#40 - Passkey statt Passwort - was steckt dahinter? | BSI

Поділитися
Вставка
  • Опубліковано 16 січ 2025

КОМЕНТАРІ • 21

  • @u.s.4129
    @u.s.4129 10 місяців тому +1

    echt guter Podcast für den interessierten Laien, Abo dagelassen

    • @bsi_bund
      @bsi_bund  10 місяців тому +1

      Das freut uns - danke für das Lob!

    • @willischwinghammer7610
      @willischwinghammer7610 9 місяців тому +1

      Sehe verständlich kommuniziert. Weiter so 👍.

    • @bsi_bund
      @bsi_bund  9 місяців тому

      Danke!

  • @martinausdeutschland
    @martinausdeutschland 2 місяці тому

    E-Mail ist ja ein sehr wichtiges System, weil über E-Mail oft die Authentifizierung stattfindet. E-Mail ist heute mehr oder weniger IMAP und SMTP. Wir kann mit Passkeys IMAP und SMTP abgesichert werden? Geht das überhaupt?

  • @renegerlach1814
    @renegerlach1814 9 місяців тому

    Sehr gut! Abo!
    Weiter so & Danke!

  • @Andy-675
    @Andy-675 8 місяців тому

    Ist das nicht wieder ein Risiko wenn der Backup-Schlüssel, wenn auch verschlüsselt, auf meiner Smartphone Cloud abgelegt wird?

    • @bsi_bund
      @bsi_bund  8 місяців тому +1

      In der Theorie besteht hier ein Risiko, da in die Server eingedrungen werden könnte. In der Praxis verhindert dies aber noch ein zweiter Faktor, z. B. Ihr Fingerabdruck, den Cyberkriminelle nicht besitzen, sodass sie keine Anmeldung vornehmen können. Zudem müssten Täter den Passkey mit den entsprechenden Credentials, also beispielsweise dem Benutzernamen, verbinden. In Summe ist der Sicherheitsgewinn, gerade in Kombination mit dem Komfortgewinn, nicht von der Hand zu weisen.

  • @Caminonator
    @Caminonator 8 місяців тому +1

    Sicherlich ein sehr spannendes Thema was das eigene PW-Management vereinfachen wird. Die eine oder andere Frage bleibt jedoch offen.
    1. Ist der private Schlüssel Betreiberübergreifend bei jedem der gleiche? Wie funktioniert es, wenn ich zu Hause ein Mac OS benutze und auf Arbeit einen Windowsrechner, und z.b. vom Büro den Status meiner Bestellung die ich mit dem MAC OS aufgegeben habe checken möchte? Woher bekommt Windows dann den Schlüssel für die Anfrage?
    2. Wenn der / die Betreiber meinen privaten Schlüssel verwalten und sich dort ein Datenleck auftut und meine Daten inkl. des privaten Schlüssels abfließen, wie ist man da geschützt?
    3. Wenn ein Anbieter z.B. den Zugang sperrt (ais welchem Grund auch immer). dann sind demzufolge alle Dienste dieses Anbieters betroffen. z.B. Emails. Ich käme nie wieder an meine Emails auch alle weiteren Emails-Accounts des Anbieters wären betroffen. .

