Passkeys - Verständnisfrage / Speicherort / Gemeinsame Nutzung?
Hallo,
ich hab mal ne Frage zu Passkeys. Hab mich schon versucht zu informieren und gelesen/videos geschaut, aber so ganz hab ich es nicht verstanden und hab noch folgende fragen:
- Der eigenen "Schlüssel" mus ja irgendwo gespeichert werden. Wie und Wo wird der gespeichert? Irgendwo in einer Datei auf dem Gerät? Oder in einem Konto z.B. Google und wird damit irgendwie eine Verbindung hergestellt? Und/oder in einem Password-Manager?
- Wenn der irgendwo auf dem Gerät in einer Datei liegt und man das Gerät verliert/ kaputt geht / gestohlen wird - was macht man dann, wenn man kein normales PW mehr hat?
- Kann man Passkeys irgendwie gemeinsam nutzen? Beispiel man hat irgendwo ein Zugang mit Passkey gesichert, den Frau und Mann gemeinsam nutzen möchten von verschiedenen Geräten. Geht das? Hat dann jedes Gerät seinen eigenen Schlüssel oder kann man den Schlüssel irgendwie mit einem PW-Manager teilen oder...?
So ganz versteh ich es nämlich leider noch nicht...Danke
1 Antwort
"Der eigenen "Schlüssel" mus ja irgendwo gespeichert werden. Wie und Wo wird der gespeichert?"
Das kommt darauf an, was du für ein Gerät hast und was du für Dienste nutzt.
Wenn du ein Android Smartphone hast, wird das standardmäßig alles im Passwortmanager von Google gespeichert. Wenn du nicht mit einem Google Konto angemeldet bist, wird es auf einem Android Smartphone Standardmäßig in einem extra dafür vorgesehenen bereich auf deinem Smartphone Offline Gespeichert.
Auf Apple Geräten ist das Standardmäßig in der Cloud von Apple.
Wenn du nicht den Standart Passwortmanager nutzt, wird es bei Z.B. Keepass verschlüsselt in einer Datei auf deinem Gerät gespeichert, bei Bitwarden auf den Servern von Bitwarden oder auf deinem eigenen Bitwarden Server, wenn du einen zuhause hast.
Bei anderen Geräten ist der Speicherort sehr offensichtlich, da du Passkeys da meistens gar nicht nutzen kannst, ohne vorher selber eine Software dafür zu installieren und da weißt du dann ja den Speicherort.
Wenn du einen YubiKey oder anderen Hardware Schlüssel nutzt, wird es auf jedem Gerät in den du ihn steckst, auf diesem Gespeichert und gat nicht auf deinen Geräten.
Es ist also sehr verschieden, je nachdem, was du nutzt.
"Wenn der irgendwo auf dem Gerät in einer Datei liegt und man das Gerät verliert/ kaputt geht / gestohlen wird - was macht man dann, wenn man kein normales PW mehr hat?"
Die meisten Dienste bieten es dir als alternative und nicht als ersatz zum Passwort an. Du hast dann immer noch ein Passwort. Dann hast du kein Problem und erstellst auf deinem neuen Gerät einfach einen neuen.
Wenn du den Passkey als 2FA nutzt, machst du, wenn du nachdenkst immer mehrere, für mehrere Geräte, damit du nicht alles verlierst. Auch ist es möglich, dass du noch eine andere 2FA Methode wie TOTP nutzen musst, weil manche Dienste das als Backup wollen, bevor du einen Passkey erstellst.
Von Yubikeys sollte man sowieso immer mehrere haben, wenn man welche hat.
"Kann man Passkeys irgendwie gemeinsam nutzen? Beispiel man hat irgendwo ein Zugang mit Passkey gesichert, den Frau und Mann gemeinsam nutzen möchten von verschiedenen Geräten. Geht das?"
Man kann den gleichen Passwortmanager nutzen und einfach die gleichen Passkeys nutzen. Oder man erstellt für jedes Gerät einen eigenen Passkey.
