Passkey statt Passwort | c’t uplink

Поділитися
Вставка

КОМЕНТАРІ • 132

  • @LensFlares
    @LensFlares Рік тому +25

    Wieviel Jahre sprecht Ihr über Fido und auf der Heise Website wird es immer noch nicht unterstützt. Wann ist das geplant.

    • @m.bracht
      @m.bracht Рік тому +5

      Bevor wir über die Unterstützung von Passkeys bei heise sprechen sollte erstmal die grundsätzliche digitale Verwaltung eines Abos implementiert werden. 😁

  • @Beschu-kh2yz
    @Beschu-kh2yz 11 місяців тому +4

    Ich hab euch immer als Podcast gehört.
    Hier muss ich sagen.
    Man merkt irgendwie schon hier echte ITler Sitzen und ein Moderator.
    Die ITler fühlen sich vor der Kamera nicht so wohl scheint es zumindest

  • @mikesch0815
    @mikesch0815 Рік тому +4

    Das überfordert vermutlich viele, die außer WA, FB und Co nix mit ihrem Smartphone draufhaben.

  • @rondo624
    @rondo624 Рік тому +3

    Für den Endbenutzer bleibt der FiDo2-USB einzig transparent (Password-Manager & FiDo2-Authentificator). Den Notfall-Optionen und Regeln kann/will niemand folgen (weil keine IT-Fachperson).

    • @Bogomil76
      @Bogomil76 Рік тому

      Du findest das Notfallmanagement bei einem! Fido Stick transparenter? 🤔

    • @rondo624
      @rondo624 Рік тому +1

      @@Bogomil76 1) Ja, es gibt mindestens eine Kopie; bzw. eine externe Datei zum Erzeugen eines FiDo2-USB. 2) in einem Passwort-Manager steht nicht nur das Passwort, sondern auch Adressen und Infos zum z.B. WEB-Anbieter. 3) ein Passwortmanager bietet einem eine Struktur der Nutzung / des Zwecks (z.B. Bekleidung / Getränke / ..).

    • @Bogomil76
      @Bogomil76 Рік тому

      @@rondo624 Ok, möchtest Du vielleicht 1Password/Bitwarden und Passkey googlen?

  • @StefanForelle
    @StefanForelle Рік тому +1

    Kann man sich dann auch beim Chromebook endlich anmelden ohne jedesmal das Passwort einzugeben? Was mich wundert ist z.b das wenn man Paypal Passkey aktivieren Googelt, man der Anleitung folgt, aber dann bei Paypal keine entsprechende Option findet?

  • @Roger_P.
    @Roger_P. Рік тому +5

    Also, Tatsache habe ich mehr Angst davor, mich auszusperren, als vor einem Hack.
    Und es ist mir zu technisch verwinkelt. Man muss zu viele Schritte exakt einhalten, um es sicher zu haben.
    Bei meinen Passwörtern ist es schlicht ein Login+ Passwort, keine Dateien, kein USB-Sticks, kein Bluetooth (den ich auf meinem PC eh nicht habe).
    Ich finde es auch ein Problem, wenn inzwischen alles auf das Handy zentriert ist. Handys sind derart fragil und leicht zu verlieren/klauen,
    dass ich das Risiko, zu viel zu verlieren, nur weil mein Handy nicht verfügbar ist, nicht eingehen möchte.
    Ich finde, es gibt ein Level an Sicherheit, das die Sicherheit, auf Kosten der Zugänglichkeit, zu schwierig macht.
    Da bin ich ehrlich, Sicherheit ist mir wichtig, aber die Lebensqualität und Nutzbarkeit, spielt für mich ebenfalls eine große Rolle.

    • @BikerTwin2of2
      @BikerTwin2of2 Рік тому +5

      Beim Handy auch nicht vergessen: seit Fingerprint und FaceID reicht ein einfacher K.O. oder auch nur ein tiefer gesunder Schlaf des Besitzers aus, um ein Handy ohne Bewusstsein des Besitzers zu entsperren.

    • @Bogomil76
      @Bogomil76 Рік тому

      Wieso benötigt Dein PC denn Bluetooth? Du kannst doch gerne auch alle Passkeys lokal dort speichern?

    • @Bogomil76
      @Bogomil76 Рік тому

      @@BikerTwin2of2Du siehst dieses Szenario als echtes Alltagsproblem? So richtig von Anfang bis Ende?

    • @Roger_P.
      @Roger_P. Рік тому +2

      @@Bogomil76 Im Video wird gesagt, dass sich das Handy mit dem PC per Bluetooth verbinden muss 7:14 .

    • @Bogomil76
      @Bogomil76 Рік тому

      @@Roger_P. Ja, da gehts um „fremde“ Rechner denen man nicht so „vertraut“, bei Deinem eigenen kannste doch die Passkeys lokal vorhalten?!
      Dann musste das Handy nicht als Authenticator benutzen!

  • @Mondtor
    @Mondtor Рік тому +3

    Generell wäre es gut, wenn grundlegende Abkürzungen wie TPM, NFC etc. in 1,2 Sätzen erklärt bzw aus buchstabiert werden, damit alle mit kommen.

    • @mandrael
      @mandrael 7 місяців тому

      Aber dafür gibt es doch Google und Wikipedia. Bitte nicht durch diese Basics in die Länge ziehen!

  • @sagnetohnename2001
    @sagnetohnename2001 Рік тому +2

    Muss man jetzt tatsächlich ein IT-Studium erfolgreich absolviert haben, um halbwegs sicher im Netz unterwegs zu sein?

