Amazonanmeldung + Passkey ?

Guten Abend Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.
  • Passkeys sollen, wenn es nach den großen Tech-Firmen geht, Passwörter langfristig ersetzen, weil sie angeblich sicherer sind.

    Passkey vs. Passwort: Das sind die Unterschiede
    Mit Passkeys blicken wir endlich in eine passwortlose Zukunft. Hier erklären wir euch, wie die neue Anmeldemethode funktioniert und welche Vor- und Nachteile…
    www.netzwelt.de

    Allerdings habe ich das Konzept nicht wirklich verstanden.

  • Allerdings habe ich das Konzept nicht wirklich verstanden.

    Hab nur KRYPTO gelesen, und war raus. :weg:

    "Es handelt sich dabei im Kern um eine spezielle Verschlüsselungsmethode, die aus einem privaten Kryptoschlüssel besteht. Bei der Anmeldung erfragt der Dienst, bei dem ihr euch anmelden möchte, den Schlüssel und stellt parallel eine Aufgabe (so genannte Challenge). Diese kann nur mit dem Passkey gelöst werden."

    Also wie eine Blockchain.:/:woozy_face:?(:weg:

    Einmal editiert, zuletzt von Darklord (18. Juni 2024 um 19:29)

  • Ein Passkey ist nichts weiter als ein gespeicherter Schlüssel, der in der Regel nach 2nd-Factor-Authentifizierung geladen und an den angefragten Dienst weitergereicht wird (genauer gesagt natürlich nicht der Key selbst, sondern nur ein damit generiertes Token). Wer dabei nicht allein auf das Betriebssystem vertrauen will, der kann auch Passkeys mit FIDO2-Keys wie dem YubiKey verwenden (das tun wir im Unternehmen zum Beispiel für die meisten Dienste). Da werden die Passkeys dann auch auf dem YubiKey gespeichert (in begrenztem Umfang, derzeit bei YubiKeys in der Regel maximal 100), während Windows die Passkeys auf der Festplatte speichert (natürlich verschlüsselt unter Verwendung des TPM).

    Das Ganze ist durchaus sinnvoll für wichtige Accounts, jeden Forenaccount muss man jetzt nicht zwingend damit absichern.

    3 Mal editiert, zuletzt von Sybok (20. Juni 2024 um 01:35)

  • Ein Passkey pro Account, alles andere wäre unsinnig. Es würde das Verfahren nicht einfacher machen sondern ausschließlich unsicherer, wenn man denselben Passkey für verschiedene Accounts verwendet. Man kann denselben Passkey ggf. geräteübergreifend verwenden, aber denselben Passkey für verschiedene Accounts zu verwenden ist generell ein schlechte Idee.

    Das heißt allerdings nicht, dass man für jeden Account einen separaten Yubikey bräuchte (so man denn einen verwendet), falls das die Frage war. Der Passkey selbst ist nur eine darauf gespeicherte Zeichenfolge.

    Einmal editiert, zuletzt von Sybok (20. Juni 2024 um 00:20)

  • Ein Passkey ist quasi nicht angreifbar, man kann ihn nicht per Bruteforce knacken. Man kann ihn auch nicht einfach abgreifen, weil sie eine Public-Key-Authentication nutzen und der private Key nie Dein Gerät verlässt. Das Passwort hingegen sendest Du ja ständig an die Gegenseite. Die Challenge bei der Passkey-Authentifizierung ist aber bei jedem Login anders - mitschneiden zwecklos.

    Musst Du Dir vorstellen wie bei einer Ssh-Verbindung per RSA-Key. Solange Du den private Key nicht aus der Hand gibst, bist Du nicht kompromittiert.

    Am Ende ist es sowohl sicherer als auch komfortabler als Passwörter. Und den zweiten Faktor hast Du ja trotzdem (Dein Gerät, welches Du zudem entsperren können musst).

    4 Mal editiert, zuletzt von Sybok (20. Juni 2024 um 02:20)

  • Und was, wenn ich das Gerät mit dem Passkey drauf verloren habe? Komme ich dann gar nicht mehr in meine Accounts?

    Doch, es gibt immer noch alternative Zugriffsmethoden. Man kann zum Beispiel parallel ein (möglichst sehr komplexes) Passwort gesetzt lassen, was man dann nur im Notfall verwendet und irgendwo gesichert hat. Auch Recovery-Keys kann man oft erstellen. Und dann gibt es ja meist noch die üblichen Verfahren zur Accountrücksetzung.

    Einmal editiert, zuletzt von Sybok (20. Juni 2024 um 10:34)

  • Ich habe mich bisher auch einfach noch nicht getraut, auf Passkeys zu setzen. Wollte mich nicht selbst aussperren, wenn es dann doch nicht klappt. Aber wenn ein Zugang dann trotzdem noch möglich ist, könnte ich ja mal einen Account auf Passkeys umstellen.

    Man kann zum Beispiel parallel ein (möglichst sehr komplexes) Passwort gesetzt lassen

    Ich nutze immer Zufalls-generierte Passwörter, die mindestens 20 - 24 Zeichen lang sind und verwalte sie in 1Password. Dort könnte man übrigens auch Passkeys verwalten und sie dadurch über mehrere Geräte nutzen. Nur wenn ich weiterhin ein komplexes Passwort benötige, welches von 1Password bei mir in die PW-Felder eingetragen wird, warum sollte ich dann überhaupt noch zusätzlich auf Passkeys setzen ... :/

  • Autofill würde ich in jedem Fall dann für diese Logins deaktivieren und ggf. auch nicht auf Cloud-Passwortmanager setzen, wenn man Passkeys nutzt. Ein Passkey ist schon dann sicherer, wenn man das (maximal komplexe!) Passwort zwar definiert hat aber nicht nutzt, weil man das Passwort dann eben nicht mehr abgreifen kann (zum Beispiel via Phishing/Social Engineering). Man kann natürlich unter Umständen das Passwort auch ganz abschalten oder stark einschränken (sodass es zum Beispiel nur noch zum Zurücksetzen mit Hilfe der Kontaktdaten (E-Mail, Telefon, usw.) und ggf. Sicherheitsfragen verwendet werden kann. Gibt da eine ganze Menge Möglichkeiten je nach Anbieter.

    Aber wie schon gesagt: Ich will nun keinem aufschwatzen überall Passkeys einzusetzen, ich tue das auch bisher privat nur sehr dosiert. Die meisten Dienste, die das voll unterstützen sind bisher auch eher die, die recht groß sind oder die sich zumindest auch an Firmenkunden richten.

    2 Mal editiert, zuletzt von Sybok (20. Juni 2024 um 11:13)