Wenn man für jeden der beiden einen eigenen Passkey erstellt, hat man auch gleich mindestens zwei und wenn man einen verliert, hat man kein Problem. Somit wäre Frage 2 gleich mit geklärt.
Zusammenfassung
Wie du Passkeys nutzt, hängt davon ab, wie du Passkeys nutzt.
"Wird das also zwangsweiße immer bei Android im Google gespeichert oder kann man da auch etwas anderes verwenden?"
Nein, es wird nur standardmäßig bei Google gespeichert. Du kannst es umstellen. Wie genau, das kommt auf den hersteller deines gerätes an. Die einstellungen sehen auf Android ja je nach User Interface unterschiedlich aus.
"Und was ist bei Windows?"
Da installierst du dir die Desktop App deines Passwortmanagers, damit du die Passkeys auf dem System nutzen kannst und dann installierst du die Browsererweiterung deines Passwortmanagers, damit du die Passkeys im Browser nutzen kannst.
“Macht dann aber ja nicht so viel Sinn in Sachen Sicherheit, wenn es doch noch ein PW gibt. Was bringt das dann?"
Das ist sicherer als Passwörter. Unsicherer macht es nichts. Entweder du nutzt es als Passwort alternative, damit du dich schneller einloggen kannst oder als Zusatz für 2FA.
"Der der das Gerät dann aber eventuell klaut, hätte alle Passkeys - kann man die dann irgendwie sperren?"
Passkeys kannst du auf android und IOS nur nutzen, wenn das gerät eine Sperre eingerichtet hat. Wenn du keine PIN oder Fingerabdruck eingerichtet hast, kannst du Passkeys garnicht nutzen. Und wenn du dich dann wo einloggen willst, musst du halt die PIN eingeben oder den Fingerabdruck nutzen. Auf Windows kannst du es je nach Passwortmanager auch sperren, aber da ist es meistens keine pflicht.
"Wie kann ich mehrere Passkeys machen? TOTP oder Yubilkeys sagen mir jetzt nichts."
Du gehst auf die seite, auf der du einen erstellen willst. Die muss das unterstützen und irgendwo ist das dann (wahrscheinlich in den Sicherheitseinstellungen). Dann klickst du auf erstellen. Wenn du eine Passwortmanager installiert hast, fragt er dich ob er einen Passkey erstellen soll. Dann klickst du auf "ja", vergibst einen Namen für den Passkey und Fertig.
Davor fragen dich websites manchmal nach einem Backup. Insbesondere, wenn du den Passkey als 2FA und nicht als Passwort alternative nutzen willst. Dann musst du eine andere 2FA methode einrichten, für den fall, dass du den Passkey verlierst.
Das ist dann oft TOTP (Time based One Time Password) also du hast eine App (gibt verschiedene Z.B. Aegis) mit der du einen QR Code Scannnst und dann bei jedem login einen 6 Stelligen sich ändernden Code eingeben musst, wenn du den Passkey nicht hast (so wie wenn du eine Email oder SMS mit einem Bestätigungscode bekommst) der Code ist dann eben auf deinem Gerät.
Wenn du keinen Passwortmanager installiert hast oder bei Android auswählst "anderes Gerät nutzen", dann wirst du gebeten einen FIDO Hardware Schlüssel einzustecken Z.B. einen Yubikey. Du kannst dir das wie einen USB Stick vorstellen, der halt keine Daten sondern Passkeys Speichern kann. Davon hast du am besten zwei, falls du einen verlierst. In dem Fall hast du den Passkey dann komplett offline n deinem Schlüsselbund. Die bekommt man ab ca. 25€ und wenn man mehr sicherheit will (Z.B. Fingerabdruckscanner am Hardware schlüssel), kostet es halt mehr. Das ist eine Alternative zu Passkeys in Passwortmanagern.
"Was ist den schlauer/besser, wenn man zusammen ein Account nutzt? Im Prinzip benutzt den in meinem Fall eigentlich nur einer, aber ich hatte versucht das auf meinem handy für ein Account zu nutzen und da wollten die glaube ich über die Gesichtserkennung das machen, das hat dann mit meinem Gesicht nicht geklappt."
