lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
... was genau meinst du?
Wie man einen passkey für einen bestimmten Account erstellt? Wie passkeys funktionieren? Was genau? ("Alles" akzeptiere ich nicht
)
Wie bei Apple-Domains "Mit Passkey anmelden", bzw. diesen erstellen?
- Ersteller Kloetherich
- Erstellt am
... was genau meinst du?
Wie man einen passkey für einen bestimmten Account erstellt? Wie passkeys funktionieren? Was genau? ("Alles" akzeptiere ich nicht
)
Kloetherich
Aktives Mitglied
Thread Starter
- Registriert
- 19.01.2025
- Beiträge
- 222
- Reaktionspunkte
- 44
Wenn man das Paßwort abgeschaltet hätte und dann den Passkey "verlieren" würde: Was dann...??
JenaroFios
Aktives Mitglied
- Registriert
- 05.08.2021
- Beiträge
- 554
- Reaktionspunkte
- 270
Interessant für mein Verständnis wäre z. B….
Ich habe vier Passkeys in Benutzung.
Drei davon haben im Schlüsselbund je ein Passwort mit hinterlegt. Das sieht dann aus wie auf dem Bild. Dienen diese Passwörter als „Nofall-Passwort“?
Bei einem steht kein Passwort eingetragen, der Login beim Dienst (MS Online) funktioniert jedoch. Warum gibts hier kein Passwort?
Ich habe vier Passkeys in Benutzung.
Drei davon haben im Schlüsselbund je ein Passwort mit hinterlegt. Das sieht dann aus wie auf dem Bild. Dienen diese Passwörter als „Nofall-Passwort“?
Bei einem steht kein Passwort eingetragen, der Login beim Dienst (MS Online) funktioniert jedoch. Warum gibts hier kein Passwort?
Anhänge
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Dann kannst du nicht mehr in den Account.
Das ist doch genau Sinn und Zweck, dass man nur mit dem Schlüssel das Schloss öffnen kann.
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
okay, dann mal ein paar grundlegende Dinge (dauert einwenig bis ich das geschrieben habe. daher erst mal nur dieses kurze posting)
jteschner
Aktives Mitglied
- Registriert
- 30.05.2006
- Beiträge
- 8.044
- Reaktionspunkte
- 5.712
Apple sagt in der Passwörter.app dazu:
Abgesehen davon: wenn weg dann weg. So wie @lisanet das schon sagte.
Ansonsten sind die Passkeys in der iCloud und werden auf alle Geräte verteilt, die damit verbunden sind. Und damit mehrfach vorhanden, gesichert und schon sehr sicher gegen Verlust.
Meine 100+ verschiedenen Passworte merke ich mir auch nicht und ein Verlust der Datenbank könnte ja auch passieren.
Dann wäre das aber zu jetzt ein Rückschritt. Denn mit PW + MFA oder wie auch immer, kann ich bei "Vergessen" des Passworts noch immer ein neues Setzen über irgendwelche Wiederherstellungsmechanismen. Und sei es einfach nur ein dummer Passwort Reset Link an die im Account hinterlegte E-Mail Adresse.
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Was sind passkeys?
Passkeys basieren auf dem Prinzip der asymetrischen Verschlüsselung, d.h. es gibt 1 öffentlichen Schlüssel und 1 privaten Schlüssel.
Der öffentliche Schlüssel (public key) kann nur verschlüsseln, nicht entschlüsseln. Der private Schlüssel (private key) kann beides. Nur er kann die Verschlüsselung des public keys wieder entschlüsseln.
Passkeys werden auf dem Geräte (Mac, iPhone, PC) angelegt. Der private key bleibt auf dem Gerät. Er ist in der Passwörter-App gespeichert, die wiederum alles verschlüsselt ablegt.
Der private key verlässt nie das Gerät. Natürlich nur dann, wenn man nicht selbst den private key exporteirt, weil man meint man müsse den irgendwohin anders geben. Man kann das machen, sollte das dann aber verschlüsselt transferieren. Der Sync der Passwörter-App zwischen verschiedenen Apple-Geräten ist verschlüsselt, also sicher.
Diese Funktionsweise gibt es im Grudn schon sehr lange. Auf diese Art funktionieren auch passwortlose ssh logins mit einem ssh-key.
Wie funktioniert das mit der Anmeldung am Dienst?