    • @tobyzieglerrr
      @tobyzieglerrr Рік тому

      Ja

    • @sibu7
      @sibu7 Рік тому

      Wie gegen Ende des Podcasts erklärt: Die Funktionsweise von Passkeys ist zwar etwas komplex, der Nutzer muss sie aber gar nicht im Detail verstehen. Als Nutzer reicht es zu wissen, auf welchen Geräten ich Passkeys erzeugen und wohin ich sie synchronisieren kann, und wie ich mich danach mit Passkeys anmelden kann. Im einfachsten Fall reicht ein iPhone oder Android-Smartphone. Auf Geräten, auf die ich meine Passkeys nicht synchronisieren kann, scanne ich dann einfach einen QR-Code mit meinem Smartphone und kann mich auch so anmelden.

    • @Thai-Soda
      @Thai-Soda Рік тому

      passkey ist wesentlich einfacher, als sich andauernd irgendwelche kompliziert zu denken. auch. Mein 80-jähriger Vater findet es viel einfacher, sich per Face ID und passkey bei der Bank anzumelden.

  • @oliverabrahamhamburg
    @oliverabrahamhamburg Рік тому +7

    Ich fände es sehr praktisch, wenn KeyPass meine Passkeys speichern könnte. Denn meine Keypass-Datenbank kann ich auf meine Geräte synchronisieren (oder es lassen).

  • @ViktorEngelmann-l7e
    @ViktorEngelmann-l7e Рік тому

    Warum sind Session Cookies dann noch ein Problem? Der Server könnte die Antworten doch mit dem public key des Benutzers (den er ja bekommt) verschlüsseln, sodass nur ein Besitzer des private keys die Antwort überhaupt entschlüsseln kann.

  • @franksteffen4543
    @franksteffen4543 Рік тому

    Mich würde interessieren ob Passwortmanager wie z. B Bitwarden die Passkeys auch in den Sicherheitschip ablegen können oder ob die nur Verschlüsselt auf der Festatte liegen. Mir gefällt der Gedanke, dass die Schlüssel im TPM oder einem anderen HW Modul sind und da auch keiner ran kommt. Die Chips sind ja vom OS entkoppelt. Vor Allem werden die Keys auch direkt in den Sicherheitschip wie z. B dem TPM erzeugt und verlassen diesen auch nicht.

    • @Henry-sv3wv
      @Henry-sv3wv 11 місяців тому

      und mir gefällt der gedanke nicht dass ich die keys nicht auf nen usb stick in nen tresor exportieren kann. motherboard tot --> über TMP key verschlüsselte daten tot
      Aber dafür sind meine daten dann extrem sicher, wenn keiner mehr INKLUSIVE MIR mehr rannkommt.

    • @franksteffen4543
      @franksteffen4543 11 місяців тому

      @@Henry-sv3wv Deswegen nutzt man auch mindesten zwei Geräte... z. B PC, Smartphone, Smart watch, Tablet mit Apple, Samsung /Knox, PC / TPM, Google / Tensor, oder HW Token. Sonst würde Passkeys auch keinen Sinn machen.

  • @michaelprexler9351
    @michaelprexler9351 9 місяців тому

    Funktioniert bei meinen Geräten garnicht ! werde zwar immer gefragt ob ich umsteigen will !aber wenn ich es dann in meinem Google-Konto probiere ! heist es Passkeys nicht möglich !was nun ?

  • @uwegenosdude
    @uwegenosdude Рік тому +2

    Wenn jemand mein Handy klaut, hätte ich immer Angst, dass jemand das Gerät entsperren kann.
    Vielleicht kann er dann seinen Fingerabdruck o.ä. hinterlegen. Vielleicht geht das ja sogar per Foto von mir und einer schlechten Gesichtserkennung.
    Damit hätte er Zugang zu all meinen Passkeys.
    Wie mache ich den darauf abgelegten private Key ungültig?
    Muss ich dann bei zig Diensten einen neuen Passkey erzeugen, oder kann ich sowas zentral machen?

  • @RobertForst
    @RobertForst Рік тому +11

    Das Thema ist äußerst komplex, wie mir scheint. Einfache Erklärungen sind schwierig bis unmöglich, wie ich finde. Auch dem Podcast merkt man an, dass es noch viel Durcheinander gibt. Es fiel mir schwer, dem Podcast zu folgen und daraus Lösungen oder Anregungen zu entnehmen. Der Artikel im Heft ist besser strukturiert. Konkrete Empfehlungen hinsichtlich Software/Passwortsafes und Sicherheitsschlüsseln würde ich mir noch wünschen.

