Vorteil von Passkeys - kann (noch) keinen erkennen

[lisanet]

Ersetzt mir Passkeys die beiden oder ist ein zusätzliches, parallel laufendes Werkzeug?

Du kannst zu einem Account auch durchaus auf einem anderen OS einen eigenen passkey erstellen. Somit braucht es keinen "passkey-manager" der auf macOS, Windows und Linux läuft. Erstelle einfach auf jedem System einen eigenen passkeys.

Das kannst du vergleichen mit ssh. Auch dort kannst du ja zu einem Account mehrere keys auf den unterschiedlichen OS erstellen und bist nicht darauf angewiesen die keys zwischen den Systemen zu syncen.

Apple bietet dir halt die Möglichkeit den passkey automatisch zwischen allen Geräten mit iCloud-Keychain zu syncen. Da macht dann natürlich ein weiterer passkey keinen Sinn. Der würde dann vielmehr den bisherigen in iCloud-keychain überschreiben/ersetzen.

 

[RD11]

@lisanet
Danke Dir. Dann grabe ich mich doch mal ein. Mir hat die Kombi der beiden Passwortmanagern eigentlich auch nicht wirklich gefallen.

 

[lisanet]

@lisanet
Danke Dir. Dann grabe ich mich doch mal ein. Mir hat die Kombi der beiden Passwortmanagern eigentlich auch nicht wirklich gefallen.

Gute Idee.

Und für so Accounts wie amazon, die halt auch "tradionell ausgerichtete" User bedienen wollen, und daher Passwort-Login parallel anbieten, erstell ein Passwort mit bspw 32 Zeichen oder länger und schalte dort 2FA an. Das sollte auch einigermaßen gegen brute-force und Passwort-Listen resistent sein.

 

[RD11]

Bin ja auch schon einige Jahre im Geschäft, aber ich nutze immer noch ein (relativ schwieriges) für mehrere Accounts. Das ist historisch so gewachsen. Muss ich mal durchforsten und dann abstellen.

Als wenn man sonst nix zu tun hätte...

 

[BennyG]

Muss ich mal durchforsten und dann abstellen.

Bei 1Password kann man sich im "Watchtower" doppelte (wiederverwendete) / schwache / mit 2FA benutzte Passwörter anzeigen lassen. Vielleicht bietet Bitwarden das auch an. Hilft auf jeden Fall beim Suchen ...

 

[OmarDLittle]

Ersetzt mir Passkeys die beiden oder ist ein zusätzliches, parallel laufendes Werkzeug?

Eigentlich sollte es Passwörter ersetzen, aber die ganzen Dienste/Konten die Passkeys anbieten behalten immer noch das Passwort nebenbei, auch wenn es gar nicht mehr zur Verwendung kommen sollte.

Am Beispiel Apple, die bei den Passkeys noch die beste Implementation haben: Das Passwort für die Apple ID bleibt weiterhin erhalten, wird zB beim Login am Appstore am iPhone und iPad nicht überspringbar abgefragt obwohl ein Passkey vorhanden ist. Anscheinend wurde die Appstore-App noch nicht darauf eingestellt, auf den Passkey-Login zuzugreifen.

Also gerade der Vorteil, dass das iPhone selbst dank des Passkeys überall automatisch bei Apples Diensten einloggt, ist somit gar nicht vorhanden und das ist alles noch Apple-intern, iPhone, Apple ID, Appstore. Kein Drittanbieter involviert.

Man kann sich auch mit dem Passwort im Browser einloggen.... aber dann wird der Passkey verlangt. Apple fragt an erster Stelle, willst du dein Passwort oder deinen Passkey nutzen, lässt einen das Passwort eingeben und fragt dann erst recht wieder nach dem Passkey. Da frage ich mich schon, wozu wird mir ein Passwort-Login überhaupt noch angeboten wenn er dann nicht funktioniert.

Wenn es richtig umgesetzt ist solltest du nirgendwo mehr ein Passwort brauchen, darfst aber auch nicht alle deine Geräte (und ggf. physischen Keys, mit Yubikeys kannst du auch auch Passkeys speichern die dann an jedem Gerät genutzt werden können, wo man den Yubikey einsteckt) verlieren.

