Cloud sind, beruhigt mich nicht wirklich - auch wenn verschlüsselt...
Und wie werden passkeys genutzt wenn die Betroffenen keinem "Anbieter" vertrauen dürfen (z.B. gesetzlich)? Klar kann ich auch im Internet suchen aber zumindest ein Hinweis fehlt mir hier dich deutlich.
Kommt für mich aktuell noch nicht in Frage, da es aktuell von zu wenigen Anbietern genutzt wird. Vielleicht in Zukunft mal. Aktuell bleibe ich bei meinem Passwort-Manager, der mir für jede Plattform automatisch ein Passwort generiert und dieses auch automatisch ändert nach einer gewissen Zeit.
Verstehe ich das richtig, mein privater Schlüssel liegt verschlüsselt in irgend einer Cloud und auf meinem Endgerät? Ob das wirklich sicher ist? Das Konzept hört sich so ähnlich an wie der google- oder Microsoft Authenticator, nur dass dort die privaten Schlüssel nicht in der Cloud liegen und man Probleme bekommt wenn das Handy kaputt geht.
Ja, prinzipiell hast Du das fast korrekt erfasst! Aber Du kannst ja dennoch von den lokalen Apps selbst ein Backup erstellen, dann haste „kein Problem“
Mein erster Gedanke: Genau alle großen Datenkraken sind daran beteiligt und speichern die Keys in ihren Clouds ... Hintertür gleich inkl., muss sich also keiner mehr Mühe geben deine Paßwörter zu hacken, dann sind gleich alle Zugänge bei den Großen gespeichert. Echt jetzt? Vielleicht liege ich da falsch, aber das Vertrauen zu diesen Playern ist gleich null.
Ja also der Yubikey ist ja auch nur ein TPM Chip da die Dinger ja sowieso mittlerweile in jedem PC - Smartphone o.Ä verbaut sind .. war das ja nur eine Frage der Zeit geht das Handy allerdings verloren sind auch die Schlüssel weg deswegen lieber einen Hardware Key kaufen den kann man auch an fremden geräten nutzen und es muss nicht erst alles synchronisiert werden ... Und wenn man ein Gerät ohne TPM / Ohne Biometrie hat sind die auch wieder nutzlos ...
Also wenn das automatisch in die Klaut' (e)s geht, sehe ich überhaupt keinen Sicherheitsvorteil, eher -nachteil. Liege ich falsch?!? Steh' ich auf dem Schlauch?!?
Nein, du hast recht. Mit dem Upload und zudem dem vorherigen generieren der Schlüssel außerhalb des eigenen Endgerätes, ist die Sicherheit der Schlüssel vollständig als unterminiert zu betrachten.
Vielen vielen Dank für dieses informative Video. Habe schon lange nach einer besseren Lösung gesucht, als das immer die selben Passwörter überall zu verwenden. Trotzdem eine Frage, wie genau lösche ich ein Passwort nachdem ich Passkey eingerichtet habe? Und kann man Passkeys überall einrichten auch bei Steam & Co?
Wie kommuniziert mein Desktop mit dem Handy? Soweit ich das gesehen habe braucht es dazu BT5.1. Mein gar nicht mal so alter Laptop hat das nicht und damit fallen Passkeys leider komplett durch.
Etwas anderes: Wenn ich mir ein 10-stelliges Passwort merke und dieses bei Anmeldungen jeweils zweimal hintereinder (als 1 Zeichenreihe) angebe, dann hätte ich doch ein 20-stelliges Passwort, das doppelt so sicher ist wie das 10-stellige. oder?
Sehr schön erklärt, Dankeschön. Nachdem ich mein erstes Komto auf Passkey umgestellt habe, scheint aber das ursprüngliche Passwort noch zu existieren und zu funktionieren. Das macht doch dann auch keinen Sinn, oder?
Genau die gleiche Frage habe ich mir auch gestellt. Zum Beispiel wenn man auf PayPal ein Passkey auf einem bestehenden Konto einrichtet bleibt das alte Passwort bestehen. Ich habe somit nach Aussagen von PayPal zwei Möglichkeiten mich einzuloggen. So richtig rund ist das für mich auch noch nicht...
Sorry für die DAU-Frage. Aber warum kann ein Passkey nicht einfach geklaut werden, wenn er auf meinem Rechner gespeichert ist? Ist das nicht genauso blöd, wie wenn man sein Passwort auf dem Rechner hinterlegt?
Was ist wenn ich mein Handy verliere und das mit dem Recovery mache und ich dann meine E Mail nicht mehr öffnen kann weil die nur mir PassKeys sich öffnen lässt?
E-Mails, die man nur mit Passkey öffnen kann, gibt es nicht. Wenn Du die Anmeldung an einen Online-Mailclient meinst - die Mails sind zugänglich, sobald Du das Recovery des Passkeys für die Anmeldung am Online-Mailclient erledigt hast.
@@petralustich617 Sichere Wiederherstellung Die Passkey-Synchronisierung bietet Komfort und Redundanz bei Verlust eines einzelnen Geräts. Passkeys müssen aber auch dann wiederhergestellt werden können, wenn alle zugehörigen Geräte verloren gehen. Passkeys können über iCloud-Schlüsselbund-Escrow wiederhergestellt werden. Dies bietet auch Schutz vor Brute-Force-Angriffen, selbst wenn diese durch Apple erfolgen. Der iCloud-Schlüsselbund sichert die Schlüsselbunddaten eines Benutzers bei Apple, ohne dass Apple die Passwörter und anderen enthaltenen Daten lesen kann. Der Schlüsselbund des Benutzers wird mit einem sicheren Code verschlüsselt, und der Escrow-Dienst stellt nur dann eine Kopie des Schlüsselbunds bereit, wenn strenge Bedingungen erfüllt sind. Um einen Schlüsselbund wiederherzustellen, muss sich ein Benutzer mit seinem iCloud-Account und seinem Passwort authentifizieren und auf eine SMS reagieren, die an seine registrierte Telefonnummer gesendet wird. Nachdem er sich authentifiziert und reagiert hat, muss der Benutzer seinen Gerätecode eingeben. iOS, iPadOS und macOS erlauben nur 10 Authentifizierungsversuche. Nach mehreren fehlgeschlagenen Versuchen wird der Datensatz gesperrt, und der Benutzer muss den Apple Support anrufen, um weitere Versuche zu erhalten. Nach dem zehnten fehlgeschlagenen Versuch wird der Escrow-Datensatz gelöscht. Optional kann ein Benutzer einen Kontakt für die Accountwiederherstellung einrichten, um sicherzustellen, dass er immer Zugriff auf seinen Account hat, auch wenn er sein Apple-ID-Passwort oder seinen Gerätecode vergisst.
"Wenn Hacker Zugang zu den Servern deines Anbieters haben" ähm, dann haben wir noch ganz andere Probleme? Dann können die auch den CryptoKey raustragen oder im Zweifel auch gleich die Kontodaten?
Leider habe ich nach diesem Video mehr Fragen als vorher ! - Wenn ich auf einem Gerät den Passkey mit einem Fingerabdruck erzeuge und auf einem anderen Gerät mit einer biometrichen Kamera wie finden die beiden Passkeys dann zueinander oder kann ich den Dienst dann nur noch mit einem bestimmten Gerät benutzen ? - Wenn Fingerprint Sensor oder Biometrische Kamera einen Defekt haben ist mein Zugang zu meinen Diensten dann noch möglich ? und wie komplex ist das dann ? - Kann ich Diensten wie 1Passwort, hinter denen mir unbekannte Firmen stecken, überhaupt vertrauen ? oder stecken da Hacker oder Geheimdienste dahinter ? oder sind die Firmen ohnehin fast Pleite und werden an Hacker verkauft, wie jetzt schon alle möglichen Passwort-Listen ???? - Wie funktioniert das ganze mit USB-Sticks deren Lebensdauer heutzutage oft kürzer ist als die einer 5 1/4" Diskette ? - Warum werden in den verschiedenen UA-cam-Videos immer wieder andere Dinge behauptet die nicht zueinander passen ? Ich könnte noch stundenlang weitere Fragen posten. Aber mal ganz Ehrlich: das hat ohnehin keinen Zweck weil ich hier keine eindeutige Antwort auf meine Fragen bekomme.
Also dass die Anmeldung per Passkey sicher ist, ist mir schon klar. Aber ich habe noch nicht so durchdrungen wie das mit meinen gesammelten Passkeyschlüsseln aussieht. Ich meine verstanden zu haben: Die Schlüsseln sind auf meinem Endgerät gespeichert und sie werden von Apple oder Google in der Cloud gespeichert und automatisch verteilt. Das bedeutet auch wenn die Server von Google oder Apple mal ausfallen kann ich mich noch anmelden? Oder nicht? Wenn nicht, dann kann man dadurch mich aussperren oder ziemlich viel mit einem Angriff auf diese Server lahmlegen. Oder wie verhindere ich dass die Keys auf einen fremden Rechner , den ich nur vorübergehend nutze, verteilt wird. Oder kann jemand bei einem Angriff auf Apples oder Googles Cloud die Passkeys erbeuten?….
