Du brauchst nie wieder Passwörter | So einfach sind Passkeys
Вставка
- Опубліковано 21 чер 2024
- Lost, wer seinen Google-Account nach diesem Video nicht mit einem Passkey sichert.
► c’t-Artikel zur Einbindung von Passkeys: www.heise.de/ratgeber/Passkey...
► c’t-Interview mit FIDO-Chef: www.heise.de/ratgeber/Andrew-...
=== Anzeige / Sponsorenhinweis ===
Erhalte hier den exklusiven NordVPN Deal: nordvpn.com/ct3003
Risikofrei mit 30-Tage-Geld-zurück-Garantie.
NordVPN-Blogpost: nordvpn.com/de/blog/geld-spar...
=== Anzeige / Sponsorenhinweis Ende ===
► Wie sich dieser Channel finanziert: • So bestechlich sind wi...
► Kapitelmarker:
0:00 Intro
1:25 WERBUNG NordVPN
2:07 Passwörter sind unsicher
3:09 Passkeys sind die Zukunft
4:29 So funktionieren Passkeys
6:04 So benutzt du Passkeys
9:30 Fazit
► c't Magazin: ct.de
► c't auf Twitter: / ctmagazin
► c't auf Instagram: / ct_magazin
► und TOTAL CRAZY auf Papier! Überall wo es Zeitschriften gibt!
► Mail schreiben: 3003@ct.de
► Adresse: c't Magazin / z. Hd. Jan-Keno Janssen / Karl-Wiechert-Allee 10 / 30625 Hannover
► Keno auf Twitter: / elektroelvis
► Keno auf Mastodon: social.tchncs.de/web/@keno3003
► Keno auf Instagram: / elektroelvis
► Credits:
Konzept & Redaktion: Lukas Rumpler, Ronald Eikenberg, Jan-Keno Janssen
Schnitt & Kamera: Sahin Erengil
Host: Jan-Keno Janssen
► Kenos Bild- und Tontechnik:
Hauptkamera amzn.to/3ut1ndE
Detailkamera amzn.to/3nYm2Uh
Licht fürs Gesicht amzn.to/3tnwNk9
Licht für Dinge amzn.to/3nT2CAo
Schwanenhals amzn.to/2R2FKSP
► Affiliate-Links! c't 3003 ist Mitglied im Partnerprogramm von Amazon. Die Links sind Affiliate-Links, der Kaufpreis ändert sich dadurch für euch nicht.
#passkey #passwörter #sicherheit - Наука та технологія
=== Anzeige / Sponsorenhinweis ===
Erhalte hier den exklusiven NordVPN Deal: nordvpn.com/ct3003
Risikofrei mit 30-Tage-Geld-zurück-Garantie.
=== Anzeige / Sponsorenhinweis Ende ===
Schmutz
Und dann noch Werbung für Nord VPN, was ist nur aus der ct geworden... traurig, traurig.
Ich hab mir einen Passkey bei Google eingerichtet. ABER: wenn ich auf der Arbeit im Google Chrome Browser versuche mich per QR-Code mit dem Smartphone einzuloggen, werde ich immer danach aufgefordert mein Passwort einzugeben. Da scheint das mit dem Passkey leider vorne und hinten nicht zu klappen und ich weiß nicht, woran es liegt.
Noch etwas: Synology unterstützt Passkeys leider nur auf seiner eigenen Webseite. Viel wichtiger wäre aber doch, Passkeys für den Login auf der Synology-NAS zuzulassen. Ist aber nicht so. Jedenfalls hätte ich bisher nicht verstanden, wie ich das einrichten soll.
Außerdem wundert mich: PayPal hat großspurig angekündigt Passkeys zu unterstützen und passiert ist bisher nix. Man muss immer noch tausend SMS Bestätigungen über sich ergehen lassen, bis man einmal was verschicken darf. Oder klappt das bei euch, Keno?
@@Neptun-8 Nö.
Guter Beitrag. Macht doch mal bitte auch einen Beitrag über die Nachteile von Passkeys.
5:20 "Der private Key liegt nur bei Dir und kann deswegen auch nicht abgefangen werden", aber 6:34 "Apple speichert die Passkeys nämlich im verschlüsselten iCloud Backup und synchronisiert sie..." Damit ist es doch dann wieder das gleiche wie vorher mit gespeichterten Passwörtern oder nicht?
Richtig, das hat mich auch gleich angesprungen. Aber wenigstens kann nichts zwischen einer Website und einem deiner Geräte abgefangen werden. Das ist schon mal was.
Damit ist gemeint, dass z.B. der Betreiber der Webseite Dein "Geheimnis" (früher das Passwort, jetzt Deinen privaten geheimen Key) gar nicht erfährt. Deshalb kann ein "böser" Webseitenbetreiber damit auch keinen Unsinn anstellen und er kann auch nicht gehackt werden, sodass danach die Passwörter aller Nutzer ausgelesen werden könnten (Wobei letzteres heutzutage auch nicht mehr möglich sein sollte, weil nir noch Prüfsummen der Passwörter gespeichert werden).g
Genau das habe ich auch gedacht.
@@ksibln Wer die Website betreibt entscheidet sich dafür ob er Passwörter hasht. Es ist genauso heute wie vor 20 Jahren möglich Passwörter im Klartext in die Datenbank zu schreiben. Wie man PWs speichert und abgleicht ist eine Entscheidung die bei der Entwicklung getroffen wird.
Der Betreiber der Seite besitzt in dem Fall deinen öffentlichen Key. Wie der Name schon sagt, ist dieser von jedem einsehbar. Du besitzt deinen privaten Key, den du logischerweise so behandeln solltest wie deine übliche Passwörter, also privat halten. Es ist das zwei-Schlüssel-System einer asymethrischer Kryptographie.
Es muss halt sichergestellt sein, dass man auch im Notfall an seine Daten/ Accounts ran kommt. Selten passiert es halt, dass kein Handy oder Notebook da ist und ich mich an einem fremden PC oder sonst was irgendwo einloggen muss.
Ich nutze auch heute schon Bitwarden plattformübergreifend. Da ich mir längst nicht alle Passwörter merken kann. Das brauche ich dann sowieso, wenn ich an einem fremden PC sitze.
Immerhin klappt das dann auch offline und ich brauche keinen Internetzugriff am Handy.
Mir ist so eine Panne schon passiert, nämlich bei Apple - 2 Wochen musste ich auf die Wiederherstellung warten, nur weil die Daten nicht aktuell waren -tolle Wurst
Hi, ich bin ja eher so ein DAU. Und das wissend, mach ich mir halt Sorgen um Sicherheit. Danke für das verständliche und erfirschende Video. Du bist ein guter Erklär-Bär.
Also im Endeffekt nix anderes als die Public-Key-Authentifizierung wie bei z.B. ssh? Nur mit dem Nachteil dass ich meine privaten Keys nicht selbst wegsichern kann, sondern schön via Google oder Apple Backup in deren Cloud schiebe?
@basicallyhumanIst korrekt, trotzdem liegt mein privater Schlüssel eben nicht ausschließlich bei mir, was das System unterminiert...
