Das freut uns - danke für das Lob!

Sehe verständlich kommuniziert. Weiter so 👍.

Danke!

Danke :-)

In der Theorie besteht hier ein Risiko, da in die Server eingedrungen werden könnte. In der Praxis verhindert dies aber noch ein zweiter Faktor, z. B. Ihr Fingerabdruck, den Cyberkriminelle nicht besitzen, sodass sie keine Anmeldung vornehmen können. Zudem müssten Täter den Passkey mit den entsprechenden Credentials, also beispielsweise dem Benutzernamen, verbinden. In Summe ist der Sicherheitsgewinn, gerade in Kombination mit dem Komfortgewinn, nicht von der Hand zu weisen.

Spannende Fragen, die wir hier leider nicht in aller Breite beantworten können. Aber kurze Einschätzungen haben wir natürlich: 1. Der private Schlüssel wird für jeden Dienst neu erstellt, egal mit welchem Betriebssystem oder Passwortmanager sie diesen verwalten. Wenn Sie häufig zwischen Betriebssystemen und Geräteklassen wechseln, empfiehlt sich die Speicherung in einem Passwortmanager oder einem Hardwaretoken. Passkeys, die z. B. bei Apple hinterlegt sind, lassen sich nicht ohne weiteres auf ein Windowssystem übertragen. Falls Sie die Passkeys auf dem Handy pflegen und am PC eine Anmeldung vornehmen möchten, können Sie den Login außerdem über Ihr Handy freigeben. 2. Das stellt der zweite Faktor sicher, der bei Passkey immer abgefragt wird. Das heißt, ein Täter müsste sowohl den privaten Schlüssel erbeuten wie auch z. B. Ihren Fingerabdruck. 3. In der Theorie könnte das passieren, in der Praxis ist eine plötzliche Abschaltung sehr unwahrscheinlich. Falls Sie sichergehen möchten, speichern Sie Ihre Passkeys auf einem Hardwaretoken, der dann entweder per USB am PC oder per Bluetooth oder NFC am Smartphone ausgelesen werden kann. Dann empfiehlt es sich allerdings, ein Backup für den Fall des Verlusts zu erstellen. Außerdem bieten die meisten Onlinedienste eine Funktion zur Accountwiederherstellung an, sodass Sie notfalls auch dann an Ihre Zugänge gelangen sollten.

passkey ist ein totes pferd William Brown, developer of webauthn-rs, has written a scathing blog post detailing how corporate interests - namely, Apple and Google - have completely and utterly destroyed the concept of passkeys. The basic gist is that Apple and Google were more interested in control and locking in users than in providing a user-friendly passwordless future, and in doing so have made passkeys effectively a worse user experience than just using passwords in a password manager.

Naja du hast ja die Kontrolle über deine Schlüssel. Du kennst zwar ihre digitale Struktur nicht und könntest diese auch selbst nicht nachmachen, aber sie existieren auf einem Endgerät und können nur von diesem heraus genutzt werden. Das macht den Passkey de facto zu einem Hardwarekey und diesen gilt es zu kontrollieren. Wenn du sagst, dass du über deinen Passkey keine Kontrolle hast, wäre das gleichzusetzen mit der Aussage, dass du über dein Smartphone oder deinen PC keine Kontrolle hast. Den Schlüssel zu deiner Wohnungstüre kontrollierst ja auch du selbst. Vom bloßen Anblick heraus kann hier ein Angreifer nichts machen. Er kann höchstens physisch gestohlen und genutzt oder nachgemacht und dann genutzt werden. Der Passkey hingegen kann weder gestohlen werden, weil eine Kopie die Signatur zerstört, noch kann er aus denselben Gründen nachgemacht werden. Er kann vom Angreifer nur von deinem Gerät heraus genutzt werden. Wenn du bspw. einen Passkey für deinen Zugang zu deinem Windows-Account erstellst, ist dieser einzigartig. Später hast du ein zweites Gerät und möchtest darüber ebenfalls Zugriff auf denselben Account haben. Auch dieser ist einzigartig bzw. verschieden vom anderen passkey. Nun sagst du deinem Windows-Account, dass man über Gerät 1 nicht mehr Zugang haben soll. Der Passkey auf Gerät 1 wird dadurch unbrauchbar. Später entscheidest du dich um und richtest in Gerät 1 wieder den Zugang ein. Auch dieser Passkey ist verschieden vom ersten Passkey, obwohl es dasselbe Gerät ist! Die "fehlende" Kontrolle beschränkt sich hier rein auf den Aufbau des Passkeys selbst. Das ist wie der mitgelieferte Schlüssel beim Vorhängeschloss vom Baumarkt, wo der Schlosshersteller den Schlüssel gefertigt hat. Ich denke nicht, dass du das in der digitalen Welt mit hochkryptographischen Methoden selbst erledigen willst!?