Bevor wir über die Unterstützung von Passkeys bei heise sprechen sollte erstmal die grundsätzliche digitale Verwaltung eines Abos implementiert werden. 😁
Ich hab euch immer als Podcast gehört. Hier muss ich sagen. Man merkt irgendwie schon hier echte ITler Sitzen und ein Moderator. Die ITler fühlen sich vor der Kamera nicht so wohl scheint es zumindest
Für den Endbenutzer bleibt der FiDo2-USB einzig transparent (Password-Manager & FiDo2-Authentificator). Den Notfall-Optionen und Regeln kann/will niemand folgen (weil keine IT-Fachperson).
@@Bogomil76 1) Ja, es gibt mindestens eine Kopie; bzw. eine externe Datei zum Erzeugen eines FiDo2-USB. 2) in einem Passwort-Manager steht nicht nur das Passwort, sondern auch Adressen und Infos zum z.B. WEB-Anbieter. 3) ein Passwortmanager bietet einem eine Struktur der Nutzung / des Zwecks (z.B. Bekleidung / Getränke / ..).
Kann man sich dann auch beim Chromebook endlich anmelden ohne jedesmal das Passwort einzugeben? Was mich wundert ist z.b das wenn man Paypal Passkey aktivieren Googelt, man der Anleitung folgt, aber dann bei Paypal keine entsprechende Option findet?
Also, Tatsache habe ich mehr Angst davor, mich auszusperren, als vor einem Hack. Und es ist mir zu technisch verwinkelt. Man muss zu viele Schritte exakt einhalten, um es sicher zu haben. Bei meinen Passwörtern ist es schlicht ein Login+ Passwort, keine Dateien, kein USB-Sticks, kein Bluetooth (den ich auf meinem PC eh nicht habe). Ich finde es auch ein Problem, wenn inzwischen alles auf das Handy zentriert ist. Handys sind derart fragil und leicht zu verlieren/klauen, dass ich das Risiko, zu viel zu verlieren, nur weil mein Handy nicht verfügbar ist, nicht eingehen möchte. Ich finde, es gibt ein Level an Sicherheit, das die Sicherheit, auf Kosten der Zugänglichkeit, zu schwierig macht. Da bin ich ehrlich, Sicherheit ist mir wichtig, aber die Lebensqualität und Nutzbarkeit, spielt für mich ebenfalls eine große Rolle.
Beim Handy auch nicht vergessen: seit Fingerprint und FaceID reicht ein einfacher K.O. oder auch nur ein tiefer gesunder Schlaf des Besitzers aus, um ein Handy ohne Bewusstsein des Besitzers zu entsperren.
@@Roger_P. Ja, da gehts um „fremde“ Rechner denen man nicht so „vertraut“, bei Deinem eigenen kannste doch die Passkeys lokal vorhalten?! Dann musste das Handy nicht als Authenticator benutzen!
Wie gegen Ende des Podcasts erklärt: Die Funktionsweise von Passkeys ist zwar etwas komplex, der Nutzer muss sie aber gar nicht im Detail verstehen. Als Nutzer reicht es zu wissen, auf welchen Geräten ich Passkeys erzeugen und wohin ich sie synchronisieren kann, und wie ich mich danach mit Passkeys anmelden kann. Im einfachsten Fall reicht ein iPhone oder Android-Smartphone. Auf Geräten, auf die ich meine Passkeys nicht synchronisieren kann, scanne ich dann einfach einen QR-Code mit meinem Smartphone und kann mich auch so anmelden.
passkey ist wesentlich einfacher, als sich andauernd irgendwelche kompliziert zu denken. auch. Mein 80-jähriger Vater findet es viel einfacher, sich per Face ID und passkey bei der Bank anzumelden.
Ich fände es sehr praktisch, wenn KeyPass meine Passkeys speichern könnte. Denn meine Keypass-Datenbank kann ich auf meine Geräte synchronisieren (oder es lassen).
Warum sind Session Cookies dann noch ein Problem? Der Server könnte die Antworten doch mit dem public key des Benutzers (den er ja bekommt) verschlüsseln, sodass nur ein Besitzer des private keys die Antwort überhaupt entschlüsseln kann.
Mich würde interessieren ob Passwortmanager wie z. B Bitwarden die Passkeys auch in den Sicherheitschip ablegen können oder ob die nur Verschlüsselt auf der Festatte liegen. Mir gefällt der Gedanke, dass die Schlüssel im TPM oder einem anderen HW Modul sind und da auch keiner ran kommt. Die Chips sind ja vom OS entkoppelt. Vor Allem werden die Keys auch direkt in den Sicherheitschip wie z. B dem TPM erzeugt und verlassen diesen auch nicht.
und mir gefällt der gedanke nicht dass ich die keys nicht auf nen usb stick in nen tresor exportieren kann. motherboard tot --> über TMP key verschlüsselte daten tot Aber dafür sind meine daten dann extrem sicher, wenn keiner mehr INKLUSIVE MIR mehr rannkommt.
@@Henry-sv3wv Deswegen nutzt man auch mindesten zwei Geräte... z. B PC, Smartphone, Smart watch, Tablet mit Apple, Samsung /Knox, PC / TPM, Google / Tensor, oder HW Token. Sonst würde Passkeys auch keinen Sinn machen.
Funktioniert bei meinen Geräten garnicht ! werde zwar immer gefragt ob ich umsteigen will !aber wenn ich es dann in meinem Google-Konto probiere ! heist es Passkeys nicht möglich !was nun ?
Wenn jemand mein Handy klaut, hätte ich immer Angst, dass jemand das Gerät entsperren kann. Vielleicht kann er dann seinen Fingerabdruck o.ä. hinterlegen. Vielleicht geht das ja sogar per Foto von mir und einer schlechten Gesichtserkennung. Damit hätte er Zugang zu all meinen Passkeys. Wie mache ich den darauf abgelegten private Key ungültig? Muss ich dann bei zig Diensten einen neuen Passkey erzeugen, oder kann ich sowas zentral machen?
Das Thema ist äußerst komplex, wie mir scheint. Einfache Erklärungen sind schwierig bis unmöglich, wie ich finde. Auch dem Podcast merkt man an, dass es noch viel Durcheinander gibt. Es fiel mir schwer, dem Podcast zu folgen und daraus Lösungen oder Anregungen zu entnehmen. Der Artikel im Heft ist besser strukturiert. Konkrete Empfehlungen hinsichtlich Software/Passwortsafes und Sicherheitsschlüsseln würde ich mir noch wünschen.