Wenn man sich bei einem online-Dienst / Webseite anmelden will, wo man einen passkey hat, sendet der Dienst / Webseite eine mit dem private key verschlüsselte "Anfrage" an das Gerät. Diese Anfrage enthält auch die domain des Dienstes / webseite. Mit dabei liefert der Server selbst seinen public key mit.
Das Gerät entschlüsselt die Anfrage "beantwortet" sie und sendet sie verschlüsselt zurück, verschlüsselt mit dem public key des Dienstes / Webseite. Der Dienst / Webseite kann dies daher entschlüsseln und kann an der "Antwort" erkennen, ob du tatsächlich derjenige bist, der berechtigt ist, den account zu betreten.
Warum sind passkeys phishing-resistent?
Da bei diesem Verfahren (Challenge - Rsponse) auch die Domain mit enthalten ist, kann ein Angreifer, der einen Phishing-Webseite aufabaut, selbst dann, wenn er den public key irgendwie erlangen konnte, damit nichts anfangen, da er ja auch die korrekte Domain zu dem Account benötigen würde. Insofern sind passkey phishing resistent.
Muss man einen passkey auf Windows oder Linux syncen?
Passkey kann man zwischen Geräten syncen lassen, wenn dies verschlüsselt geschieht. Passwörter-App macht das via iCloud.
Aber man muss das nicht tun, denn man auch auf einem Account einen weiteren passkey erzeugen lassen, Also bspw auf einem Windows-PC oder einem Linux-System. Dem Account ist das egal.
Aus diesem Grund benörigt man auch keinen plattfrmübergreifenden Passkey-Manager. Man erstellt einfach auf macOS/iOS und Windows und Linux eigene passkeys.
Was ist mit dem bisherigen Passwort?
Ob ein Account es nun ermöglicht, dass man nach Einrichten eines passkeys auch das Passwort deaktivert, hängt vom Dienst / Webseite ab. Da viele User technisch nicht so versiert sind und vielleicht kein backup haben und dann bei einem crash auch ihren passkey verlieren, bieten manche Dienste / Webseiten eben noch parallel Passwörter an (leider). Amazon ist da das wohl bekannteste Beispiel. Die wollen halt keine Kunden verlieren.
In so einem Fall bietet es sich an, das Passwort möglichst lang, so mit 32 Zeichen und mehr (soviel wie halt geht) anzulegen und gleichzeitg 2FA zu aktivieren.
Wenn man dann selbst zum Einloggen nur passkeys verwendet bleibt man weiterhin phishing resitent. Und Ein Angreifer, der irgendwie an den Account kommt und ein 32 oder 64 Zeichen langes Passwort knackt muss, kommt nicht an den 2. Faktor heran, da man ja selbst nur passkeys, also phishing resisten, unterwegs ist und der 2.Faktor ja so nicht abegriffen werden kann.
Passkeys basieren auf dem Prinzip der asymetrischen Verschlüsselung, d.h. es gibt 1 öffentlichen Schlüssel und 1 privaten Schlüssel.
Der öffentliche Schlüssel (public key) kann nur verschlüsseln, nicht entschlüsseln. Der private Schlüssel (private key) kann beides. Nur er kann die Verschlüsselung des public keys wieder entschlüsseln.
Passkeys werden auf dem Geräte (Mac, iPhone, PC) angelegt. Der private key bleibt auf dem Gerät. Er ist in der Passwörter-App gespeichert, die wiederum alles verschlüsselt ablegt.
Der private key verlässt nie das Gerät. Natürlich nur dann, wenn man nicht selbst den private key exporteirt, weil man meint man müsse den irgendwohin anders geben. Man kann das machen, sollte das dann aber verschlüsselt transferieren. Der Sync der Passwörter-App zwischen verschiedenen Apple-Geräten ist verschlüsselt, also sicher.
Diese Funktionsweise gibt es im Grudn schon sehr lange. Auf diese Art funktionieren auch passwortlose ssh logins mit einem ssh-key.
Wie funktioniert das mit der Anmeldung am Dienst?
Wenn man sich bei einem online-Dienst / Webseite anmelden will, wo man einen passkey hat, sendet der Dienst / Webseite eine mit dem private key verschlüsselte "Anfrage" an das Gerät. Diese Anfrage enthält auch die domain des Dienstes / webseite. Mit dabei liefert der Server selbst seinen public key mit.