    • @olafschluter706
      @olafschluter706 Рік тому +9

      Das Video hat mir auch überhaupt nicht gefallen. Denn gleich die Antwort auf die Einstiegsfrage "Was sind Passkeys?" war viel zu kompliziert.
      Dabei ist es völlig simpel: Passkeys sind Passwörter, die der Server nicht kennt, und die ihm weder bei der Einrichtung eines Accounts noch später beim Anmelden mitgeteilt werden. Das macht sie unphishbar und damit wehren sie den häufigsten Fall für erfolgreichen Identitätsdiebstahl im Netz ab. Verwenden kann man die aber nur mit Passwort-Managern, denn das Merken einer gut 300 Bit langen Zufallszahl (das sind knapp 100 Hex-Ziffern, die man sich merken müsste) sowie das Eintippen von so einem Ding ist unpraktikabel - wer sich schon mal die Passwörter angesehen hat, die Passwort-Manager erzeugen: Passkeys sind dann noch mal deutlich länger und zufälliger. Also lässt man die Erzeugung, Speicherung und Verwendung der Passkeys vom Passwort-Manager machen, das Benutzererlebnis ist "schlimmstenfalls" genauso wie das bei Passwörternt, bestenfalls einfacher. Ohne Passwort-Manager im Internet unterwegs sein sollte man ja schon lange nicht mehr.
      Apple hat bisher die umfassendste Unterstützung für Passkeys, Synchronisation auf alle Apple-Geräte, und mit anderen OS kann man die Passkeys dann per Bluetooth und nem iPhone verwenden. Google macht Synchronisierung/Cloud-Backup nur bei Android, nicht aber beim Passwortmanager des Chrome-Desktop-Browsers, kommt aber noch. Microsoft kann noch gar nicht synchronisieren, insofern ist die Nutzung unter Windows am einfachsten mit einem Smartphone einer der beiden anderen Welten - die Passkeys auf dem Smartphone sind dann entweder in der Apple- oder der Google-Cloud gesichert, können so also nicht verloren gehen. Unabhängige Passwort-Manager wie 1Password, Bitwarden oder KeePass schicken sich an, die Technik auch zu unterstützen.
      Fertig. Ausprobieren kann man das bspw. auf webauthn.io - passkeys.com finde ich nicht so prickelnd zum Ausprobieren, weil die den Registriervorgang komplizierter machen als nötig und dabei obendrein eine gültige E-Mail-Adresse haben wollen. In der Praxis werden Passkeys heute entweder schon wirklich als Passwort-Ersatz oder als gegenüber OTP (also den Dingern mit dem zeitlich wechselnden Zahlencode) einfacher zu handhabender zweiter Faktor unterstützt.
      Dass das alles funktioniert, ist die Magie der Public Key Kryptographie. Die zu verstehen ist dann aber schon was für technisch sehr stark interessierte (die Mathematik dahinter ist allerdings wirklich elegant). Als Anwender muss man davon überhaupt nichts verstehen.
      Und wer das schon mal erlebt hat, wie ein Passwort-Manager ein Passwort-Eingabefeld einer Webseite nicht erkennt, oder beim Ändern eines Passworts auf einer Webseite die Änderung dann nicht mitbekommt oder nicht richtig zuordnet: kann mit Passkeys alles nicht passieren. Denn statt aufs Geratewohl Webseiteninhalte nach nirgendwo standardisierten Regeln zu analysieren, folgt das Passkey-Verfahren einem strikten, unzweideutigen Standard. Die Verwendung ist also auch stressfreier.

    • @torstenhedireko7549
      @torstenhedireko7549 Рік тому

      Ja, es fehlen in dem Standard auch noch viele Möglichkeiten.

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      @@olafschluter706 danke für die Zusammenfassung!

  • @Locutus709
    @Locutus709 Рік тому +2

    Danke für das sehr informative Video, ich nutze bereits Passkeys, wo es geht und mir angeboten wird. In meinem Apple Ökosystem ist es auch recht einfach und wird durch Apple sehr sicher gestaltet, daher nutze ich es lieber als Passwörter und Passwortmanager. 😎🖖

  • @GuidoBee
    @GuidoBee Рік тому +4

    Solange es ein Recovery über Mail oder SMS gibt, sind die Sicherheitsrisiken nicht abgestellt.

  • @Chris2000SP
    @Chris2000SP Рік тому

    Ich benutze Fido2 USB Sticks. Bin zufrieden. Aber es muss noch mehr verbreitet werden.

  • @KeysundKreisPlaylists_Colt
    @KeysundKreisPlaylists_Colt 4 місяці тому

    Ich kann meinen Passkey immernoch auf Amazon umgehen wenn jemand Benutzer und Passwort kennt schützt immernoch nur 2FA weil man das alte Login nicht abschalten kann

  • @GuidoBee
    @GuidoBee Рік тому

    Ist es für die Sicherheitsfaktoren nicht wichtig, dass ich sie erneuern kann, wenn sie nicht mehr geheim sind???
    Wie geht das bei Fingerabdruck- und Gesichtserkennung?

    • @Henry-sv3wv
      @Henry-sv3wv 11 місяців тому

      dann sicher halt deinen private key mit ner passphrase und lass den nicht durch nen keymanager per finger oder gesicht freigeben ...
      oder wenn man dir finger, gesicht und auge geklaut hat, dann nimm halt den pimmelscanner oder furzgeruchanalysator!

  • @samiraduffner4547
    @samiraduffner4547 Рік тому +2

    Sehr schön. Viele meiner Fragen wurden beantwortet. Aber was hat es mit den Aliens die ganze Zeit auf sich? 🙂

  • @scholziallvideo
    @scholziallvideo Рік тому +1

    hi,
    super Video.
    1PAssword wird dies ebenfalls unterstützen würde ich dann nehmen nur aktuell nur in Beta Version somit noch nicht final implementiert.
    Dann kann man es auf allen Geräten nutzen.