Das Video hat mir auch überhaupt nicht gefallen. Denn gleich die Antwort auf die Einstiegsfrage "Was sind Passkeys?" war viel zu kompliziert. Dabei ist es völlig simpel: Passkeys sind Passwörter, die der Server nicht kennt, und die ihm weder bei der Einrichtung eines Accounts noch später beim Anmelden mitgeteilt werden. Das macht sie unphishbar und damit wehren sie den häufigsten Fall für erfolgreichen Identitätsdiebstahl im Netz ab. Verwenden kann man die aber nur mit Passwort-Managern, denn das Merken einer gut 300 Bit langen Zufallszahl (das sind knapp 100 Hex-Ziffern, die man sich merken müsste) sowie das Eintippen von so einem Ding ist unpraktikabel - wer sich schon mal die Passwörter angesehen hat, die Passwort-Manager erzeugen: Passkeys sind dann noch mal deutlich länger und zufälliger. Also lässt man die Erzeugung, Speicherung und Verwendung der Passkeys vom Passwort-Manager machen, das Benutzererlebnis ist "schlimmstenfalls" genauso wie das bei Passwörternt, bestenfalls einfacher. Ohne Passwort-Manager im Internet unterwegs sein sollte man ja schon lange nicht mehr. Apple hat bisher die umfassendste Unterstützung für Passkeys, Synchronisation auf alle Apple-Geräte, und mit anderen OS kann man die Passkeys dann per Bluetooth und nem iPhone verwenden. Google macht Synchronisierung/Cloud-Backup nur bei Android, nicht aber beim Passwortmanager des Chrome-Desktop-Browsers, kommt aber noch. Microsoft kann noch gar nicht synchronisieren, insofern ist die Nutzung unter Windows am einfachsten mit einem Smartphone einer der beiden anderen Welten - die Passkeys auf dem Smartphone sind dann entweder in der Apple- oder der Google-Cloud gesichert, können so also nicht verloren gehen. Unabhängige Passwort-Manager wie 1Password, Bitwarden oder KeePass schicken sich an, die Technik auch zu unterstützen. Fertig. Ausprobieren kann man das bspw. auf webauthn.io - passkeys.com finde ich nicht so prickelnd zum Ausprobieren, weil die den Registriervorgang komplizierter machen als nötig und dabei obendrein eine gültige E-Mail-Adresse haben wollen. In der Praxis werden Passkeys heute entweder schon wirklich als Passwort-Ersatz oder als gegenüber OTP (also den Dingern mit dem zeitlich wechselnden Zahlencode) einfacher zu handhabender zweiter Faktor unterstützt. Dass das alles funktioniert, ist die Magie der Public Key Kryptographie. Die zu verstehen ist dann aber schon was für technisch sehr stark interessierte (die Mathematik dahinter ist allerdings wirklich elegant). Als Anwender muss man davon überhaupt nichts verstehen. Und wer das schon mal erlebt hat, wie ein Passwort-Manager ein Passwort-Eingabefeld einer Webseite nicht erkennt, oder beim Ändern eines Passworts auf einer Webseite die Änderung dann nicht mitbekommt oder nicht richtig zuordnet: kann mit Passkeys alles nicht passieren. Denn statt aufs Geratewohl Webseiteninhalte nach nirgendwo standardisierten Regeln zu analysieren, folgt das Passkey-Verfahren einem strikten, unzweideutigen Standard. Die Verwendung ist also auch stressfreier.
Danke für das sehr informative Video, ich nutze bereits Passkeys, wo es geht und mir angeboten wird. In meinem Apple Ökosystem ist es auch recht einfach und wird durch Apple sehr sicher gestaltet, daher nutze ich es lieber als Passwörter und Passwortmanager. 😎🖖
Ich kann meinen Passkey immernoch auf Amazon umgehen wenn jemand Benutzer und Passwort kennt schützt immernoch nur 2FA weil man das alte Login nicht abschalten kann
Ist es für die Sicherheitsfaktoren nicht wichtig, dass ich sie erneuern kann, wenn sie nicht mehr geheim sind??? Wie geht das bei Fingerabdruck- und Gesichtserkennung?
dann sicher halt deinen private key mit ner passphrase und lass den nicht durch nen keymanager per finger oder gesicht freigeben ... oder wenn man dir finger, gesicht und auge geklaut hat, dann nimm halt den pimmelscanner oder furzgeruchanalysator!
hi, super Video. 1PAssword wird dies ebenfalls unterstützen würde ich dann nehmen nur aktuell nur in Beta Version somit noch nicht final implementiert. Dann kann man es auf allen Geräten nutzen.
Passkey scheint ja jetzt das neue Hypethema zu sein. Überall liest und hört man davon, dass es der neueste heisse Scheiss ist. Allerdings ist es in der Praxis mit nichten angekommen. Wie oft loggt man sich denn in seinen Account (google, apple, etc.) ein? Ich vlt. einmal die Woche oder weniger. Wo man sich wohl öfter einloggt ist der Mailprovider, der Internetshop, Paypal, Spotify, oder ähnliches. Alle diese Dienste nutzen dieses tolle Passkey überhaupt nicht. Also was solls. Ist vielleicht ein guter Anfang, der aber bei Weitem nicht diese Präsenz und diesen Hype rechtfertigen.
Also lässt sich festhalten: Fishing Schutz: Scheint es zu geben, aber muss sich in der Praxis zeigen, wie gut das Erkennen der Ziel Url funktioniert. Sonstige Vorteile: Irgendwie nicht. Man wird entweder in ein Ökosystem eines Bigtech Unternehmens gesperrt oder nutzt einen Passwortmanager, welcher nun halt anstatt Passwörtern Passkeys speichert. Dieser ist aber noch genauso angreifbar, wie er es auch zuvor schon war (Siehe Lastpass) Erscheint mir ehrlich gesagt eher wie ein Versuch der großen Player, die Nutzer noch mehr an sich zu binden.
Der Phishing-Schutz basiert darauf, dass ein Passkey nie an einen Server übertragen wird. Eine URL-Prüfung - die Passwort-Manager jetzt schon machen - schützt (in begrenztem Umfang) vor sogenanntem Session-Highjacking. Phishing hingegen funktioniert selbst bei korrekter URL. Angriffe, die mit der korrekten URL funktionieren, sind z.B. Cross-Site-Scripting, wobei der Angreifer es schafft, in die originale Webseite Javascript zu injizieren. Javascript kann ein Passwort schon erfassen, wenn es eingetippt oder vom Passwort-Manager eingesetzt wird. Und dann irgendwo hin senden.
Es sollte schon möglich sein, die 2 auseinander zu halten. KeePass ist ein Open Source Passwortmanager, den es seit 2003 gibt. Passkey ist eine Abwandlung vom Wort "Password", "word" wird durch "key" (Schlüssel) ersetzt. Soweit ich weiss, gab es Passwörter schon vor Computern, man muss ein Passwort kennen, um Zutritt zu einem bestimmten Ort/Bereich zu erlangen. Englisches Verb "to pass" = passieren (du darfst passieren).
Wenn sich Passkeys in der Breite durchgesetzt haben bin ich echt gespannt ob die halten was sie versprechen. So richtig in Gang wird das denke erst kommen wenn es erzwungen wird. Viele verstehen das Thema überhaupt nicht und sehen gar nicht die Notwendigkeit zu wechseln. Auch muss erst mal auf allen gängigen Plattform eine Unterstützung für Passkeys geschaffen werden. Ich bin gespannt wo sich das ganze hinentwickelt oder ob das gar wieder in der Versenkung verschwindet weil es nicht angenommen wird.
Naja die Hersteller versuchen ihr bestes: Beispiel Microsoft mit ihren neuen mindestanfoderungen für Laptops auf die W11 soll. Diese MÜSSEN Bluetooth haben etc, also alles was man für Passkeys braucht und sie bieten jetzt schon die funktion das PW abzuschaffen, die frage ist, bist wann das umgedreht wird und man zuerst nach dem Passkey gefragt wird und nicht nach dem PW.
nix, nur dass man die Sicherheitsschlüssel über die Cloud synchronisieren kann, damit die ganzen noobs von jedem ihrer zig Endgeräte per face id überall in ihre Banking App reinkommen, ohne darüber nachzudenken, wie das jetzt wohl geklappt hat. Ich halte davon nichts, da ist ja Fido2 noch besser, da ist nämlich der Account an einen Authenticator gekoppelt.
Boah es tut mir unendlich leid, aber die Thematik wird hier absolut unübersichtlich und nicht nachvollziehbar diskutiert und die Versuche das System zu erklären, fruchten bei mir leider auch nicht. Entweder herrscht da noch ein totales Durcheinander in dem Konzept oder es wird hier nicht konsistent erklärt. Besonderes Unverständnis herrscht zB bei der Aussage "Passkey statt Passwort", dann aber kann man keine Passkeys verwenden, wenn man keinen zweiten Faktor aktiv hat. Ist der Passkey dann der zweite Faktor oder der erste(Passwort)? Dann heißt es wieder, die Anbieter erlauben keine Passkeys als Passwortersatz... ja was denn nun?!
Ja, das hat für Verwirrung gesorgt. Ich würde Passkeys derzeit nicht als vollständigen Passwort-Ersatz, sondern eher als Passwort-Alternative betrachten. Einige Anbieter (glaube Apple wurde hier erwähnt) erlauben dir offenbar nur Passwörter zu verwenden, wenn du zusätzlich auch eine Zweifaktor-Authentifizierung eingerichtet hast. Dies aus dem Grund, damit du dich nicht aus deinem Account aussperrst, falls du dein Smartphone verlierst und auf keinem anderen Gerät mehr Zugriff auf dein Konto hast. Dann muss ein Login mit Passwort noch möglich sein, oder eine Recovery-Methode, womit man wieder Zugriff auf den Account erlangen kann. Passkeys sind aber grundsätzlich immer der erste Faktor und sollten bevorzugt zum Login verwendet werden, auch wenn das Passwort-Login noch als Backup möglich wäre.