Normales Passwort: du schickst d server dein Passwort, der vergleicht ob das mit dem bei ihm hinterlegten übereinstimmt, fertig. Passkey: der Server schickt dir eine Zeichenfolge, du signierst die mit deinem privaten Schlüssel, Server vergleicht mit deinem öffentlichen Schlüssel ob du das warst. Unterschied: bei passkeys verlässt dein privater schlüssel nicht dein gerät und signierte Zeichenfolgen sind wahrscheinlich nur einmal gültig. Ein Passwort ist immer gültig, wird beim anmelden übertragen und liegt in irgendeiner Weise auch auf dem Server. Das mit Apple und Google ist nur als optionale Cloud Backup/synchronisierung der privaten Schlüssel zwischen deinen eigenen geräten gedacht. Dürften andere Passwortmanagementdienste auch anbieten, für normale Passwörter gibt es ja auch dieselbe Komfortfunktion. Und natürlich, falls deren Cloud kompromittiert ist hast du natürlich ein Problem.
@@SimonVaIe Danke für die Erklärung. So wie ich den Artikel verstehe ist doch gerade die Cloud-Verbindung die Weiterentwicklung von Passkey. Sonst sehe ich keinen Unterschied zu nem FIDO-Usb-Stick.
Cool. Was Neues gelernt. Da höre ich jetzt zum ersten Mal davon. Ich werde mich da diesbezüglich weiter informieren und dann entscheiden. Auf jeden Fall super, das es diese Aufklärung dazu gibt. Danke!
Frage nah dem "PGP Code": Gibts in dem Konzept eine NSA Backdoor? Die BiG US Player bekommen da bestimmt Druck. Wegen Patriot Act usw... Also, ich bin da skeptisch...
@@kayh4656 genauso wurde vor einigen Jahren noch mit Leuten geredet, die meinten die USA hätten überall Backdoors drin und würden weltweit alles mithören. War natürlich krasser Unfug... Bis ein Edward Snowden da etwas veröffentlichte... "Abhören unter Freunden, das ging gar nicht." Aber du warst da entweder noch nicht geboren oder hast gepennt... ...oder du bist einfach saumässig naiv. 🤷♂️
Welcher Browser wurde verwendet - ggf. kann der Passkey noch nicht, wie bspw. leider der Firefox? Es macht auf einem Browser, der Passkey kann, natürlich wenig Sinn, die Option "Auf einem anderen Gerät" zu wählen. Bei Safari, Chrome oder Edge jedenfalls sollte der Default-Weg über "Fortfahren" funktionieren, dann wird auf dem Handy ein Passkey erzeugt und registriert.
"Und dann musst du nur noch deinen Fingerabdruck oder Face-ID verwenden und schon bist du eingeloggt." Vielleicht sollte man das Problem mit den Passwörtern nicht durch bedenkenlosen Umgang mit (nahezu) unveränderlichen persönlichen Merkmalen ersetzen. Die Fingerabdrucksfläche auf dem Smartphone kann genauso missbraucht werden wie Face-ID. Solche Merkmale will man eigentlich von Staaten und Unternehmen so gut wie möglich fernhalten.
Danke für das - wie immer - cool gemacht Video! Ich habe von Passkeys schon einiges in der c't gelesen, scheue mich aber noch, das einzusetzen (wo es geht), da mir noch nicht klar ist, wie und ob ich bei allen Diensten die Passkeys sichern kann. Mir ist auch noch nicht klar, wie ich mich z.B. mit einem NEUEN Android-Handy wieder mit meinem Goolge-Account anmelden kann, wenn ich auf dem alten Handy schon dafür Passkeys nutzen würde, dieses aber verloren geht/defekt ist!?
Wie das bei Android geht, kann Ich Dir nicht sagen. Jedenfalls sind die Passkeys aus diesem Grund an einen Apple-, MS- oder Google-Cloud-Account gebunden, es gibt sie dann immer noch in verschlüsselter Form in der Cloud. Einen Google-Account hat man ja als Android-Nutzer, sobald man was aus dem Google Play Store laden will, ohne kann man einen Androiden nur sehr eingeschränkt betrieben (so verhält es sich mit iPhones und dem Apple-iCloud-Account auch). Es geht als um das Recovery des Zugangs zum Google-Account bei Verlust des Passkeys, mit dem man sich da anmeldet. Wenn man auf den wieder Zugriff hat, dann hat man auch wieder Zugriff auf seine Passkeys, alle, wenn Google nicht zwischenzeitlich auch komplett abgebrannt ist, und dann haben wir alle andere Sorgen. Ich habe für meinen Google-Account (ist ja auch für Apple-User nützlich, z.B. hier) noch als Fallback das Passwort + OTP. Ich würde auch erst mal nachsehen, wie Google sich das Passkey-Recovery vorstellt und welches Verfahren es da anbietet, bevor ich die Passwort/OTP-Alternative wegwerfe. Bei Apple ist es so, dass es für den Fall, wenn wirklich alle Stricke reissen, und man kein Gerät mehr hat, das an die iCloud-Daten rankommt, ein iCloud-Recovery-Passwort gibt, mit dem man wieder an diese Daten kommt. Und in den iCloud-Daten stecken die Passkeys. Das Recovery-Passwort hat man bei der Einrichtung des iCloud-Accounts festgelegt, hat man 2-Faktor-Authentifizierung da an, ist es einfach das iCloud-Anmeldepasswort. Hat man die Advanced-Data-Protection an, also Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten, dann ist dieses Recovery-Passwort ein hinreichend langer (gute 300 Bit) kryptographischer Key als Buchstaben/Zahlen-Folge, den ich ausgedruckt in meinem Schreibtisch habe - mir graut vor dem Gedanken, den mal eines Tages womöglich gar in das Mäuseklavier von einem Smartphone eintippen zu müssen. Achja, bei iCloud + Advanced Data Protection gibt es dann noch die Möglichkeit, einen Recovery-Account anzugeben, also jemand anderen, der auch einen iCloud-Account hat und über den man seine Daten wieder erlangen kann. Bei mir ist das meine Tochter. Meine Versicherung hinsichtlich meiner iCloud-Daten dafür, falls mein Haus abbrennt - und damit auch der Zettel mit dem Key. BTW: Apple erzwingt, dass man sich diesen Key ausdruckt, wenn man ADP anschaltet. Die wollen ihren Support schonen vor Anfragen, bei denen sie nicht helfen können. Apple hat angekündigt, Passkeys für iCloud-Accounts als zweiten Faktor einzuführen und damit ihre proprietäre 2 Faktor-Technik abzulösen. Das Fallback beim 2. Faktor auf SMS wird aber wohl logischerweise beibehalten. Man kann als Kommentar sowohl zur Bedrohung von Internet-Accounts wie auch zur Sicherheit von Passkeys allerdings auch noch folgendes feststellen: schon seit längerer Zeit erzwingt Apple die 2-Faktor-Authentifizierung für iCloud-Accounts, die im Developer Program von Apple registriert sind, denn diese Accounts haben Zugriff auf Signaturschlüssel, mit denen sie Apps signieren und in den Appstore stellen können. Da hat Apple nun nicht etwa Passkeys als 2. Faktor eingeführt, sondern die Hardware-Variante mit der höheren Schlüsselsicherheit: FIDO2-Sticks. Passkeys werden da nicht zugelassen. Dabei wären die einzigen, die iCloud-Passkeys angreifen können, eigentlich nur die Leute von Apple, indem sie bei der E2E-Verschlüsselung der Keys betrügen. Ceterum censeo die Nachrichtendienste der Welt sollten einen Service anbieten dafür, Bürgern wieder Zugang zu ihren Cloud-Daten zu verschaffen. Das würde das Leben so erleichtern
Recovering access or adding new devices When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup. To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock. Since screen lock PINs and patterns, in particular, are short, the recovery mechanism provides protection against brute-force guessing. After a small number of consecutive, incorrect attempts to provide the screen lock of an existing device, it can no longer be used. This number is always 10 or less, but for safety reasons we may block attempts before that number is reached. Screen locks of other existing devices may still be used. If the maximum number of attempts is reached for all existing devices on file, e.g. when a malicious actor tries to brute force guess, the user may still be able to recover if they still have access to one of the existing devices and knows its screen lock. By signing in to the existing device and changing its screen lock PIN, password or pattern, the count of invalid recovery attempts is reset. End-to-end encryption keys can then be recovered on the new device by entering the new screen lock of the existing device. Screen lock PINs, passwords or patterns themselves are not known to Google. The data that allows Google to verify correct input of a device's screen lock is stored on Google's servers in secure hardware enclaves and cannot be read by Google or any other entity. The secure hardware also enforces the limits on maximum guesses, which cannot exceed 10 attempts, even by an internal attack. This protects the screen lock information, even from Google. When the screen lock is removed from a device, the previously configured screen lock may still be used for recovery of end-to-end encryption keys on other devices for a period of time up to 64 days. If a user believes their screen lock is compromised, the safer option is to configure a different screen lock (e.g. a different PIN). This disables the previous screen lock as a recovery factor immediately, as long as the user is online and signed in on the device.
=== Anzeige / Sponsorenhinweis ===
Erhalte hier den exklusiven NordVPN Deal: nordvpn.com/ct3003
Risikofrei mit 30-Tage-Geld-zurück-Garantie.
=== Anzeige / Sponsorenhinweis Ende ===
Schmutz
Und dann noch Werbung für Nord VPN, was ist nur aus der ct geworden... traurig, traurig.
