Schmutz

Und dann noch Werbung für Nord VPN, was ist nur aus der ct geworden... traurig, traurig.

Ich hab mir einen Passkey bei Google eingerichtet. ABER: wenn ich auf der Arbeit im Google Chrome Browser versuche mich per QR-Code mit dem Smartphone einzuloggen, werde ich immer danach aufgefordert mein Passwort einzugeben. Da scheint das mit dem Passkey leider vorne und hinten nicht zu klappen und ich weiß nicht, woran es liegt. Noch etwas: Synology unterstützt Passkeys leider nur auf seiner eigenen Webseite. Viel wichtiger wäre aber doch, Passkeys für den Login auf der Synology-NAS zuzulassen. Ist aber nicht so. Jedenfalls hätte ich bisher nicht verstanden, wie ich das einrichten soll. Außerdem wundert mich: PayPal hat großspurig angekündigt Passkeys zu unterstützen und passiert ist bisher nix. Man muss immer noch tausend SMS Bestätigungen über sich ergehen lassen, bis man einmal was verschicken darf. Oder klappt das bei euch, Keno?

@@Neptun-8 Nö.

Richtig, das hat mich auch gleich angesprungen. Aber wenigstens kann nichts zwischen einer Website und einem deiner Geräte abgefangen werden. Das ist schon mal was.

Damit ist gemeint, dass z.B. der Betreiber der Webseite Dein "Geheimnis" (früher das Passwort, jetzt Deinen privaten geheimen Key) gar nicht erfährt. Deshalb kann ein "böser" Webseitenbetreiber damit auch keinen Unsinn anstellen und er kann auch nicht gehackt werden, sodass danach die Passwörter aller Nutzer ausgelesen werden könnten (Wobei letzteres heutzutage auch nicht mehr möglich sein sollte, weil nir noch Prüfsummen der Passwörter gespeichert werden).g

Genau das habe ich auch gedacht.

@@ksibln Wer die Website betreibt entscheidet sich dafür ob er Passwörter hasht. Es ist genauso heute wie vor 20 Jahren möglich Passwörter im Klartext in die Datenbank zu schreiben. Wie man PWs speichert und abgleicht ist eine Entscheidung die bei der Entwicklung getroffen wird.

Der Betreiber der Seite besitzt in dem Fall deinen öffentlichen Key. Wie der Name schon sagt, ist dieser von jedem einsehbar. Du besitzt deinen privaten Key, den du logischerweise so behandeln solltest wie deine übliche Passwörter, also privat halten. Es ist das zwei-Schlüssel-System einer asymethrischer Kryptographie.

​@basicallyhumanIst korrekt, trotzdem liegt mein privater Schlüssel eben nicht ausschließlich bei mir, was das System unterminiert...

Ich nutze auch heute schon Bitwarden plattformübergreifend. Da ich mir längst nicht alle Passwörter merken kann. Das brauche ich dann sowieso, wenn ich an einem fremden PC sitze.

Immerhin klappt das dann auch offline und ich brauche keinen Internetzugriff am Handy.

Mir ist so eine Panne schon passiert, nämlich bei Apple - 2 Wochen musste ich auf die Wiederherstellung warten, nur weil die Daten nicht aktuell waren -tolle Wurst

genau, ich wuerde den Key gerne von meinem AndroidHandy auf meinem Linux Desktop speichern. Ich meine einen Schluessel muss man doch auch in den Geldbeutel stecken koennen oder?

@@stefanharjesoder in Edelstahlplatten einschlagen können.

Korrekt erfasst, wozu dann noch eine weitere Erklärung?

