- 28.10.23
- 12:22
- Artikel
-
+7-1
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
Ich finde Passkeys bisher sehr gefährlich und habe mit Googles Implementierung noch keine gute Erfahrung gemacht.
Während mir bei den bisherigen Verfahren auf TPM Basis mit PIN/Biometrie klar war dass ich hier nichts sichern oder teilen KANN, ist das bei Passkeys jetzt alles wischwasch Marketing Bla.
Passkeys ist jetzt ein Überbegriff für sichere TPM basierte Keys und Software-Keys die man noch dazu im Google/Apple Account synchronisieren und teilen kann.
Was man davon aber nutzt ist völlig intransparent.
Wenn ich mir jetzt auf meinem aktuellen Android Handy via WebAuthN einen Key registriere, hab ich nur noch die Möglichkeit "Passkey erstellen" und dann mein Handy mit Fingerabdruck zu entsperren. NFC/USB-Keys werden mir jetzt garnicht mehr angeboten?!
Bei dem erstellten Passkey steht auch nicht dabei ob der jetzt synchronisiert wird oder nicht.
Auf meinem Desktop-Browser, wo ich auch mit Google Account eingeloggt bin und den Google Passwortmanager nutze, steht der Passkey jedenfalls nicht zur Verfügung. Auch nicht nach einem Tag. Ich muss dort einen neuen anlegen. Also wo liegt mein Passkey nun? Im TPM des Handys? In der Google-Cloud? kann/muss ich ihn sichern? Was wenn ich das Gerät verliere?
Ich finde das alles sehr intransparent und wahnsinnig schlecht implementiert.
Warum nicht einfach zu der Auswahl "NFC/USB Key" oder "Sperrmuster/Fingerabdruck" früher eine dritte Option "Google Account Passkey" hinzufügen die dann wirklich auch synchronisiert wird?
Ich finde WebAuthN toll und super wichtig. Die Implementierungen bisher leider nicht so :(
Kommentare
7
Kommentare
geschrieben
6
Antworten
erhalten
26
Likes
erhalten
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
@shiversc: Wieso Verschwörungstheorie? Nur weil ich finde dass es unverständlich ist, und deshalb gefährlich weil sich Nutzer auf was kritisches einlassen was sie nicht verstehen, ist das noch keine Verschwörung. Ist einfach schlechte User-Experience.
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
@KinCH: Und deswegen sage ich dass das alles andere als transparent ist. Du hättest deine Passkeys vermutlich unwissentlich synchronisiert oder tust es schon, ohne es zu wissen oder zu wollen ¯\_(ツ)_/¯
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
@KinCH: Der Vergleich hinkt zwar eh, aber auch private-Keys von HTTPS Zertifikaten werden in der Praxis vermutlich sehr oft gesynct und gebackupped. Unnd bei den meisten Installationen die ich kenne liegen die nicht in einem Truststore sondern in einer simplen Datei gleich neben dem Public-Key.
So wie auch dein SSH Private Key, der easy in jeder deiner Sicherungen landet.
Nirgendwo ist ansatzweise gesetzt dass Private Keys generell hardware-gebunden sein müssen.
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
@KinCH: Und das ist bei Microsoft und Apple das gleiche. Das ist ja der "Vorteil" von passkeys. Apple speichert sie in der Keychain und synchronisiert sie. Apple erlaubt dir sogar explizit Passkeys mit Familiennmitgliedern zu teilen.
Du hast als Nutzer vielleicht noch die Wahl ob es ein Software- oder Hardware-Key ist - aber dafür musst du die richtigen Optionen in unverständlicher Marketing-Bla UI finden, sofern es sie überhaupt noch gibt.
Unter Android hab ich keine Option mehr gefunden, da kann ich nur noch einen NFC/USB Key auswählen wenn die Website explizit einen "Roaming" Authenticator erfordert. Die Website steuert es also, nicht der Nutzer. Testbar auf webauthn.io
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
@KinCH: Nein, eben nicht. Nirgendwo ist vorgeschrieben dass Passkeys Hardware-Gebunden sind.
"Wenn Sie auf Ihrem Android-Gerät Passkeys verwenden, werden diese im Google Passwortmanager gespeichert. Von den Passkeys werden Back-ups gemacht und sie werden unter Einhaltung hoher Sicherheitsstandards zwischen Ihren Android-Geräten synchronisiert."
Zitat von https://support.google.com/chrome/answer/13168025?sjid=12149341579135965648-EU&co=GENIE.Platform%3DAndroid&oco=1 (Passkeys verwenden - Android)
Passkeys statt Passwörter: Experte beantwortet die wichtigsten Fragen
Ich finde Passkeys bisher sehr gefährlich und habe mit Googles Implementierung noch keine gute Erfahrung gemacht.
Während mir bei den bisherigen Verfahren auf TPM Basis mit PIN/Biometrie klar war dass ich hier nichts sichern oder teilen KANN, ist das bei Passkeys jetzt alles wischwasch Marketing Bla.
Passkeys ist jetzt ein Überbegriff für sichere TPM basierte Keys und Software-Keys die man noch dazu im Google/Apple Account synchronisieren und teilen kann.
Was man davon aber nutzt ist völlig intransparent.
Wenn ich mir jetzt auf meinem aktuellen Android Handy via WebAuthN einen Key registriere, hab ich nur noch die Möglichkeit "Passkey erstellen" und dann mein Handy mit Fingerabdruck zu entsperren. NFC/USB-Keys werden mir jetzt garnicht mehr angeboten?!
Bei dem erstellten Passkey steht auch nicht dabei ob der jetzt synchronisiert wird oder nicht.
Auf meinem Desktop-Browser, wo ich auch mit Google Account eingeloggt bin und den Google Passwortmanager nutze, steht der Passkey jedenfalls nicht zur Verfügung. Auch nicht nach einem Tag. Ich muss dort einen neuen anlegen. Also wo liegt mein Passkey nun? Im TPM des Handys? In der Google-Cloud? kann/muss ich ihn sichern? Was wenn ich das Gerät verliere?
Ich finde das alles sehr intransparent und wahnsinnig schlecht implementiert.
Warum nicht einfach zu der Auswahl "NFC/USB Key" oder "Sperrmuster/Fingerabdruck" früher eine dritte Option "Google Account Passkey" hinzufügen die dann wirklich auch synchronisiert wird?
Ich finde WebAuthN toll und super wichtig. Die Implementierungen bisher leider nicht so :(
Google blockiert Anmeldungen von alten Android-Geräten ab September
@nicknicknick: Ich hab ein günstiges Android-Tablet mit Android 2.3.3 jetzt 10 (!) Jahre als Info-Display zuhause 24/7 mit aktivem Display laufen. Manchmal stecke ich es ab und nutze es als Webradio. Akku tut noch einwandfrei, Display ist weder eingebrannt noch hat es irgendwie merklich an Helligkeit verloren. Einzig die Software zickte manchmal, ich musste es schon drei vier mal zurücksetzen. Nach über 80.000 Betriebsstunden schon beeindruckend ;)
Da ich darauf aber letztendlich nichts ausser einem Browser nutze, wird es auch in Zukunft noch funktionieren :)