Ich hab mir einen Passkey bei Google eingerichtet. ABER: wenn ich auf der Arbeit im Google Chrome Browser versuche mich per QR-Code mit dem Smartphone einzuloggen, werde ich immer danach aufgefordert mein Passwort einzugeben. Da scheint das mit dem Passkey leider vorne und hinten nicht zu klappen und ich weiß nicht, woran es liegt.
Noch etwas: Synology unterstützt Passkeys leider nur auf seiner eigenen Webseite. Viel wichtiger wäre aber doch, Passkeys für den Login auf der Synology-NAS zuzulassen. Ist aber nicht so. Jedenfalls hätte ich bisher nicht verstanden, wie ich das einrichten soll.
Außerdem wundert mich: PayPal hat großspurig angekündigt Passkeys zu unterstützen und passiert ist bisher nix. Man muss immer noch tausend SMS Bestätigungen über sich ergehen lassen, bis man einmal was verschicken darf. Oder klappt das bei euch, Keno?
@@Neptun-8 Nö.
5:20 "Der private Key liegt nur bei Dir und kann deswegen auch nicht abgefangen werden", aber 6:34 "Apple speichert die Passkeys nämlich im verschlüsselten iCloud Backup und synchronisiert sie..." Damit ist es doch dann wieder das gleiche wie vorher mit gespeichterten Passwörtern oder nicht?
Richtig, das hat mich auch gleich angesprungen. Aber wenigstens kann nichts zwischen einer Website und einem deiner Geräte abgefangen werden. Das ist schon mal was.
Damit ist gemeint, dass z.B. der Betreiber der Webseite Dein "Geheimnis" (früher das Passwort, jetzt Deinen privaten geheimen Key) gar nicht erfährt. Deshalb kann ein "böser" Webseitenbetreiber damit auch keinen Unsinn anstellen und er kann auch nicht gehackt werden, sodass danach die Passwörter aller Nutzer ausgelesen werden könnten (Wobei letzteres heutzutage auch nicht mehr möglich sein sollte, weil nir noch Prüfsummen der Passwörter gespeichert werden).g
Genau das habe ich auch gedacht.
@@ksibln Wer die Website betreibt entscheidet sich dafür ob er Passwörter hasht. Es ist genauso heute wie vor 20 Jahren möglich Passwörter im Klartext in die Datenbank zu schreiben. Wie man PWs speichert und abgleicht ist eine Entscheidung die bei der Entwicklung getroffen wird.
Der Betreiber der Seite besitzt in dem Fall deinen öffentlichen Key. Wie der Name schon sagt, ist dieser von jedem einsehbar. Du besitzt deinen privaten Key, den du logischerweise so behandeln solltest wie deine übliche Passwörter, also privat halten. Es ist das zwei-Schlüssel-System einer asymethrischer Kryptographie.
Also im Endeffekt nix anderes als die Public-Key-Authentifizierung wie bei z.B. ssh? Nur mit dem Nachteil dass ich meine privaten Keys nicht selbst wegsichern kann, sondern schön via Google oder Apple Backup in deren Cloud schiebe?
@basicallyhumanIst korrekt, trotzdem liegt mein privater Schlüssel eben nicht ausschließlich bei mir, was das System unterminiert...
Guter Beitrag. Macht doch mal bitte auch einen Beitrag über die Nachteile von Passkeys.
Es muss halt sichergestellt sein, dass man auch im Notfall an seine Daten/ Accounts ran kommt. Selten passiert es halt, dass kein Handy oder Notebook da ist und ich mich an einem fremden PC oder sonst was irgendwo einloggen muss.
Ich nutze auch heute schon Bitwarden plattformübergreifend. Da ich mir längst nicht alle Passwörter merken kann. Das brauche ich dann sowieso, wenn ich an einem fremden PC sitze.
Immerhin klappt das dann auch offline und ich brauche keinen Internetzugriff am Handy.
Mir ist so eine Panne schon passiert, nämlich bei Apple - 2 Wochen musste ich auf die Wiederherstellung warten, nur weil die Daten nicht aktuell waren -tolle Wurst
Hi, ich bin ja eher so ein DAU. Und das wissend, mach ich mir halt Sorgen um Sicherheit. Danke für das verständliche und erfirschende Video. Du bist ein guter Erklär-Bär.
Ist die Schwachstelle dann nicht der Entsperrcode für das Smartphone? Ich muss, um meinen Fingerabdruck oder Face-ID auf einem fremden Android-Smartphone zu registrieren, lediglich das Smartphone in die Finger bekommen und den Entsperrcode kennen. Der wird zumindest bei Samsung alle Tage und bei einem Neustart abgefragt. Wie sichere ich mich dagegen ab?
Ich hätte mir noch etwas mehr technischen Hintergrund gewünscht, is ja schließlich die c't her .😉
Wie bekomme ich den Privat Key? Wo wir der abgelegt? TPM, Titan M2, ...? Welches verfahren wird benutzt? RSA?
genau, ich wuerde den Key gerne von meinem AndroidHandy auf meinem Linux Desktop speichern. Ich meine einen Schluessel muss man doch auch in den Geldbeutel stecken koennen oder?
@@stefanharjesoder in Edelstahlplatten einschlagen können.
Was ist der Unterschied von Passkey und fido2 Stick?
Hört sich im Video an, als wenn Passkey eine Art fido2 Stick als Software ist, die lokal auf einem Gerät gespeichert ist.
Wäre gut wenn ct oder heise zu diesem Thema ein "ruhiges" Video mit etwas technischer Erklärung machen würde.
Korrekt erfasst, wozu dann noch eine weitere Erklärung?
"Lokal auf dem Gerät" ist nicht ganz richtig. Der charakteristische Unterschied ist, dass Passkeys via Cloud, zwar Ende-zu-Ende-verschlüsselt, aber eben doch synchronisiert und gesichert werden, d.h. sie sind im Prinzip kopierbar und daher nur durch die Ende-zu-Ende-Verschlüsselung geschützt, welche bisher auch nur garantiert wird von drei US-Anbietern, die alle dem Patriot Act unterliegen, d.h. wenn sie Hintertüren in die Verschlüsselung einbauen müssen, weil ein FISA-Urteil sie dazu zwingt, dürften sie es niemandem sagen. Schlüssel auf FIDO2-Sticks sind in einem speziellen Chip unauslesbar gespeichert, der dann auch die Kryptoalgorithmen mit ihnen rechnet (sicher, aber auch teuer, das sind keine ganz einfachen Prozessoren, so ein Stick kostet mindestens 30 Euro). Da kommt eine NSA noch nicht mal theoretisch ran, und kein FISA-Gericht der USA kann daran was ändern. Man kann so einen Schlüssel noch nicht einmal von einem Stick auf einen anderen kopieren. Das meinte Keno damit, dass die hohe Anforderung an die Schlüsselsicherheit zugunsten der Passkey-Lösung gelockert worden ist, damit die Leute nicht mehr die teuren Sticks kaufen müssen, und auch keine Angst davor haben müssen, dass ihnen ein Schlüssel mal verloren geht (es gibt ihn ja immer verschlüsselt in der Cloud). Denn bei den FIDO2-Sticks braucht man, um gegen Schlüsselverlust gewappnet zu sein, immer zwei Sticks, die man beide an jedem Web-Dienst anmeldet. Denn sonst geht der einzige Stick verloren, und man ist erstmal ausgesperrt, bis man sich mindestens einen neuen Stick verschafft und den über irgendeinen Recovery-Mechanismus wieder an allen Diensten angemeldet hat. Das heisst, man muss den neuen Stick wiederholt neu anmelden, an jeder Website, an der man den verloren gegangenen verwendet hat. Das ist das Verfügbarkeitsproblem privater Schlüssel in der Public-Key-Kryptographie, was viele Lösungen behindert hat, insbesondere E-Mail-Verschlüsselung, aber auch Authentifizierung - nur bei Dokumentensignatur ist das entschärft. Ich baue beruflich Anwendungen von Public-Key-Kryptographie seit 30 Jahren. Das Problem tauchte da immer wieder auf.
Es wäre denkbar und wie ich finde, auch praktikabel, Passkeys nur auf Smartphones zu erzeugen. Die verfügen heutzutage schon lange über einen den FIDO2-Sticks vergleichbaren Sicherheitsprozessor, Secure Enclave auf iPhones, Secure Element auf Androiden (vorgeschrieben für Geräte, die Android 9 oder neuer ausführen). Mit denen könnte man Keys erzeugen, die sich nicht auf die E2E-Verschlüsselung der Cloud verlassen müssen, um sicher zu sein. Man müsste dann zwar immer den QR-Code/Bluetooth-Weg gehen, wenn man sich an irgendeinem PC auf einer Webseite mit dem Passkey auf dem Smartphone anmelden will, aber die Schlüsselsicherheit würde das schon erhöhen. Unterstützt aber (bisher noch) keiner der Anbieter. Vielleicht kommt das noch. Würde die Passkeys dann auch an Internet-Kiosk-Systemen verwendbar machen. Denn es kommt ja hoffentlich keiner auf die Idee, sich da mit seinem iCloud- oder Google-Account anzumelden?
@@olafschluter706 Nur wenn man sie Google/Apple anvertraut, ich kann sie aber auch „einfach“ in einem lokalen Passwortmanager (der Passkeys unterstützt) nutzen.
Was passiert, wenn ein Angreifer den Private Key auf meinem Gerät auslesen kann? Ist der dann verschlüsselt?