    • @odyseus7983
      @odyseus7983 Рік тому

      Moin, ist mittlerweile implementiert und geht gut

  • @macgrubi6657
    @macgrubi6657 Рік тому +1

    Passkey scheint ja jetzt das neue Hypethema zu sein. Überall liest und hört man davon, dass es der neueste heisse Scheiss ist. Allerdings ist es in der Praxis mit nichten angekommen. Wie oft loggt man sich denn in seinen Account (google, apple, etc.) ein? Ich vlt. einmal die Woche oder weniger. Wo man sich wohl öfter einloggt ist der Mailprovider, der Internetshop, Paypal, Spotify, oder ähnliches. Alle diese Dienste nutzen dieses tolle Passkey überhaupt nicht. Also was solls. Ist vielleicht ein guter Anfang, der aber bei Weitem nicht diese Präsenz und diesen Hype rechtfertigen.

  • @rasix86
    @rasix86 Рік тому +2

    Also lässt sich festhalten: Fishing Schutz: Scheint es zu geben, aber muss sich in der Praxis zeigen, wie gut das Erkennen der Ziel Url funktioniert. Sonstige Vorteile: Irgendwie nicht. Man wird entweder in ein Ökosystem eines Bigtech Unternehmens gesperrt oder nutzt einen Passwortmanager, welcher nun halt anstatt Passwörtern Passkeys speichert. Dieser ist aber noch genauso angreifbar, wie er es auch zuvor schon war (Siehe Lastpass)
    Erscheint mir ehrlich gesagt eher wie ein Versuch der großen Player, die Nutzer noch mehr an sich zu binden.

    • @olafschluter706
      @olafschluter706 Рік тому

      Der Phishing-Schutz basiert darauf, dass ein Passkey nie an einen Server übertragen wird. Eine URL-Prüfung - die Passwort-Manager jetzt schon machen - schützt (in begrenztem Umfang) vor sogenanntem Session-Highjacking. Phishing hingegen funktioniert selbst bei korrekter URL. Angriffe, die mit der korrekten URL funktionieren, sind z.B. Cross-Site-Scripting, wobei der Angreifer es schafft, in die originale Webseite Javascript zu injizieren. Javascript kann ein Passwort schon erfassen, wenn es eingetippt oder vom Passwort-Manager eingesetzt wird. Und dann irgendwo hin senden.

  • @michaelmueller9635
    @michaelmueller9635 Рік тому +1

    Warum haben denn PassKeys und KeePass genau invertierte Namen?

    • @Bogomil76
      @Bogomil76 Рік тому

      Ist ein Annagram

    • @michaelmueller9635
      @michaelmueller9635 Рік тому +1

      @@Bogomil76 Aber KeePass und PassKeys sind 2 komplett unterschiedliche Produkte.
      Das ist sehr unglücklich gewählt, um es mal positiv auszudrücken.

    • @Bogomil76
      @Bogomil76 Рік тому

      @@michaelmueller9635 🤦‍♂️

    • @sibu7
      @sibu7 Рік тому

      Es sollte schon möglich sein, die 2 auseinander zu halten. KeePass ist ein Open Source Passwortmanager, den es seit 2003 gibt. Passkey ist eine Abwandlung vom Wort "Password", "word" wird durch "key" (Schlüssel) ersetzt. Soweit ich weiss, gab es Passwörter schon vor Computern, man muss ein Passwort kennen, um Zutritt zu einem bestimmten Ort/Bereich zu erlangen. Englisches Verb "to pass" = passieren (du darfst passieren).

  • @NanoPolymer
    @NanoPolymer Рік тому

    Wenn sich Passkeys in der Breite durchgesetzt haben bin ich echt gespannt ob die halten was sie versprechen.
    So richtig in Gang wird das denke erst kommen wenn es erzwungen wird. Viele verstehen das Thema überhaupt nicht und sehen gar nicht die Notwendigkeit zu wechseln.
    Auch muss erst mal auf allen gängigen Plattform eine Unterstützung für Passkeys geschaffen werden.
    Ich bin gespannt wo sich das ganze hinentwickelt oder ob das gar wieder in der Versenkung verschwindet weil es nicht angenommen wird.

    • @lightshark8562
      @lightshark8562 Рік тому

      Naja die Hersteller versuchen ihr bestes: Beispiel Microsoft mit ihren neuen mindestanfoderungen für Laptops auf die W11 soll. Diese MÜSSEN Bluetooth haben etc, also alles was man für Passkeys braucht und sie bieten jetzt schon die funktion das PW abzuschaffen, die frage ist, bist wann das umgedreht wird und man zuerst nach dem Passkey gefragt wird und nicht nach dem PW.

  • @hans-peterschmid7749
    @hans-peterschmid7749 Рік тому

    FIDO2 war schon ein Rohrkrepierer. Warum soll das bei PASSKEYS anders sein ?

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      nix, nur dass man die Sicherheitsschlüssel über die Cloud synchronisieren kann, damit die ganzen noobs von jedem ihrer zig Endgeräte per face id überall in ihre Banking App reinkommen, ohne darüber nachzudenken, wie das jetzt wohl geklappt hat. Ich halte davon nichts, da ist ja Fido2 noch besser, da ist nämlich der Account an einen Authenticator gekoppelt.

  • @stoneowl2383
    @stoneowl2383 Рік тому +2

    Boah es tut mir unendlich leid, aber die Thematik wird hier absolut unübersichtlich und nicht nachvollziehbar diskutiert und die Versuche das System zu erklären, fruchten bei mir leider auch nicht. Entweder herrscht da noch ein totales Durcheinander in dem Konzept oder es wird hier nicht konsistent erklärt. Besonderes Unverständnis herrscht zB bei der Aussage "Passkey statt Passwort", dann aber kann man keine Passkeys verwenden, wenn man keinen zweiten Faktor aktiv hat. Ist der Passkey dann der zweite Faktor oder der erste(Passwort)? Dann heißt es wieder, die Anbieter erlauben keine Passkeys als Passwortersatz... ja was denn nun?!

