Was sollen Passkeys mit Anonymität oder Gläsern zutun haben? Man nutzt sie für eine Authentifizierung, also hat man schon einen Account am Wickel. Also ist kann höchstens pseudonym. Schlüsselpaare enthalten nur die Informationen, die man explizit bei der Erstellung eingibt, und sind ansonsten mehr nur zufällig generierte Daten...

@@lars7898 Die Keys an sich nichts. Eher das drum herum, wie sie nacher genutzt werden, wer dadurch was schlußfolgern kann, usw. Wenn ich mir schon vorstellen kann, wie man das nutzen könnte, dann können es andere auch, besonders jemand mit deutlich mehr Ahnung. Aus einem Passwort selbst kann man wahrscheinlich oft genug nichts ablesen. Allein die Option vl keinen Usernamen mehr zu benötigen bietet so viel Potenzial in beide Richtungen. Bin da sehr gespannt

@@philippXcarnifex Ja, man kann Passkeys auch auf Hardware Security Keys (z.B. YubiKey) speichern. Meinst du das? Auf herkömmlichen USB Sticks kann man Passkeys nicht speichern, denn sie lassen sich nicht exportieren, sie sind auf dem Security Chip des jeweiligen Geräts gespeichert. Im lokal auf dem Gerät gespeicherten Passkey wird das Schlüsselpaar (privater und öffentlicher Schlüssel), Name und Domain der Webseite, sowie Anzeigename und Benutzername (dieser Teil wäre dann wohl optional bei anonymen Accounts) gespeichert. Auf dem Server der Webseite ist nur der öffentliche Schlüssel deines Passkeys gespeichert. Weitere Daten dann eben je nachdem ob du diese angibst oder nicht. Die Webseite kann natürlich trotzdem eine eindeutige ID für deinen Benutzer erstellen und deine Aktivitäten auf ihrer Webseite tracken. Aber über mehrere Webseiten hinweg ist kein Tracking mit Passkeys möglich, da für jede Webseite ein eigener Passkey erstellt wird, und aus den öffentlichen Schlüsseln lassen sich keine Rückschlüsse zu deiner Identität ziehen.

Nicht mehr als sonst auch

@@Florian.Dalwigk Da ich wenig Kentnisse habe, ist mir nicht geheuer, was z.B. mit meinem Fingerabdruck angestellt werden kann. Deshalb vermeide ich es, meinen Fingerbdruck und mein Gesicht ins Netz zu geben.

@@AtzeG Biometrische Daten wie Fingerabdruck oder Gesicht bleiben grundsätzlich auf deinem Gerät, du kannst jedoch auch eine PIN, ein Password oder Muster verwenden. Je nach dem was dir lieber ist. Alles was dein Gerät zum Entsperren unterstützt, wird auch für die Passkey Vewendung aktiv sein.

Sicherheit hat eben seinen Preis

Gute Idee. 2FA ist möglich.

Hängt vom Hersteller ab. Pragmatisch wäre USB.

Genau so macht man es ^^ und ich habe auch immer noch ein Backup ohne Schlüssel für alle Fälle :P

1. Passkeys ersetzen 2FA nicht. 2. Man kann es sich wie eine Datei vorstellen.

@@Florian.Dalwigk Danke für die schnelle Antwort!

@@Florian.Dalwigk Die FIDO Alliance ist davon überzeugt, dass 2FA mit Passkeys nicht mehr notwendig ist, da bei einem Login mit Passkeys immer automatisch 2 Faktoren geprüft werden: Besitz des Passkeys (something you have) und Biometrie (something you are) oder Wissen (PIN, something you know). Quelle: Ein Vidoe von der RSA Conference mit dem Titel " Passkeys: The Good, the Bad and the Ugly" bei Minute 17:43.

@sibu7 Sehe ich anders, weil nicht jeder Benutzer sein Smartphone schützt.

@@Florian.Dalwigk Das Smartphone nicht zu schützen sehe ich wiederum nicht ein, weil man darauf ja persönliche Daten hat. Eine Bildschirmsperre eingerichtet zu haben ist (soweit ich weiss) Voraussetzung, um Passkeys zu nutzen.

Solange du deine Mobilfunknummer hast (bzw. dir eine Ersatz Simkarte schicken lässt), solltest du per sms wieder reinkommen. Du kannst dich ja einfach mal ausloggen und so tun, als hättest du alles verloren. Dann solltest du nach etwas durchklicken bei sms landen.

technisch gesehen sollte es funktionieren, ob das aber praktisch unterstützt wird ist was anderes

Kommt vermutlich auf den Hersteller an

@@Florian.Dalwigk Hab nochmal geguckt. Mann muss nicht bei Passkeys gucken sonder mann muss dann die Option: ,,Wenn möglich, Passwort überspringen" deaktivieren

Bestimmt

Lass dich überraschen :)

Ist wohl noch nicht ausgereift

Nicht notwendig, da zu unwahrscheinlich. Zumindest vom Konzept.