Die Frage ist in sich unlogisch, entweder er liest etwas aus, oder es ist verschlüsselt, aber wie kann man was entschlüsseltes auslesen?
Geht das denn auch mit der Android-Installation? Wenn ich aus meinem Google-Konto mein Kennwort entfernt habe, kann ich dann Android noch ganz normal installieren? Immerhin muss ich recht früh im Setup mein Benutzernamen und mein PAsswort eingeben. Und wenn ja, ab welcher Android-Version werden Passekeys bei der Installation unterstützt?
Was ist, wenn ich kein Smartphone habe und am PC keine Kamera und keinen Touchscreenmonitor? Soll ja nicht gerade selten sein, daß Leute sich lediglich "nur" auf den reinen PC konzentrieren und auch keinen Anlass sehen, sich eine Kamera oder teuren Touchscreenmonitor zu besorgen. Funktioniert Passkey nur mit Fingerabdruck und Gesichtsscan? Oder hab ich was grundlegend nicht verstanden?
Dann investiert man einmal 70 € in zwei Hardwareschlüssel. Einen für den täglichen Gebrauch, einen für den Tresor oder den Blumentopf im Schuppen.
@@kayh4656 Was sind Hardwareschlüssel? Wo ist das Schlüsselloch dafür im PC? Und was soll der Scheiß mit dem Tresor oder Blumentopf im Schuppen? Du Schlaumeier, gib eine anständige Antwort.
@@special-selfdefense-system #fcknzs #nazisraus
Ich würde gerne einmal erklärt bekommen, wie das BSI seine Sicherheitsstandards definiert. Worauf basieren deren Vorgaben (Forschung, best Practice, Logik)? Wer hat das letzte Wort? Könnt ihr dazu ein Video machen?
Ich glaube das will man nicht wissen. 😅
Das ist eine Behörde, und wir kennen doch alle das Fachwissen im Bereich IT der deutschen Behörden.... :(
Wann wird es passkey systemübergreifend für alle Systeme geben? Da das Ganze Chromium-basierend ist, wird Firefox damit ausgeschlossen?
Hm ich versteh nicht ganz wie das geht, ich hab jetzt nen passkey bei amazon, aber ich kann mich trotzdem noch mit Benutzer und Passwort anmelden und somit den passkey ignorieren. Ich kann die alten Loginmethoden nicht entfernen
Für mich hört sich das irgendwie zu unsicher an. Der Single Point of Failure ist dann die Recoveryfunktion.
Passkey auf eBay eingerichtet, funktioniert aber irgendwie trotzdem nicht, obwohl es ja so einfach sein soll. Mit Username und Passwort und SMS hat es dann doch auch ohne Passkey geklappt. Für mich noch seltsam, weil mir nicht klar ist, wo haargenau der Passkey liegt. Ich gebe also die Sicherheit meines Schlüssels an Google und Apple ab, oder?
Schön und einfach und überzeugend erklärt, auch für die Autisten im Bereich IT schön verständlich. Herzlichen Dank und schönes Wochenende.
Da muss man aber sagen ein Autist in der IT - Kann sich alle Passwörter und mehr sowieso merken. ;)
Hmm, ist das vom Prinzip nicht wie "Login mit Google / Amazon / etc." ?
und wie funktionieren diese passkeys, wenn ein fremdes gerät genutzt werden muss.
ich kritisiere die hardware abhänigkeit.
ohne SIM/SMS wäre man z.b. bei einem wohnungsbrand, der alles vernichtet, ganz schön aufgeschmissen...
Habe das Passkey-Prinzip noch nicht ganz verstanden: Muss dann jedes Gegenüber diese Technik anbieten, bspl. Onlineshops? Das tun ja die meisten noch gar nicht. Und brauche ich dann für bspw. 10 Onlineshops auch 10 Passkeys?
Ist ja alles ganz hübsch und nett und alle überschlagen sich mit Lob, aber was mache ich, wenn ich meine Passkeys auf dem Handy habe, das Handy wird mir gestohlen oder es ist komplett defekt. Wie melde ich mich dann noch im Internet auf einer Webseite an oder an einem neuen Handy, wenn ich bspw. wie eben empfohlen auch das Passwort aus dem Account gelöscht habe und nicht jeder hat noch ein Tablet wo der Google Account drauf läuft oder ist im Browser ständig im Google Account eingeloggt. Bei den ganzen Lobpreisungen hab ich immer das Gefühl, keiner denkt mal bis zu Ende...bis zum Worst Case...
dann gibt es immernoch ne Notfall Email adresse die man sowieso im account angeben muss, falls man sich über die erste adresse (und die dort eingestellten Login Methoden) aus welchen Gründen auch immer, nicht mehr anmelden kann... aber ich verstehe deinen Kritik punkt absolut..
aber wiegesagt, "recovery oder rücksetzen" geht bei jedem Dienst... noch...
wie sichert man einen passkey, wenn man nur ein device hat?
synchronisieren ist schön, aber wenn der einzige key zu meinem google acc mein phone ist und dieses abhanden kommt, dann muss ich ja mit einem ersatzgerät irgendwie erstmalig wieder zugang erhalten.
wie würde sowas ablaufen? bzw wie wäre das zu lösen?
irgendein zweitschlüssel, der nicht ein zweites phone oder laptop o.ä. ist muss doch möglich sein, oder?
Bin PC Nutzer. Habe keinen Fingerabdruck oder Gesichtsscanner (Windows-Hello) am PC
Muss ich dann wieder auf 2-Faktor zurückgreifen? Und ganz im Ernst, auch wenn es sicherer ist, geht mir 2-Faktor richtig auf die Nerven.
Auf der Arbeit, bei Bankkonten und Ähnlichem verstehe ich das ja, aber bei Google, Netflix und Co....
Mein PC zuhause hat nicht mal ein Passwort, da werde ich mir keine Hello-fähige Kamera (ab 120,-€) kaufen für Passkey, solange es auch anders geht und auf der Arbeit, zeigen dir mir ebenfalls einen Vogel wenn ich damit um die Ecke komme. Solange das nicht zum Standard wird oder man gezwungen wird, werde ich weder 2F, noch Passkey im Alltag als Standard nutzen (wie gesagt, es gibt Accounts da sollte man immer so sicher sein wie es geht, aber nicht bei allen).
Passkey hat nichts mit Biometrie oder Windows Hello zu tun, lediglich die Anmeldung an Windows muss mit einem Password oder ein PIN gesichert sein, dann können chromebasierte Browser unter Windows zur Nutzung von Passkeys genutzt werden.
@@kayh4656 Man kann in Passkey Zwei Faktor sowohl über Yubikey, Biometrie, Bluetooth, Zertifikat, oder Windows-Hello einrichten
Sorry Keno, bin tagtäglich im Internet unterwegs - hab noch nicht eine Website gesehen, bei denen ich Accounts habe, die auch passkey anbieten würden.
Was ist z.B. mit Banken?
Naja Deutsche Banken stecken ja auch im letzten Jahrhundert fest
Die Sparkassen zb mit ihrer extra tan App
Und sowas geht dann aber nur, wenn man den Code sich per Brief hat zuschicken lassen
Es gibt viel sicherere Methoden, aber willkommen in Deutschland
Naja bis Banken etwas anbieten was sie vorher nicht kannten, dauert Jahrzehnte.
ich höre auch zum erstenmal davon, verstanden habe ich zwar nicht wie das jetzt genau geht aber dafür gibt es ja die Rückspul funktion hier :D
Ich finde es immer fragwürdig wenn es heißt "man kann das dann einfach mit seinem Fingerabdruck entsperren". Was mache ich denn, wenn meine Fingerabdruckdaten geklaut werden? Das darf mir dann maximal 10 Mal passieren, bevor ich auf Zehenabdrücke ausweichen muss, oder wie? 😅
Bei einem guten Fingerabdrucksystem kann man Fingerabdrücke nicht so einfach klauen. Und der Angreifer muss ja auch erst mal physischen Zugriff auf Dein Gerät haben, also zu Dir ins Büro oder zu Dir nach nach Hause kommen.
Bei Apple beispielsweise wird nicht der Fingerabdruck gespeichert, sondern nur eine Reihe von Merkmalen, mit deren Hilfe man einen Fingerabdruck auf Richtigkeit überprüfen kann. Aus diesen Daten kann man aber keinen Fingerabdruck ableiten. Außerdem hat Apple eine Lebenderkennung des Fingers. Damit ist die Verwendung eines z.B. von einem Gegenstand abgenommenen Fingerabdruck nahezu unmöglich.
@@GerhardAEUhlhorn wieder gefährliches Halbwissen.
Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein.
Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... .
Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist.
Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.
@@malibudancer8472Herrlich, anderen Halbwissen vorwerfen, ubd dann selbst Halbwissen verteilen!
@HerrRoerich also wenn Deine Fingerabdruck Daten „geklaut“ werden, dann sind Deine Fingerabdruckdaten geklaut, so what?
Was soll im Anschluss schon damit passieren? Es benötigt im Anschluss noch jemand auch physikalischen Besitz des Gerätes, welches Du mit dem Fingerabdruck auch entsperrst! Dir muss also jemand erst Deinen Fingerabdruck klauen UND das Handy/Notebook!
Wenn Du das bemerkst, dann kannste die Passkeys vorher sperren lassen!