    • @sibu7
      @sibu7 Рік тому

      Ja, das hat für Verwirrung gesorgt. Ich würde Passkeys derzeit nicht als vollständigen Passwort-Ersatz, sondern eher als Passwort-Alternative betrachten. Einige Anbieter (glaube Apple wurde hier erwähnt) erlauben dir offenbar nur Passwörter zu verwenden, wenn du zusätzlich auch eine Zweifaktor-Authentifizierung eingerichtet hast. Dies aus dem Grund, damit du dich nicht aus deinem Account aussperrst, falls du dein Smartphone verlierst und auf keinem anderen Gerät mehr Zugriff auf dein Konto hast. Dann muss ein Login mit Passwort noch möglich sein, oder eine Recovery-Methode, womit man wieder Zugriff auf den Account erlangen kann. Passkeys sind aber grundsätzlich immer der erste Faktor und sollten bevorzugt zum Login verwendet werden, auch wenn das Passwort-Login noch als Backup möglich wäre.

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      @@sibu7 Das Passkeys-Verfahren, also das erweiterte Fido2-Verfahren, ist eine Zwei-Faktor-Verfahren: Was ich habe (something you own), also der Fingerabdrucksensor UND was ich bin (something you are), also die Verifzierung via Biometrie*. Apple erlaubt aber Passkeys nur, wenn du noch eine Zwei-Faktor-Auth via Passwort + Authenticator festgelegt hat (what you know, what you have). Der Grund ist einfach, damit man sich weiterhin einloggen kann, wenn man den private Key verloren hat, weil man den Authenticator verloren hat (zum Beispiel das Handy).
      * Windows Hello erlaubt auch die PIN als zweiten Faktor, das wäre dann etwas, was ich weiß (something you know). Grundsätzlich gilt: Passkeys bzw Fido2 sind immer mindestens 2Faktor-Auth, es können aber auch noch zusätzliche Faktoren dazukommen, zb. ein PIN. Dann wäre das Multi-Faktor-Auth.

  • @manta567
    @manta567 Рік тому

    Was ist z.B. mit öffentlichen Rechnern, wie in einer Bibliothek? Iwie müsste man wohl eine Kombination von beidem machen, Passwörtern und Passkeys

    • @Henry-sv3wv
      @Henry-sv3wv 11 місяців тому

      Damit der bibothek computer dann mit seinem keylogger dein passwort hat?
      gerade FremdComputer sollte man nicht ungeschützt rannehmen, sonst hat man ganz schnell digitales Aids!

  • @Conyne
    @Conyne Рік тому

    Toller Beitrag!
    Ab 33:25: ua-cam.com/video/qNbsEAIcitE/v-deo.html, habe ich etwas anzumerken:
    Der "Sensor" auf dem Hardware-Key ist doch nicht wirklich ein Fingerabdrucksensor, wie er z.B. im Mobilephone verbaut ist. Also der Stick scannt doch nicht den Fingerabdruck, sondern man bestätigt mit seiner Berührung nur, dass eine reale Person vor dem Gerät sitzt. Oder gibt es authentication keys mit einem echten Sensor?

    • @Conyne
      @Conyne Рік тому

      Mittlerweile habe ich mich bei heise "schlaugelesen" und weiß jetzt, dass es Fido2 Schlüssel mit Fingerabdruckerkennung gibt. Danke 😌

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      @@Conyne top, danke für die info!

  • @Ann_O_Nym
    @Ann_O_Nym 7 місяців тому

    Bequem & sicher? - Soll ich das für einen späten Aprilwitz halten?

  • @MartinKli56
    @MartinKli56 Рік тому +3

    Immer wieder wird gesagt, dass PayPal Passkey unterstützt. Wenn ich mich in Paypal einlogge, kann ich keinen Passkey erzeugen.

    • @vongarstig
      @vongarstig Рік тому

      Exakt das dachte ich eben auch.

    • @bjoerg
      @bjoerg Рік тому

      Funktioniert nur über den Chrome Browser.

    • @ger6177
      @ger6177 Рік тому

      zitat "newsroom paypal" vom 270623 : "...Passkeys werden in den kommenden Wochen in Deutschland eingeführt.... "

    • @herkommlicheeigenmarke7989
      @herkommlicheeigenmarke7989 Рік тому

      ​@@bjoergNein, auch dort nicht.

    • @bjoerg
      @bjoerg Рік тому

      @@herkommlicheeigenmarke7989 bei mir ja... Schulterzucken.....

  • @Bogomil76
    @Bogomil76 Рік тому +4

    16:11 „MS hat sich sehr früh für passwortloses eingesetzt“
    Wie man beim aktuellen Azure Debakel erkennt war MS dabei sehr erfolgreich 🤪

  • @africola5270
    @africola5270 9 місяців тому

    Denke ich warte auf Passkey 2.0 😀Sind mir aktuell noch zuviele IFs

  • @GerhardAEUhlhorn
    @GerhardAEUhlhorn Рік тому

    Meine Befürchtung ist immer, dass man sich selbst wirksam dauerhaft aussperrt, wenn der Passkey verloren geht.
    Ansonsten würde ich es ja gerne nutzen, nur wo? Bisher habe ich es nur bei Synology eingerichtet. Papal käme für mich eventuell noch infrage. Den Rest der potentiellen Anbieter nutze ich nicht. Kein Shop, den ich nutze, bietet es an.
    Ich würde gerne eine Wordpress-Website auf Passkey umstellen, kann aber dazu nichts finden.
    Und bei Apple nutzt man es ja schon automatisch, ohne dass man es wissen muss. Da nutze ich es vermutlich auch schon.