Ich verstehe die Frage nicht ganz...
Auf einem Yubikey kannst mehrere Passkeys speichern und sicher trennen. Du brauchst also nicht für jede seite einen.
Eigentlich heißen die FIDO Hardware Schlüssel. Yubikeys sind von der Firma Yubico (ist ziemlich gut). Google stellt auch sowas her, da heißt es dann Google Titankey.
Ich finde aber weder auf Android noch im PC die Einstellungen, wohin die Passkeys gespeichert werden. Das wird auch nicht beim abspeichern gefragt wohin.
Auf dem PC ist das automatisch, wenn du einen Passwortmanager installiert hast. Auf dem Smartphone müsste das in den Einstellungen deines Passwortmanagers sein (wenn dein Smartphone das unterstützt).
Versuch doch mal einen zu erstellen und guck was passiert.
https://webauthn.io/ Das hier kannst du zum Testen nutzen, falls du nichts anderes hast.
Also auf dem PC hab ich es glaub hinbekommen. Wenn ich es richtig verstehe, checkt der Browser ob ein extra PW-Manager installiert ist und benutzt dann den anstatt google - richtig?
Mit Android geht es (noch) nicht und es wird immer google verwendet. Kann der Anbieter oder die App eigentlich erkennen, was man nutzt und zu wem eventuell das google Konto gehört?
Kann man diese passkeys eigentlich einfach auch aus anderen (fremden) Konto Ex- Importieren? Ich dachte, die sind immer nur genau einem Gerät zuzuordnen. Oder ist mit Gerät auch PW-Manager gemeint und verschiedene Devices?
"Wenn ich es richtig verstehe, checkt der Browser ob ein extra PW-Manager installiert ist und benutzt dann den anstatt google"
Das ist so wenn du Google Chrome hast. Fast jeder andere Browser fragt dann nach einem Hardware Schlüssel. Aber ja, das ist so.
"Kann der Anbieter oder die App eigentlich erkennen, was man nutzt und zu wem eventuell das google Konto gehört?"
Ich verstehe wieder die Frage nicht ganz, aber ich interpretiere sie so: "kann der, der meine Passkeys speichert eigentlich sehen, zu welchem Konto der Passkey gehört?". Sollte das deine Frage sein, dann ist die Antwort ja. Das Gerät oder der Passwortmanager muss wissen, wohin der Passkey gehört, da er dich ja auf der Entsprechenden Website fragt, ob du ihn verwenden willst. Und dafür muss er ja wissen, wo er dich das fragen soll. Die App weiß das also, aber ob der Anbieter das sieht, ist unterschiedlich. Beim Google Passwortmanager vermute ich, dass Google da alles sehen kann. Bei KeePass gibt es nichtmal einen richtigen Anbieter, da alles Offline ist und bei Bitwarden kann man dadurch, dass es Open Source ist, sicherszellen, dass beim Anbieter nur stark verschlüsseltes liegt und er es auch nicht sehen kann.
"und zu wem eventuell das google Konto gehört?"
Ich denke mal, dass das ein Beispiel war, aber Passkeys gibt es nicht nur bei Google. Viele Websites unterstützen Passkeys.
" Kann man diese passkeys eigentlich einfach auch aus anderen (fremden) Konto Ex- Importieren?"
Das kommt darauf an wo du die gespeichert hast. Manche Passwortmanager unterstützen das nicht, manche nur importieren und manche beides. Wenn du glück hast, geht das aber da es so einfach ist, Passkeys zu erstellen, wäre es auch nicht schlimm, wenn es nicht geht.
"Ich dachte, die sind immer nur genau einem Gerät zuzuordnen. Oder ist mit Gerät auch PW-Manager gemeint und verschiedene Devices?"