Absolut geil ❤danke für das Video 🎉
Super Video. Ich habe schon länger bei Google den Passkey eingerichtet, aber dennoch werde ich immer noch nach meinem Passwort gefragt.
Hab das gleiche "Problem" das immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
Mein Passwort ist immer: „Falsch“
Wenn ich es falsch eingebe, dann steht immer da:“ Dein Passwort ist falsch.“
Und Zack weiß ich’s dann wieder 😂
ich höre auch zum erstenmal davon, verstanden habe ich zwar nicht wie das jetzt genau geht aber dafür gibt es ja die Rückspul funktion hier :D
DANKE, endlich hab ich den aktuellen CT Podcast verstanden.
Vielen Danke für diese super Erklärung. Beste Grüße🖖
Ich hätte mir noch etwas mehr technischen Hintergrund gewünscht, is ja schließlich die c't her .😉
Wie bekomme ich den Privat Key? Wo wir der abgelegt? TPM, Titan M2, ...? Welches verfahren wird benutzt? RSA?
genau, ich wuerde den Key gerne von meinem AndroidHandy auf meinem Linux Desktop speichern. Ich meine einen Schluessel muss man doch auch in den Geldbeutel stecken koennen oder?
Sehr, sehr cool. Direkt eingerichtet. Danke dafür!
Wie geil ist das denn geschnitten und wie viele kleine Eastereggs sind denn bitte in diesem Video 😂
Ach, hätte ich doch nicht nur zuhören sollen 😬🙈😅
Ich schaue mir das Video erst gar nicht an. Bringt nichts
Vielen vielen Dank für dieses informative Video. Habe schon lange nach einer besseren Lösung gesucht, als das immer die selben Passwörter überall zu verwenden. Trotzdem eine Frage, wie genau lösche ich ein Passwort nachdem ich Passkey eingerichtet habe? Und kann man Passkeys überall einrichten auch bei Steam & Co?
Hallo sehr interessant wie immer deine Videos
Ja ich habe schon von solchen passwortmanager und pass keys gehört
Nur ich war bisher sehr skeptisch gegenüber und möchte nicht das andere meine Passwörter erkennen können
Das war mir immer sehr unsicher
Nunja
Jedenfalls beim online Banking oder Zugang zu der Kreditkarte würde ich sowas nie machen
Geht das denn auch mit der Android-Installation? Wenn ich aus meinem Google-Konto mein Kennwort entfernt habe, kann ich dann Android noch ganz normal installieren? Immerhin muss ich recht früh im Setup mein Benutzernamen und mein PAsswort eingeben. Und wenn ja, ab welcher Android-Version werden Passekeys bei der Installation unterstützt?
Cool. Was Neues gelernt. Da höre ich jetzt zum ersten Mal davon. Ich werde mich da diesbezüglich weiter informieren und dann entscheiden. Auf jeden Fall super, das es diese Aufklärung dazu gibt. Danke!
Schön und einfach und überzeugend erklärt, auch für die Autisten im Bereich IT schön verständlich. Herzlichen Dank und schönes Wochenende.
Da muss man aber sagen ein Autist in der IT - Kann sich alle Passwörter und mehr sowieso merken. ;)
Ich würde gerne einmal erklärt bekommen, wie das BSI seine Sicherheitsstandards definiert. Worauf basieren deren Vorgaben (Forschung, best Practice, Logik)? Wer hat das letzte Wort? Könnt ihr dazu ein Video machen?
Ich glaube das will man nicht wissen. 😅
Funktioniert das dann auch mit offline Passwörtern und mit dem Login für den PC oder das Handy? User braucht man dafür weiterhin ein normales Passwort?
Ist die Schwachstelle dann nicht der Entsperrcode für das Smartphone? Ich muss, um meinen Fingerabdruck oder Face-ID auf einem fremden Android-Smartphone zu registrieren, lediglich das Smartphone in die Finger bekommen und den Entsperrcode kennen. Der wird zumindest bei Samsung alle Tage und bei einem Neustart abgefragt. Wie sichere ich mich dagegen ab?
Tolle Erklärung, danke
jetzt, endlich, finally, hab's kapiert
Ich bin nicht tief genug im Thema aber ich erahne schon, dass es in Zukunft Szenarien geben wird, wo Leute zB ne triviale Handysicherung nutzen, auf dem dann alle Passkeys hinterlegt sind und Diebe es so noch viel leichter haben werden als beim Passwort + 2FA. Ne Art Masterschlüssel der zu schlecht gesichert ist. Vllt ist das auch Quatsch, aber ich bleibe gespannt.
Gar nicht so abwegig.
Tja, dann sperrt man einfach alle seine Keys und stellt sich neue aus!
@@Bogomil76die Oma mit 80 macht das umgehend binnen 60 Sekunden 😉. Sie hatte sich doch gerade erst auf die Passkeys umgestellt...
@@U_H89 Ah, die Argumentationskette, alte Menschen!
@@Bogomil76 achso, die gleich außen vor lassen und aussperren 😉🤷
Was ist der Unterschied von Passkey und fido2 Stick?
Hört sich im Video an, als wenn Passkey eine Art fido2 Stick als Software ist, die lokal auf einem Gerät gespeichert ist.
Wäre gut wenn ct oder heise zu diesem Thema ein "ruhiges" Video mit etwas technischer Erklärung machen würde.
Korrekt erfasst, wozu dann noch eine weitere Erklärung?
"Lokal auf dem Gerät" ist nicht ganz richtig. Der charakteristische Unterschied ist, dass Passkeys via Cloud, zwar Ende-zu-Ende-verschlüsselt, aber eben doch synchronisiert und gesichert werden, d.h. sie sind im Prinzip kopierbar und daher nur durch die Ende-zu-Ende-Verschlüsselung geschützt, welche bisher auch nur garantiert wird von drei US-Anbietern, die alle dem Patriot Act unterliegen, d.h. wenn sie Hintertüren in die Verschlüsselung einbauen müssen, weil ein FISA-Urteil sie dazu zwingt, dürften sie es niemandem sagen. Schlüssel auf FIDO2-Sticks sind in einem speziellen Chip unauslesbar gespeichert, der dann auch die Kryptoalgorithmen mit ihnen rechnet (sicher, aber auch teuer, das sind keine ganz einfachen Prozessoren, so ein Stick kostet mindestens 30 Euro). Da kommt eine NSA noch nicht mal theoretisch ran, und kein FISA-Gericht der USA kann daran was ändern. Man kann so einen Schlüssel noch nicht einmal von einem Stick auf einen anderen kopieren. Das meinte Keno damit, dass die hohe Anforderung an die Schlüsselsicherheit zugunsten der Passkey-Lösung gelockert worden ist, damit die Leute nicht mehr die teuren Sticks kaufen müssen, und auch keine Angst davor haben müssen, dass ihnen ein Schlüssel mal verloren geht (es gibt ihn ja immer verschlüsselt in der Cloud). Denn bei den FIDO2-Sticks braucht man, um gegen Schlüsselverlust gewappnet zu sein, immer zwei Sticks, die man beide an jedem Web-Dienst anmeldet. Denn sonst geht der einzige Stick verloren, und man ist erstmal ausgesperrt, bis man sich mindestens einen neuen Stick verschafft und den über irgendeinen Recovery-Mechanismus wieder an allen Diensten angemeldet hat. Das heisst, man muss den neuen Stick wiederholt neu anmelden, an jeder Website, an der man den verloren gegangenen verwendet hat. Das ist das Verfügbarkeitsproblem privater Schlüssel in der Public-Key-Kryptographie, was viele Lösungen behindert hat, insbesondere E-Mail-Verschlüsselung, aber auch Authentifizierung - nur bei Dokumentensignatur ist das entschärft. Ich baue beruflich Anwendungen von Public-Key-Kryptographie seit 30 Jahren. Das Problem tauchte da immer wieder auf.