Btw. weniger James Bond/Mission Impossible gucken
..was macht du, wenn der FIngeabdruckleser nicht mehr funktioniert? Das habe ich derzeit bei meinem Huawei I30. Von heute auf morgen tot. Ich hab ganz schön dumm aus der Wäsche geguckt, als ich bei der Überweisung (2 Faktor Authentifizierung) plötzlich wieder ein Kennwort eingeben sollte.
geht passkey ohne smartphone? dann ist es eine option. ansonsten bleib ich bei onlykey, da brauch ich nur einen pin zu merken, hab aber zugang zu 24 passwörtern die 50 stellig sein können.
8:49 Wie soll die Passwort-Recovery über E-Mail funktionieren, wenn man dort auch Pass-Keys verwendet? Recovery über SMS-Code geht auch schlecht, wenn das Handy kaputt ist, oder?
Keno meint die Passkey-Recovery, also, was passiert, wenn man seinen Passkey nicht mehr hat. Und so, wie man beim Password-Recovery per E-Mail kein Passwort mehr wissen muss, muss man auch beim Passkey-Recovery per E-Mail keinen Passkey mehr haben. Was man in der Mail bekommt, ist ein zeitlich begrenzt gültiger Link, den man anklickt, und der ein einmalig gültiges Anmeldepasswort enthält, dass der Website-Betreiber extra für diesen Zweck erstellt hat. Nach dem Anklicken des Links landet man dann auf einer Seite, auf der man dann quasi schon angemeldet ist, und dort registriert man dann einen neuen Passkey. Einfach mal ausprobieren.
@@olafschluter706Er meint, wenn man seinen Emailaccount auch per Passkey absichert!
Pro Tipp? Backup!
😅 gut erkannt 😉 vllt etwas feenstaub auf´n anderes gerät streuen? 😂
@@olafschluter706 Wenn man aber seinen Email Account mit einem Passkey abgesichert hat, kann man die Email mit dem Link schlecht öffnen, wenn man keinen Zugriff mehr auf die Passkeys hat. Das meint er, wenn ich das richtig verstehe
@davidc1633 Aber nur weil z. B. das Handy kaputt ist, heißt das ja nicht, dass man nie wieder Zugriff auf die Handynummer bekommt. Zu Not neue SIM Karte beantragen, dann bekommt man zur alten Nummer eine neue Karte und auch die entsprechenden SMS.
Super Video. Ich habe schon länger bei Google den Passkey eingerichtet, aber dennoch werde ich immer noch nach meinem Passwort gefragt.
Hab das gleiche "Problem" das immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
Wunderbar. Aber ich hab alte Geäte welche in Benutzung sind. Fingerabdruck - kennt das nicht. Gesichtserkennung dto.
Fakt das funkt nicht. Oder liege ich hier falsch?
Sehr schönes und informatives Video. Leider nur sehr schnell (und hektisch) erklärt. Ich hatte Mühe, dir zu folgen. Bei mir ist auch noch eine Frage aufgekommen, was ist der Vorteil von Passkey gegenüber einem Fido2 Stick (abgesehen vom Kauf) ?
Wieso kann ich die Passkeys nicht geräteübergreifend nutzen? Gerade getestet: Bei Paypal mit dem Mac Passkey erstellt, auf dem iPhone mit Passkey eingeloggt, fertig.
Und was wenn ich PassKeys ohne Zutun von proprietären Diensten wie Google oder MS synchronisieren will?
Open source Alternativen? NextCloud? Self-hosted? KeePass?
Aber was ist wenn der Passkey auf dem pc, Smartphone gespeichert wird, können Hacker trotzdem durch sicherheitslücken apps oder Betriebssystem da ran kommen? dann wäre es eine Leichtigkeit das Konto zu benutzen; oder was ist mit viren und Trojaner?
bester mann! wie immer am besten erklärt. danke. 👍😍😉
Und wenn das Gerät weg ist (kaputt, gestohlen, verloren) einfach per Mail-Recovery neuen Passkey erstellen? Und was ist, wenn der Mail-Account mit einem Passkey geschützt wird???
Der Mail-Zugang ist der wichtigste, weil man damit Zugang zu jedem Dienst bekommt. Über eben diese Recovery-Funktion.
Wie genau funktioniert das den nun? Ich habe versucht ein Passkey bei Adobe einzurichten. Wenn ich das am PC mit Win 10 und dem Chrome Browser versuche. Kommt eine Meldung die mich auffordert einen USB Stick einzustecken und kein QR Code?!
Habe ich das richtig verstanden, dass das nur mit mobil-Geräten funktioniert, die auch über einen Fingerabdruck-Scanner verfügen?
Es geht also nicht an meinem Heim-PC, der keine Extras hat?
SO habe ich das auch verstanden...
Technisch gibt es da keinen Grund für.
Es wäre aber gut für den Zugriff auf die Passkeys eine Autorisierung zu erfordern (Fingerabdruck, Gesicht oder das einzige Passwort was du dir dann noch merken musst).
So kann jemand der dein Gerät stielt nicht plötzlich auch auf all deine Online Konten zugreifen.
Denn war das missverständlich. Nein, Passkeys funktionieren auch auf Geräten, die überhaupt keine Biometrie anbieten - wie bspw. meinem Mac mini. Ggf. kann ich einen Passkey erst mit meinem Anmelde-Passwort am lokalen Gerät freigeben - die Server können da in der Anforderung zur Authentisierung Bedingungen stellen, die das erforderlich machen. Normalerweise aber reicht auf PCs ein Mausklick.
Es geht auch auf einem Desktop oder Laptop, mit PIN/Passwort!
aber was ist wenn jemand die Zugangsdaten für mein Google Account bekommt? Dann hat er Zugang zu allen Sachen, auch den Authentifikator?
Hab das "Problem" das Bei Google Passkey, immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
"geht nur mit Chrome", wenn wir gerade beim Thema sind, wie ist das mit dem WebDRM in dieser Software? Hat die c't da schon was zu gemacht?
Funktioniert das dann auch mit offline Passwörtern und mit dem Login für den PC oder das Handy? User braucht man dafür weiterhin ein normales Passwort?
6:40 außer natürlich ich vergesse meine Apple ID oder jemand crackt meine Apple ID und hat dann zugriff zu meinen Passkeys? ... ja was mach ich dann?
was ist denn, wenn mein usb stick oder sonstwas kaputt geht?
Bei 2fa gibt es ja diese Notfallcodes häufig, oder die möglichkeit das zu sichern.
USBs sind klein und allem möglichen ausgesetzt, auch dem verlieren und verschluckt werden von Haus- und anderen "Klein"-Tieren.
Also asymetrisches Public Private Key Verfahren klingt ja toll, das macht ich seit Ewigkeiten so mit SSH. Was mit da aber garnicht gefällt ist das mit biometrischen Verfahren freezuschalten...
Kann man die Passkeys nicht über ein Passwort verschlüsseln, wie wie ich das mit meinen SSH Keys mache? Private Schlüssel möchte ich nicht einfach unverschlüsselt auf den Geräten liegen haben. Wenn dann nur verschlüsselt und über Nextcloud gesynct in einem Passwort-Safe wie KeePass.
Das heißt aber auch das jedes Gerät wo ich mich einloggen möchte einen Fingerscanner oder eine Kamera haben muss, so wie ich das verstanden habe, oder ?
Mein Passwort ist immer: „Falsch“
Wenn ich es falsch eingebe, dann steht immer da:“ Dein Passwort ist falsch.“
Und Zack weiß ich’s dann wieder 😂
Muss man trotzdem ein Passwort im Account anlegen, um Passkeys in der Folge nutzen zu können?
Das würde es ja aushebeln, oder?
Wenn passkey vom Markt verschwindet dann sind meine Zugänge wo?
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
Ich mag die Idee nach wie vor, möchte aber unbedingt eine offene Lösung mit Verschlüsselung natürlich, zum selber hosten / synchronisieren sehen, damit ich die Dinger wirklich selbst unter Kontrolle habe.
Verascrypt
@@highhorizon Ich benutz auf meinem USB stick gocryptfs weil da muss ich nicht exclusiv speicherplatz für nen container oder partition reservieren.
@@Henry-sv3wv du arbeitest aber mit Ubuntuu oder ?
fragt sich, was das für Agenturen bedeutet und wie man erreichen kann, dass das Verwalten von Internetseiten sowohl beim Kunden als auch in der Agentur möglich ist. Es ist schon unter google kaum möglich die Daten zu bearbeiten nachdem der Kunde ebenfalls auf das Google-Konto zurgreift. Aber für Internetseiten / Provider etc. müssen beide Parteien darauf zugreifen können. Ich kann ja nicht jedes Mal zu meinem Kunden fahren.
Ich hab einen Yubico key, ist halt bisschen blöd weil man bei windows hello dann ständig das Key-Passwort eingeben muss
4:49 Das hab ich noch nicht ganz verstanden. Dachte immer, dass Nachrichten mit dem public key verschlüsselt werden und dann mit dem private key entschlüsselt werden. Andersrum kann ich eine mit einem privaten key verschlüsselte Nachricht nicht mit dem öffentlichen Schlüssel lesen. Wo ist mein Denkfehler?
