Beiträge von Sybok im Thema „Amazonanmeldung + Passkey ?“

Guten Tag Gast. Schön, dass Du hereinschaust! Einen angenehmen Aufenthalt wünscht das CompiWare-Team.

  • Amazonanmeldung + Passkey ?

    Sagen wir es mal so: Man muss solche Sicherheitsfeatures so benutzerfreundlich wie möglich gestalten, sonst benutzt sie keiner.

    Dass wir keinen einheitlichen, verpflichtenden Standard zur Mailverschlüsselung haben ist der Hauptgrund, weshalb wir 2024 noch immer Klartext-Emails durch das Netz schicken. Es ist den Leuten einfach nicht zuzumuten gleichzeitig verschiedene Verfahren zur Mailverschlüsselung einzurichten und zu warten und im Fehlerfall korrekt zu reagieren.

    Da befürworte ich solche doch sehr durchdachten Standards schon sehr, denn Verdummung hin oder her (sehe ich nicht unbedingt so, jeder kann sich, bei Interesse, problemlos darüber ins Detail informieren): Passkeys sind objektiv einfach sicherer.

  • Amazonanmeldung + Passkey ?

    Musst Du nicht, ist nur eine Möglichkeit in so einem Fall die Sicherheit weiter zu erhöhen. Denn wenn jemand Dein noch gesetztes Passwort abgreift, dann hilft Dir die Verwendung des Passkeys natürlich auch nicht mehr. Daher sollte man idealerweise sein Backup-Passwort nur noch offline sichern, für Notfälle. Wenn Du auch Passkeys im Passwortmanager speichern würdest, hättest Du aber natürlich dasselbe Problem, wenn da ein Datendiebstahl stattfinden sollte. Idealerweise sollte man aber einen Passkey pro Gerät und Account festlegen, dann braucht man da gar nichts synchronisieren und hat maximale Sicherheit (angelegt und verknüpft sind die ja schnell und das muss jeweilig nur ein Mal erfolgen).

  • Amazonanmeldung + Passkey ?

    Autofill würde ich in jedem Fall dann für diese Logins deaktivieren und ggf. auch nicht auf Cloud-Passwortmanager setzen, wenn man Passkeys nutzt. Ein Passkey ist schon dann sicherer, wenn man das (maximal komplexe!) Passwort zwar definiert hat aber nicht nutzt, weil man das Passwort dann eben nicht mehr abgreifen kann (zum Beispiel via Phishing/Social Engineering). Man kann natürlich unter Umständen das Passwort auch ganz abschalten oder stark einschränken (sodass es zum Beispiel nur noch zum Zurücksetzen mit Hilfe der Kontaktdaten (E-Mail, Telefon, usw.) und ggf. Sicherheitsfragen verwendet werden kann. Gibt da eine ganze Menge Möglichkeiten je nach Anbieter.

    Aber wie schon gesagt: Ich will nun keinem aufschwatzen überall Passkeys einzusetzen, ich tue das auch bisher privat nur sehr dosiert. Die meisten Dienste, die das voll unterstützen sind bisher auch eher die, die recht groß sind oder die sich zumindest auch an Firmenkunden richten.

  • Amazonanmeldung + Passkey ?

    Zitat von PoooMukkel

    Und was, wenn ich das Gerät mit dem Passkey drauf verloren habe? Komme ich dann gar nicht mehr in meine Accounts?

    Doch, es gibt immer noch alternative Zugriffsmethoden. Man kann zum Beispiel parallel ein (möglichst sehr komplexes) Passwort gesetzt lassen, was man dann nur im Notfall verwendet und irgendwo gesichert hat. Auch Recovery-Keys kann man oft erstellen. Und dann gibt es ja meist noch die üblichen Verfahren zur Accountrücksetzung.

  • Amazonanmeldung + Passkey ?

    Ein Passkey ist quasi nicht angreifbar, man kann ihn nicht per Bruteforce knacken. Man kann ihn auch nicht einfach abgreifen, weil sie eine Public-Key-Authentication nutzen und der private Key nie Dein Gerät verlässt. Das Passwort hingegen sendest Du ja ständig an die Gegenseite. Die Challenge bei der Passkey-Authentifizierung ist aber bei jedem Login anders - mitschneiden zwecklos.

    Musst Du Dir vorstellen wie bei einer Ssh-Verbindung per RSA-Key. Solange Du den private Key nicht aus der Hand gibst, bist Du nicht kompromittiert.

    Am Ende ist es sowohl sicherer als auch komfortabler als Passwörter. Und den zweiten Faktor hast Du ja trotzdem (Dein Gerät, welches Du zudem entsperren können musst).

  • Amazonanmeldung + Passkey ?

    Ein Passkey pro Account, alles andere wäre unsinnig. Es würde das Verfahren nicht einfacher machen sondern ausschließlich unsicherer, wenn man denselben Passkey für verschiedene Accounts verwendet. Man kann denselben Passkey ggf. geräteübergreifend verwenden, aber denselben Passkey für verschiedene Accounts zu verwenden ist generell ein schlechte Idee.

    Das heißt allerdings nicht, dass man für jeden Account einen separaten Yubikey bräuchte (so man denn einen verwendet), falls das die Frage war. Der Passkey selbst ist nur eine darauf gespeicherte Zeichenfolge.

  • Amazonanmeldung + Passkey ?

    Ein Passkey ist nichts weiter als ein gespeicherter Schlüssel, der in der Regel nach 2nd-Factor-Authentifizierung geladen und an den angefragten Dienst weitergereicht wird (genauer gesagt natürlich nicht der Key selbst, sondern nur ein damit generiertes Token). Wer dabei nicht allein auf das Betriebssystem vertrauen will, der kann auch Passkeys mit FIDO2-Keys wie dem YubiKey verwenden (das tun wir im Unternehmen zum Beispiel für die meisten Dienste). Da werden die Passkeys dann auch auf dem YubiKey gespeichert (in begrenztem Umfang, derzeit bei YubiKeys in der Regel maximal 100), während Windows die Passkeys auf der Festplatte speichert (natürlich verschlüsselt unter Verwendung des TPM).

    Das Ganze ist durchaus sinnvoll für wichtige Accounts, jeden Forenaccount muss man jetzt nicht zwingend damit absichern.