    • @odyseus7983
      @odyseus7983 Рік тому

      Paypal würde ich auch gerne umstellen, nur scheint das bei mir nicht zu gehen... Warum auch immer... paypal sagt, dass es nicht geht... Bei vielen anderen Anbietern läuft es super.

    • @GerhardAEUhlhorn
      @GerhardAEUhlhorn Рік тому

      @@odyseus7983 Merkwürdig.

  • @RubbelDeKatz
    @RubbelDeKatz Рік тому +1

    Seien wir mal ehrlich. Ich kenne niemanden, der Fido2 benutzt. Ich sehe auch keinen Vorteil gegenüber einem Keepass Storage. Das kann ich auch sicher in der Cloud speichern und so mit allen Geräten synchronisieren.

    • @Bogomil76
      @Bogomil76 Рік тому

      Ist halt die Frage wieviele Menschen man so kennt 🤪
      Der Vorteil ist das Private/Public Key Verfahren!

    • @Hollapopp
      @Hollapopp Рік тому +1

      Das mag sein. Aber wenn Dein Passwort gehackt wird, nützen Dir weder Keypass noch iCloud mehr etwas 😉

  • @ipv6technican155
    @ipv6technican155 7 місяців тому

    Da gabs nun schon bessere c't uplinks. Eigentlich sind mehr fragen offen geblieben als beantwortet worden. Souverän war der Auftritt der beiden Experten auch nicht wirklich. Passkeys schön und gut. Aber das ist wieder so eine Geschichte wie z.B. IPv6. Eigentlich ganz toll, setzt sich aber nicht wirklich durch. Jeder Dienst der Passkeys einrichtet wird auch weiterhin die Möglichkeit bieten sich mit Benutzername und Passwort anzumelden. Leider sind die DAUs dort draußen nicht gewillt sich mit Sicherheit auseinander zu setzen. Ansonsten hätte man schon lange überall 2FA verpflichtend gemacht. Aber es ist überall nur optional, und so wird auch Passkey nur eine optionale Möglichkeit bleiben sich anzumelden.

  • @mh7711
    @mh7711 Рік тому

    Angenommen unterwegs spioniert jemand mich aus wie ich am Handy meine PIN eingebe und anschließend klaut derjenige mein Handy (wodrauf mein Passkey liegt). Würde dann die Person dauerhaft Zugang zu meinen Accounts über mein Handy haben oder gibt es die Möglichkeit, von einem meiner anderen authentifizierten Geräten (mit oder ohne Passkey?) mein Handy bzw den Passkey sofort "ungültig" zu machen so dass jeglicher weiterer Zugriff auf all meine Konten verhindert wird? (das wird bei euch am Ende zwar angesprochen aber nicht beantwortet). Bei hardware-Sicherheitssschlüssel kann man diese ja ganz einfach sperren. Oder könnte der Dieb dann sogar mich selber aus meinen Konten ausschliessen indem er dann live alle anderen Sicherheits-Rücksetzverfahren aus meinem Konto (zb Google) entfernt? Wenn diese beiden erwähnten Punkte so sind dann wäre das ja fatal, so dass man für maximale Sicherheit doch zb. YubiKeys nutzen sollte?

    • @ipv6technican155
      @ipv6technican155 7 місяців тому

      Genau so ist es. Wenn jemand dein Handy entsperren kann, hat er Zugriff auf deine Passkeys und kann damit Schindluder betreiben. Den Zugriff hätte er aber auch wenn du Passwortmanager des Handys oder der Webbrowser benutzt. Es gibt nun mal keine 100% Sicherheit und Passkeys verhindern nur das Phishing. Allerdings, solange ich als Alternative mich auch noch überall mit Passwort anmelden kann, ist das so eine Sache. Zum einen liegt mein Passwort, hoffentlich gesalzen und gehasht, immer noch beim Anbieter. Zum anderen wird es immer irgendwelche Wiederherstellungsmethoden geben, auf die ich halt auch aufpassen muss.

    • @mh7711
      @mh7711 7 місяців тому

      Danke dir für deine Antwort! ❤​@@ipv6technican155

  • @alexkissing3274
    @alexkissing3274 Рік тому

    7:25 Der PC braucht also eine Bluetooths-Funktion? Wer hat sowas?

  • @ThilpDe
    @ThilpDe Рік тому

    Ist es egal welchen Hersteller man kauft, Yubico ist sehr teuer, es gibt aber auch Alternativen die preiswerter und gleich geeignet
    sind.

  • @phyton4897
    @phyton4897 Рік тому

    Und so wird etwas ursprünglich sicheres zum hackers Paradise. Dank cloud synchronisieren... sehe ich sehr kritisch, als Software Entwickler.

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      ja, sehe ich auch so (als software entwickler). Das ganz Ding wird kompliziert und das Sicherheitsbewusstsein der Leute geht total verloren. Die Leute wissen ja heute schon nicht mehr, warum sie eigentlich in ihre Banking-App reinkommen und ob es noch andere Wege geben würde.