Da warnt auch Apple, wenn man kein eingeloggtes Apple-Gerät mehr hat und alle physischen Keys (Yubikeys) verloren sind, dann kann Apple das Konto nicht wiederherstellen. Da muss man doppelt und dreifach bestätigen, dass man das versteht und darf gar nicht einen einzelnen Yubikey registrieren, weil das Verlustrisiko dann zu hoch ist, da muss man immer mindestens 2 haben und einen davon an einem sicheren Platz verwahren für den Fall der Fälle.

Immerhin erlaubt Apple das überhaupt trotz der Risiken - wird sicher Leute geben die das aktivieren, alle Warnhinweise überspringen und am Ende ist das ganze Konto futsch... andere Anbieter kompromittieren lieber die Kontosicherheit und wenn du deinen Passkey nicht hast, kannst du dir immer noch einen 2FA-Code oder so zuschicken lassen. Das Problem ist ja, Apple und Co können gar nicht wissen wer du wirklich bist, anders als beim Bankkonto musst du dich nicht bei der Kontoeröffnung ausweisen, keine Sozialversicherungsnr. angeben. Wenn ich der Herr Huber bin von dem es dutzende mit dem gleichen Vornamen gibt, woher soll der Anbieter wissen dass mir das Konto gehört?

Apple sagt einfach, sie machen das nicht, wenn du deine Passkeys alle verlierst ist die Apple ID weg. Andere Anbieter sagen daher eben von vornherein, kein Problem wenn du deinen Passkey verlierst, nimm einfach das gewöhnliche Passwort. So umgehen die auch die Schwierigkeit den Kontobesitzer eindeutig feststellen zu müssen, wenn es um die Accountrecovery geht.

 

[MilesVorkosigan]

Passkeys sind "eigentlich" eine gute Sache, aber leider leider weder technisch noch didaktisch so richtig zu Ende gedacht.

Ein Problem dabei ist, dass viele PK-User das "mal eben" so einrichten, weil sie dauernd dazu aufgefordert werden, aber im Grunde gar nicht wirklich verstehen, was sie da machen.

Der Zugang wird dadurch vielleicht sicherer, der Anwender aber unmündiger, weil er es nicht wirklich versteht. Hinzu kommen die Probleme, wenn man mit verschiedenen Geräten unterschiedlicher Herkunft (also iOS, Android, Windows, Linux etc.) arbeitet oder arbeiten muss.

Und dann gibt es PassKeys auch nicht für jede Website oder für jede Anwendung und für viele gibt es dann sogar mehrere Anmeldemöglichkeiten.

Das ist für Otto-Normaluser kaum zu durchschauen und schwer zu verstehen. Eigentlich keine gute Voraussetzung für so ein sicherheitsrelevantes System.

 

[picollo]

...

Das ist für Otto-Normaluser kaum zu durchschauen und schwer zu verstehen. Eigentlich keine gute Voraussetzung für so ein sicherheitsrelevantes System.

Dieser ganze Digitalscheixxxx für gesicherte Zugriffe ist genau das Problem für die normalen Menschen. Nicht nur kompliziert, sondern es ändert sich auch dauend. Nicht beherrschbar und bei Weitem nicht ausgereift.

 

[OmarDLittle]

Und dann gibt es PassKeys auch nicht für jede Website oder für jede Anwendung und für viele gibt es dann sogar mehrere Anmeldemöglichkeiten.

Ja das macht mich besonders verrückt, wie jedes Service da irgendeinen anderen Blödsinn macht. Ich wollte beispielsweise für Paypal den Passkey einrichten, da schlägt es fehl mit dem Hinweis nur Safari sei unterstützt, mit genau dem hatte ich es auch versucht. Yubikey hat dann sogar funktioniert, aber wie ich meinen Backup-Key hinzufügen wollte hat es mir den vorigen Key einfach ersetzt, was für mich komplett unbrauchbar ist. Hab das dann wieder abgedreht und verwende wieder das normale 2FA. Was soll ich mit einem Konto, das ich mühsam mit einem vielleicht nicht existierenden Support wiederherstellen muss falls mir der einzige verbundene Yubikey abhanden kommt...

 

[agrajag]

https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/

A sobering pair of reads are the Github Passkey Betaand Github Passkey threads. There are instances ofusers whose security keys are not able to be enrolled as the resident key slots are filled. Multipleusers describe that Android can not create Passkeys due to platform bugs. Some devices need firmwareresets to create Passkeys. Keys can be saved on the client but not the server leading to duplicateaccount presence and credentials that don't work, or worse lead users to delete thereal credentials.