"Lokal auf dem Gerät" ist nicht ganz richtig. Der charakteristische Unterschied ist, dass Passkeys via Cloud, zwar Ende-zu-Ende-verschlüsselt, aber eben doch synchronisiert und gesichert werden, d.h. sie sind im Prinzip kopierbar und daher nur durch die Ende-zu-Ende-Verschlüsselung geschützt, welche bisher auch nur garantiert wird von drei US-Anbietern, die alle dem Patriot Act unterliegen, d.h. wenn sie Hintertüren in die Verschlüsselung einbauen müssen, weil ein FISA-Urteil sie dazu zwingt, dürften sie es niemandem sagen. Schlüssel auf FIDO2-Sticks sind in einem speziellen Chip unauslesbar gespeichert, der dann auch die Kryptoalgorithmen mit ihnen rechnet (sicher, aber auch teuer, das sind keine ganz einfachen Prozessoren, so ein Stick kostet mindestens 30 Euro). Da kommt eine NSA noch nicht mal theoretisch ran, und kein FISA-Gericht der USA kann daran was ändern. Man kann so einen Schlüssel noch nicht einmal von einem Stick auf einen anderen kopieren. Das meinte Keno damit, dass die hohe Anforderung an die Schlüsselsicherheit zugunsten der Passkey-Lösung gelockert worden ist, damit die Leute nicht mehr die teuren Sticks kaufen müssen, und auch keine Angst davor haben müssen, dass ihnen ein Schlüssel mal verloren geht (es gibt ihn ja immer verschlüsselt in der Cloud). Denn bei den FIDO2-Sticks braucht man, um gegen Schlüsselverlust gewappnet zu sein, immer zwei Sticks, die man beide an jedem Web-Dienst anmeldet. Denn sonst geht der einzige Stick verloren, und man ist erstmal ausgesperrt, bis man sich mindestens einen neuen Stick verschafft und den über irgendeinen Recovery-Mechanismus wieder an allen Diensten angemeldet hat. Das heisst, man muss den neuen Stick wiederholt neu anmelden, an jeder Website, an der man den verloren gegangenen verwendet hat. Das ist das Verfügbarkeitsproblem privater Schlüssel in der Public-Key-Kryptographie, was viele Lösungen behindert hat, insbesondere E-Mail-Verschlüsselung, aber auch Authentifizierung - nur bei Dokumentensignatur ist das entschärft. Ich baue beruflich Anwendungen von Public-Key-Kryptographie seit 30 Jahren. Das Problem tauchte da immer wieder auf. Es wäre denkbar und wie ich finde, auch praktikabel, Passkeys nur auf Smartphones zu erzeugen. Die verfügen heutzutage schon lange über einen den FIDO2-Sticks vergleichbaren Sicherheitsprozessor, Secure Enclave auf iPhones, Secure Element auf Androiden (vorgeschrieben für Geräte, die Android 9 oder neuer ausführen). Mit denen könnte man Keys erzeugen, die sich nicht auf die E2E-Verschlüsselung der Cloud verlassen müssen, um sicher zu sein. Man müsste dann zwar immer den QR-Code/Bluetooth-Weg gehen, wenn man sich an irgendeinem PC auf einer Webseite mit dem Passkey auf dem Smartphone anmelden will, aber die Schlüsselsicherheit würde das schon erhöhen. Unterstützt aber (bisher noch) keiner der Anbieter. Vielleicht kommt das noch. Würde die Passkeys dann auch an Internet-Kiosk-Systemen verwendbar machen. Denn es kommt ja hoffentlich keiner auf die Idee, sich da mit seinem iCloud- oder Google-Account anzumelden?

@@olafschluter706 Nur wenn man sie Google/Apple anvertraut, ich kann sie aber auch „einfach“ in einem lokalen Passwortmanager (der Passkeys unterstützt) nutzen.

Ich glaube das will man nicht wissen. 😅

Das ist eine Behörde, und wir kennen doch alle das Fachwissen im Bereich IT der deutschen Behörden.... :(

Da muss man aber sagen ein Autist in der IT - Kann sich alle Passwörter und mehr sowieso merken. ;)

Verascrypt

​@@highhorizon Ich benutz auf meinem USB stick gocryptfs weil da muss ich nicht exclusiv speicherplatz für nen container oder partition reservieren.

@@Henry-sv3wv du arbeitest aber mit Ubuntuu oder ?

Hab das gleiche "Problem" das immer als erstes nach Passwort gefragt wird und man immer erst wechseln muss auf Passkey ist etwas komisch gelöst. Kann man das evtl. umgehen das man immer direkt Passkey als abfrage bekommt?

Gar nicht so abwegig.

Tja, dann sperrt man einfach alle seine Keys und stellt sich neue aus!

​@@Bogomil76die Oma mit 80 macht das umgehend binnen 60 Sekunden 😉. Sie hatte sich doch gerade erst auf die Passkeys umgestellt...

@@U_H89 Ah, die Argumentationskette, alte Menschen!