  • @Steven45143
    @Steven45143 Рік тому

    Man kann im Google-Account Passkeys nutzen. Die Aussage die bei 15:49 gemacht wird, stimmt wohl so leider nicht mehr.

    • @legion_prex3650
      @legion_prex3650 11 місяців тому

      er meinte im Video "ausschließlich Passkeys" und das geht meines Wissens immer noch nicht bzw. sollte erstmal auch so bleiben. Oder ist das jetzt so, dass wenn man passkeys nutzt, kein Passwort-Auth mehr machen kann?

  • @rene6046
    @rene6046 Рік тому +1

    Ich sehe überhaupt keinen Sicherheitsgewinn.
    Solange die genutzten Dienste noch Passworte akzeptieren ist auch das Hacken und Abgreifen des Passwortes bei dem Dienst nach wie vor möglich.
    Und wenn der Login mit dem gestohlenen Passwort dann nach wie vor möglich ist, nutzt mein Passkey gar nichts.
    Und wenn es NUR noch Passkeys gibt, und Passworte komplett abgeschafft sind, besteht die erste Gefahr, sich selbst auszusperren.

    • @herkommlicheeigenmarke7989
      @herkommlicheeigenmarke7989 Рік тому +2

      Doch, es gibt einen Sicherheitsgewinn.
      Du musst das Passwort nicht im Browser, Passwortmanager etc. speichern (außer vielleicht zu Hause auf einem Zettel für eben diesen Notfall). Ansonsten muss das Passwort nirgendwo eingegeben werden und kann somit auch nicht angegriffen oder ausspioniert werden.
      Ja es ist immernoch da, das hilft nicht bei Sicherheitlücken beim Anbieter.

  • @mimizander
    @mimizander 7 місяців тому

    Niedlicher Gedanke, Funktion aber nicht gegeben.

  • @Steven45143
    @Steven45143 Рік тому

    PayPal soll Pass-Keys unterstützen, ABER nur bei IOS. Und was machen die Leute, die Android benutzen? Die können nicht auf Pass-Keys umstellen.

    • @sibu7
      @sibu7 Рік тому

      Android Passkeys sollten bei PayPal auch möglich sein gemäss deren Hilfeseite, die Option wird mir derzeit aber nicht angezeigt.

    • @Steven45143
      @Steven45143 Рік тому

      @@sibu7 Mir wird es leider auch noch nicht angezeigt.

  • @Reiner030
    @Reiner030 Рік тому

    tja "TPM könnte auf Linux kommen"... dann gucken wir doch einfach mal die Pakete bei Debian 11/bullseye an, das inzwischen "oldstable" ist:
    p tpm-quote-tools - TPM-based attestation using the TPM quote operation (tools
    p tpm-tools - Management tools for the TPM hardware (tools)
    p tpm-tools-pkcs11 - Management tools for the TPM hardware (PKCS#11 tools)
    p tpm-udev - udev rules for TPM modules
    p tpm2-abrmd - TPM2 Access Broker & Resource Management Daemon
    p tpm2-initramfs-tool - Tool used in initramfs to seal/unseal FDE key to the TPM
    p tpm2-tools - TPM 2.0 utilities
    ... ja da "könnte was kommen in Zukuft ^Wder Vergangenheit ... 😂
    p tpm2-tss-engine-dev - OpenSSL engine for tpm2-tss (development files)
    p tpm2-tss-engine-tools - OpenSSL engine for tpm2-tss (tools)

  • @MeyerWerner
    @MeyerWerner Рік тому

    Wie Lage bin ich schon mit dem Internet verbunden🤔 mal überlegen seid 2005 😁 und hatte ich Probleme damit in Sachen Passwörter und wurde ich schon mal gehakt?
    Eigentlich wurde ich noch nie gehakt! Mache ich mir sorgen das dies vorkommen könnte? Nie! Liegt es vielecht an mir? Vielecht ich sag’s mal so ich sehe das Internet und mein Computer nicht als Spielwiese wo man alles darf, und klicke nicht wild rum oder las Werbung zu die mich e nicht interessiert, schlichtweg deswegen habe ich einen linux Rechner und deswegen habe ich Google und deswegen habe denn abblocker drin, ach wenn es heisst du hast keine Ahnung, du wirst trotzdem gehackt wenn du nicht dies und das machst und auch das andere löscht, ich sagt dann oft, mag schon sein, aber was interessiert mich deine deine Haltung?
    Ich mache es eben so, und mir egal wie du das machst denn das ist dein Problem wenn du deine Füsse nicht Stil halten kannst.

    • @Bogomil76
      @Bogomil76 Рік тому

      Bei Passkeys gehts nicht darum ob DU gehackt werden kannst, sondern ob der Anbieter den Du nutzt beim einloggen gehackt wird!