Das Gerät entschlüsselt die Anfrage "beantwortet" sie und sendet sie verschlüsselt zurück, verschlüsselt mit dem public key des Dienstes / Webseite. Der Dienst / Webseite kann dies daher entschlüsseln und kann an der "Antwort" erkennen, ob du tatsächlich derjenige bist, der berechtigt ist, den account zu betreten.
Warum sind passkeys phishing-resistent?
Da bei diesem Verfahren (Challenge - Rsponse) auch die Domain mit enthalten ist, kann ein Angreifer, der einen Phishing-Webseite aufabaut, selbst dann, wenn er den public key irgendwie erlangen konnte, damit nichts anfangen, da er ja auch die korrekte Domain zu dem Account benötigen würde. Insofern sind passkey phishing resistent.
Muss man einen passkey auf Windows oder Linux syncen?
Passkey kann man zwischen Geräten syncen lassen, wenn dies verschlüsselt geschieht. Passwörter-App macht das via iCloud.
Aber man muss das nicht tun, denn man auch auf einem Account einen weiteren passkey erzeugen lassen, Also bspw auf einem Windows-PC oder einem Linux-System. Dem Account ist das egal.
Aus diesem Grund benörigt man auch keinen plattfrmübergreifenden Passkey-Manager. Man erstellt einfach auf macOS/iOS und Windows und Linux eigene passkeys.
Was ist mit dem bisherigen Passwort?
Ob ein Account es nun ermöglicht, dass man nach Einrichten eines passkeys auch das Passwort deaktivert, hängt vom Dienst / Webseite ab. Da viele User technisch nicht so versiert sind und vielleicht kein backup haben und dann bei einem crash auch ihren passkey verlieren, bieten manche Dienste / Webseiten eben noch parallel Passwörter an (leider). Amazon ist da das wohl bekannteste Beispiel. Die wollen halt keine Kunden verlieren.
In so einem Fall bietet es sich an, das Passwort möglichst lang, so mit 32 Zeichen und mehr (soviel wie halt geht) anzulegen und gleichzeitg 2FA zu aktivieren.
Wenn man dann selbst zum Einloggen nur passkeys verwendet bleibt man weiterhin phishing resitent. Und Ein Angreifer, der irgendwie an den Account kommt und ein 32 oder 64 Zeichen langes Passwort knackt muss, kommt nicht an den 2. Faktor heran, da man ja selbst nur passkeys, also phishing resisten, unterwegs ist und der 2.Faktor ja so nicht abegriffen werden kann.
tweety2501
Aktives Mitglied
- Registriert
- 18.04.2007
- Beiträge
- 134
- Reaktionspunkte
- 83
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Ich finde das als Fortschritt.
Der Passwort-Reset via Mail ist IMO eine der dümmsten Erfindungen, weil es einfach zu viele User gibt, die sich zu wenig mit IT auskennen und dadurch alle User darunter "leiden" müssen.
Ein Angreifer der deinen Mail-Account kapert, kann darüber alle deine Accounts über die Reset-Funktion kapern. Der hat dann so oder so schon das PW deines Mail-Accounts geändert.
Durch diese unglückliche Funktion ist der Mail-Account einer der wichtigsten überhaupt geworden.
Der wesentliche Vorteil ist zudem die phishing Resistenz von passkeys. Zudem gibt es sowas wie Backups. Da sind die passkeys enthalten. Dein "Nachteil" ist also durch Backups nicht mehr vorhanden.
Aber um es kurz zu machen:
ich will dich nicht von irgendwas überzeugen. Wenn du passkeys nicht nutzen willst, weil du lieber per Mail einen PW-Reset haben willst, bitte sehr. Ich lasse dir das gerne.
Kloetherich
Aktives Mitglied
Thread Starter
- Registriert
- 19.01.2025
- Beiträge
- 222
- Reaktionspunkte
- 44
Das meinte ich eben "mit der Akzeptanz des Passkey-Verfahrens": Es ist doch auch die Frage, ob die Allgemeinheit/User das akzeptieren...
jteschner
Aktives Mitglied
- Registriert
- 30.05.2006
- Beiträge
- 8.044
- Reaktionspunkte
- 5.712
Ich glaube weniger, dass es um "Akzeptanz" geht, sondern mehr darum, etwas zu verstehen oder verstehen zu wollen/können.