@@Bogomil76 achso, die gleich außen vor lassen und aussperren 😉🤷

Dann investiert man einmal 70 € in zwei Hardwareschlüssel. Einen für den täglichen Gebrauch, einen für den Tresor oder den Blumentopf im Schuppen.

@@kayh4656 Was sind Hardwareschlüssel? Wo ist das Schlüsselloch dafür im PC? Und was soll der Scheiß mit dem Tresor oder Blumentopf im Schuppen? Du Schlaumeier, gib eine anständige Antwort.

@@special-selfdefense-system #fcknzs #nazisraus

Die Frage ist in sich unlogisch, entweder er liest etwas aus, oder es ist verschlüsselt, aber wie kann man was entschlüsseltes auslesen?

Bei einem guten Fingerabdrucksystem kann man Fingerabdrücke nicht so einfach klauen. Und der Angreifer muss ja auch erst mal physischen Zugriff auf Dein Gerät haben, also zu Dir ins Büro oder zu Dir nach nach Hause kommen. Bei Apple beispielsweise wird nicht der Fingerabdruck gespeichert, sondern nur eine Reihe von Merkmalen, mit deren Hilfe man einen Fingerabdruck auf Richtigkeit überprüfen kann. Aus diesen Daten kann man aber keinen Fingerabdruck ableiten. Außerdem hat Apple eine Lebenderkennung des Fingers. Damit ist die Verwendung eines z.B. von einem Gegenstand abgenommenen Fingerabdruck nahezu unmöglich.

@@GerhardAEUhlhorn wieder gefährliches Halbwissen. Die biometrischen Daten sind nicht im Passkey enthalten, dafür sollte man erst einmal verstehen wie biometrie scanner überhaupt funktionieren. Diese approximieren nämlich nur ein Ergebnis und können somit gar nicht Bestandteil eines Schlüssels sein. Und bei Smartphones, ist das am Ende alles Software, die Passkeys sind also nicht zusätzlich geschützt... . Anders ist das z.B. bei Yubi Bio keys, wo alles Hardware embedded ist. Passkeys sind genauso unsicher wie Passwörter auch, wenn man den Aspekt des Brute Forcing nun mal außen vor lässt. 2FA wird also immer notwendig bleiben.

@@malibudancer8472Herrlich, anderen Halbwissen vorwerfen, ubd dann selbst Halbwissen verteilen!

@HerrRoerich also wenn Deine Fingerabdruck Daten „geklaut“ werden, dann sind Deine Fingerabdruckdaten geklaut, so what? Was soll im Anschluss schon damit passieren? Es benötigt im Anschluss noch jemand auch physikalischen Besitz des Gerätes, welches Du mit dem Fingerabdruck auch entsperrst! Dir muss also jemand erst Deinen Fingerabdruck klauen UND das Handy/Notebook! Wenn Du das bemerkst, dann kannste die Passkeys vorher sperren lassen! Btw. weniger James Bond/Mission Impossible gucken

..was macht du, wenn der FIngeabdruckleser nicht mehr funktioniert? Das habe ich derzeit bei meinem Huawei I30. Von heute auf morgen tot. Ich hab ganz schön dumm aus der Wäsche geguckt, als ich bei der Überweisung (2 Faktor Authentifizierung) plötzlich wieder ein Kennwort eingeben sollte.

dann gibt es immernoch ne Notfall Email adresse die man sowieso im account angeben muss, falls man sich über die erste adresse (und die dort eingestellten Login Methoden) aus welchen Gründen auch immer, nicht mehr anmelden kann... aber ich verstehe deinen Kritik punkt absolut.. aber wiegesagt, "recovery oder rücksetzen" geht bei jedem Dienst... noch...

Genau die gleiche Frage habe ich mir auch gestellt. Zum Beispiel wenn man auf PayPal ein Passkey auf einem bestehenden Konto einrichtet bleibt das alte Passwort bestehen. Ich habe somit nach Aussagen von PayPal zwei Möglichkeiten mich einzuloggen. So richtig rund ist das für mich auch noch nicht...

Naja Deutsche Banken stecken ja auch im letzten Jahrhundert fest Die Sparkassen zb mit ihrer extra tan App Und sowas geht dann aber nur, wenn man den Code sich per Brief hat zuschicken lassen Es gibt viel sicherere Methoden, aber willkommen in Deutschland

Naja bis Banken etwas anbieten was sie vorher nicht kannten, dauert Jahrzehnte.