    • @bsi_bund
      @bsi_bund  8 місяців тому +2

      Spannende Fragen, die wir hier leider nicht in aller Breite beantworten können. Aber kurze Einschätzungen haben wir natürlich:
      1. Der private Schlüssel wird für jeden Dienst neu erstellt, egal mit welchem Betriebssystem oder Passwortmanager sie diesen verwalten. Wenn Sie häufig zwischen Betriebssystemen und Geräteklassen wechseln, empfiehlt sich die Speicherung in einem Passwortmanager oder einem Hardwaretoken. Passkeys, die z. B. bei Apple hinterlegt sind, lassen sich nicht ohne weiteres auf ein Windowssystem übertragen. Falls Sie die Passkeys auf dem Handy pflegen und am PC eine Anmeldung vornehmen möchten, können Sie den Login außerdem über Ihr Handy freigeben.
      2. Das stellt der zweite Faktor sicher, der bei Passkey immer abgefragt wird. Das heißt, ein Täter müsste sowohl den privaten Schlüssel erbeuten wie auch z. B. Ihren Fingerabdruck.
      3. In der Theorie könnte das passieren, in der Praxis ist eine plötzliche Abschaltung sehr unwahrscheinlich. Falls Sie sichergehen möchten, speichern Sie Ihre Passkeys auf einem Hardwaretoken, der dann entweder per USB am PC oder per Bluetooth oder NFC am Smartphone ausgelesen werden kann. Dann empfiehlt es sich allerdings, ein Backup für den Fall des Verlusts zu erstellen. Außerdem bieten die meisten Onlinedienste eine Funktion zur Accountwiederherstellung an, sodass Sie notfalls auch dann an Ihre Zugänge gelangen sollten.

    • @Henry-sv3wv
      @Henry-sv3wv 8 місяців тому

      passkey ist ein totes pferd
      William Brown, developer of webauthn-rs, has written a scathing blog post detailing how corporate interests - namely, Apple and Google - have completely and utterly destroyed the concept of passkeys. The basic gist is that Apple and Google were more interested in control and locking in users than in providing a user-friendly passwordless future, and in doing so have made passkeys effectively a worse user experience than just using passwords in a password manager.

  • @fredofred8530
    @fredofred8530 4 місяці тому

    Bin total enttäuscht über das oberflächliche geplanter. Die Frage ist wie kann ich sicherstellen dass ich die Kontrolle über meine Schlüssel behalte.
    Nur so kann ich mich trauen.

    • @gohangoku3447
      @gohangoku3447 3 місяці тому +1

      Naja du hast ja die Kontrolle über deine Schlüssel. Du kennst zwar ihre digitale Struktur nicht und könntest diese auch selbst nicht nachmachen, aber sie existieren auf einem Endgerät und können nur von diesem heraus genutzt werden. Das macht den Passkey de facto zu einem Hardwarekey und diesen gilt es zu kontrollieren. Wenn du sagst, dass du über deinen Passkey keine Kontrolle hast, wäre das gleichzusetzen mit der Aussage, dass du über dein Smartphone oder deinen PC keine Kontrolle hast. Den Schlüssel zu deiner Wohnungstüre kontrollierst ja auch du selbst. Vom bloßen Anblick heraus kann hier ein Angreifer nichts machen. Er kann höchstens physisch gestohlen und genutzt oder nachgemacht und dann genutzt werden. Der Passkey hingegen kann weder gestohlen werden, weil eine Kopie die Signatur zerstört, noch kann er aus denselben Gründen nachgemacht werden. Er kann vom Angreifer nur von deinem Gerät heraus genutzt werden. Wenn du bspw. einen Passkey für deinen Zugang zu deinem Windows-Account erstellst, ist dieser einzigartig. Später hast du ein zweites Gerät und möchtest darüber ebenfalls Zugriff auf denselben Account haben. Auch dieser ist einzigartig bzw. verschieden vom anderen passkey. Nun sagst du deinem Windows-Account, dass man über Gerät 1 nicht mehr Zugang haben soll. Der Passkey auf Gerät 1 wird dadurch unbrauchbar. Später entscheidest du dich um und richtest in Gerät 1 wieder den Zugang ein. Auch dieser Passkey ist verschieden vom ersten Passkey, obwohl es dasselbe Gerät ist! Die "fehlende" Kontrolle beschränkt sich hier rein auf den Aufbau des Passkeys selbst. Das ist wie der mitgelieferte Schlüssel beim Vorhängeschloss vom Baumarkt, wo der Schlosshersteller den Schlüssel gefertigt hat. Ich denke nicht, dass du das in der digitalen Welt mit hochkryptographischen Methoden selbst erledigen willst!?

  • @HeinzDoofenschmirtz-u3s
    @HeinzDoofenschmirtz-u3s 4 місяці тому

    Mega enttäuschte. BSI like, super unkritisch und naiv.