Dem ist im regelfall auch so "Vertraulich". Wenn du jemanden indendifizieren willst, kann er eine Nachricht mit seinem Privaten Key signieren. Dadurch das nur der Besitzer den Privaten Key hat, kannst du sicher sein, dass diese Person auch wirklich diese Person ist "Authentisch". Sinn dahinter ist nicht die Nachricht zu verschlüsseln dass niemand sie lesen kann. Ich hoffe das war verständlich 🙂
Er sagt ja auch nicht dass die Nachricht mit dem privaten Key „verschlüsselt“ wird, sondern „signiert“!
Beim RSA-Algorithmus wäre es tatsächlich so, dass man mit dem privaten Key verschlüsselte Nachrichten mit dem öffentlichen entschlüsseln kann. Weil das aber für vertrauliche Kommunikation keinen Sinn macht, verwendet man diese Eigenschaft des RSA-Algorithmus dort für die sogenannte "digitale Signatur". Bei Passkeys wird aber und vornehmlich sogenannte Elliptic-Curve-Kryptographie verwendet, und dort sind Verschlüsselungs- und Signaturfunktionen mathematisch gesehen nicht symmetrisch - funktionieren aber beide mit jedem EC-Schlüsselpaar. Was bei Challenge-Response-Verfahren mit Public-Key-Kryptorgraphie aber immer passiert, ist, dass der Empfänger der challenge die mit seinem privaten Schlüssel digital signiert und dem Server zurücksendet. Dadurch beweist er wie mit einer Unterschrift seine Identität.
@@olafschluter706 Vielen Dank :)
Apple speichert also den privaten Key in der Cloud 😅.
Scheint bei Google aber nicht so zu sein (jedes Gerät muss einzeln freigegeben werden). Trotzdem bin ich noch etwas ratlos.
Wir nutzen privat z.B. ein Chromebook auf dem jeder sich bei Bedarf mit seinem Konto anmelden kann. Macht auf solchen Geräten ein Passkey überhaupt Sinn? Dann könnte jedes meiner Familienmitglieder auf mein Konto zugreifen, oder?
Verstehe nicht ganz was dieses Prinzip sicherer macht als eine 2 Schritt Authentifizierung oderr was daran besser sein soll als eine zufällige Pin die man dann eingeben muß. Muss aber zu meiner Schande gestehen dass ich technisch nicht sehr bewandert bin. Habe aktuell fast überall eine 2 Schritt Af und auf dem Handy eine Af App um dann gegebenenfalls einen Code einzugeben.
Ich halte ein von Firefox generiertes Passwort in Bezug auf Privacy immer noch für besser
als meinen Fingerprint oder meine Visage überall zu hinterlassen.
Ein Passwort kann ich jederzeit ändern.
Und wenn jemand ein Facepic von mir hat?
Kann das nicht missbraucht werden?
Du brauchst einen Pin, Fingerabdruck oder faceID nur für Dein Smartphone, oder Computer. Der Schlüssel ist ja auf Deinem Gerät hinterlegt.
Ohne das Gerät/Schlüssel ist faceID usw. nutzlos.
Das klingt absolut nicht sicher und es wurde auch nicht erklärt wie das im detail ablaufen soll. Ist ja nicht so dass konten jetzt schon kompromittiert sein könnten. Ein paar grafiken wären gut gewesen um den Vorgang früher und heute vorzuführen und die angriffsvektoren hervorzuheben.
Außerdem woher soll der anbieter wissen dass dies auch tatsächlich mein zweites Gerät ist wenn ich für zwei verschiedene Geräte einen anderen passkey benötige da diese noch nicht zwischen geräten synchronisierbar sind? Gebe ich einfach einen benutzernamen ein und der server fragt ob das wirklich mein konto ist und ich bestätige mit "wallah ja ist meine" oder was?
Nö, mein Fingerabdruck oder FaceID bekommt kein Unternehmen.
Ich bleib bei KeePass mit Master-Kennwort und Schlüsseldatei.
Und in der Cloud wird schon mal gar nix abgelegt. Ich trau da keinem.
sehr vernünftige Einstellung
Wo bekomme ich jetzt auf die schnellen nen Bananen USB Stick her, oder würde das auch mit einem Erdbeere Stick funzen?
Erdbeere wird aktuell noch nicht unterstützt, soll aber bald kommen.
Wieso macht man das nicht mit den Personalausweis, per NFC
Also sind die Sachen bei den Anbieter verschlüsselt. Die könne gehackt werden und die Verschlüsslung knacken. Hmm.
Was passiert wenn mein Smartphone verloren geht? Dann ist der Public key auch weg, oder habe ich nicht richtig aufgepasst ?
Was muss ich tun,wenn jemand mein Handy geklaut hat? Anders gefragt.wie mache ich den darauf abgelegten private Key ungültig? Muss ich dann bei zig Diensten einen neuen Passkey erzeugen?
Du musst Dich bei jedem Dienst einloggen, den alten Key bzw. das Gerät deaktivieren und das neue Gerät aktivieren.
@@kayh4656 ist ja dann so ne richtig coole Lösung, alles auf Passkey umzustellen :-)
als erstelle ich für jedes gerät ein eigener passkey?
Und was sind die Nachteile bzw. Schwachstellen von Passkeys?
Solange man es streng nach Vorgabe macht, tatsächlich keine. Leider werden in dem beschriebenen System jedoch viele Dinge falsch gemacht.
So sollte ein privater Schlüssel ausschliesslich bei mir und sonst nirgends gespeichert sein. In dem Moment, wo ich ihn in die Cloud lade, ist das nicht mehr der Fall. Gleichzeitig erscheint es als werden die privaten Schlüssel von den Anbietern generiert, was meine persönliche Herrschaft über diese auch zu nichte macht.
Ich bin nicht tief genug im Thema aber ich erahne schon, dass es in Zukunft Szenarien geben wird, wo Leute zB ne triviale Handysicherung nutzen, auf dem dann alle Passkeys hinterlegt sind und Diebe es so noch viel leichter haben werden als beim Passwort + 2FA. Ne Art Masterschlüssel der zu schlecht gesichert ist. Vllt ist das auch Quatsch, aber ich bleibe gespannt.
Gar nicht so abwegig.
Tja, dann sperrt man einfach alle seine Keys und stellt sich neue aus!
@@Bogomil76die Oma mit 80 macht das umgehend binnen 60 Sekunden 😉. Sie hatte sich doch gerade erst auf die Passkeys umgestellt...
@@U_H89 Ah, die Argumentationskette, alte Menschen!
@@Bogomil76 achso, die gleich außen vor lassen und aussperren 😉🤷
Noch ist das doch keine Alternative. Ich habe in meinem Passwort-Manager (Keepass offline) an die 100 Einträge oder sogar mehr. Passkey wird von wieviel Anbietern jetzt genutzt? Wahrscheinlich kaum ein Bruchteil. Ich laufe dann mit 2 "Passwort-Managern" quasi rum. Solange das nicht überall der Standard ist, wird sich das nicht durchsetzen. Was passiert außerdem, wenn jemand mein Handy irgendwie klaut. Selbst die SMS-Recovery ist dann doch unsicher...Dass die Infos alle in einer Cloud sind, beruhigt mich nicht wirklich - auch wenn verschlüsselt...
Und wie werden passkeys genutzt wenn die Betroffenen keinem "Anbieter" vertrauen dürfen (z.B. gesetzlich)? Klar kann ich auch im Internet suchen aber zumindest ein Hinweis fehlt mir hier dich deutlich.
Kommt für mich aktuell noch nicht in Frage, da es aktuell von zu wenigen Anbietern genutzt wird. Vielleicht in Zukunft mal.
Aktuell bleibe ich bei meinem Passwort-Manager, der mir für jede Plattform automatisch ein Passwort generiert und dieses auch automatisch ändert nach einer gewissen Zeit.
Verstehe ich das richtig, mein privater Schlüssel liegt verschlüsselt in irgend einer Cloud und auf meinem Endgerät? Ob das wirklich sicher ist?
Das Konzept hört sich so ähnlich an wie der google- oder Microsoft Authenticator, nur dass dort die privaten Schlüssel nicht in der Cloud liegen und man Probleme bekommt wenn das Handy kaputt geht.
Ja, prinzipiell hast Du das fast korrekt erfasst! Aber Du kannst ja dennoch von den lokalen Apps selbst ein Backup erstellen, dann haste „kein Problem“
Mein erster Gedanke:
Genau alle großen Datenkraken sind daran beteiligt und speichern die Keys in ihren Clouds ... Hintertür gleich inkl., muss sich also keiner mehr Mühe geben deine Paßwörter zu hacken, dann sind gleich alle Zugänge bei den Großen gespeichert. Echt jetzt?
Vielleicht liege ich da falsch, aber das Vertrauen zu diesen Playern ist gleich null.
Die Keys sind Ende-zu-Ende verschlüsselt.
@@Steuerknueppel genau wie die messenger und andere Dienste und trotzdem gibt es da überall Hintertüren ;-)
@@Steuerknueppel Und womit? Was bringt das außerdem, wenn die genannten Firmen die privaten Schlüssel erzeugen?
Ja also der Yubikey ist ja auch nur ein TPM Chip da die Dinger ja sowieso mittlerweile in jedem PC - Smartphone o.Ä verbaut sind .. war das ja nur eine Frage der Zeit geht das Handy allerdings verloren sind auch die Schlüssel weg deswegen lieber einen Hardware Key kaufen den kann man auch an fremden geräten nutzen und es muss nicht erst alles synchronisiert werden ...