Keno meint die Passkey-Recovery, also, was passiert, wenn man seinen Passkey nicht mehr hat. Und so, wie man beim Password-Recovery per E-Mail kein Passwort mehr wissen muss, muss man auch beim Passkey-Recovery per E-Mail keinen Passkey mehr haben. Was man in der Mail bekommt, ist ein zeitlich begrenzt gültiger Link, den man anklickt, und der ein einmalig gültiges Anmeldepasswort enthält, dass der Website-Betreiber extra für diesen Zweck erstellt hat. Nach dem Anklicken des Links landet man dann auf einer Seite, auf der man dann quasi schon angemeldet ist, und dort registriert man dann einen neuen Passkey. Einfach mal ausprobieren.

@@olafschluter706Er meint, wenn man seinen Emailaccount auch per Passkey absichert! Pro Tipp? Backup!

😅 gut erkannt 😉 vllt etwas feenstaub auf´n anderes gerät streuen? 😂

​@@olafschluter706 Wenn man aber seinen Email Account mit einem Passkey abgesichert hat, kann man die Email mit dem Link schlecht öffnen, wenn man keinen Zugriff mehr auf die Passkeys hat. Das meint er, wenn ich das richtig verstehe

@davidc1633 Aber nur weil z. B. das Handy kaputt ist, heißt das ja nicht, dass man nie wieder Zugriff auf die Handynummer bekommt. Zu Not neue SIM Karte beantragen, dann bekommt man zur alten Nummer eine neue Karte und auch die entsprechenden SMS.

sehr vernünftige Einstellung

SO habe ich das auch verstanden...

Technisch gibt es da keinen Grund für. Es wäre aber gut für den Zugriff auf die Passkeys eine Autorisierung zu erfordern (Fingerabdruck, Gesicht oder das einzige Passwort was du dir dann noch merken musst). So kann jemand der dein Gerät stielt nicht plötzlich auch auf all deine Online Konten zugreifen.

Denn war das missverständlich. Nein, Passkeys funktionieren auch auf Geräten, die überhaupt keine Biometrie anbieten - wie bspw. meinem Mac mini. Ggf. kann ich einen Passkey erst mit meinem Anmelde-Passwort am lokalen Gerät freigeben - die Server können da in der Anforderung zur Authentisierung Bedingungen stellen, die das erforderlich machen. Normalerweise aber reicht auf PCs ein Mausklick.

Es geht auch auf einem Desktop oder Laptop, mit PIN/Passwort!

… oder ein Komet!

Die Keys sind Ende-zu-Ende verschlüsselt.

@@Steuerknueppel genau wie die messenger und andere Dienste und trotzdem gibt es da überall Hintertüren ;-)

​@@Steuerknueppel Und womit? Was bringt das außerdem, wenn die genannten Firmen die privaten Schlüssel erzeugen?