Das ist seeeeeehr unwahrscheinlich

Ein Anmeldename würde das Problem auch nicht lösen, denn wenn man schon zufällig den gleichen Schlüssel generiert hat (Wahrscheinlichkeit so gut wie 0), dann kann man den Benutzernamen auch gleich noch mit generieren

Alternativen verwenden

Im Video wird erklärt, dass die Schlüssel auf dem Gerät liegen?! Die meisten unterstützen jetzt schon fast beliebige 2FA Apps zum Authentifizieren, klar kann es nimmt ein paar Sonderfälle geben, aber der Großteil wird das hoffentlich nicht.

@@_MrFlash_ klar liegen die Schlüssel auf dem gerät, müssen aber auf andere übertragen werden, wie ich es verstehe. Und dafür wird dann denke ich eine Cloud genutzt. Bei 2FA lassen viele anbiter belibige apps zu, als negativ beispiel fällt mir da spontan steam ein. Und schon ein Anbieter ders anders macht würde mich nerfen.

Genau, das ist einfach nur eine Schlüsseldatei, ähnlich wie bei PGP

@@Florian.Dalwigk Super, danke fürs Erklären. Deine Videos sind eben immer noch am Besten

Ende November soll es Google auch unterstützen

Könnte man, doch wieso sollte man das tun?

Man muss eben klar kommunizieren, dass der Passkey an NIEMANDEN gegeben werden darf, auch nicht an "Microsoft Techniker" :D

@@Florian.Dalwigk Warum geben Menschen jetzt ihre Passwörter heraus? Sie machen es ;). Was ist also gewonnen? Und auch über Trojaner kann man ja den passkey theoretisch abgreifen. Er liegt schließlich auf dem Rechner oder Handy genau wie jeder andere Inhalt auch.

Naja, wenn du keinen Zugriff auf das Endgerät hast, ist der Account weg, außer du hast einen Recovery-Key. Das ist so, wie wenn du deinen 2FA Token verlierst

Der Server weiß ja, welche Challenge er geschickt hat.

Ja, Bitwarden (Cloud basiert) und Keepass (manuell) sind die beiden Kennwortverwaltungen die man gut empfehlen kann. Je nach dem welche Art von Kennwortverwaltung man haben möchte. Bei "Sicherheit vor Angriff" kommt es immer darauf an was genau gemeint ist. Wenn ein Angreifer dein Gerät komplett in der Hand hat, kommt er natürlich auch an die Kennwortverwaltung.

Mal schauen

Falls du es in der Zwischenzeit nicht bereits gesehen hast, es gibt von der FIDO Alliance ein gutes Video, das den Loginprozess auf verschiedenen Plattformen demonstriert: Passkeys in Action von FIDO Alliance. Ich versuche im nächsten Kommentar noch den Link zu posten, aber Kommentare mit Links werden manchmal gelöscht...

(es ist mit chrome auch über handy möglich btw)

Kopieren?

@@Florian.Dalwigk Und wo finde ich den Passkey auf meinem ersten Gerät? Bin nicht gerade der Durchblicker.

Könnte man, ja. Wäre aber unsicherer als im PM des Geräts

Erstens sollte das von vornhinein unabhängig sein von Windows, da es eine browserbasierte und Authentificator Geschichte ist. Zweitens wenn du wirklich, auch von dem Smartphone unabhängig sein willst, dann hol dir gleich einen Fido2 Stick, denn dann sogar mit einem Live System anmelden.

Welches Video? Welcher Kommentar?

@@Florian.Dalwigk Ich hatte dich unter einem alten Video gefragt, ob du mal etwas zum Thema Passkeys machen könntest. Wollte mich mit diesem Kommentar nur bedanken :)

Ah, danke :) Gerne ;)

Dann Fido2 Stick holen.

Danke 👍

Warum sollte man die Passwörter ändern? Viele Sicherheitsexperten raten davon ab und wenn man die in Keepass o.ä. speichert ist es auch möglich ausreichend sicherer zu nehmen und was viel wichtiger ist für jeden Account ein anderes Passwort. Was macht man wenn der Yubikey defekt/verloren ist mit der Passwortmanagerdatei?

@@_MrFlash_ Stimmt (Passwortwechsel). Ich nutze Keepass mit PW + zusätzlichen Key-File, das Keepass von Haus aus anbietet.

@@_MrFlash_ Dass vom Wechsel abgeraten wird, betrifft nur von Menschen erdachte Kennworte, weil die dann zu einfach gewählt werden.

Passwörter ohne Anlass zu ändern empfiehlt heute niemand mehr. Siehe mein Video zu den Passwortmythen.

Das Problem ist das Merken/Speichern dieser Passwörter.

So einen habe ich

@@Florian.Dalwigk cool, vielleicht wären die mal ein Review- bzw. Verleichsvideo wert, davon gibt es relativ wenige aktuelle (vor allem in Hinsicht auf fido2 und open source hardware/software)

Dann bleibt es wohl erstmal beim Passwort

Was passiert, wenn du dein Passwort vergisst?