Und wenn man ein Gerät ohne TPM / Ohne Biometrie hat sind die auch wieder nutzlos ...
Also wenn das automatisch in die Klaut' (e)s geht, sehe ich überhaupt keinen Sicherheitsvorteil, eher -nachteil. Liege ich falsch?!? Steh' ich auf dem Schlauch?!?
Nein, du hast recht. Mit dem Upload und zudem dem vorherigen generieren der Schlüssel außerhalb des eigenen Endgerätes, ist die Sicherheit der Schlüssel vollständig als unterminiert zu betrachten.
Vielen vielen Dank für dieses informative Video. Habe schon lange nach einer besseren Lösung gesucht, als das immer die selben Passwörter überall zu verwenden. Trotzdem eine Frage, wie genau lösche ich ein Passwort nachdem ich Passkey eingerichtet habe? Und kann man Passkeys überall einrichten auch bei Steam & Co?
Hilft das denn auch dagegen wenn Anbieter wie Microsoft wieder ihre Zertifikate verlieren?
Wie kommuniziert mein Desktop mit dem Handy? Soweit ich das gesehen habe braucht es dazu BT5.1. Mein gar nicht mal so alter Laptop hat das nicht und damit fallen Passkeys leider komplett durch.
Etwas anderes: Wenn ich mir ein 10-stelliges Passwort merke und dieses bei Anmeldungen jeweils zweimal hintereinder (als 1 Zeichenreihe) angebe, dann hätte ich doch ein 20-stelliges Passwort, das doppelt so sicher ist wie das 10-stellige. oder?
D.h., um mich mittels Smartphone bei einem Dienst anzumelden, brauche ich ein zweites Smartphone mit dem Passkey oder?
Ne, du kannst ja auf dem ersten Smartphone direkt einen Passkey abspeichern und damit dich anmelden.
Sehr schön erklärt, Dankeschön.
Nachdem ich mein erstes Komto auf Passkey umgestellt habe, scheint aber das ursprüngliche Passwort noch zu existieren und zu funktionieren. Das macht doch dann auch keinen Sinn, oder?
Genau die gleiche Frage habe ich mir auch gestellt. Zum Beispiel wenn man auf PayPal ein Passkey auf einem bestehenden Konto einrichtet bleibt das alte Passwort bestehen. Ich habe somit nach Aussagen von PayPal zwei Möglichkeiten mich einzuloggen. So richtig rund ist das für mich auch noch nicht...
Sorry für die DAU-Frage. Aber warum kann ein Passkey nicht einfach geklaut werden, wenn er auf meinem Rechner gespeichert ist? Ist das nicht genauso blöd, wie wenn man sein Passwort auf dem Rechner hinterlegt?
es wird halt mehr versprochen als es wert ist
Das Passwort liegt auf dem Server des Anbieters? Nicht sein Hash-Wert?
Was ist wenn ich mein Handy verliere und das mit dem Recovery mache und ich dann meine E Mail nicht mehr öffnen kann weil die nur mir PassKeys sich öffnen lässt?
E-Mails, die man nur mit Passkey öffnen kann, gibt es nicht. Wenn Du die Anmeldung an einen Online-Mailclient meinst - die Mails sind zugänglich, sobald Du das Recovery des Passkeys für die Anmeldung am Online-Mailclient erledigt hast.
@@olafschluter706 achso,cool danke dir. Das habe ich nicht gewusst
@@olafschluter706Und wenn der Email Web Client nur per Passkey erreichbar wäre? Und kein imap/pop3 & Co. anbietet?
@@petralustich617
Sichere Wiederherstellung
Die Passkey-Synchronisierung bietet Komfort und Redundanz bei Verlust eines einzelnen Geräts. Passkeys müssen aber auch dann wiederhergestellt werden können, wenn alle zugehörigen Geräte verloren gehen. Passkeys können über iCloud-Schlüsselbund-Escrow wiederhergestellt werden. Dies bietet auch Schutz vor Brute-Force-Angriffen, selbst wenn diese durch Apple erfolgen.
Der iCloud-Schlüsselbund sichert die Schlüsselbunddaten eines Benutzers bei Apple, ohne dass Apple die Passwörter und anderen enthaltenen Daten lesen kann. Der Schlüsselbund des Benutzers wird mit einem sicheren Code verschlüsselt, und der Escrow-Dienst stellt nur dann eine Kopie des Schlüsselbunds bereit, wenn strenge Bedingungen erfüllt sind.
Um einen Schlüsselbund wiederherzustellen, muss sich ein Benutzer mit seinem iCloud-Account und seinem Passwort authentifizieren und auf eine SMS reagieren, die an seine registrierte Telefonnummer gesendet wird. Nachdem er sich authentifiziert und reagiert hat, muss der Benutzer seinen Gerätecode eingeben. iOS, iPadOS und macOS erlauben nur 10 Authentifizierungsversuche. Nach mehreren fehlgeschlagenen Versuchen wird der Datensatz gesperrt, und der Benutzer muss den Apple Support anrufen, um weitere Versuche zu erhalten. Nach dem zehnten fehlgeschlagenen Versuch wird der Escrow-Datensatz gelöscht.
Optional kann ein Benutzer einen Kontakt für die Accountwiederherstellung einrichten, um sicherzustellen, dass er immer Zugriff auf seinen Account hat, auch wenn er sein Apple-ID-Passwort oder seinen Gerätecode vergisst.
"Wenn Hacker Zugang zu den Servern deines Anbieters haben" ähm, dann haben wir noch ganz andere Probleme? Dann können die auch den CryptoKey raustragen oder im Zweifel auch gleich die Kontodaten?
Wann kommt das wohl fürs Heise-Forum?? (-:
Wollten die nicht FIDO2?
Wie war das noch mit Wasser und Wein *hicks*
@@paulmaier1751Passkey basiert auf FIDO2, erweitert um die in der Cloud synchronisieren Keys.
Leider habe ich nach diesem Video mehr Fragen als vorher !
- Wenn ich auf einem Gerät den Passkey mit einem Fingerabdruck erzeuge und auf einem anderen Gerät mit einer biometrichen Kamera wie finden die beiden Passkeys dann zueinander
oder kann ich den Dienst dann nur noch mit einem bestimmten Gerät benutzen ?
- Wenn Fingerprint Sensor oder Biometrische Kamera einen Defekt haben ist mein Zugang zu meinen Diensten dann noch möglich ? und wie komplex ist das dann ?
- Kann ich Diensten wie 1Passwort, hinter denen mir unbekannte Firmen stecken, überhaupt vertrauen ? oder stecken da Hacker oder Geheimdienste dahinter ? oder sind die Firmen ohnehin fast Pleite und werden an Hacker verkauft, wie jetzt schon alle möglichen Passwort-Listen ????
- Wie funktioniert das ganze mit USB-Sticks deren Lebensdauer heutzutage oft kürzer ist als die einer 5 1/4" Diskette ?
- Warum werden in den verschiedenen UA-cam-Videos immer wieder andere Dinge behauptet die nicht zueinander passen ?
Ich könnte noch stundenlang weitere Fragen posten. Aber mal ganz Ehrlich: das hat ohnehin keinen Zweck weil ich hier keine eindeutige Antwort auf meine Fragen bekomme.
Also dass die Anmeldung per Passkey sicher ist, ist mir schon klar. Aber ich habe noch nicht so durchdrungen wie das mit meinen gesammelten Passkeyschlüsseln aussieht. Ich meine verstanden zu haben: Die Schlüsseln sind auf meinem Endgerät gespeichert und sie werden von Apple oder Google in der Cloud gespeichert und automatisch verteilt. Das bedeutet auch wenn die Server von Google oder Apple mal ausfallen kann ich mich noch anmelden? Oder nicht? Wenn nicht, dann kann man dadurch mich aussperren oder ziemlich viel mit einem Angriff auf diese Server lahmlegen. Oder wie verhindere ich dass die Keys auf einen fremden Rechner , den ich nur vorübergehend nutze, verteilt wird. Oder kann jemand bei einem Angriff auf Apples oder Googles Cloud die Passkeys erbeuten?….
Normales Passwort: du schickst d server dein Passwort, der vergleicht ob das mit dem bei ihm hinterlegten übereinstimmt, fertig.
Passkey: der Server schickt dir eine Zeichenfolge, du signierst die mit deinem privaten Schlüssel, Server vergleicht mit deinem öffentlichen Schlüssel ob du das warst.
Unterschied: bei passkeys verlässt dein privater schlüssel nicht dein gerät und signierte Zeichenfolgen sind wahrscheinlich nur einmal gültig.
Ein Passwort ist immer gültig, wird beim anmelden übertragen und liegt in irgendeiner Weise auch auf dem Server.
Das mit Apple und Google ist nur als optionale Cloud Backup/synchronisierung der privaten Schlüssel zwischen deinen eigenen geräten gedacht. Dürften andere Passwortmanagementdienste auch anbieten, für normale Passwörter gibt es ja auch dieselbe Komfortfunktion.
Und natürlich, falls deren Cloud kompromittiert ist hast du natürlich ein Problem.
@@SimonVaIe Danke für die Erklärung. So wie ich den Artikel verstehe ist doch gerade die Cloud-Verbindung die Weiterentwicklung von Passkey. Sonst sehe ich keinen Unterschied zu nem FIDO-Usb-Stick.