Es wäre denkbar und wie ich finde, auch praktikabel, Passkeys nur auf Smartphones zu erzeugen. Die verfügen heutzutage schon lange über einen den FIDO2-Sticks vergleichbaren Sicherheitsprozessor, Secure Enclave auf iPhones, Secure Element auf Androiden (vorgeschrieben für Geräte, die Android 9 oder neuer ausführen). Mit denen könnte man Keys erzeugen, die sich nicht auf die E2E-Verschlüsselung der Cloud verlassen müssen, um sicher zu sein. Man müsste dann zwar immer den QR-Code/Bluetooth-Weg gehen, wenn man sich an irgendeinem PC auf einer Webseite mit dem Passkey auf dem Smartphone anmelden will, aber die Schlüsselsicherheit würde das schon erhöhen. Unterstützt aber (bisher noch) keiner der Anbieter. Vielleicht kommt das noch. Würde die Passkeys dann auch an Internet-Kiosk-Systemen verwendbar machen. Denn es kommt ja hoffentlich keiner auf die Idee, sich da mit seinem iCloud- oder Google-Account anzumelden?
@@olafschluter706 Nur wenn man sie Google/Apple anvertraut, ich kann sie aber auch „einfach“ in einem lokalen Passwortmanager (der Passkeys unterstützt) nutzen.
Ich mag die Idee nach wie vor, möchte aber unbedingt eine offene Lösung mit Verschlüsselung natürlich, zum selber hosten / synchronisieren sehen, damit ich die Dinger wirklich selbst unter Kontrolle habe.
Verascrypt
@@highhorizon Ich benutz auf meinem USB stick gocryptfs weil da muss ich nicht exclusiv speicherplatz für nen container oder partition reservieren.
@@Henry-sv3wv du arbeitest aber mit Ubuntuu oder ?
Sehr schön erklärt, Dankeschön.
Nachdem ich mein erstes Komto auf Passkey umgestellt habe, scheint aber das ursprüngliche Passwort noch zu existieren und zu funktionieren. Das macht doch dann auch keinen Sinn, oder?
Genau die gleiche Frage habe ich mir auch gestellt. Zum Beispiel wenn man auf PayPal ein Passkey auf einem bestehenden Konto einrichtet bleibt das alte Passwort bestehen. Ich habe somit nach Aussagen von PayPal zwei Möglichkeiten mich einzuloggen. So richtig rund ist das für mich auch noch nicht...
Wann wird es passkey systemübergreifend für alle Systeme geben? Da das Ganze Chromium-basierend ist, wird Firefox damit ausgeschlossen?
Was ist, wenn ich kein Smartphone habe und am PC keine Kamera und keinen Touchscreenmonitor? Soll ja nicht gerade selten sein, daß Leute sich lediglich "nur" auf den reinen PC konzentrieren und auch keinen Anlass sehen, sich eine Kamera oder teuren Touchscreenmonitor zu besorgen. Funktioniert Passkey nur mit Fingerabdruck und Gesichtsscan? Oder hab ich was grundlegend nicht verstanden?
Dann investiert man einmal 70 € in zwei Hardwareschlüssel. Einen für den täglichen Gebrauch, einen für den Tresor oder den Blumentopf im Schuppen.
wie sichert man einen passkey, wenn man nur ein device hat?
synchronisieren ist schön, aber wenn der einzige key zu meinem google acc mein phone ist und dieses abhanden kommt, dann muss ich ja mit einem ersatzgerät irgendwie erstmalig wieder zugang erhalten.
wie würde sowas ablaufen? bzw wie wäre das zu lösen?
irgendein zweitschlüssel, der nicht ein zweites phone oder laptop o.ä. ist muss doch möglich sein, oder?
Hey, sehr cooles Video! 👍
Das GTA Video im Hintergrund hat in dem Teil leider relativ stark abgelenkt und etwas abstraktes wäre da vielleicht besser. Vielleicht bin ich da aber auch zu wenig iPad -Kid..
Was passiert, wenn ein Angreifer den Private Key auf meinem Gerät auslesen kann? Ist der dann verschlüsselt?
Die Frage ist in sich unlogisch, entweder er liest etwas aus, oder es ist verschlüsselt, aber wie kann man was entschlüsseltes auslesen?
Super, danke
Wo bekomme ich jetzt auf die schnellen nen Bananen USB Stick her, oder würde das auch mit einem Erdbeere Stick funzen?
Erdbeere wird aktuell noch nicht unterstützt, soll aber bald kommen.
"geht nur mit Chrome", wenn wir gerade beim Thema sind, wie ist das mit dem WebDRM in dieser Software? Hat die c't da schon was zu gemacht?
Schön erklärt, danke. Wie kann es sein, dass so viel Apple plötzlich in dem Video vorkommt? Ist er (endlich) konvertiert worden? ;)
Klingt doch ganz gut
Aber was ist wenn der Passkey auf dem pc, Smartphone gespeichert wird, können Hacker trotzdem durch sicherheitslücken apps oder Betriebssystem da ran kommen? dann wäre es eine Leichtigkeit das Konto zu benutzen; oder was ist mit viren und Trojaner?
Und was wenn ich PassKeys ohne Zutun von proprietären Diensten wie Google oder MS synchronisieren will?
Open source Alternativen? NextCloud? Self-hosted? KeePass?
Hab das "Problem" das Bei Google Passkey, immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?
was ist denn, wenn mein usb stick oder sonstwas kaputt geht?
Bei 2fa gibt es ja diese Notfallcodes häufig, oder die möglichkeit das zu sichern.
USBs sind klein und allem möglichen ausgesetzt, auch dem verlieren und verschluckt werden von Haus- und anderen "Klein"-Tieren.
Apple speichert also den privaten Key in der Cloud 😅.
Scheint bei Google aber nicht so zu sein (jedes Gerät muss einzeln freigegeben werden). Trotzdem bin ich noch etwas ratlos.
Wir nutzen privat z.B. ein Chromebook auf dem jeder sich bei Bedarf mit seinem Konto anmelden kann. Macht auf solchen Geräten ein Passkey überhaupt Sinn? Dann könnte jedes meiner Familienmitglieder auf mein Konto zugreifen, oder?