@@sibu7 Das Passkeys-Verfahren, also das erweiterte Fido2-Verfahren, ist eine Zwei-Faktor-Verfahren: Was ich habe (something you own), also der Fingerabdrucksensor UND was ich bin (something you are), also die Verifzierung via Biometrie*. Apple erlaubt aber Passkeys nur, wenn du noch eine Zwei-Faktor-Auth via Passwort + Authenticator festgelegt hat (what you know, what you have). Der Grund ist einfach, damit man sich weiterhin einloggen kann, wenn man den private Key verloren hat, weil man den Authenticator verloren hat (zum Beispiel das Handy). * Windows Hello erlaubt auch die PIN als zweiten Faktor, das wäre dann etwas, was ich weiß (something you know). Grundsätzlich gilt: Passkeys bzw Fido2 sind immer mindestens 2Faktor-Auth, es können aber auch noch zusätzliche Faktoren dazukommen, zb. ein PIN. Dann wäre das Multi-Faktor-Auth.
Damit der bibothek computer dann mit seinem keylogger dein passwort hat? gerade FremdComputer sollte man nicht ungeschützt rannehmen, sonst hat man ganz schnell digitales Aids!
Toller Beitrag! Ab 33:25: ua-cam.com/video/qNbsEAIcitE/v-deo.html, habe ich etwas anzumerken: Der "Sensor" auf dem Hardware-Key ist doch nicht wirklich ein Fingerabdrucksensor, wie er z.B. im Mobilephone verbaut ist. Also der Stick scannt doch nicht den Fingerabdruck, sondern man bestätigt mit seiner Berührung nur, dass eine reale Person vor dem Gerät sitzt. Oder gibt es authentication keys mit einem echten Sensor?
Meine Befürchtung ist immer, dass man sich selbst wirksam dauerhaft aussperrt, wenn der Passkey verloren geht. Ansonsten würde ich es ja gerne nutzen, nur wo? Bisher habe ich es nur bei Synology eingerichtet. Papal käme für mich eventuell noch infrage. Den Rest der potentiellen Anbieter nutze ich nicht. Kein Shop, den ich nutze, bietet es an. Ich würde gerne eine Wordpress-Website auf Passkey umstellen, kann aber dazu nichts finden. Und bei Apple nutzt man es ja schon automatisch, ohne dass man es wissen muss. Da nutze ich es vermutlich auch schon.
Paypal würde ich auch gerne umstellen, nur scheint das bei mir nicht zu gehen... Warum auch immer... paypal sagt, dass es nicht geht... Bei vielen anderen Anbietern läuft es super.
Seien wir mal ehrlich. Ich kenne niemanden, der Fido2 benutzt. Ich sehe auch keinen Vorteil gegenüber einem Keepass Storage. Das kann ich auch sicher in der Cloud speichern und so mit allen Geräten synchronisieren.
Da gabs nun schon bessere c't uplinks. Eigentlich sind mehr fragen offen geblieben als beantwortet worden. Souverän war der Auftritt der beiden Experten auch nicht wirklich. Passkeys schön und gut. Aber das ist wieder so eine Geschichte wie z.B. IPv6. Eigentlich ganz toll, setzt sich aber nicht wirklich durch. Jeder Dienst der Passkeys einrichtet wird auch weiterhin die Möglichkeit bieten sich mit Benutzername und Passwort anzumelden. Leider sind die DAUs dort draußen nicht gewillt sich mit Sicherheit auseinander zu setzen. Ansonsten hätte man schon lange überall 2FA verpflichtend gemacht. Aber es ist überall nur optional, und so wird auch Passkey nur eine optionale Möglichkeit bleiben sich anzumelden.
Angenommen unterwegs spioniert jemand mich aus wie ich am Handy meine PIN eingebe und anschließend klaut derjenige mein Handy (wodrauf mein Passkey liegt). Würde dann die Person dauerhaft Zugang zu meinen Accounts über mein Handy haben oder gibt es die Möglichkeit, von einem meiner anderen authentifizierten Geräten (mit oder ohne Passkey?) mein Handy bzw den Passkey sofort "ungültig" zu machen so dass jeglicher weiterer Zugriff auf all meine Konten verhindert wird? (das wird bei euch am Ende zwar angesprochen aber nicht beantwortet). Bei hardware-Sicherheitssschlüssel kann man diese ja ganz einfach sperren. Oder könnte der Dieb dann sogar mich selber aus meinen Konten ausschliessen indem er dann live alle anderen Sicherheits-Rücksetzverfahren aus meinem Konto (zb Google) entfernt? Wenn diese beiden erwähnten Punkte so sind dann wäre das ja fatal, so dass man für maximale Sicherheit doch zb. YubiKeys nutzen sollte?
Genau so ist es. Wenn jemand dein Handy entsperren kann, hat er Zugriff auf deine Passkeys und kann damit Schindluder betreiben. Den Zugriff hätte er aber auch wenn du Passwortmanager des Handys oder der Webbrowser benutzt. Es gibt nun mal keine 100% Sicherheit und Passkeys verhindern nur das Phishing. Allerdings, solange ich als Alternative mich auch noch überall mit Passwort anmelden kann, ist das so eine Sache. Zum einen liegt mein Passwort, hoffentlich gesalzen und gehasht, immer noch beim Anbieter. Zum anderen wird es immer irgendwelche Wiederherstellungsmethoden geben, auf die ich halt auch aufpassen muss.
ja, sehe ich auch so (als software entwickler). Das ganz Ding wird kompliziert und das Sicherheitsbewusstsein der Leute geht total verloren. Die Leute wissen ja heute schon nicht mehr, warum sie eigentlich in ihre Banking-App reinkommen und ob es noch andere Wege geben würde.
er meinte im Video "ausschließlich Passkeys" und das geht meines Wissens immer noch nicht bzw. sollte erstmal auch so bleiben. Oder ist das jetzt so, dass wenn man passkeys nutzt, kein Passwort-Auth mehr machen kann?
Ich sehe überhaupt keinen Sicherheitsgewinn. Solange die genutzten Dienste noch Passworte akzeptieren ist auch das Hacken und Abgreifen des Passwortes bei dem Dienst nach wie vor möglich. Und wenn der Login mit dem gestohlenen Passwort dann nach wie vor möglich ist, nutzt mein Passkey gar nichts. Und wenn es NUR noch Passkeys gibt, und Passworte komplett abgeschafft sind, besteht die erste Gefahr, sich selbst auszusperren.
Doch, es gibt einen Sicherheitsgewinn. Du musst das Passwort nicht im Browser, Passwortmanager etc. speichern (außer vielleicht zu Hause auf einem Zettel für eben diesen Notfall). Ansonsten muss das Passwort nirgendwo eingegeben werden und kann somit auch nicht angegriffen oder ausspioniert werden. Ja es ist immernoch da, das hilft nicht bei Sicherheitlücken beim Anbieter.
tja "TPM könnte auf Linux kommen"... dann gucken wir doch einfach mal die Pakete bei Debian 11/bullseye an, das inzwischen "oldstable" ist: p tpm-quote-tools - TPM-based attestation using the TPM quote operation (tools p tpm-tools - Management tools for the TPM hardware (tools) p tpm-tools-pkcs11 - Management tools for the TPM hardware (PKCS#11 tools) p tpm-udev - udev rules for TPM modules p tpm2-abrmd - TPM2 Access Broker & Resource Management Daemon p tpm2-initramfs-tool - Tool used in initramfs to seal/unseal FDE key to the TPM p tpm2-tools - TPM 2.0 utilities ... ja da "könnte was kommen in Zukuft ^Wder Vergangenheit ... 😂 p tpm2-tss-engine-dev - OpenSSL engine for tpm2-tss (development files) p tpm2-tss-engine-tools - OpenSSL engine for tpm2-tss (tools)
Wie Lage bin ich schon mit dem Internet verbunden🤔 mal überlegen seid 2005 😁 und hatte ich Probleme damit in Sachen Passwörter und wurde ich schon mal gehakt? Eigentlich wurde ich noch nie gehakt! Mache ich mir sorgen das dies vorkommen könnte? Nie! Liegt es vielecht an mir? Vielecht ich sag’s mal so ich sehe das Internet und mein Computer nicht als Spielwiese wo man alles darf, und klicke nicht wild rum oder las Werbung zu die mich e nicht interessiert, schlichtweg deswegen habe ich einen linux Rechner und deswegen habe ich Google und deswegen habe denn abblocker drin, ach wenn es heisst du hast keine Ahnung, du wirst trotzdem gehackt wenn du nicht dies und das machst und auch das andere löscht, ich sagt dann oft, mag schon sein, aber was interessiert mich deine deine Haltung? Ich mache es eben so, und mir egal wie du das machst denn das ist dein Problem wenn du deine Füsse nicht Stil halten kannst.
