Passkey als Passwort-Nachfolger?
Passkey soll schnell und sicher - ohne nerviges Passwort, ohne spezielle Hardware und ohne Phishing-Gefahr funktionieren. Dies soll der Passwort-Nachfolger von Apple, Google, Microsoft und co. sein. Doch ist dies wirklich so sicher wie es versprochen wird ? Das dann sogar auf mein Gerät gespeichert ist? Ja zwar mit PIN oder beometrisch, dennoch hab ich ein Passkey für Alles! Na ja ein vorteil hat die Sache du benutzt ein öffentlichen Krptoschlüssel und einen privaten. Doch wie ist eure Meinung dazu?
Das Ergebnis basiert auf 9 Abstimmungen
5 Antworten
Von der Sicherheit her habe ich kein Problem damit, da sich der private Schlüssel nicht aus dem sicheren Speicher (der auch ein FIDO-Key sein kann, wenn man dem PC/Handy nicht traut) auslesen lässt. Es werden immer nur Signaturen übertragen, welche mit dem öffentlichen Schlüssel, den der Anbieter bei der Registrierung erhält, prüfen kann. Die übertragenen Signaturen sind immer nur für de jeweilige Domain des Anbieters gültig, eine abgefangene Anmeldung bei einem Anbieter bringt einem Angreifer daher nichts.
Größtes Problem an der Sache sehe ich eher darin, dass es immer einen anderen Weg zum Login geben muss, um neue Schlüssel / Geräte zu registrieren, sollte das registrierte Gerät mal verloren gehen. Da bleibt dann oft nur ein Passwort, und da man dieses im "Normalfall" nicht braucht, vergisst man das ggf. eher.
Klingt eigenartig.
Ich muss das Gerät ja wechseln können, bei einem Upgrade oder Defekt, oder auch mehrere Geräte nutzen können. Also müsste ich das Schlüsselpaar sichern / migrieren können.
Biometrisch abgesicherte Verschlüsselung fußt aber in der Regel darauf, dass die Schlüssel sich unzugänglich in einem kryptographischen Koprozessor ("secure element", quasi das "On-Chip-Äquivalent" zu einer Smartcard) befinden. Ansonsten könnte ich die biometrische Authentifizierung umgehen und einfach das entsprechende Schlüsselpaar "unberechtigt" nutzen. Das heißt, ich kann die Schlüssel nicht migrieren.
Das widerum heißt, ich muss dann doch wieder ein anderes Authentifizierungsverfahren nutzen, um auf einem anderen Gerät einen anderen Schlüssel einzurichten.
Ich weiß nicht, ob das ganze die Angelegenheit tatsächlich sicherer macht. Ich habe oft das Gefühl, dass es hauptsächlich das Risiko erhöht, sich versehentlich "auszusperren". Leider wird man inzwischen bereits an einigen Stellen "gezwungen", einen zweiten Faktor zu verwenden und das wird in Zukunft wohl leider weiter zunehmen. Ich befürchte auch, dass solche Bestrebungen einen "Vendor-Lock-In" fördern werden.
leider versuchen Unternehmen immer die vollkommende Sicherheit zu gewären, leider ist die sicherheit in der It weit hinten, weshalb ich so welche angebote als fragwürdig sehe. Wie beispielsweiße Disinfect von c´t. Ich mein c`t kennt jeder und dieses Schadstoff Programm wird immer erneuert aber ich muss alles mögliche einrichten um es überhaupt nutzen zukönnen. also um es kurz zu halten ich verstehe dein Bedenken.
TFA hat ja auch seinen Sinn und macht deinen Account sicherer (lassen wir mal E-Mail und SMS außenvor). Denn ohne diesen zweiten Faktor kann halt niemand auch mit dem Passwort rein (und auch umgekehrt). Wenn man natürlich seibe TFA verliert ist das reseten gefragt und hier wird nicht einfach nur die 2FA mit deinem Passwort umgangen, sondern du brauchst schon deine Backup codes als zweiten Faktor.
Es stimmt zum Teil, ABER und hier kommt auch das Problem, es ist nur so sicher wie der User hinter dem Rechner und wenn du keine Ahnung hast und die Maleware einfängst kann dir ein Passkey auch nicht helfen. Zudem kommt noch der Fakt, dass eine Kette nur so stark wie das schwächste Mitglied ist. Wenn deine Freunde/Verwande/Familie keine Ahnung hat und sie dir Maleware holen, dann hast ein Problem.
Verstehe ich vollkommen IT_sicherheit ist weit hinten, aber was hälst du eigentlich von Disifect von C`t?
Leider ist es das 1. Mal, daß ich davon lese, - also kann ich mir dazu auch keine Meinung bilden!
"Vollkommen" nicht, so wenig wie Passwörtern. Aber ist dort ja relativ ähnlich. Zumindest ist mein Handy und Passwortschutz so abgesichert, dass die Leute auch mit meinem Handy oder Computer nicht an meine Konten über ein Passkey kommen.
Ich nutze das Feature, da es rein technisch Online-Scammern erstmal den Riegel vorschiebt. Und das finde ich gut.
Aber ist ein Passkey für alle Accounts kein Sicherheitsrisiko?
Kommt drauf an, welchen Passkey du meinst.. Meinst du einen physischen Sicherheitsschlüssel oder die digitale Variante? Im beiden Fällen hast du nicht "einen" Schlüssel, sondern jede Website generiert ihre eigenen, optional mehreren. Klar, hast du den USB-Schlüssel, kannst du ihn auch überall anwenden. Deshalb nutze ich eben die digitale Variante über Bitwarden, Windows oder Android.
ich meine einen phisischen Schlüssel
"Das dann sogar auf mein Gerät gespeichert ist?"
Du meinst einen Digitalen laut deiner Frage? Das, was gerade die Runde macht, sind diese digitalen Schlüssel. Keine physischen USB-Schlüssel, auch wenn du diese ebenfalls verwenden kannst.
So oder so hast du pro Anwendung/Website einen oder mehrere Schlüssel.
Ich verstehe nicht, wie Passkeys funktionieren.