Da habe ich es auf einem Zettel hinterm Spiegel. Wenn ich meinen Google Account nur auf einem Smartphone per Passkey hinterlegt habe. Und das Handy ist weg, was dann? Muss ich dazu andere Zugangsformen aktivieren? Notfalls Codes generieren oder mich per zweiten Gerät auch per Passkeys den Google Zugang hinterlegen?

Vorher ein Backup des Keys anfertigen

Wieso? Wo hast du Bedenken?

mit Bitwarden kann man jetzt auch kostenlos Passkeys halten, braucht Yubikeys nicht mehr

Wenn ein Anmeldename noch vorhanden ist, sollte es möglich sein an das Gerät mit dem Passkey eine Meldung zu schicken um den Login freizuschalten. Oder sehe ich das falsch? Dann muss man natürlich darauf achten, dass man nicht immer daraufklickt wenn man sich gar nicht anmeldet.

Wieso nicht? Bei PGP geht das ja auch.

Ich würde keinen Passwort-Manager mit Cloud-Anbindung nutzen. Und das macht auch nicht jeder automatisch.

#sagjazuPasskeys :)

Wie kann der Kommentar drei Tage alt sein, Wenn das Video keine 30 Minuten draußen ist ?

@@FFaattCCaatt patreon Supporter können die Videos früher anschauen

@@JustPyroYT ah gut zu wissen danke also leider doch keine Verschwörung.

@@FFaattCCaatt 😀😀

Die Gefahr, dass der Hersteller an den Schlüssel kommt, besteht immer. Außer du holst dir ein nicht verbundenes Gerät

@@Florian.Dalwigk das ist richtig. Allerdings kann man soweit ich weiß mit einem nicht verbundenen Gerät die Aufgabe nicht lösen, oder?

Wieso nicht? Die Algorithmen sind doch bekannt, wenn das Kerkhoffsche Prinzip umgesetzt wurde. Notfalls muss man sich dann eben einen eigenen Client bauen.

Sie meinen einen angepassten Web Browser, der einem erlaubt, die Aufgabe zu extrahieren? Ich denke, das ist Verdammt aufwändig. Zudem, bleibt da noch die Möglichkeit, an die entsprechenden Schlüssel zu gelangen. Ich gehe davon aus, dass es wahrscheinlich nicht möglich ist. Schließlich ist davon auszugehen, dass die Schlüssel, wenn sie auf dem Gerät gespeichert sind, in irgendeinem Sicherheitsmodul gespeichert werden. Ich werde wahrscheinlich alles in allem bei meinem Passwort Manager samt den 128 Zeichen langen Passwörtern bleiben. An die Passwörter, komme ich immer heran und kann die notfalls in eine andere Instanz umziehen. Sollte es jedoch einfach möglich sein, diese Schlüssel zu extrahieren und es dann auch noch recht einfach sein, die Aufgabe aus dem Web-Browser heraus lösen zu können, zum Beispiel mit einem angepassten Plaque in, dann überlege ich mir tatsächlich auch auf dieses sichere Verfahren umzusteigen. Denn so gut meine Passwörter sind, Das System ist wahrscheinlich noch etwas sicherer, wobei dann allerdings niemals ein Schlüssel verloren werden darf. Doch das ist bei Passwörtern ja nicht anders. Wenn ich jedoch keinerlei Kontrolle über die Schüssel habe und diese selbst bei Verlust des Gerätes nicht verwenden kann, habe ich keinerlei Interesse daran, dieses Verfahren trotz der erhöhten Sicherheit zu verwenden.

Naja, da kann man eigene Videos drehen ... Hier geht es ums Prinzip der Passkeys

Wie hast du die Keepass Datei geschützt? Wenn die nur mit einem Passwort versehen ist und die Datei mal kopiert wird, könnte das zum Problem werden.

Ich bleib auch lieber bei Keepass

@@_MrFlash_ Mit einem Passphrase, ich würde schätzen 20 Zeichen (nicht gezählt - BruteForce fällt jedenfalls aus). Und um die Datei zu kopieren, müsste ja sowieso erstmal jemand an meinen PC kommen - ohne Wohnungsschlüssel unwahrscheinlich, und die Leute die in Wohnungen einbrechen, versuchen die Beute im Regelfall eher zu verkaufen, als Passwörter zu ergaunern ;-)

KeePass hat entscheidende Nachteile. Kommt für mich nicht in Betracht. Aber besser als nichts

Dann müsste ich aber auch ein Intro mit klassischer Musik einführen ;)

@@Florian.Dalwigk Dürfen die ja nicht mehr seit ein paar Jahren (riesen Blödsinn) aber es gibt sicher ein paar Lizenzfreie Stücke.

@@yokmp1 Dann aber auch jedes Video beginnen mit "Hallo, in diesem Video ganz kurz gezeigt"... Gerade wenn das Video über 10 Minuten ist, "ganz kurz gezeigt" :D

Das wäre wohl eher ein Hardware-Token

Schlüssel übertragen

...

👍

Wer? Was?