Selbst ein ultra-vorsichtiger Umgang mit dem Internet schützt dich nicht vor Datenleaks, also Fällen, bei denen ein Anbieter gehackt wurde. Im schlimmsten Fall hat der Angreifer dann dein Passwort und wenn du dieses Passwort bei mehreren Seiten verwendest, kann er sich damit bei mehreren Seiten anmelden und grossen Schaden anrichten. Heutzutage sind die meisten Passwörter zwar zum Glück nicht im Klartext gespeichert, sondern gehasht, trotzdem könnte ein Angreifer mit genügend Zeit dein Passwort knacken. Bei Passkeys besteht diese Problematik nicht, denn der Anbieter speichert nur einen öffentlichen Schlüssel von dir, den er nicht besonders schützen muss, da ein Angreifer damit nichts anfangen kann. Der öffentliche Schlüssel dient dem Anbieter nur dazu zu verifizieren, dass du wirklich den dazugehörigen privaten Schlüssel besitzt, welcher dich zur Anmeldung berechtigt. Dein privater Schlüssel verlässt dein Gerät aber nie und kann somit gar nicht gestohlen werden.
@@Bogomil76 Hä? Er schreibt wirres Zeug, wie mir scheint. Passkeys sollen verhindern das jemand Fremdes deinen Account benutzt. Denn es wird bei Passkeys kein Geheimnis mehr zum Anbieter übertragen wie z.B. das Passwort.
@@ipv6technican155 1. Auch ein Passwort muss nicht „übertragen“ werden. Aber Du hast mich nicht verstanden gehabt! Ich wollte sagen, die grösste Gefahr ist der Passwortklau beim Anbieter, wie er täglich passiert, siehe haveibepawned!
Die sinkende Qualität der ct´wird in diesem Video sehr deutlich veranschaulicht. (alleine schon die Papierqualität der Zeitschrift ist ne Frechheit) Ihr macht ein an sich einfaches System völlig abstrus kompliziert und undurchsichtig! Wenn ich etwas lernen möchte, ist es schwierig jemand zu folgen, der stottert, stammelt und viele Worthülsen bzw. ähhhms und ahhhs verwendet. Auch die "Moderation" macht das ganze nur schrecklicher ! Das Interview mit dem FIDO CMO ist mehr als entbehrlich !! Das ganze ct´uplink Vorhaben sollte an sich mal neu durchdacht werden. So wie es ist, ist es eine Katastrophe. ! Zwischenzeitlich gibt es dutzende UA-camr die in eurem Gewässer fischen und es DEUTLICH besser machen. Es fehlt hier jemand, der den Spagat zwischen Nerd und Noob balancieren kann..... Wo steckt eigentlich Keno ?
Keno gibt's jede Woche hier neu --> www.youtube.com/@ct3003 Ich fand das Video hier auch nicht gut. Ich habe die Artikel im Heft nicht gelesen, aber ich fühlte mich durch den uplink hier auch nicht wirklich aufgeklärt und abgeholt was nun zu tun ist.
@@sibu7 aber es dauert, und ab und zu gehts auch erst beim zweiten mal, wenn du ehrlich bist. Ich möchte etwas erledigen, wenn ich Computer oder Handy wecke, nicht mit den Sklaven kommunizieren.
@@deristfrei Na wenn du meinst... Ich möchte, dass meine Geräte sicher vor unbefugten Zugriffen sind, da sie wichtige und persönliche Daten enthalten. Wenn du sicherstellen kannst, dass dein Smartphone oder Computer NIE in fremde Hände gelangen, weil sie z.B. immer zuhause bleiben, finde ich es ok, wenn du keinen Zugangsschutz einrichtest. Aber sonst finde ich es einfach fahrlässig und dumm, Bequemlichkeit über Sicherheit zu stellen.
Goodbye c't uplink. If you can't promote actual security and just promote passkey spam instead to earn money from Google, you're clearly not a reliable source of information.
@@ger6177 da wir Menschen es immer gerne bequem haben FaceID und Fingerprint gerne nutzen ist es doch eine Leichtigkeit für die Behörden die gerne etwas wissen wollen/müssen an die entsprechenden Keys zu gelangen ,was bei einem gut gewählten Passwort nicht der Fall ist (vorausgesetzt man gibt es nicht preis..)
Wieviel Jahre sprecht Ihr über Fido und auf der Heise Website wird es immer noch nicht unterstützt. Wann ist das geplant.
Bevor wir über die Unterstützung von Passkeys bei heise sprechen sollte erstmal die grundsätzliche digitale Verwaltung eines Abos implementiert werden. 😁
Ich hab euch immer als Podcast gehört.
Hier muss ich sagen.
Man merkt irgendwie schon hier echte ITler Sitzen und ein Moderator.
Die ITler fühlen sich vor der Kamera nicht so wohl scheint es zumindest
Das überfordert vermutlich viele, die außer WA, FB und Co nix mit ihrem Smartphone draufhaben.
Für den Endbenutzer bleibt der FiDo2-USB einzig transparent (Password-Manager & FiDo2-Authentificator). Den Notfall-Optionen und Regeln kann/will niemand folgen (weil keine IT-Fachperson).
Du findest das Notfallmanagement bei einem! Fido Stick transparenter? 🤔
@@Bogomil76 1) Ja, es gibt mindestens eine Kopie; bzw. eine externe Datei zum Erzeugen eines FiDo2-USB. 2) in einem Passwort-Manager steht nicht nur das Passwort, sondern auch Adressen und Infos zum z.B. WEB-Anbieter. 3) ein Passwortmanager bietet einem eine Struktur der Nutzung / des Zwecks (z.B. Bekleidung / Getränke / ..).
@@rondo624 Ok, möchtest Du vielleicht 1Password/Bitwarden und Passkey googlen?
Kann man sich dann auch beim Chromebook endlich anmelden ohne jedesmal das Passwort einzugeben? Was mich wundert ist z.b das wenn man Paypal Passkey aktivieren Googelt, man der Anleitung folgt, aber dann bei Paypal keine entsprechende Option findet?
Also, Tatsache habe ich mehr Angst davor, mich auszusperren, als vor einem Hack.
Und es ist mir zu technisch verwinkelt. Man muss zu viele Schritte exakt einhalten, um es sicher zu haben.
Bei meinen Passwörtern ist es schlicht ein Login+ Passwort, keine Dateien, kein USB-Sticks, kein Bluetooth (den ich auf meinem PC eh nicht habe).
Ich finde es auch ein Problem, wenn inzwischen alles auf das Handy zentriert ist. Handys sind derart fragil und leicht zu verlieren/klauen,
dass ich das Risiko, zu viel zu verlieren, nur weil mein Handy nicht verfügbar ist, nicht eingehen möchte.
Ich finde, es gibt ein Level an Sicherheit, das die Sicherheit, auf Kosten der Zugänglichkeit, zu schwierig macht.
Da bin ich ehrlich, Sicherheit ist mir wichtig, aber die Lebensqualität und Nutzbarkeit, spielt für mich ebenfalls eine große Rolle.