Das ein Passkey nur einem Gerät zugeordnet ist, stimmt nicht. Es kann sein, dass es so ist, wenn du ihn direkt auf den Gerät gespeichert hast. Aber in der Regel ist es so, dass sie nur einem Speicherort zugeordnet sind. Überall wo du zugriff auf diesen Speicherort hast, kannst du die Passkeys dann nutzen.
Nein, bzw. das zweitere. Ich meine z.b. Amazon oder ebay, die den Passkey dann irgendwann mal abfragen, sehen die wo und wie der gespeichert ist bzw. in/zu welchem google account?
Nein, das sehne die nicht. Die sehen auch nicht, was der Passkey ist.
Ein Passkey funktioniert mit einer sogenannten Challange.
Du erstellst einen Passkey. Dabei erstellst du zwei mathematisch verbundene Schlüssel. Einen der öffentlich sein darf und an die Website gesendet wird und einen, den nur du hast. Nun hast du einen Privaten schlüssel und die Website hat nicht mehr als einen Öffentlichen schlüssel.
Jetzt versuchst du dich anzumelden. Die Website sendet dir nun einen für jede Anfrage zufällig generierten haufen Daten. Mit dem Privaten schlüssel, den du hast, kann man Signieren. Du signierst nun also den Datenhaufen und sendest ihn an die website zurück. Aus dem Datenhaufen kann man aber nicht berechnen, was dein Privater schlüssel ist. Man kann aber mit den Öffentlichen schlüssel der Website überprüfen, ob es dein schlüssel war. Und wenn man so deine Identität überprüft, ist das auch sicher.
Außerdem kann dir nichts gestohlen werden, da du jedes mal einen anderen Datenhaufen signierst und der Private Schlüssel (Passkey) dein Gerät nie verlässt. Aus dem Datenhaufen und dem Öffentlichen Schlüssel kann man den Privaten nicht berechnen. Daher sind Passkeys auch sehr Phishing resistent, weil die Daten, die bei einem Einloggversuch versendet werden, nur für einen Einloggversuch gültig sind.
Alles was die Website hat, ist ein Öffentlicher schlüssel und nicht die information, wo der Passkey gespeichert ist.
Das mir klar, aber über irgendwas müssen ja die Daten geschickt werden und hätte ja sein können, dass die Webseite dann eventuell mitbekommt von welchem PW-manager die gesendeten Daten kommen.
Jetzt habe ich irgendwie nur noch ein Problem mit einer App (Bank) die zwei Personen benutzen möchten auf unterschiedlichen Gerten.
Auf einem lauft die App und man kann nur Passkey benutzen. Keine normalen PW.
Wenn man die App auf dem anderen Gerät installieren möchte, muss man sich wohl mit seinem Gesicht identifizieren, was wohl nur vom Kontoeigentümer geht. jetzt muss ich mal schauen, ob man da einen zweiten Passkey nutzen kann und wie das mit der Gesichtserkennung ist, ob man die dann zusätzlich noch für die Bank-App braucht.
Danke.
Hab Android und halt PC.
Wird das also zwangsweiße immer bei Android im Google gespeichert oder kann man da auch etwas anderes verwenden? PW-Manager? Keepass? Wie kann ich entscheiden, welchen PW-Manager ich nutze für die Passkey?
Und was ist bei Windows? Da kann ich ja glaube ich Keepass benutzen.
Macht dann aber ja nicht so viel Sinn in Sachen Sicherheit, wenn es doch noch ein PW gibt. Was bringt das dann?
Der der das Gerät dann aber eventuell klaut, hätte alle Passkeys - kann man die dann irgendwie sperren?
Wie kann ich mehrere Passkeys machen? TOTP oder Yubilkeys sagen mir jetzt nichts.
Was ist den schlauer/besser, wenn man zusammen ein Account nutzt? Im Prinzip benutzt den in meinem Fall eigentlich nur einer, aber ich hatte versucht das auf meinem handy für ein Account zu nutzen und da wollten die glaube ich über die Gesichtserkennung das machen, das hat dann mit meinem Gesicht nicht geklappt.