Würden sich die Leute grundsätzlich mal damit beschäftigen (wollen), dann ginge alles auch schneller von der Hand und wir hätten schon lange ein paar Probleme weniger.
Auf der anderen Seite würde ich auch etwas mehr "Druck" von den Anbietern erwarten, nach dem Motto "Ihr wollt es sicher? Dann machen wir es nun so:"
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Und dennoch bietet Amazon passkeys an und ermöglicht es so versierten Usern, sich gegen Phishing zu schützen.
User die sichere Vefahren nicht akzeptieren, wohl ehr gar nciht wissen, dass es sie gibt und auch nicht verstehen, warum sowas gut ist, sind aht Phishing ausgesetzt.
Das Angebot an passkeys ist da. Wer leiber mit dem Risiko lebt kann dies ja gerne weiter tun. Wer nicht weiß das es sowas gibt, sollte sich IMO halt auch weiterbilden, egal in welchem Alter man ist.
Aber auch dir nochmals:
Ich will niemand von passkeys überzeugen, der meint, dass man passkeys nicht braucht. Ich habe erst mal nur die Fakten genannt. Und da sind halt passkeys deutlich im Vorteil
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Erinnerst du dich noch, was es für einen Aufschrei, auch hier im Forum gab, als Apple verpflichtend 2FA einführte? Selbst heute noch hat ein User geschrieben, er fühle sich "bevormundet" weil Apple 2FA obligatorisch macht.
Es wird immer Menschen geben, die Neuerungen ablehnen. Mit allen möglichen und unmöglichen Begründungen. Oft sind das dann die Menschen, die dann wenn was passiert ist, weil auf ihren Account was bestellt wurde, weil der Sony-Playstation-Account mit Spielen im Wert von mehreren 100 EUR weg ist, weil mit ihrem Paypal-Account Abbuchung getätigt wurden, am lautesten schreien und die Empörungswelle reiten.
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
nochwas:
Einen passkey kannst du nicht "vergessen".
Du kannst ihn nur löschen oder du kannst kein Backup deines Gerätes machen und dann dein Gerät zerstören/verlieren/whatever
D.h. ich muss im vorhinein schon zig passkeys erzeugen um für den Fall eines Hardwaredefekts gerüstet zu sein, da ich ohne Besitz eines validen Passkeys das Service für immer verloren habe.
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
Irgendwie verstehst du das nicht.
Hast du kein Backup deiner Geräte? Im Backup ist doch der passkey enthalten.
Ob ich das will oder nicht, hängt ja dann vom jeweiligen Service ab, Wenn Amazon, Apple oder Microsoft sagen ab Tag X gibt es nur noch passkeys, dann muss ich das verwenden um die jeweiligen Services zu verwenden. Hoffentlich klären, die ganzen Provider, dann aber ihre User auch soweit auf, dass sie bei Verlust aller Passkeys für das Service kein Recovery mehr durchführen können.
Ganz blödes Beispiel. Ich bin bei Apple, Apple jetzt irgendwann nur noch auf passkey only und ich habe nur ein iPhone, wenn dieses kaputt geht. Ist der Apple Account wertlos, da ich ohne dieses Gerät ja kein weiteres iPhone in Betrieb nehmen kann für diesen Account. Das mag jetzt zwar alles sicher sein ganz ohne Recovery aber Userfreundlich ist dann halt auch was anderes.
Weil derzeit hab ich Vertrauenswürdige Nummer, Wiederherstellungsschlüssel und was nicht alles in meinem Account konfiguriert. Fällt dann das alles weg bei passkey only?
Wie würde meine Tochter ein iPhone Backup wiederherstellen, wenn sie nur im Besitz eines iPhones ist? Das iPhone ist aber kaputt gegangen.
Sprich: Backup liegt in der iCloud - Zugriff auf die iCloud aber nur über den Passkey, der aber jetzt nur noch im Backup vorhanden ist.
lisanet
Aktives Mitglied
- Registriert
- 05.12.2006
- Beiträge
- 14.933
- Reaktionspunkte
- 18.500
da fällt nix weg? Warum sollte es? Das dichtest du dazu. Ich habe nichts dergeleichen geschrieben?
Und wenn du nu 1 iPhone hat und das in den Pazifik wirft und du, wie du schreibst einen Wiederherstellungsschlüssel hast, dann kommst du doch in deinen Apple-Account. Wo ist dann also dein Problem?