Danke für das - wie immer - cool gemacht Video! Ich habe von Passkeys schon einiges in der c't gelesen, scheue mich aber noch, das einzusetzen (wo es geht), da mir noch nicht klar ist, wie und ob ich bei allen Diensten die Passkeys sichern kann.
Mir ist auch noch nicht klar, wie ich mich z.B. mit einem NEUEN Android-Handy wieder mit meinem Goolge-Account anmelden kann, wenn ich auf dem alten Handy schon dafür Passkeys nutzen würde, dieses aber verloren geht/defekt ist!?
Wie das bei Android geht, kann Ich Dir nicht sagen. Jedenfalls sind die Passkeys aus diesem Grund an einen Apple-, MS- oder Google-Cloud-Account gebunden, es gibt sie dann immer noch in verschlüsselter Form in der Cloud. Einen Google-Account hat man ja als Android-Nutzer, sobald man was aus dem Google Play Store laden will, ohne kann man einen Androiden nur sehr eingeschränkt betrieben (so verhält es sich mit iPhones und dem Apple-iCloud-Account auch). Es geht als um das Recovery des Zugangs zum Google-Account bei Verlust des Passkeys, mit dem man sich da anmeldet. Wenn man auf den wieder Zugriff hat, dann hat man auch wieder Zugriff auf seine Passkeys, alle, wenn Google nicht zwischenzeitlich auch komplett abgebrannt ist, und dann haben wir alle andere Sorgen. Ich habe für meinen Google-Account (ist ja auch für Apple-User nützlich, z.B. hier) noch als Fallback das Passwort + OTP. Ich würde auch erst mal nachsehen, wie Google sich das Passkey-Recovery vorstellt und welches Verfahren es da anbietet, bevor ich die Passwort/OTP-Alternative wegwerfe.
Bei Apple ist es so, dass es für den Fall, wenn wirklich alle Stricke reissen, und man kein Gerät mehr hat, das an die iCloud-Daten rankommt, ein iCloud-Recovery-Passwort gibt, mit dem man wieder an diese Daten kommt. Und in den iCloud-Daten stecken die Passkeys. Das Recovery-Passwort hat man bei der Einrichtung des iCloud-Accounts festgelegt, hat man 2-Faktor-Authentifizierung da an, ist es einfach das iCloud-Anmeldepasswort. Hat man die Advanced-Data-Protection an, also Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten, dann ist dieses Recovery-Passwort ein hinreichend langer (gute 300 Bit) kryptographischer Key als Buchstaben/Zahlen-Folge, den ich ausgedruckt in meinem Schreibtisch habe - mir graut vor dem Gedanken, den mal eines Tages womöglich gar in das Mäuseklavier von einem Smartphone eintippen zu müssen. Achja, bei iCloud + Advanced Data Protection gibt es dann noch die Möglichkeit, einen Recovery-Account anzugeben, also jemand anderen, der auch einen iCloud-Account hat und über den man seine Daten wieder erlangen kann. Bei mir ist das meine Tochter. Meine Versicherung hinsichtlich meiner iCloud-Daten dafür, falls mein Haus abbrennt - und damit auch der Zettel mit dem Key. BTW: Apple erzwingt, dass man sich diesen Key ausdruckt, wenn man ADP anschaltet. Die wollen ihren Support schonen vor Anfragen, bei denen sie nicht helfen können.
Apple hat angekündigt, Passkeys für iCloud-Accounts als zweiten Faktor einzuführen und damit ihre proprietäre 2 Faktor-Technik abzulösen. Das Fallback beim 2. Faktor auf SMS wird aber wohl logischerweise beibehalten. Man kann als Kommentar sowohl zur Bedrohung von Internet-Accounts wie auch zur Sicherheit von Passkeys allerdings auch noch folgendes feststellen: schon seit längerer Zeit erzwingt Apple die 2-Faktor-Authentifizierung für iCloud-Accounts, die im Developer Program von Apple registriert sind, denn diese Accounts haben Zugriff auf Signaturschlüssel, mit denen sie Apps signieren und in den Appstore stellen können. Da hat Apple nun nicht etwa Passkeys als 2. Faktor eingeführt, sondern die Hardware-Variante mit der höheren Schlüsselsicherheit: FIDO2-Sticks. Passkeys werden da nicht zugelassen. Dabei wären die einzigen, die iCloud-Passkeys angreifen können, eigentlich nur die Leute von Apple, indem sie bei der E2E-Verschlüsselung der Keys betrügen.
Ceterum censeo die Nachrichtendienste der Welt sollten einen Service anbieten dafür, Bürgern wieder Zugang zu ihren Cloud-Daten zu verschaffen. Das würde das Leben so erleichtern
Recovering access or adding new devices
When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup.
To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock.
Since screen lock PINs and patterns, in particular, are short, the recovery mechanism provides protection against brute-force guessing. After a small number of consecutive, incorrect attempts to provide the screen lock of an existing device, it can no longer be used. This number is always 10 or less, but for safety reasons we may block attempts before that number is reached. Screen locks of other existing devices may still be used.
If the maximum number of attempts is reached for all existing devices on file, e.g. when a malicious actor tries to brute force guess, the user may still be able to recover if they still have access to one of the existing devices and knows its screen lock. By signing in to the existing device and changing its screen lock PIN, password or pattern, the count of invalid recovery attempts is reset. End-to-end encryption keys can then be recovered on the new device by entering the new screen lock of the existing device.
Screen lock PINs, passwords or patterns themselves are not known to Google. The data that allows Google to verify correct input of a device's screen lock is stored on Google's servers in secure hardware enclaves and cannot be read by Google or any other entity. The secure hardware also enforces the limits on maximum guesses, which cannot exceed 10 attempts, even by an internal attack. This protects the screen lock information, even from Google.
When the screen lock is removed from a device, the previously configured screen lock may still be used for recovery of end-to-end encryption keys on other devices for a period of time up to 64 days. If a user believes their screen lock is compromised, the safer option is to configure a different screen lock (e.g. a different PIN). This disables the previous screen lock as a recovery factor immediately, as long as the user is online and signed in on the device.
😅 ich höre heute zum ersten mal von passkeys. Ich kratze meine Passwörter noch in Steinplatten. 😂😂😂
und wie funktionieren diese passkeys, wenn ein fremdes gerät genutzt werden muss.
ich kritisiere die hardware abhänigkeit.
ohne SIM/SMS wäre man z.b. bei einem wohnungsbrand, der alles vernichtet, ganz schön aufgeschmissen...
als erstelle ich für jedes gerät ein eigener passkey?
geht passkey ohne smartphone? dann ist es eine option. ansonsten bleib ich bei onlykey, da brauch ich nur einen pin zu merken, hab aber zugang zu 24 passwörtern die 50 stellig sein können.
Wie genau funktioniert das den nun? Ich habe versucht ein Passkey bei Adobe einzurichten. Wenn ich das am PC mit Win 10 und dem Chrome Browser versuche. Kommt eine Meldung die mich auffordert einen USB Stick einzustecken und kein QR Code?!
Kann man sein login auch auf andere Geräte sharen?