Beim Handy auch nicht vergessen: seit Fingerprint und FaceID reicht ein einfacher K.O. oder auch nur ein tiefer gesunder Schlaf des Besitzers aus, um ein Handy ohne Bewusstsein des Besitzers zu entsperren.
Wieso benötigt Dein PC denn Bluetooth? Du kannst doch gerne auch alle Passkeys lokal dort speichern?
@@BikerTwin2of2Du siehst dieses Szenario als echtes Alltagsproblem? So richtig von Anfang bis Ende?
@@Bogomil76 Im Video wird gesagt, dass sich das Handy mit dem PC per Bluetooth verbinden muss 7:14 .
@@Roger_P. Ja, da gehts um „fremde“ Rechner denen man nicht so „vertraut“, bei Deinem eigenen kannste doch die Passkeys lokal vorhalten?!
Dann musste das Handy nicht als Authenticator benutzen!
Generell wäre es gut, wenn grundlegende Abkürzungen wie TPM, NFC etc. in 1,2 Sätzen erklärt bzw aus buchstabiert werden, damit alle mit kommen.
Aber dafür gibt es doch Google und Wikipedia. Bitte nicht durch diese Basics in die Länge ziehen!
Muss man jetzt tatsächlich ein IT-Studium erfolgreich absolviert haben, um halbwegs sicher im Netz unterwegs zu sein?
Ja
Wie gegen Ende des Podcasts erklärt: Die Funktionsweise von Passkeys ist zwar etwas komplex, der Nutzer muss sie aber gar nicht im Detail verstehen. Als Nutzer reicht es zu wissen, auf welchen Geräten ich Passkeys erzeugen und wohin ich sie synchronisieren kann, und wie ich mich danach mit Passkeys anmelden kann. Im einfachsten Fall reicht ein iPhone oder Android-Smartphone. Auf Geräten, auf die ich meine Passkeys nicht synchronisieren kann, scanne ich dann einfach einen QR-Code mit meinem Smartphone und kann mich auch so anmelden.
passkey ist wesentlich einfacher, als sich andauernd irgendwelche kompliziert zu denken. auch. Mein 80-jähriger Vater findet es viel einfacher, sich per Face ID und passkey bei der Bank anzumelden.
Ich fände es sehr praktisch, wenn KeyPass meine Passkeys speichern könnte. Denn meine Keypass-Datenbank kann ich auf meine Geräte synchronisieren (oder es lassen).
Warum sind Session Cookies dann noch ein Problem? Der Server könnte die Antworten doch mit dem public key des Benutzers (den er ja bekommt) verschlüsseln, sodass nur ein Besitzer des private keys die Antwort überhaupt entschlüsseln kann.
Mich würde interessieren ob Passwortmanager wie z. B Bitwarden die Passkeys auch in den Sicherheitschip ablegen können oder ob die nur Verschlüsselt auf der Festatte liegen. Mir gefällt der Gedanke, dass die Schlüssel im TPM oder einem anderen HW Modul sind und da auch keiner ran kommt. Die Chips sind ja vom OS entkoppelt. Vor Allem werden die Keys auch direkt in den Sicherheitschip wie z. B dem TPM erzeugt und verlassen diesen auch nicht.
und mir gefällt der gedanke nicht dass ich die keys nicht auf nen usb stick in nen tresor exportieren kann. motherboard tot --> über TMP key verschlüsselte daten tot
Aber dafür sind meine daten dann extrem sicher, wenn keiner mehr INKLUSIVE MIR mehr rannkommt.
@@Henry-sv3wv Deswegen nutzt man auch mindesten zwei Geräte... z. B PC, Smartphone, Smart watch, Tablet mit Apple, Samsung /Knox, PC / TPM, Google / Tensor, oder HW Token. Sonst würde Passkeys auch keinen Sinn machen.
Funktioniert bei meinen Geräten garnicht ! werde zwar immer gefragt ob ich umsteigen will !aber wenn ich es dann in meinem Google-Konto probiere ! heist es Passkeys nicht möglich !was nun ?
Wenn jemand mein Handy klaut, hätte ich immer Angst, dass jemand das Gerät entsperren kann.
Vielleicht kann er dann seinen Fingerabdruck o.ä. hinterlegen. Vielleicht geht das ja sogar per Foto von mir und einer schlechten Gesichtserkennung.
Damit hätte er Zugang zu all meinen Passkeys.
Wie mache ich den darauf abgelegten private Key ungültig?
Muss ich dann bei zig Diensten einen neuen Passkey erzeugen, oder kann ich sowas zentral machen?
Das Thema ist äußerst komplex, wie mir scheint. Einfache Erklärungen sind schwierig bis unmöglich, wie ich finde. Auch dem Podcast merkt man an, dass es noch viel Durcheinander gibt. Es fiel mir schwer, dem Podcast zu folgen und daraus Lösungen oder Anregungen zu entnehmen. Der Artikel im Heft ist besser strukturiert. Konkrete Empfehlungen hinsichtlich Software/Passwortsafes und Sicherheitsschlüsseln würde ich mir noch wünschen.
Das Video hat mir auch überhaupt nicht gefallen. Denn gleich die Antwort auf die Einstiegsfrage "Was sind Passkeys?" war viel zu kompliziert.
Dabei ist es völlig simpel: Passkeys sind Passwörter, die der Server nicht kennt, und die ihm weder bei der Einrichtung eines Accounts noch später beim Anmelden mitgeteilt werden. Das macht sie unphishbar und damit wehren sie den häufigsten Fall für erfolgreichen Identitätsdiebstahl im Netz ab. Verwenden kann man die aber nur mit Passwort-Managern, denn das Merken einer gut 300 Bit langen Zufallszahl (das sind knapp 100 Hex-Ziffern, die man sich merken müsste) sowie das Eintippen von so einem Ding ist unpraktikabel - wer sich schon mal die Passwörter angesehen hat, die Passwort-Manager erzeugen: Passkeys sind dann noch mal deutlich länger und zufälliger. Also lässt man die Erzeugung, Speicherung und Verwendung der Passkeys vom Passwort-Manager machen, das Benutzererlebnis ist "schlimmstenfalls" genauso wie das bei Passwörternt, bestenfalls einfacher. Ohne Passwort-Manager im Internet unterwegs sein sollte man ja schon lange nicht mehr.
Apple hat bisher die umfassendste Unterstützung für Passkeys, Synchronisation auf alle Apple-Geräte, und mit anderen OS kann man die Passkeys dann per Bluetooth und nem iPhone verwenden. Google macht Synchronisierung/Cloud-Backup nur bei Android, nicht aber beim Passwortmanager des Chrome-Desktop-Browsers, kommt aber noch. Microsoft kann noch gar nicht synchronisieren, insofern ist die Nutzung unter Windows am einfachsten mit einem Smartphone einer der beiden anderen Welten - die Passkeys auf dem Smartphone sind dann entweder in der Apple- oder der Google-Cloud gesichert, können so also nicht verloren gehen. Unabhängige Passwort-Manager wie 1Password, Bitwarden oder KeePass schicken sich an, die Technik auch zu unterstützen.
Fertig. Ausprobieren kann man das bspw. auf webauthn.io - passkeys.com finde ich nicht so prickelnd zum Ausprobieren, weil die den Registriervorgang komplizierter machen als nötig und dabei obendrein eine gültige E-Mail-Adresse haben wollen. In der Praxis werden Passkeys heute entweder schon wirklich als Passwort-Ersatz oder als gegenüber OTP (also den Dingern mit dem zeitlich wechselnden Zahlencode) einfacher zu handhabender zweiter Faktor unterstützt.
Dass das alles funktioniert, ist die Magie der Public Key Kryptographie. Die zu verstehen ist dann aber schon was für technisch sehr stark interessierte (die Mathematik dahinter ist allerdings wirklich elegant). Als Anwender muss man davon überhaupt nichts verstehen.
Und wer das schon mal erlebt hat, wie ein Passwort-Manager ein Passwort-Eingabefeld einer Webseite nicht erkennt, oder beim Ändern eines Passworts auf einer Webseite die Änderung dann nicht mitbekommt oder nicht richtig zuordnet: kann mit Passkeys alles nicht passieren. Denn statt aufs Geratewohl Webseiteninhalte nach nirgendwo standardisierten Regeln zu analysieren, folgt das Passkey-Verfahren einem strikten, unzweideutigen Standard. Die Verwendung ist also auch stressfreier.