Wie das bei Android geht, kann Ich Dir nicht sagen. Jedenfalls sind die Passkeys aus diesem Grund an einen Apple-, MS- oder Google-Cloud-Account gebunden, es gibt sie dann immer noch in verschlüsselter Form in der Cloud. Einen Google-Account hat man ja als Android-Nutzer, sobald man was aus dem Google Play Store laden will, ohne kann man einen Androiden nur sehr eingeschränkt betrieben (so verhält es sich mit iPhones und dem Apple-iCloud-Account auch). Es geht als um das Recovery des Zugangs zum Google-Account bei Verlust des Passkeys, mit dem man sich da anmeldet. Wenn man auf den wieder Zugriff hat, dann hat man auch wieder Zugriff auf seine Passkeys, alle, wenn Google nicht zwischenzeitlich auch komplett abgebrannt ist, und dann haben wir alle andere Sorgen. Ich habe für meinen Google-Account (ist ja auch für Apple-User nützlich, z.B. hier) noch als Fallback das Passwort + OTP. Ich würde auch erst mal nachsehen, wie Google sich das Passkey-Recovery vorstellt und welches Verfahren es da anbietet, bevor ich die Passwort/OTP-Alternative wegwerfe. Bei Apple ist es so, dass es für den Fall, wenn wirklich alle Stricke reissen, und man kein Gerät mehr hat, das an die iCloud-Daten rankommt, ein iCloud-Recovery-Passwort gibt, mit dem man wieder an diese Daten kommt. Und in den iCloud-Daten stecken die Passkeys. Das Recovery-Passwort hat man bei der Einrichtung des iCloud-Accounts festgelegt, hat man 2-Faktor-Authentifizierung da an, ist es einfach das iCloud-Anmeldepasswort. Hat man die Advanced-Data-Protection an, also Ende-zu-Ende-Verschlüsselung für alle iCloud-Daten, dann ist dieses Recovery-Passwort ein hinreichend langer (gute 300 Bit) kryptographischer Key als Buchstaben/Zahlen-Folge, den ich ausgedruckt in meinem Schreibtisch habe - mir graut vor dem Gedanken, den mal eines Tages womöglich gar in das Mäuseklavier von einem Smartphone eintippen zu müssen. Achja, bei iCloud + Advanced Data Protection gibt es dann noch die Möglichkeit, einen Recovery-Account anzugeben, also jemand anderen, der auch einen iCloud-Account hat und über den man seine Daten wieder erlangen kann. Bei mir ist das meine Tochter. Meine Versicherung hinsichtlich meiner iCloud-Daten dafür, falls mein Haus abbrennt - und damit auch der Zettel mit dem Key. BTW: Apple erzwingt, dass man sich diesen Key ausdruckt, wenn man ADP anschaltet. Die wollen ihren Support schonen vor Anfragen, bei denen sie nicht helfen können. Apple hat angekündigt, Passkeys für iCloud-Accounts als zweiten Faktor einzuführen und damit ihre proprietäre 2 Faktor-Technik abzulösen. Das Fallback beim 2. Faktor auf SMS wird aber wohl logischerweise beibehalten. Man kann als Kommentar sowohl zur Bedrohung von Internet-Accounts wie auch zur Sicherheit von Passkeys allerdings auch noch folgendes feststellen: schon seit längerer Zeit erzwingt Apple die 2-Faktor-Authentifizierung für iCloud-Accounts, die im Developer Program von Apple registriert sind, denn diese Accounts haben Zugriff auf Signaturschlüssel, mit denen sie Apps signieren und in den Appstore stellen können. Da hat Apple nun nicht etwa Passkeys als 2. Faktor eingeführt, sondern die Hardware-Variante mit der höheren Schlüsselsicherheit: FIDO2-Sticks. Passkeys werden da nicht zugelassen. Dabei wären die einzigen, die iCloud-Passkeys angreifen können, eigentlich nur die Leute von Apple, indem sie bei der E2E-Verschlüsselung der Keys betrügen. Ceterum censeo die Nachrichtendienste der Welt sollten einen Service anbieten dafür, Bürgern wieder Zugang zu ihren Cloud-Daten zu verschaffen. Das würde das Leben so erleichtern

Recovering access or adding new devices When a user sets up a new Android device by transferring data from an older device, existing end-to-end encryption keys are securely transferred to the new device. In some cases, for example, when the older device was lost or damaged, users may need to recover the end-to-end encryption keys from a secure online backup. To recover the end-to-end encryption key, the user must provide the lock screen PIN, password, or pattern of another existing device that had access to those keys. Note, that restoring passkeys on a new device requires both being signed in to the Google Account and an existing device's screen lock. Since screen lock PINs and patterns, in particular, are short, the recovery mechanism provides protection against brute-force guessing. After a small number of consecutive, incorrect attempts to provide the screen lock of an existing device, it can no longer be used. This number is always 10 or less, but for safety reasons we may block attempts before that number is reached. Screen locks of other existing devices may still be used. If the maximum number of attempts is reached for all existing devices on file, e.g. when a malicious actor tries to brute force guess, the user may still be able to recover if they still have access to one of the existing devices and knows its screen lock. By signing in to the existing device and changing its screen lock PIN, password or pattern, the count of invalid recovery attempts is reset. End-to-end encryption keys can then be recovered on the new device by entering the new screen lock of the existing device. Screen lock PINs, passwords or patterns themselves are not known to Google. The data that allows Google to verify correct input of a device's screen lock is stored on Google's servers in secure hardware enclaves and cannot be read by Google or any other entity. The secure hardware also enforces the limits on maximum guesses, which cannot exceed 10 attempts, even by an internal attack. This protects the screen lock information, even from Google. When the screen lock is removed from a device, the previously configured screen lock may still be used for recovery of end-to-end encryption keys on other devices for a period of time up to 64 days. If a user believes their screen lock is compromised, the safer option is to configure a different screen lock (e.g. a different PIN). This disables the previous screen lock as a recovery factor immediately, as long as the user is online and signed in on the device.