@8:53 Wo ist denn deine Mama? Vom Trekker überfahrn 😂🤣
Verstehe nicht ganz was dieses Prinzip sicherer macht als eine 2 Schritt Authentifizierung oderr was daran besser sein soll als eine zufällige Pin die man dann eingeben muß. Muss aber zu meiner Schande gestehen dass ich technisch nicht sehr bewandert bin. Habe aktuell fast überall eine 2 Schritt Af und auf dem Handy eine Af App um dann gegebenenfalls einen Code einzugeben.
Ja also der Yubikey ist ja auch nur ein TPM Chip da die Dinger ja sowieso mittlerweile in jedem PC - Smartphone o.Ä verbaut sind .. war das ja nur eine Frage der Zeit geht das Handy allerdings verloren sind auch die Schlüssel weg deswegen lieber einen Hardware Key kaufen den kann man auch an fremden geräten nutzen und es muss nicht erst alles synchronisiert werden ...
Und wenn man ein Gerät ohne TPM / Ohne Biometrie hat sind die auch wieder nutzlos ...
Hilft das denn auch dagegen wenn Anbieter wie Microsoft wieder ihre Zertifikate verlieren?
Ich hab einen Yubico key, ist halt bisschen blöd weil man bei windows hello dann ständig das Key-Passwort eingeben muss
Muss man trotzdem ein Passwort im Account anlegen, um Passkeys in der Folge nutzen zu können?
Das würde es ja aushebeln, oder?
Wie kommuniziert mein Desktop mit dem Handy? Soweit ich das gesehen habe braucht es dazu BT5.1. Mein gar nicht mal so alter Laptop hat das nicht und damit fallen Passkeys leider komplett durch.
Sorry Keno, bin tagtäglich im Internet unterwegs - hab noch nicht eine Website gesehen, bei denen ich Accounts habe, die auch passkey anbieten würden.
Was ist z.B. mit Banken?
Naja Deutsche Banken stecken ja auch im letzten Jahrhundert fest
Die Sparkassen zb mit ihrer extra tan App
Und sowas geht dann aber nur, wenn man den Code sich per Brief hat zuschicken lassen
Es gibt viel sicherere Methoden, aber willkommen in Deutschland
Naja bis Banken etwas anbieten was sie vorher nicht kannten, dauert Jahrzehnte.
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
Passkey auf eBay eingerichtet, funktioniert aber irgendwie trotzdem nicht, obwohl es ja so einfach sein soll. Mit Username und Passwort und SMS hat es dann doch auch ohne Passkey geklappt. Für mich noch seltsam, weil mir nicht klar ist, wo haargenau der Passkey liegt. Ich gebe also die Sicherheit meines Schlüssels an Google und Apple ab, oder?
Interessant und coole sache!
Sicherer login wird wohl künftig doch noch einfacher als gedacht😎
Ich hoffe, das wird zeitnah standard auf vielen websites!
solange es keine brauchbaren code für entwicker gibt(z.B für eine PHP Webseite) wird sich das nie durchsetzen.
Schade das es noach einem Jahr immer noch keine beispiele gibt.
Wie schwer ist es ein Github Repo zu machen mit einer DB
register.php, verify.php, login.php mit einer vernünftigen biblothek.
Solange dies nicht verfügbar ist wird das nichts. Auf die Programmierer nicht ins Boot geholt werden, wird sich das nicht gross etablieren. Wiedermal eine schöne Idee mit schlechter umsetztung. Habe jetzt mit ChatGPT4 Stunden versucht ein Test zu bauen doch ohne erfolg.
D.h., um mich mittels Smartphone bei einem Dienst anzumelden, brauche ich ein zweites Smartphone mit dem Passkey oder?
Ne, du kannst ja auf dem ersten Smartphone direkt einen Passkey abspeichern und damit dich anmelden.
Habe ich das richtig verstanden, dass das nur mit mobil-Geräten funktioniert, die auch über einen Fingerabdruck-Scanner verfügen?
Es geht also nicht an meinem Heim-PC, der keine Extras hat?
SO habe ich das auch verstanden...
Technisch gibt es da keinen Grund für.
Es wäre aber gut für den Zugriff auf die Passkeys eine Autorisierung zu erfordern (Fingerabdruck, Gesicht oder das einzige Passwort was du dir dann noch merken musst).
So kann jemand der dein Gerät stielt nicht plötzlich auch auf all deine Online Konten zugreifen.
Denn war das missverständlich. Nein, Passkeys funktionieren auch auf Geräten, die überhaupt keine Biometrie anbieten - wie bspw. meinem Mac mini. Ggf. kann ich einen Passkey erst mit meinem Anmelde-Passwort am lokalen Gerät freigeben - die Server können da in der Anforderung zur Authentisierung Bedingungen stellen, die das erforderlich machen. Normalerweise aber reicht auf PCs ein Mausklick.
Es geht auch auf einem Desktop oder Laptop, mit PIN/Passwort!
Das heißt aber auch das jedes Gerät wo ich mich einloggen möchte einen Fingerscanner oder eine Kamera haben muss, so wie ich das verstanden habe, oder ?
Äh, du hast vergessen, zu erwähnen, wie das in Linux funktioniert *däumchendreh*...
Die Einblendungen sind der Hammer 😅
Hab n yubikey und muss sagen das die Software zur Schlüsselprogrammierung mir auch zu kompliziert ist weil ich immer Angst habe, dass ich einen benutzten Schlüssel überschreibe, der hat irgendwie nie 2 Slots und einer ist von Haus aus belegt gewesen... Obwohl ich eigtl. Fit mit Computern bin, hat mich das arbeiten damit echt etwas überfordert... Teuer war's ebenfalls... Aber fido kann der auch... Muss nochmal gucken und mich mehr informieren.
Danke fürs Video hat mich nochmal motiviert Sicherheit durchzuspielen :)
Achso eine Frage kam mir doch auf, weil du sms Recovery so positiv bzw. Unproblematisch dargestellt hast. Mein letzter Stand war, dass es super einfach ist die SMS zu fälschen oder das Angreifer im Prinzip kein Problem haben diese abzufangen oder so?
Ich halte ein von Firefox generiertes Passwort in Bezug auf Privacy immer noch für besser
als meinen Fingerprint oder meine Visage überall zu hinterlassen.
Ein Passwort kann ich jederzeit ändern.
Und wenn jemand ein Facepic von mir hat?
Kann das nicht missbraucht werden?
Du brauchst einen Pin, Fingerabdruck oder faceID nur für Dein Smartphone, oder Computer. Der Schlüssel ist ja auf Deinem Gerät hinterlegt.
Ohne das Gerät/Schlüssel ist faceID usw. nutzlos.
Ich finde es immer fragwürdig wenn es heißt "man kann das dann einfach mit seinem Fingerabdruck entsperren". Was mache ich denn, wenn meine Fingerabdruckdaten geklaut werden? Das darf mir dann maximal 10 Mal passieren, bevor ich auf Zehenabdrücke ausweichen muss, oder wie? 😅
Bei einem guten Fingerabdrucksystem kann man Fingerabdrücke nicht so einfach klauen. Und der Angreifer muss ja auch erst mal physischen Zugriff auf Dein Gerät haben, also zu Dir ins Büro oder zu Dir nach nach Hause kommen.