Externally there are other issues. Apple Keychain has personally wiped out all my Passkeys onthree separate occasions. There are external reports we have recieved of other users who'sKeychain Passkeys have been wiped just like mine.

In order to try to resolve this the workgroup seems to be doubling down on more complex JS apis totry to patch over the issues that they created in the first place. All this extra complexity comeswith fragility and more bad experiences, but without resolving the core problems.

At this point I think that Passkeys will fail in the hands of the general consumer population. Wemissed our golden chance to eliminate passwords through a desire to capture markets and promote hype.
Corporate interests have overruled good user experience once again. Just like ad-blockers, I predictthat Passkeys will only be used by a small subset of the technical population, and consumers willgenerally reject them.
To reiterate - my partner, who is extremely intelligent, an avid computer gamer and veterinary surgeonhas sworn off Passkeys because the user experience is so shit. She wants to go back to passwords.
And I'm starting to agree - a password manager gives a better experience than passkeys.

So do yourself a favour. Get something like bitwarden or if you likeself hosting get vaultwarden. Let it generate yourpasswords and manage them. If you really want passkeys, put them in a password manager you control.But don't use a platform controlled passkey store, and be very careful with security keys.
And if you do want to use a security key, just use it to unlock your password manager and your email.

Das klingt nicht gut. Grob entspricht es auch dem "Bauchgefühl", das ich bei diesem Thema immer hatte. Besonders, weil das Thema Passwörter nie eines meiner Probleme war, weil ich immer Passwortmanager benutzt habe. Besonders bei diesem Thema empfinde ich es als essenziell, daß ich gut verstehe wie es funktioniert und welche Komponenten zusammenspielen. Ich wäre schnell im Arsch, wenn mir plötzlich Passwörter abhanden kämen. Und bei den Passkeys hatte ich nie diesen Grad an Verständnis und Vertrauen entwickeln können, wie bei den klassischen Passwörtern.

 

[chris25]

Mein Problem mit Passkeys ist der gefühlte Kontrollverlust. Ich kann die Passkeys (bei Apple) nicht einfach sichern - wie ich es mit Passwörtern kann. Andere Passwortmanager scheinen das aber zu ermöglichen.

 

[lisanet]

Mein Problem mit Passkeys ist der gefühlte Kontrollverlust. Ich kann die Passkeys (bei Apple) nicht einfach sichern - wie ich es mit Passwörtern kann. Andere Passwortmanager scheinen das aber zu ermöglichen.

TimeMachine? jede andere Backup-Lösung?

 

[OmarDLittle]

Mein Problem mit Passkeys ist der gefühlte Kontrollverlust. Ich kann die Passkeys (bei Apple) nicht einfach sichern - wie ich es mit Passwörtern kann. Andere Passwortmanager scheinen das aber zu ermöglichen.

Das gehört auch so, ein Passkey soll das Gerät auf dem erstellt wurde nicht verlassen können. Ansonsten wäre der Vorteil ggü. Passwörtern wieder weg, dass man sie nicht einfach kopieren kann. Apple synct es zwischen Geräten im Konto, aber aus der Apple keychain bekommst du es nicht mehr raus.

Wobei ich ursprünglich davon ausging, Apple synct die gar nicht, sondern erstellt auf jedem Gerät einen eigenen Passkey. Aber dafür finde ich nun keine Info mehr, Apple selbst sagt wohl nicht wie das technisch abläuft.

Jedenfalls soll das Gerät selbst der Login sein, wegsichern entspricht nicht dem Passkey-Design so wie ich es verstehe. Das Ziel ist, auf allen Geräten einen Passkey für einen Login zu haben und immer ein Gerät übrig zu haben, das darüber anmelden kann (wenn also das iPhone kaputt ist, hat man dann zB noch den Mac oder ein iPad). Und dann gibt es noch physische Keys die den Passkey speichern können. Dafür habe ich einen Yubikey am Schlüsselbund, der auch einen Passkey für die Apple ID enthält.

Sichern bedeutet in dem Fall, dass ein zweiter Yubikey separat verwahrt ist, sollte mir unterwegs der Schlüsselbund abhanden kommen. Die Chance dass ich sämtliche Geräte verliere und dann noch beide Yubikeys ist relativ gering. Falls das doch passiert, würde ich wohl auch eine Sicherung vom Passwortmanager verlieren, da haben die Passwörter keinen Vorteil.

Von Passwortmanagern die anbieten Passkeys zu speichern und diese dann auch noch exportieren können, halte ich Abstand - welchen Vorteil soll das haben?