    • @sibu7
      @sibu7 Рік тому

      Selbst ein ultra-vorsichtiger Umgang mit dem Internet schützt dich nicht vor Datenleaks, also Fällen, bei denen ein Anbieter gehackt wurde. Im schlimmsten Fall hat der Angreifer dann dein Passwort und wenn du dieses Passwort bei mehreren Seiten verwendest, kann er sich damit bei mehreren Seiten anmelden und grossen Schaden anrichten. Heutzutage sind die meisten Passwörter zwar zum Glück nicht im Klartext gespeichert, sondern gehasht, trotzdem könnte ein Angreifer mit genügend Zeit dein Passwort knacken. Bei Passkeys besteht diese Problematik nicht, denn der Anbieter speichert nur einen öffentlichen Schlüssel von dir, den er nicht besonders schützen muss, da ein Angreifer damit nichts anfangen kann. Der öffentliche Schlüssel dient dem Anbieter nur dazu zu verifizieren, dass du wirklich den dazugehörigen privaten Schlüssel besitzt, welcher dich zur Anmeldung berechtigt. Dein privater Schlüssel verlässt dein Gerät aber nie und kann somit gar nicht gestohlen werden.

    • @ipv6technican155
      @ipv6technican155 7 місяців тому

      @@Bogomil76 Hä? Er schreibt wirres Zeug, wie mir scheint. Passkeys sollen verhindern das jemand Fremdes deinen Account benutzt. Denn es wird bei Passkeys kein Geheimnis mehr zum Anbieter übertragen wie z.B. das Passwort.

    • @Bogomil76
      @Bogomil76 7 місяців тому

      @@ipv6technican155 1. Auch ein Passwort muss nicht „übertragen“ werden.
      Aber Du hast mich nicht verstanden gehabt!
      Ich wollte sagen, die grösste Gefahr ist der Passwortklau beim Anbieter, wie er täglich passiert, siehe haveibepawned!

  • @romanbichler
    @romanbichler Рік тому

    Die sinkende Qualität der ct´wird in diesem Video sehr deutlich veranschaulicht. (alleine schon die Papierqualität der Zeitschrift ist ne Frechheit) Ihr macht ein an sich einfaches System völlig abstrus kompliziert und undurchsichtig! Wenn ich etwas lernen möchte, ist es schwierig jemand zu folgen, der stottert, stammelt und viele Worthülsen bzw. ähhhms und ahhhs verwendet. Auch die "Moderation" macht das ganze nur schrecklicher ! Das Interview mit dem FIDO CMO ist mehr als entbehrlich !! Das ganze ct´uplink Vorhaben sollte an sich mal neu durchdacht werden. So wie es ist, ist es eine Katastrophe. ! Zwischenzeitlich gibt es dutzende UA-camr die in eurem Gewässer fischen und es DEUTLICH besser machen. Es fehlt hier jemand, der den Spagat zwischen Nerd und Noob balancieren kann..... Wo steckt eigentlich Keno ?

    • @stefan76455
      @stefan76455 Рік тому +2

      Keno gibt's jede Woche hier neu --> www.youtube.com/@ct3003
      Ich fand das Video hier auch nicht gut. Ich habe die Artikel im Heft nicht gelesen, aber ich fühlte mich durch den uplink hier auch nicht wirklich aufgeklärt und abgeholt was nun zu tun ist.

  • @deristfrei
    @deristfrei Рік тому +1

    Passkey ist ja in der Theorie ja ganz nett, aber deswegen sperre ich nicht den Bildschirm meines Handys.

    • @sibu7
      @sibu7 Рік тому

      Warum nicht?

    • @deristfrei
      @deristfrei Рік тому

      @@sibu7 der Umstand lohnt nicht, wenn ich an meinen Geräten was erledigen will, dann ohne Zeitverzug.

    • @sibu7
      @sibu7 Рік тому

      @@deristfrei Entsperren mit Fingerabdruck dauert bei mir weniger als 1 Sekunde

    • @deristfrei
      @deristfrei Рік тому

      @@sibu7 aber es dauert, und ab und zu gehts auch erst beim zweiten mal, wenn du ehrlich bist. Ich möchte etwas erledigen, wenn ich Computer oder Handy wecke, nicht mit den Sklaven kommunizieren.

    • @sibu7
      @sibu7 Рік тому

      @@deristfrei Na wenn du meinst... Ich möchte, dass meine Geräte sicher vor unbefugten Zugriffen sind, da sie wichtige und persönliche Daten enthalten. Wenn du sicherstellen kannst, dass dein Smartphone oder Computer NIE in fremde Hände gelangen, weil sie z.B. immer zuhause bleiben, finde ich es ok, wenn du keinen Zugangsschutz einrichtest. Aber sonst finde ich es einfach fahrlässig und dumm, Bequemlichkeit über Sicherheit zu stellen.

  • @StijnHommes
    @StijnHommes Рік тому

    Goodbye c't uplink. If you can't promote actual security and just promote passkey spam instead to earn money from Google, you're clearly not a reliable source of information.

  • @fraweart601
    @fraweart601 Рік тому +1

    Passkeys sind nichts anderes als der schnelle Helfer der Ermittlungsbehörden.

    • @ger6177
      @ger6177 Рік тому +1

      warum ? bitte erklaeren!

    • @Bogomil76
      @Bogomil76 Рік тому

      @@ger6177 Wird er nicht können

    • @fraweart601
      @fraweart601 Рік тому

      @@ger6177 da wir Menschen es immer gerne bequem haben FaceID und Fingerprint gerne nutzen ist es doch eine Leichtigkeit für die Behörden die gerne etwas wissen wollen/müssen an die entsprechenden Keys zu gelangen ,was bei einem gut gewählten Passwort nicht der Fall ist (vorausgesetzt man gibt es nicht preis..)

    • @VoSo_
      @VoSo_ Рік тому +1

      In der Tat!

  • @WodanHannover
    @WodanHannover Рік тому

    Fido2-Key