Bei Apple beispielsweise wird nicht der Fingerabdruck gespeichert, sondern nur eine Reihe von Merkmalen, mit deren Hilfe man einen Fingerabdruck auf Richtigkeit überprüfen kann. Aus diesen Daten kann man aber keinen Fingerabdruck ableiten. Außerdem hat Apple eine Lebenderkennung des Fingers. Damit ist die Verwendung eines z.B. von einem Gegenstand abgenommenen Fingerabdruck nahezu unmöglich.
@@GerhardAEUhlhorn wieder gefährliches Halbwissen.
Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein.
Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... .
Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist.
Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.
@@malibudancer8472Herrlich, anderen Halbwissen vorwerfen, ubd dann selbst Halbwissen verteilen!
@HerrRoerich also wenn Deine Fingerabdruck Daten „geklaut“ werden, dann sind Deine Fingerabdruckdaten geklaut, so what?
Was soll im Anschluss schon damit passieren? Es benötigt im Anschluss noch jemand auch physikalischen Besitz des Gerätes, welches Du mit dem Fingerabdruck auch entsperrst! Dir muss also jemand erst Deinen Fingerabdruck klauen UND das Handy/Notebook!
Wenn Du das bemerkst, dann kannste die Passkeys vorher sperren lassen!
Btw. weniger James Bond/Mission Impossible gucken
..was macht du, wenn der FIngeabdruckleser nicht mehr funktioniert? Das habe ich derzeit bei meinem Huawei I30. Von heute auf morgen tot. Ich hab ganz schön dumm aus der Wäsche geguckt, als ich bei der Überweisung (2 Faktor Authentifizierung) plötzlich wieder ein Kennwort eingeben sollte.
hi,
super Video.
Mir wäre wichtig das ich es natürlich überall habe.
Windows, macOS.
Da auf dem iPhone etc. nutze ich es nur teilweise meist am PC/Mac.
Deshalb 1Password aktuell.
Ich nutze Ubuntu Linux, Windows und Android auf Tablet und Smartphone. Daher überall Bitwarden eingerichtet.
Muss unbedingt Auge, Gesicht oder Finger dafür herhalten um es nutzen zu können?
Geht auch mit PIN.
Wieso macht man das nicht mit den Personalausweis, per NFC
Also sind die Sachen bei den Anbieter verschlüsselt. Die könne gehackt werden und die Verschlüsslung knacken. Hmm.
Was passiert wenn mein Smartphone verloren geht? Dann ist der Public key auch weg, oder habe ich nicht richtig aufgepasst ?
auf einem windows gerät ist das aber wie ich finde noch nicht so geil ... ich meine, man muss dann irgendwas mit dem entsperr code des laptops oder so machen. Auf dem iPhone finde ich es einfach nur super!
Kommt für mich aktuell noch nicht in Frage, da es aktuell von zu wenigen Anbietern genutzt wird. Vielleicht in Zukunft mal.
Aktuell bleibe ich bei meinem Passwort-Manager, der mir für jede Plattform automatisch ein Passwort generiert und dieses auch automatisch ändert nach einer gewissen Zeit.
Sorry für die DAU-Frage. Aber warum kann ein Passkey nicht einfach geklaut werden, wenn er auf meinem Rechner gespeichert ist? Ist das nicht genauso blöd, wie wenn man sein Passwort auf dem Rechner hinterlegt?
es wird halt mehr versprochen als es wert ist
Und wie werden passkeys genutzt wenn die Betroffenen keinem "Anbieter" vertrauen dürfen (z.B. gesetzlich)? Klar kann ich auch im Internet suchen aber zumindest ein Hinweis fehlt mir hier dich deutlich.
"Wenn Hacker Zugang zu den Servern deines Anbieters haben" ähm, dann haben wir noch ganz andere Probleme? Dann können die auch den CryptoKey raustragen oder im Zweifel auch gleich die Kontodaten?
Nachteile eines Passwort-Managers
Ein offensichtliches Risiko ist, dass der Fall eintreten könnte, dass ein Hacker Ihr Master-Passwort herausfindet, das ihm dann Zugang zu allen weiteren verschafft. Dies kann unter anderem dann passieren, wenn es einem Hacker gelingt, ein Keylogger-Programm auf Ihren Computer
Wenn passkey vom Markt verschwindet dann sind meine Zugänge wo?
Frage nah dem "PGP Code": Gibts in dem Konzept eine NSA Backdoor? Die BiG US Player bekommen da bestimmt Druck. Wegen Patriot Act usw... Also, ich bin da skeptisch...
Einfach bei der Nutzung einen Aluhut aufsetzen, dann passiert nichts.
@@kayh4656 genauso wurde vor einigen Jahren noch mit Leuten geredet, die meinten die USA hätten überall Backdoors drin und würden weltweit alles mithören. War natürlich krasser Unfug... Bis ein Edward Snowden da etwas veröffentlichte... "Abhören unter Freunden, das ging gar nicht."
Aber du warst da entweder noch nicht geboren oder hast gepennt... ...oder du bist einfach saumässig naiv. 🤷♂️
Und was sind die Nachteile bzw. Schwachstellen von Passkeys?
Solange man es streng nach Vorgabe macht, tatsächlich keine. Leider werden in dem beschriebenen System jedoch viele Dinge falsch gemacht.
So sollte ein privater Schlüssel ausschliesslich bei mir und sonst nirgends gespeichert sein. In dem Moment, wo ich ihn in die Cloud lade, ist das nicht mehr der Fall. Gleichzeitig erscheint es als werden die privaten Schlüssel von den Anbietern generiert, was meine persönliche Herrschaft über diese auch zu nichte macht.
Wenn sicherheitsrelevante Dinge enfach werden, bedeutet das entweder: Weniger Sicherheit (hier anscheinend nicht der Fall. Oder: Tracking, weniger Privatsphäre und Überwachung (Hier ganz sicher der Fall, da Google oder andere Anbieter involviert sind)
Komfort hat eben seinen "Preis"
entweder passkey oder passwort gibt jetzt nicht mehr infos über dich preis, wenn du aber so angst vor deinen daten hättest wärst du nicht auf dieser platform
Daher warte ich bis Bitwarden/Vaultwarden als selfhosted Passwort-Manager diese Funktionen bekommt. Dann weiß ich wo alles gespeichert ist.
@@QDaveX Nutzte diesen Account für nichts anderes.
oder die abhänigkeit wird von einem zusätlichem objekt geschaffen.
was nicht unbedingt ein problem löst, sondern ein zusätzliches/neues problem schafft.
Was muss ich tun,wenn jemand mein Handy geklaut hat? Anders gefragt.wie mache ich den darauf abgelegten private Key ungültig? Muss ich dann bei zig Diensten einen neuen Passkey erzeugen?
Du musst Dich bei jedem Dienst einloggen, den alten Key bzw. das Gerät deaktivieren und das neue Gerät aktivieren.