 

[bowman]

Von Passwortmanagern die anbieten Passkeys zu speichern und diese dann auch noch exportieren können, halte ich Abstand - welchen Vorteil soll das haben?

…Plattformunabhängigkeit und Zugriff auf den jeweiligen Dienst auf allen Geräten unmittelbar nach der Synchronisation der Passwortdatenbank. Backup der Passwortdatenbank (mit den Passkeys) mit beliebigen Mitteln an beliebigen Orten. Die Nutzung von 2FA im Passwortmanager (z.B. per Yubikey) ist dabei dringend zu empfehlen, ebenso ein Offsite-Backup des Yubikeys.

Und hier sehen wir, warum sich Passkeys ohne Backups durchsetzen werden: Die überwältigende Mehrheit der Nutzer wird das o.G. Verfahren kaum umsetzen wollen oder können…

 

[lisanet]

…Plattformunabhängigkeit und Zugriff auf den jeweiligen Dienst auf allen Geräten unmittelbar nach der Synchronisation der Passwortdatenbank.

bei Passkeys ist es im Gegensatz zu Passwörtern nicht erforderlich oder notwendig, dass man einen plattformübergreifenden "Passkey-Manager" hat, da man für einen Account auch mehrere Passkeys erstellen kann. Einer der Vorteile von Passkeys.

 

[OmarDLittle]

…Plattformunabhängigkeit und Zugriff auf den jeweiligen Dienst auf allen Geräten unmittelbar nach der Synchronisation der Passwortdatenbank. Backup der Passwortdatenbank (mit den Passkeys) mit beliebigen Mitteln an beliebigen Orten.

Plattformunabhängig bin ich mit Passkeys sowieso, da ich auf jedem Gerät einen Passkey erstellen kann und nach Möglichkeit sowieso den Yubikey nutze, der mit NFC und USB-C am Mac, Windows-PC, Google Pixel, iPhone und iPad gleichermaßen funktioniert. Ich verstehe nicht welche Backups da notwendig sein sollten, der Passkey ist am Gerät oben, wenn das Gerät abhanden kommt kann ich es ersetzen und über den vorhandenen Passkey eines anderen Geräts wieder einbinden.

 

[agrajag]

Ein weiterer großer Vorteil eines Passwortmanagers ist, daß es gleichzeitig auch ein Dokument darüber ist, bei welchen Diensten ich überhaupt welchen Account habe. Es fällt mir schwer zu glauben, daß ich nur mit Passkeys die Übersicht über alle Accounts behalten könnte. Besonders bei den extrem selten genutzten Accounts, die ich teilweise vielleicht alle 1-3 Jahre mal aufrufe. Wenn ich so durch mein Passwortmanager gehe, bin ich immer wieder überrascht, wo ich alles einen Account habe.

Was nicht im Passwortmanager steht, existiert für mein Hirn nicht. Gleiches gilt für Kalendereinträge: was nicht im Kalender steht, existiert nicht.

 

[Boogaboo]

Wenn ich so durch mein Passwortmanager gehe, bin ich immer wieder überrascht, wo ich alles einen Account habe.

Yepp, ich habe neulich tatsächlich auch mal ein paar Stunden damit verbracht "tote Accounts zu löschen und Accounts bei Diensten zu löschen, die ich nicht mehr nutze.

Und was Passkeys angeht... ich habe mich jetzt erstmal gegen die Verwendung entschieden. Stattdessen ändere ich jetzt Stück für Stück alle Passwörter in vermeintlich sichere Passwörter, die mir mein Passwortmanager vorschlägt. Und wenn möglich, ändere ich Accounts auf ZFA. Im Moment fühle ich mich damit einfach wohler...

 

[ruerueka]

Hier noch eine Meinung zu Passkeys von jemandem, dem ich Ahnung zuspreche:
https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/

 

[troubadix2004]

bei Passkeys ist es im Gegensatz zu Passwörtern nicht erforderlich oder notwendig, dass man einen plattformübergreifenden "Passkey-Manager" hat, da man für einen Account auch mehrere Passkeys erstellen kann. Einer der Vorteile von Passkeys.

Was aber zu lasten des Komforts geht. Habe drei Geräte (iPad, iPhone und ein MacBook Air), müsste also in dem Fall auf drei Geräten einen Pass erstellen. Was allerdings in Bezug auf Sicherheit natürlich wieder etwas besser ist.