Wollten die nicht FIDO2?

Wie war das noch mit Wasser und Wein *hicks*

​@@paulmaier1751Passkey basiert auf FIDO2, erweitert um die in der Cloud synchronisieren Keys.

Einfach bei der Nutzung einen Aluhut aufsetzen, dann passiert nichts.

@@kayh4656 genauso wurde vor einigen Jahren noch mit Leuten geredet, die meinten die USA hätten überall Backdoors drin und würden weltweit alles mithören. War natürlich krasser Unfug... Bis ein Edward Snowden da etwas veröffentlichte... "Abhören unter Freunden, das ging gar nicht." Aber du warst da entweder noch nicht geboren oder hast gepennt... ...oder du bist einfach saumässig naiv. 🤷‍♂️

Du musst Dich bei jedem Dienst einloggen, den alten Key bzw. das Gerät deaktivieren und das neue Gerät aktivieren.

@@kayh4656 ist ja dann so ne richtig coole Lösung, alles auf Passkey umzustellen :-)

Erdbeere wird aktuell noch nicht unterstützt, soll aber bald kommen.

das hab ich mir tatsächlich auch gerade gedacht. Wo hat man dann dort einen Vorteil?

Vor allem, du hast eine Authentifizierungsstelle. Was passiert, wenn die den Geist aufgibt durch entsprechende Angriffe. Hat das Auswirkungen auf alle Dienste wo ich diese Methode eingesetzt habe? Für mich sieht das in einer Zeit von politischen und wirtschaftlichen Unruhen sehr nach einem riesigen Nachteil aus.

Dem ist im regelfall auch so "Vertraulich". Wenn du jemanden indendifizieren willst, kann er eine Nachricht mit seinem Privaten Key signieren. Dadurch das nur der Besitzer den Privaten Key hat, kannst du sicher sein, dass diese Person auch wirklich diese Person ist "Authentisch". Sinn dahinter ist nicht die Nachricht zu verschlüsseln dass niemand sie lesen kann. Ich hoffe das war verständlich 🙂

Er sagt ja auch nicht dass die Nachricht mit dem privaten Key „verschlüsselt“ wird, sondern „signiert“!

Beim RSA-Algorithmus wäre es tatsächlich so, dass man mit dem privaten Key verschlüsselte Nachrichten mit dem öffentlichen entschlüsseln kann. Weil das aber für vertrauliche Kommunikation keinen Sinn macht, verwendet man diese Eigenschaft des RSA-Algorithmus dort für die sogenannte "digitale Signatur". Bei Passkeys wird aber und vornehmlich sogenannte Elliptic-Curve-Kryptographie verwendet, und dort sind Verschlüsselungs- und Signaturfunktionen mathematisch gesehen nicht symmetrisch - funktionieren aber beide mit jedem EC-Schlüsselpaar. Was bei Challenge-Response-Verfahren mit Public-Key-Kryptorgraphie aber immer passiert, ist, dass der Empfänger der challenge die mit seinem privaten Schlüssel digital signiert und dem Server zurücksendet. Dadurch beweist er wie mit einer Unterschrift seine Identität.

@@olafschluter706 Vielen Dank :)

😂 oh man. Instagram hast installiert?

@@vickazz Du musst schreiben: "Internet benutzt du, oder? Dann ist eh alles egal."

der Unterschied ist halt: es wurde verschlüsselt ge-cloud und die Hackerinnen werden ihren Spaß schon finden 😉. Zumal es dann ja bei Benutzung auch wieder passend entschlüsselt wird 🙈. So, der Unterschied ist, ich habe nichts mehr selbst in der Hand...

@@U_H89 hier geht es aber um die iCloud, in welcher die Keys gespeichert werden und nicht um irgendeinen direkt erreichbaren online Dienst. Ein Angriff hier ist bedeutend schwieriger, da er auf dem Endgerät stattfinden muss.

Wenn mein privater Schlüssel verschlüsselt in der Coud liegt, dann kann der Hacker mit einem Hack an diesen und alle meine anderen Schlüssel gelangen. Kann man da wirklich von mehr Sicherheit als Passwortmanager + 2FA sprechen? Wo liegt der Sicherheitsgewinn wenn ich für jede Webseite ein anderes Passwort und 2FA (sofern vorhanden) nutze. Ich sehe da eigentlich nur Komfortgewinne.