@@RazzFazz-Race ist komfortabler als ein USB Stick, sicherer denke ich nicht. Aber als disclaimer, ich bin auch kein Experte auf dem Gebiet.
Cool. Was Neues gelernt. Da höre ich jetzt zum ersten Mal davon. Ich werde mich da diesbezüglich weiter informieren und dann entscheiden. Auf jeden Fall super, das es diese Aufklärung dazu gibt. Danke!
Frage nah dem "PGP Code": Gibts in dem Konzept eine NSA Backdoor? Die BiG US Player bekommen da bestimmt Druck. Wegen Patriot Act usw... Also, ich bin da skeptisch...
Einfach bei der Nutzung einen Aluhut aufsetzen, dann passiert nichts.
@@kayh4656 genauso wurde vor einigen Jahren noch mit Leuten geredet, die meinten die USA hätten überall Backdoors drin und würden weltweit alles mithören. War natürlich krasser Unfug... Bis ein Edward Snowden da etwas veröffentlichte... "Abhören unter Freunden, das ging gar nicht."
Aber du warst da entweder noch nicht geboren oder hast gepennt... ...oder du bist einfach saumässig naiv. 🤷♂️
Muss unbedingt Auge, Gesicht oder Finger dafür herhalten um es nutzen zu können?
Geht auch mit PIN.
Vielen Danke für diese super Erklärung. Beste Grüße🖖
Danke. Hab mal auf dem Handy die Demoseite getestet. Ich soll einen QR Code mit dem Handy scannen. Wie geht das? Brauche ich zwei Handys dafür?
Ja, oder zwei bis drei Spiegel.
Welcher Browser wurde verwendet - ggf. kann der Passkey noch nicht, wie bspw. leider der Firefox? Es macht auf einem Browser, der Passkey kann, natürlich wenig Sinn, die Option "Auf einem anderen Gerät" zu wählen. Bei Safari, Chrome oder Edge jedenfalls sollte der Default-Weg über "Fortfahren" funktionieren, dann wird auf dem Handy ein Passkey erzeugt und registriert.
@@olafschluter706 Danke, das hat geholfen. Eine gute Woche wünsche ich dir
Was, wenn der Dienst mal nicht funktioniert?
Was, wenn Google einen aussperrt nur, weil man irgendwo einen falschen Kommentar hinterlassen hat?
… oder ein Komet!
DANKE, endlich hab ich den aktuellen CT Podcast verstanden.
Kann man sein login auch auf andere Geräte sharen?
Ja nur Fingerabdruck oder Gesicht scannen. Was kommt als nächstes, Urin und Stuhlprobe?
Schön erklärt, danke. Wie kann es sein, dass so viel Apple plötzlich in dem Video vorkommt? Ist er (endlich) konvertiert worden? ;)
"Und dann musst du nur noch deinen Fingerabdruck oder Face-ID verwenden und schon bist du eingeloggt."
Vielleicht sollte man das Problem mit den Passwörtern nicht durch bedenkenlosen Umgang mit (nahezu) unveränderlichen persönlichen Merkmalen ersetzen. Die Fingerabdrucksfläche auf dem Smartphone kann genauso missbraucht werden wie Face-ID. Solche Merkmale will man eigentlich von Staaten und Unternehmen so gut wie möglich fernhalten.
Absolut geil ❤danke für das Video 🎉
Danke für das - wie immer - cool gemacht Video! Ich habe von Passkeys schon einiges in der c't gelesen, scheue mich aber noch, das einzusetzen (wo es geht), da mir noch nicht klar ist, wie und ob ich bei allen Diensten die Passkeys sichern kann.
Mir ist auch noch nicht klar, wie ich mich z.B. mit einem NEUEN Android-Handy wieder mit meinem Goolge-Account anmelden kann, wenn ich auf dem alten Handy schon dafür Passkeys nutzen würde, dieses aber verloren geht/defekt ist!?
Wie das bei Android geht, kann Ich Dir nicht sagen. Jedenfalls sind die Passkeys aus diesem Grund an einen Apple-, MS- oder Google-Cloud-Account gebunden, es gibt sie dann immer noch in verschlüsselter Form in der Cloud. Einen Google-Account hat man ja als Android-Nutzer, sobald man was aus dem Google Play Store laden will, ohne kann man einen Androiden nur sehr eingeschränkt betrieben (so verhält es sich mit iPhones und dem Apple-iCloud-Account auch). Es geht als um das Recovery des Zugangs zum Google-Account bei Verlust des Passkeys, mit dem man sich da anmeldet. Wenn man auf den wieder Zugriff hat, dann hat man auch wieder Zugriff auf seine Passkeys, alle, wenn Google nicht zwischenzeitlich auch komplett abgebrannt ist, und dann haben wir alle andere Sorgen. Ich habe für meinen Google-Account (ist ja auch für Apple-User nützlich, z.B. hier) noch als Fallback das Passwort + OTP. Ich würde auch erst mal nachsehen, wie Google sich das Passkey-Recovery vorstellt und welches Verfahren es da anbietet, bevor ich die Passwort/OTP-Alternative wegwerfe.
Bei Apple ist es so, dass es für den Fall, wenn wirklich alle Stricke reissen, und man kein Gerät mehr hat, das an die iCloud-Daten rankommt, ein iCloud-Recovery-Passwort gibt, mit dem man wieder an diese Daten kommt. Und in den iCloud-Daten stecken die Passkeys. Das Recovery-Passwort hat man bei der Einrichtung des iCloud-Accounts festgelegt, hat man 2-Faktor-Authentifizierung da an, ist es einfach das iCloud-Anmeldepasswort. Hat man die Advanced-Data-Protection an, also Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten, dann ist dieses Recovery-Passwort ein hinreichend langer (gute 300 Bit) kryptographischer Key als Buchstaben/Zahlen-Folge, den ich ausgedruckt in meinem Schreibtisch habe - mir graut vor dem Gedanken, den mal eines Tages womöglich gar in das Mäuseklavier von einem Smartphone eintippen zu müssen. Achja, bei iCloud + Advanced Data Protection gibt es dann noch die Möglichkeit, einen Recovery-Account anzugeben, also jemand anderen, der auch einen iCloud-Account hat und über den man seine Daten wieder erlangen kann. Bei mir ist das meine Tochter. Meine Versicherung hinsichtlich meiner iCloud-Daten dafür, falls mein Haus abbrennt - und damit auch der Zettel mit dem Key. BTW: Apple erzwingt, dass man sich diesen Key ausdruckt, wenn man ADP anschaltet. Die wollen ihren Support schonen vor Anfragen, bei denen sie nicht helfen können.
Apple hat angekündigt, Passkeys für iCloud-Accounts als zweiten Faktor einzuführen und damit ihre proprietäre 2 Faktor-Technik abzulösen. Das Fallback beim 2. Faktor auf SMS wird aber wohl logischerweise beibehalten. Man kann als Kommentar sowohl zur Bedrohung von Internet-Accounts wie auch zur Sicherheit von Passkeys allerdings auch noch folgendes feststellen: schon seit längerer Zeit erzwingt Apple die 2-Faktor-Authentifizierung für iCloud-Accounts, die im Developer Program von Apple registriert sind, denn diese Accounts haben Zugriff auf Signaturschlüssel, mit denen sie Apps signieren und in den Appstore stellen können. Da hat Apple nun nicht etwa Passkeys als 2. Faktor eingeführt, sondern die Hardware-Variante mit der höheren Schlüsselsicherheit: FIDO2-Sticks. Passkeys werden da nicht zugelassen. Dabei wären die einzigen, die iCloud-Passkeys angreifen können, eigentlich nur die Leute von Apple, indem sie bei der E2E-Verschlüsselung der Keys betrügen.
Ceterum censeo die Nachrichtendienste der Welt sollten einen Service anbieten dafür, Bürgern wieder Zugang zu ihren Cloud-Daten zu verschaffen. Das würde das Leben so erleichtern
Recovering access or adding new devices
When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup.
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Since screen lock PINs and patterns, in particular, are short, the recovery mechanism provides protection against brute-force guessing. After a small number of consecutive, incorrect attempts to provide the screen lock of an existing device, it can no longer be used. This number is always 10 or less, but for safety reasons we may block attempts before that number is reached. Screen locks of other existing devices may still be used.
If the maximum number of attempts is reached for all existing devices on file, e.g. when a malicious actor tries to brute force guess, the user may still be able to recover if they still have access to one of the existing devices and knows its screen lock. By signing in to the existing device and changing its screen lock PIN, password or pattern, the count of invalid recovery attempts is reset. End-to-end encryption keys can then be recovered on the new device by entering the new screen lock of the existing device.
Screen lock PINs, passwords or patterns themselves are not known to Google. The data that allows Google to verify correct input of a device's screen lock is stored on Google's servers in secure hardware enclaves and cannot be read by Google or any other entity. The secure hardware also enforces the limits on maximum guesses, which cannot exceed 10 attempts, even by an internal attack. This protects the screen lock information, even from Google.
When the screen lock is removed from a device, the previously configured screen lock may still be used for recovery of end-to-end encryption keys on other devices for a period of time up to 64 days. If a user believes their screen lock is compromised, the safer option is to configure a different screen lock (e.g. a different PIN). This disables the previous screen lock as a recovery factor immediately, as long as the user is online and signed in on the device.