Ja, es fehlen in dem Standard auch noch viele Möglichkeiten.
@@olafschluter706 danke für die Zusammenfassung!
Danke für das sehr informative Video, ich nutze bereits Passkeys, wo es geht und mir angeboten wird. In meinem Apple Ökosystem ist es auch recht einfach und wird durch Apple sehr sicher gestaltet, daher nutze ich es lieber als Passwörter und Passwortmanager. 😎🖖
Solange es ein Recovery über Mail oder SMS gibt, sind die Sicherheitsrisiken nicht abgestellt.
Ich benutze Fido2 USB Sticks. Bin zufrieden. Aber es muss noch mehr verbreitet werden.
Ich kann meinen Passkey immernoch auf Amazon umgehen wenn jemand Benutzer und Passwort kennt schützt immernoch nur 2FA weil man das alte Login nicht abschalten kann
Ist es für die Sicherheitsfaktoren nicht wichtig, dass ich sie erneuern kann, wenn sie nicht mehr geheim sind???
Wie geht das bei Fingerabdruck- und Gesichtserkennung?
dann sicher halt deinen private key mit ner passphrase und lass den nicht durch nen keymanager per finger oder gesicht freigeben ...
oder wenn man dir finger, gesicht und auge geklaut hat, dann nimm halt den pimmelscanner oder furzgeruchanalysator!
Sehr schön. Viele meiner Fragen wurden beantwortet. Aber was hat es mit den Aliens die ganze Zeit auf sich? 🙂
hi,
super Video.
1PAssword wird dies ebenfalls unterstützen würde ich dann nehmen nur aktuell nur in Beta Version somit noch nicht final implementiert.
Dann kann man es auf allen Geräten nutzen.
Moin, ist mittlerweile implementiert und geht gut
Passkey scheint ja jetzt das neue Hypethema zu sein. Überall liest und hört man davon, dass es der neueste heisse Scheiss ist. Allerdings ist es in der Praxis mit nichten angekommen. Wie oft loggt man sich denn in seinen Account (google, apple, etc.) ein? Ich vlt. einmal die Woche oder weniger. Wo man sich wohl öfter einloggt ist der Mailprovider, der Internetshop, Paypal, Spotify, oder ähnliches. Alle diese Dienste nutzen dieses tolle Passkey überhaupt nicht. Also was solls. Ist vielleicht ein guter Anfang, der aber bei Weitem nicht diese Präsenz und diesen Hype rechtfertigen.
Also lässt sich festhalten: Fishing Schutz: Scheint es zu geben, aber muss sich in der Praxis zeigen, wie gut das Erkennen der Ziel Url funktioniert. Sonstige Vorteile: Irgendwie nicht. Man wird entweder in ein Ökosystem eines Bigtech Unternehmens gesperrt oder nutzt einen Passwortmanager, welcher nun halt anstatt Passwörtern Passkeys speichert. Dieser ist aber noch genauso angreifbar, wie er es auch zuvor schon war (Siehe Lastpass)
Erscheint mir ehrlich gesagt eher wie ein Versuch der großen Player, die Nutzer noch mehr an sich zu binden.
Der Phishing-Schutz basiert darauf, dass ein Passkey nie an einen Server übertragen wird. Eine URL-Prüfung - die Passwort-Manager jetzt schon machen - schützt (in begrenztem Umfang) vor sogenanntem Session-Highjacking. Phishing hingegen funktioniert selbst bei korrekter URL. Angriffe, die mit der korrekten URL funktionieren, sind z.B. Cross-Site-Scripting, wobei der Angreifer es schafft, in die originale Webseite Javascript zu injizieren. Javascript kann ein Passwort schon erfassen, wenn es eingetippt oder vom Passwort-Manager eingesetzt wird. Und dann irgendwo hin senden.
Warum haben denn PassKeys und KeePass genau invertierte Namen?
Ist ein Annagram
@@Bogomil76 Aber KeePass und PassKeys sind 2 komplett unterschiedliche Produkte.
Das ist sehr unglücklich gewählt, um es mal positiv auszudrücken.
@@michaelmueller9635 🤦♂️
Es sollte schon möglich sein, die 2 auseinander zu halten. KeePass ist ein Open Source Passwortmanager, den es seit 2003 gibt. Passkey ist eine Abwandlung vom Wort "Password", "word" wird durch "key" (Schlüssel) ersetzt. Soweit ich weiss, gab es Passwörter schon vor Computern, man muss ein Passwort kennen, um Zutritt zu einem bestimmten Ort/Bereich zu erlangen. Englisches Verb "to pass" = passieren (du darfst passieren).
Wenn sich Passkeys in der Breite durchgesetzt haben bin ich echt gespannt ob die halten was sie versprechen.
So richtig in Gang wird das denke erst kommen wenn es erzwungen wird. Viele verstehen das Thema überhaupt nicht und sehen gar nicht die Notwendigkeit zu wechseln.
Auch muss erst mal auf allen gängigen Plattform eine Unterstützung für Passkeys geschaffen werden.
Ich bin gespannt wo sich das ganze hinentwickelt oder ob das gar wieder in der Versenkung verschwindet weil es nicht angenommen wird.
Naja die Hersteller versuchen ihr bestes: Beispiel Microsoft mit ihren neuen mindestanfoderungen für Laptops auf die W11 soll. Diese MÜSSEN Bluetooth haben etc, also alles was man für Passkeys braucht und sie bieten jetzt schon die funktion das PW abzuschaffen, die frage ist, bist wann das umgedreht wird und man zuerst nach dem Passkey gefragt wird und nicht nach dem PW.
FIDO2 war schon ein Rohrkrepierer. Warum soll das bei PASSKEYS anders sein ?
nix, nur dass man die Sicherheitsschlüssel über die Cloud synchronisieren kann, damit die ganzen noobs von jedem ihrer zig Endgeräte per face id überall in ihre Banking App reinkommen, ohne darüber nachzudenken, wie das jetzt wohl geklappt hat. Ich halte davon nichts, da ist ja Fido2 noch besser, da ist nämlich der Account an einen Authenticator gekoppelt.
Boah es tut mir unendlich leid, aber die Thematik wird hier absolut unübersichtlich und nicht nachvollziehbar diskutiert und die Versuche das System zu erklären, fruchten bei mir leider auch nicht. Entweder herrscht da noch ein totales Durcheinander in dem Konzept oder es wird hier nicht konsistent erklärt. Besonderes Unverständnis herrscht zB bei der Aussage "Passkey statt Passwort", dann aber kann man keine Passkeys verwenden, wenn man keinen zweiten Faktor aktiv hat. Ist der Passkey dann der zweite Faktor oder der erste(Passwort)? Dann heißt es wieder, die Anbieter erlauben keine Passkeys als Passwortersatz... ja was denn nun?!
Ja, das hat für Verwirrung gesorgt. Ich würde Passkeys derzeit nicht als vollständigen Passwort-Ersatz, sondern eher als Passwort-Alternative betrachten. Einige Anbieter (glaube Apple wurde hier erwähnt) erlauben dir offenbar nur Passwörter zu verwenden, wenn du zusätzlich auch eine Zweifaktor-Authentifizierung eingerichtet hast. Dies aus dem Grund, damit du dich nicht aus deinem Account aussperrst, falls du dein Smartphone verlierst und auf keinem anderen Gerät mehr Zugriff auf dein Konto hast. Dann muss ein Login mit Passwort noch möglich sein, oder eine Recovery-Methode, womit man wieder Zugriff auf den Account erlangen kann. Passkeys sind aber grundsätzlich immer der erste Faktor und sollten bevorzugt zum Login verwendet werden, auch wenn das Passwort-Login noch als Backup möglich wäre.