Du brauchst einen Pin, Fingerabdruck oder faceID nur für Dein Smartphone, oder Computer. Der Schlüssel ist ja auf Deinem Gerät hinterlegt. Ohne das Gerät/Schlüssel ist faceID usw. nutzlos.

es wird halt mehr versprochen als es wert ist

solange es keine brauchbaren code für entwicker gibt(z.B für eine PHP Webseite) wird sich das nie durchsetzen. Schade das es noach einem Jahr immer noch keine beispiele gibt. Wie schwer ist es ein Github Repo zu machen mit einer DB register.php, verify.php, login.php mit einer vernünftigen biblothek. Solange dies nicht verfügbar ist wird das nichts. Auf die Programmierer nicht ins Boot geholt werden, wird sich das nicht gross etablieren. Wiedermal eine schöne Idee mit schlechter umsetztung. Habe jetzt mit ChatGPT4 Stunden versucht ein Test zu bauen doch ohne erfolg.

E-Mails, die man nur mit Passkey öffnen kann, gibt es nicht. Wenn Du die Anmeldung an einen Online-Mailclient meinst - die Mails sind zugänglich, sobald Du das Recovery des Passkeys für die Anmeldung am Online-Mailclient erledigt hast.

@@olafschluter706 achso,cool danke dir. Das habe ich nicht gewusst

@@olafschluter706​​⁠Und wenn der Email Web Client nur per Passkey erreichbar wäre? Und kein imap/pop3 & Co. anbietet?

@@petralustich617 Sichere Wiederherstellung Die Passkey-Synchronisierung bietet Komfort und Redundanz bei Verlust eines einzelnen Geräts. Passkeys müssen aber auch dann wiederhergestellt werden können, wenn alle zugehörigen Geräte verloren gehen. Passkeys können über iCloud-Schlüsselbund-Escrow wiederhergestellt werden. Dies bietet auch Schutz vor Brute-Force-Angriffen, selbst wenn diese durch Apple erfolgen. Der iCloud-Schlüsselbund sichert die Schlüsselbunddaten eines Benutzers bei Apple, ohne dass Apple die Passwörter und anderen enthaltenen Daten lesen kann. Der Schlüsselbund des Benutzers wird mit einem sicheren Code verschlüsselt, und der Escrow-Dienst stellt nur dann eine Kopie des Schlüsselbunds bereit, wenn strenge Bedingungen erfüllt sind. Um einen Schlüsselbund wiederherzustellen, muss sich ein Benutzer mit seinem iCloud-Account und seinem Passwort authentifizieren und auf eine SMS reagieren, die an seine registrierte Telefonnummer gesendet wird. Nachdem er sich authentifiziert und reagiert hat, muss der Benutzer seinen Gerätecode eingeben. iOS, iPadOS und macOS erlauben nur 10 Authentifizierungsversuche. Nach mehreren fehlgeschlagenen Versuchen wird der Datensatz gesperrt, und der Benutzer muss den Apple Support anrufen, um weitere Versuche zu erhalten. Nach dem zehnten fehlgeschlagenen Versuch wird der Escrow-Datensatz gelöscht. Optional kann ein Benutzer einen Kontakt für die Accountwiederherstellung einrichten, um sicherzustellen, dass er immer Zugriff auf seinen Account hat, auch wenn er sein Apple-ID-Passwort oder seinen Gerätecode vergisst.

Ne, du kannst ja auf dem ersten Smartphone direkt einen Passkey abspeichern und damit dich anmelden.

Nein, du hast recht. Mit dem Upload und zudem dem vorherigen generieren der Schlüssel außerhalb des eigenen Endgerätes, ist die Sicherheit der Schlüssel vollständig als unterminiert zu betrachten.

Solange man es streng nach Vorgabe macht, tatsächlich keine. Leider werden in dem beschriebenen System jedoch viele Dinge falsch gemacht. So sollte ein privater Schlüssel ausschliesslich bei mir und sonst nirgends gespeichert sein. In dem Moment, wo ich ihn in die Cloud lade, ist das nicht mehr der Fall. Gleichzeitig erscheint es als werden die privaten Schlüssel von den Anbietern generiert, was meine persönliche Herrschaft über diese auch zu nichte macht.