@@kayh4656 ist ja dann so ne richtig coole Lösung, alles auf Passkey umzustellen :-)
Wann kommt das wohl fürs Heise-Forum?? (-:
Wollten die nicht FIDO2?
Wie war das noch mit Wasser und Wein *hicks*
@@paulmaier1751Passkey basiert auf FIDO2, erweitert um die in der Cloud synchronisieren Keys.
Bin PC Nutzer. Habe keinen Fingerabdruck oder Gesichtsscanner (Windows-Hello) am PC
Muss ich dann wieder auf 2-Faktor zurückgreifen? Und ganz im Ernst, auch wenn es sicherer ist, geht mir 2-Faktor richtig auf die Nerven.
Auf der Arbeit, bei Bankkonten und Ähnlichem verstehe ich das ja, aber bei Google, Netflix und Co....
Mein PC zuhause hat nicht mal ein Passwort, da werde ich mir keine Hello-fähige Kamera (ab 120,-€) kaufen für Passkey, solange es auch anders geht und auf der Arbeit, zeigen dir mir ebenfalls einen Vogel wenn ich damit um die Ecke komme. Solange das nicht zum Standard wird oder man gezwungen wird, werde ich weder 2F, noch Passkey im Alltag als Standard nutzen (wie gesagt, es gibt Accounts da sollte man immer so sicher sein wie es geht, aber nicht bei allen).
Passkey hat nichts mit Biometrie oder Windows Hello zu tun, lediglich die Anmeldung an Windows muss mit einem Password oder ein PIN gesichert sein, dann können chromebasierte Browser unter Windows zur Nutzung von Passkeys genutzt werden.
@@kayh4656 Man kann in Passkey Zwei Faktor sowohl über Yubikey, Biometrie, Bluetooth, Zertifikat, oder Windows-Hello einrichten
Der Vorteil von 2FA ist halt, dass es 2 Faktoren braucht. Ein geklautes Smartphone reicht alleine nicht, ein gephishtes Passwort auch nicht.
Wenn die Passkeys-App nicht selbst durch einen zweiten Faktor wie einen Fingerabdruck gesichert ist verliert man hier ggf Sicherheit.
Mit einem geklauten Smartphone kann man dann z.B. verdammt viel anstellen.
Passkeys ergeben doch sowieso nur mit biometrischen Daten Sinn. Wenn du wieder ein Passwort oder ähnliches nutzen würdest, dann kann man sich das in die Haare schmieren
Kommt eher selten vor, dass Blackhats Angriffe fahren, mit denen sie nur ein einziges Opfer erwischen. Einen ganz spezifischen Client angreifen machen nur nationale Geheimdienste im Umgang mit VIPs (und theoretisch diese neuen Bundesbehörde mit ihrem Bundestrojaner). Sind wir alle nicht, nehme ich mal an, und um die VIPs kümmern sich jede Menge Leute, die meisten davon in Counter-Intelligence unterwegs (und auch die Zielgruppe besagter Bundesbehörde hat ihre Mittel, sich zu schützen, die sind bloss schlimmstenfalls unbequem). Was Blackhats massenhaft tun, ist, Netze auszuwerfen, in die Massen von Opfern reingehen. Gefakte Websites plus Unicode-Domainname, DNS-Cache-Poisoning bei grossen Providern, Cross-Site-Scripting für Javascript-Injection, solche Sachen. Jeder Besucher der Website wird dann automatisch angegriffen, und beim Angreifer laufen massenhaft Daten auf. Beachte: dazu muss der noch nicht mal in den Server einbrechen, der die Nutzer bedient. Man nennt das wegen der wirklich treffenden Analogie auch Phishing, und das Ziel ist sogar weniger, konkret dann den Opfern sofort Schaden zuzufügen. Oft sind ausspionierte Zugangscredentials Grundlage für weitere Angriffe auf den Server (Beispiel: Bundestags-Hack). Vielleicht kann man aber dann auf erfolgreichen geknackten Accounts auch Ransomware platzieren zum Download...
Massenhaft wirksame Angriffe gegen Smartphones sind nicht so einfach. Die meisten Angriffsvektoren laufen auch hier über den Gerätebrowser. Und dringen dabei nur in Ausnahmefällen ins Gerät ein. Die meisten Phishing-Angriffe funktionieren auf Smartphones genauso wie auf PCs: erbeutet wird das User-Passwort, nicht mehr, aber auch nicht weniger. Eindringen ins Gerät sieht anders aus und funktioniert auch ganz anders. Die dafür ausgenutzten Sicherheitslücken im Gerät sind auch sehr viel kurzlebiger als die von Web-Sites.
Seit Beginn des Ukraine-Krieges geht es ziemlich ab im Cyberwar, praktisch wöchentlich berichtet zumindest die einschlägige Presse wie Heise von erfolgreichen Angriffen, die allesamt sehr grosse Beute haben (zuletzt: Microsoft Cloud Services). Wir hatten schon mal ruhigere Zeiten, wo Präsentationen für Cyber-Security-Awareness Beispiele für erfolgreiche Angriffe über Jahre sammeln mussten, um bloss die erste Folie vollzubekommen. Heute kann man nur mit erfolgreichen Angriffen aus der jüngeren Vergangenheit eine einstündige Präsentation füllen. Und käme danach erst zu den Gegenmaßnahmen. Waren aber in alle Regel Angriffe auf Web-Sites und Web-Services, die über aus dem Internet erreichbare Web-Dienste dieser Services erfolgten.
Aber: niemand wird ein Smartphone von uns klauen, um damit in die Accounts des Inhabers einzudringen. Smartphones werden geklaut, um sie zu verkaufen, das ist ihr grösster und unmittelbarer Wert (denn den meisten Blackhats gehts auch nur darum, Geld zu machen). Möglichst wiped und entkoppelt von jedem Account, insbesondere vom Cloud-Account beim OS-Anbieter. Angriffe, die es erlauben, das gestohlene Gerät zu wipen und vom Cloud-Account zu entkoppeln sind da interessant. Bei Apple-Geräten jedenfalls ist das sonst ein Hindernis, das Geräte für den Angreifer bricken kann. Wiederverkäufer von Apple-Geräten auf dem Gebrauchtmarkt wissen ein Lied davon zu singen. Die kriegen Geräte dieser Art oft aus Konkursmassen.
Man ist dennoch gut beraten, sein Gerät im Rahmen der technischen Möglichkeiten gegen fremden Zugriff abzusichern, also Passphrase statt bloss PIN (Biometrie ist bei Apple ansonsten nur eine Convenience-Funktion, die ganze Sicherheit des Geräts hängt von der Passphrase ab, und dass sich das Gerät löscht, wenn man die zu oft falsch eingibt - unbedingt einstellen!), sonst ist Opfer als "Beifang" eines Diebstahls garantiert. Jedenfalls, wenn ein entsperrtes Smartphone dann auch gleich erlaubt, Banküberweisungen zu tätigen. Aus gutem Grund erlauben die meisten Bank- oder Kreditkarten-Apps das nicht, die wollen dann noch einmal authentisieren und dass sogar bei jeder einzelnen Transaktion. Wie auch viele andere sicherheits-sensitive Apps wie bspw. meine OTP App.