@@sibu7 Das Passkeys-Verfahren, also das erweiterte Fido2-Verfahren, ist eine Zwei-Faktor-Verfahren: Was ich habe (something you own), also der Fingerabdrucksensor UND was ich bin (something you are), also die Verifzierung via Biometrie*. Apple erlaubt aber Passkeys nur, wenn du noch eine Zwei-Faktor-Auth via Passwort + Authenticator festgelegt hat (what you know, what you have). Der Grund ist einfach, damit man sich weiterhin einloggen kann, wenn man den private Key verloren hat, weil man den Authenticator verloren hat (zum Beispiel das Handy).
* Windows Hello erlaubt auch die PIN als zweiten Faktor, das wäre dann etwas, was ich weiß (something you know). Grundsätzlich gilt: Passkeys bzw Fido2 sind immer mindestens 2Faktor-Auth, es können aber auch noch zusätzliche Faktoren dazukommen, zb. ein PIN. Dann wäre das Multi-Faktor-Auth.
Was ist z.B. mit öffentlichen Rechnern, wie in einer Bibliothek? Iwie müsste man wohl eine Kombination von beidem machen, Passwörtern und Passkeys
Damit der bibothek computer dann mit seinem keylogger dein passwort hat?
gerade FremdComputer sollte man nicht ungeschützt rannehmen, sonst hat man ganz schnell digitales Aids!
Toller Beitrag!
Ab 33:25: ua-cam.com/video/qNbsEAIcitE/v-deo.html, habe ich etwas anzumerken:
Der "Sensor" auf dem Hardware-Key ist doch nicht wirklich ein Fingerabdrucksensor, wie er z.B. im Mobilephone verbaut ist. Also der Stick scannt doch nicht den Fingerabdruck, sondern man bestätigt mit seiner Berührung nur, dass eine reale Person vor dem Gerät sitzt. Oder gibt es authentication keys mit einem echten Sensor?
Mittlerweile habe ich mich bei heise "schlaugelesen" und weiß jetzt, dass es Fido2 Schlüssel mit Fingerabdruckerkennung gibt. Danke 😌
@@Conyne top, danke für die info!
Bequem & sicher? - Soll ich das für einen späten Aprilwitz halten?
Immer wieder wird gesagt, dass PayPal Passkey unterstützt. Wenn ich mich in Paypal einlogge, kann ich keinen Passkey erzeugen.
Exakt das dachte ich eben auch.
Funktioniert nur über den Chrome Browser.
zitat "newsroom paypal" vom 270623 : "...Passkeys werden in den kommenden Wochen in Deutschland eingeführt.... "
@@bjoergNein, auch dort nicht.
@@herkommlicheeigenmarke7989 bei mir ja... Schulterzucken.....
16:11 „MS hat sich sehr früh für passwortloses eingesetzt“
Wie man beim aktuellen Azure Debakel erkennt war MS dabei sehr erfolgreich 🤪
Denke ich warte auf Passkey 2.0 😀Sind mir aktuell noch zuviele IFs
Meine Befürchtung ist immer, dass man sich selbst wirksam dauerhaft aussperrt, wenn der Passkey verloren geht.
Ansonsten würde ich es ja gerne nutzen, nur wo? Bisher habe ich es nur bei Synology eingerichtet. Papal käme für mich eventuell noch infrage. Den Rest der potentiellen Anbieter nutze ich nicht. Kein Shop, den ich nutze, bietet es an.
Ich würde gerne eine Wordpress-Website auf Passkey umstellen, kann aber dazu nichts finden.
Und bei Apple nutzt man es ja schon automatisch, ohne dass man es wissen muss. Da nutze ich es vermutlich auch schon.
Paypal würde ich auch gerne umstellen, nur scheint das bei mir nicht zu gehen... Warum auch immer... paypal sagt, dass es nicht geht... Bei vielen anderen Anbietern läuft es super.
@@odyseus7983 Merkwürdig.
Seien wir mal ehrlich. Ich kenne niemanden, der Fido2 benutzt. Ich sehe auch keinen Vorteil gegenüber einem Keepass Storage. Das kann ich auch sicher in der Cloud speichern und so mit allen Geräten synchronisieren.
Ist halt die Frage wieviele Menschen man so kennt 🤪
Der Vorteil ist das Private/Public Key Verfahren!
Das mag sein. Aber wenn Dein Passwort gehackt wird, nützen Dir weder Keypass noch iCloud mehr etwas 😉
Da gabs nun schon bessere c't uplinks. Eigentlich sind mehr fragen offen geblieben als beantwortet worden. Souverän war der Auftritt der beiden Experten auch nicht wirklich. Passkeys schön und gut. Aber das ist wieder so eine Geschichte wie z.B. IPv6. Eigentlich ganz toll, setzt sich aber nicht wirklich durch. Jeder Dienst der Passkeys einrichtet wird auch weiterhin die Möglichkeit bieten sich mit Benutzername und Passwort anzumelden. Leider sind die DAUs dort draußen nicht gewillt sich mit Sicherheit auseinander zu setzen. Ansonsten hätte man schon lange überall 2FA verpflichtend gemacht. Aber es ist überall nur optional, und so wird auch Passkey nur eine optionale Möglichkeit bleiben sich anzumelden.
Angenommen unterwegs spioniert jemand mich aus wie ich am Handy meine PIN eingebe und anschließend klaut derjenige mein Handy (wodrauf mein Passkey liegt). Würde dann die Person dauerhaft Zugang zu meinen Accounts über mein Handy haben oder gibt es die Möglichkeit, von einem meiner anderen authentifizierten Geräten (mit oder ohne Passkey?) mein Handy bzw den Passkey sofort "ungültig" zu machen so dass jeglicher weiterer Zugriff auf all meine Konten verhindert wird? (das wird bei euch am Ende zwar angesprochen aber nicht beantwortet). Bei hardware-Sicherheitssschlüssel kann man diese ja ganz einfach sperren. Oder könnte der Dieb dann sogar mich selber aus meinen Konten ausschliessen indem er dann live alle anderen Sicherheits-Rücksetzverfahren aus meinem Konto (zb Google) entfernt? Wenn diese beiden erwähnten Punkte so sind dann wäre das ja fatal, so dass man für maximale Sicherheit doch zb. YubiKeys nutzen sollte?
Genau so ist es. Wenn jemand dein Handy entsperren kann, hat er Zugriff auf deine Passkeys und kann damit Schindluder betreiben. Den Zugriff hätte er aber auch wenn du Passwortmanager des Handys oder der Webbrowser benutzt. Es gibt nun mal keine 100% Sicherheit und Passkeys verhindern nur das Phishing. Allerdings, solange ich als Alternative mich auch noch überall mit Passwort anmelden kann, ist das so eine Sache. Zum einen liegt mein Passwort, hoffentlich gesalzen und gehasht, immer noch beim Anbieter. Zum anderen wird es immer irgendwelche Wiederherstellungsmethoden geben, auf die ich halt auch aufpassen muss.
Danke dir für deine Antwort! ❤@@ipv6technican155
7:25 Der PC braucht also eine Bluetooths-Funktion? Wer hat sowas?
Ist es egal welchen Hersteller man kauft, Yubico ist sehr teuer, es gibt aber auch Alternativen die preiswerter und gleich geeignet
sind.
Und so wird etwas ursprünglich sicheres zum hackers Paradise. Dank cloud synchronisieren... sehe ich sehr kritisch, als Software Entwickler.
ja, sehe ich auch so (als software entwickler). Das ganz Ding wird kompliziert und das Sicherheitsbewusstsein der Leute geht total verloren. Die Leute wissen ja heute schon nicht mehr, warum sie eigentlich in ihre Banking-App reinkommen und ob es noch andere Wege geben würde.
Man kann im Google-Account Passkeys nutzen. Die Aussage die bei 15:49 gemacht wird, stimmt wohl so leider nicht mehr.
er meinte im Video "ausschließlich Passkeys" und das geht meines Wissens immer noch nicht bzw. sollte erstmal auch so bleiben. Oder ist das jetzt so, dass wenn man passkeys nutzt, kein Passwort-Auth mehr machen kann?
Ich sehe überhaupt keinen Sicherheitsgewinn.
Solange die genutzten Dienste noch Passworte akzeptieren ist auch das Hacken und Abgreifen des Passwortes bei dem Dienst nach wie vor möglich.