@@quimicos_comunistas weil ja biometrische Daten nicht auch im weitesten Sinne kopierbar sind. :) Passkeys ergeben sehrwohl auch mit herkömmlichen Passwörtern Sinn. Alles was mit Technik zu tun hat, ist hackbar. Ob ein Passwort nun dein Keystore schützt oder dein Finger... Im Zweifel ist ein Passwort sogar sicherer, denn da kann man dich nicht mit physischer Gewalt dazu zwingen, es auf den Sensor zu legen. Sich ein kompliziertes, langes Passwort zu merken ist immernoch sicherer als eine bequeme Zugangstechnik oder mehrere hundert Passwörter. Nicht ohne Grund werden SSH-Keys mit Passwort+physischen Geräten gesichert, welche auch nur ein sehr langes Passwort ausspucken. Beides zusammen entschlüsselt dein SSH-Key mit dem Du auf den Server gehst.
Als Admin nimmt man alles mit, was man kriegen kann. :)
@@quimicos_comunistas Gefährliches Halbwissen ahoi... .
Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein.
Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... .
Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist.
Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.
@@quimicos_comunistas Und wenn man an die ganz bösen Buben gerät, wird einem der Finger abgeschnitten.
Ein Traum wird wahr!
Wie immer einfach ein einfach erklärtes Video von einem einfachen Mann aus dem Netz 😂👍🏼 - danke!
Denke nicht.
@@living.germany Aber @Geckoware weiß sicher am Besten, ob das Ironie war.
Danke. Hab mal auf dem Handy die Demoseite getestet. Ich soll einen QR Code mit dem Handy scannen. Wie geht das? Brauche ich zwei Handys dafür?
Ja, oder zwei bis drei Spiegel.
Welcher Browser wurde verwendet - ggf. kann der Passkey noch nicht, wie bspw. leider der Firefox? Es macht auf einem Browser, der Passkey kann, natürlich wenig Sinn, die Option "Auf einem anderen Gerät" zu wählen. Bei Safari, Chrome oder Edge jedenfalls sollte der Default-Weg über "Fortfahren" funktionieren, dann wird auf dem Handy ein Passkey erzeugt und registriert.
@@olafschluter706 Danke, das hat geholfen. Eine gute Woche wünsche ich dir
Bis zum Punkt "Fingerabdruck oder FaceID" war ich interessiert, danach war das Thema direkt erledigt. So ein Key Token dabei haben zu müssen ist da glatt noch praktischer als das Smartphone, da bleib ich lieber bei Passwörtern, beim Kopf kann ich wenigstens nicht vergessen wo ich ihn das letzte mal in der Hand hatte...
Benutze Passkeys. Hatte mir vorher noch nen Fido Stick besorgt. Leider.
4:49 Das hab ich noch nicht ganz verstanden. Dachte immer, dass Nachrichten mit dem public key verschlüsselt werden und dann mit dem private key entschlüsselt werden. Andersrum kann ich eine mit einem privaten key verschlüsselte Nachricht nicht mit dem öffentlichen Schlüssel lesen. Wo ist mein Denkfehler?
Dem ist im regelfall auch so "Vertraulich". Wenn du jemanden indendifizieren willst, kann er eine Nachricht mit seinem Privaten Key signieren. Dadurch das nur der Besitzer den Privaten Key hat, kannst du sicher sein, dass diese Person auch wirklich diese Person ist "Authentisch". Sinn dahinter ist nicht die Nachricht zu verschlüsseln dass niemand sie lesen kann. Ich hoffe das war verständlich 🙂
Er sagt ja auch nicht dass die Nachricht mit dem privaten Key „verschlüsselt“ wird, sondern „signiert“!
Beim RSA-Algorithmus wäre es tatsächlich so, dass man mit dem privaten Key verschlüsselte Nachrichten mit dem öffentlichen entschlüsseln kann. Weil das aber für vertrauliche Kommunikation keinen Sinn macht, verwendet man diese Eigenschaft des RSA-Algorithmus dort für die sogenannte "digitale Signatur". Bei Passkeys wird aber und vornehmlich sogenannte Elliptic-Curve-Kryptographie verwendet, und dort sind Verschlüsselungs- und Signaturfunktionen mathematisch gesehen nicht symmetrisch - funktionieren aber beide mit jedem EC-Schlüsselpaar. Was bei Challenge-Response-Verfahren mit Public-Key-Kryptorgraphie aber immer passiert, ist, dass der Empfänger der challenge die mit seinem privaten Schlüssel digital signiert und dem Server zurücksendet. Dadurch beweist er wie mit einer Unterschrift seine Identität.
@@olafschluter706 Vielen Dank :)
Also asymetrisches Public Private Key Verfahren klingt ja toll, das macht ich seit Ewigkeiten so mit SSH. Was mit da aber garnicht gefällt ist das mit biometrischen Verfahren freezuschalten...
Kann man die Passkeys nicht über ein Passwort verschlüsseln, wie wie ich das mit meinen SSH Keys mache? Private Schlüssel möchte ich nicht einfach unverschlüsselt auf den Geräten liegen haben. Wenn dann nur verschlüsselt und über Nextcloud gesynct in einem Passwort-Safe wie KeePass.
Nö, mein Fingerabdruck oder FaceID bekommt kein Unternehmen.
Ich bleib bei KeePass mit Master-Kennwort und Schlüsseldatei.
Und in der Cloud wird schon mal gar nix abgelegt. Ich trau da keinem.
sehr vernünftige Einstellung
Nö ,habe nur von passwortmanger und diese 2 Komponenten autifikazierung gehört.
Noch ist das doch keine Alternative. Ich habe in meinem Passwort-Manager (Keepass offline) an die 100 Einträge oder sogar mehr. Passkey wird von wieviel Anbietern jetzt genutzt? Wahrscheinlich kaum ein Bruchteil. Ich laufe dann mit 2 "Passwort-Managern" quasi rum. Solange das nicht überall der Standard ist, wird sich das nicht durchsetzen. Was passiert außerdem, wenn jemand mein Handy irgendwie klaut. Selbst die SMS-Recovery ist dann doch unsicher...Dass die Infos alle in einer Cloud sind, beruhigt mich nicht wirklich - auch wenn verschlüsselt...
Ja nur Fingerabdruck oder Gesicht scannen. Was kommt als nächstes, Urin und Stuhlprobe?
Theoretisch könnte man auch bei Diensten, wo man das Passwort nicht entfernen kann, einfach mit einem Passwort Generator ein 32 Stellen oder so langes Passwort erstellen und es dann aber nicht speichern und dann ggf. noch 2FA machen, was man dann mit Passkeys aber nicht nutzt
Watt?
@@Bogomil76 Ampere!
Es gibt heute immer noch zahlreiche Websites, welche die Passwörter einschränken (keine Sonderzeichen, etc.) und teils auch nur deutlich weniger als 32 Stellen zulassen.
@@Angus-MacGyver Volt?
@@GameNOWRoom Ohm!?