Und wenn der Login mit dem gestohlenen Passwort dann nach wie vor möglich ist, nutzt mein Passkey gar nichts.
Und wenn es NUR noch Passkeys gibt, und Passworte komplett abgeschafft sind, besteht die erste Gefahr, sich selbst auszusperren.
Doch, es gibt einen Sicherheitsgewinn.
Du musst das Passwort nicht im Browser, Passwortmanager etc. speichern (außer vielleicht zu Hause auf einem Zettel für eben diesen Notfall). Ansonsten muss das Passwort nirgendwo eingegeben werden und kann somit auch nicht angegriffen oder ausspioniert werden.
Ja es ist immernoch da, das hilft nicht bei Sicherheitlücken beim Anbieter.
Niedlicher Gedanke, Funktion aber nicht gegeben.
PayPal soll Pass-Keys unterstützen, ABER nur bei IOS. Und was machen die Leute, die Android benutzen? Die können nicht auf Pass-Keys umstellen.
Android Passkeys sollten bei PayPal auch möglich sein gemäss deren Hilfeseite, die Option wird mir derzeit aber nicht angezeigt.
@@sibu7 Mir wird es leider auch noch nicht angezeigt.
tja "TPM könnte auf Linux kommen"... dann gucken wir doch einfach mal die Pakete bei Debian 11/bullseye an, das inzwischen "oldstable" ist:
p tpm-quote-tools - TPM-based attestation using the TPM quote operation (tools
p tpm-tools - Management tools for the TPM hardware (tools)
p tpm-tools-pkcs11 - Management tools for the TPM hardware (PKCS#11 tools)
p tpm-udev - udev rules for TPM modules
p tpm2-abrmd - TPM2 Access Broker & Resource Management Daemon
p tpm2-initramfs-tool - Tool used in initramfs to seal/unseal FDE key to the TPM
p tpm2-tools - TPM 2.0 utilities
... ja da "könnte was kommen in Zukuft ^Wder Vergangenheit ... 😂
p tpm2-tss-engine-dev - OpenSSL engine for tpm2-tss (development files)
p tpm2-tss-engine-tools - OpenSSL engine for tpm2-tss (tools)
Wie Lage bin ich schon mit dem Internet verbunden🤔 mal überlegen seid 2005 😁 und hatte ich Probleme damit in Sachen Passwörter und wurde ich schon mal gehakt?
Eigentlich wurde ich noch nie gehakt! Mache ich mir sorgen das dies vorkommen könnte? Nie! Liegt es vielecht an mir? Vielecht ich sag’s mal so ich sehe das Internet und mein Computer nicht als Spielwiese wo man alles darf, und klicke nicht wild rum oder las Werbung zu die mich e nicht interessiert, schlichtweg deswegen habe ich einen linux Rechner und deswegen habe ich Google und deswegen habe denn abblocker drin, ach wenn es heisst du hast keine Ahnung, du wirst trotzdem gehackt wenn du nicht dies und das machst und auch das andere löscht, ich sagt dann oft, mag schon sein, aber was interessiert mich deine deine Haltung?
Ich mache es eben so, und mir egal wie du das machst denn das ist dein Problem wenn du deine Füsse nicht Stil halten kannst.
Bei Passkeys gehts nicht darum ob DU gehackt werden kannst, sondern ob der Anbieter den Du nutzt beim einloggen gehackt wird!
Selbst ein ultra-vorsichtiger Umgang mit dem Internet schützt dich nicht vor Datenleaks, also Fällen, bei denen ein Anbieter gehackt wurde. Im schlimmsten Fall hat der Angreifer dann dein Passwort und wenn du dieses Passwort bei mehreren Seiten verwendest, kann er sich damit bei mehreren Seiten anmelden und grossen Schaden anrichten. Heutzutage sind die meisten Passwörter zwar zum Glück nicht im Klartext gespeichert, sondern gehasht, trotzdem könnte ein Angreifer mit genügend Zeit dein Passwort knacken. Bei Passkeys besteht diese Problematik nicht, denn der Anbieter speichert nur einen öffentlichen Schlüssel von dir, den er nicht besonders schützen muss, da ein Angreifer damit nichts anfangen kann. Der öffentliche Schlüssel dient dem Anbieter nur dazu zu verifizieren, dass du wirklich den dazugehörigen privaten Schlüssel besitzt, welcher dich zur Anmeldung berechtigt. Dein privater Schlüssel verlässt dein Gerät aber nie und kann somit gar nicht gestohlen werden.
@@Bogomil76 Hä? Er schreibt wirres Zeug, wie mir scheint. Passkeys sollen verhindern das jemand Fremdes deinen Account benutzt. Denn es wird bei Passkeys kein Geheimnis mehr zum Anbieter übertragen wie z.B. das Passwort.
@@ipv6technican155 1. Auch ein Passwort muss nicht „übertragen“ werden.
Aber Du hast mich nicht verstanden gehabt!
Ich wollte sagen, die grösste Gefahr ist der Passwortklau beim Anbieter, wie er täglich passiert, siehe haveibepawned!
Die sinkende Qualität der ct´wird in diesem Video sehr deutlich veranschaulicht. (alleine schon die Papierqualität der Zeitschrift ist ne Frechheit) Ihr macht ein an sich einfaches System völlig abstrus kompliziert und undurchsichtig! Wenn ich etwas lernen möchte, ist es schwierig jemand zu folgen, der stottert, stammelt und viele Worthülsen bzw. ähhhms und ahhhs verwendet. Auch die "Moderation" macht das ganze nur schrecklicher ! Das Interview mit dem FIDO CMO ist mehr als entbehrlich !! Das ganze ct´uplink Vorhaben sollte an sich mal neu durchdacht werden. So wie es ist, ist es eine Katastrophe. ! Zwischenzeitlich gibt es dutzende UA-camr die in eurem Gewässer fischen und es DEUTLICH besser machen. Es fehlt hier jemand, der den Spagat zwischen Nerd und Noob balancieren kann..... Wo steckt eigentlich Keno ?
Keno gibt's jede Woche hier neu --> www.youtube.com/@ct3003
Ich fand das Video hier auch nicht gut. Ich habe die Artikel im Heft nicht gelesen, aber ich fühlte mich durch den uplink hier auch nicht wirklich aufgeklärt und abgeholt was nun zu tun ist.
Passkey ist ja in der Theorie ja ganz nett, aber deswegen sperre ich nicht den Bildschirm meines Handys.
Warum nicht?
@@sibu7 der Umstand lohnt nicht, wenn ich an meinen Geräten was erledigen will, dann ohne Zeitverzug.
@@deristfrei Entsperren mit Fingerabdruck dauert bei mir weniger als 1 Sekunde
@@sibu7 aber es dauert, und ab und zu gehts auch erst beim zweiten mal, wenn du ehrlich bist. Ich möchte etwas erledigen, wenn ich Computer oder Handy wecke, nicht mit den Sklaven kommunizieren.
@@deristfrei Na wenn du meinst... Ich möchte, dass meine Geräte sicher vor unbefugten Zugriffen sind, da sie wichtige und persönliche Daten enthalten. Wenn du sicherstellen kannst, dass dein Smartphone oder Computer NIE in fremde Hände gelangen, weil sie z.B. immer zuhause bleiben, finde ich es ok, wenn du keinen Zugangsschutz einrichtest. Aber sonst finde ich es einfach fahrlässig und dumm, Bequemlichkeit über Sicherheit zu stellen.
Goodbye c't uplink. If you can't promote actual security and just promote passkey spam instead to earn money from Google, you're clearly not a reliable source of information.
Passkeys sind nichts anderes als der schnelle Helfer der Ermittlungsbehörden.
warum ? bitte erklaeren!
@@ger6177 Wird er nicht können
@@ger6177 da wir Menschen es immer gerne bequem haben FaceID und Fingerprint gerne nutzen ist es doch eine Leichtigkeit für die Behörden die gerne etwas wissen wollen/müssen an die entsprechenden Keys zu gelangen ,was bei einem gut gewählten Passwort nicht der Fall ist (vorausgesetzt man gibt es nicht preis..)
In der Tat!
Fido2-Key