Sind Passwörter, Passwortmanager und Multi-Faktor-Authentifizierung "Schnee von gestern"? Scheint so. Anbieter wie Google und Apple setzen bereits heute auf Passkeys. Doch wie funktioniert das neue Login-Verfahren und wie sicher ist es wirklich?
Mit Passkeys kannst du dich künftig bei vielen Online-Diensten einloggen, ohne dass du dein Passwort eingeben musst. Du authentifizierst dich stattdessen über dein Smartphone oder Tablet mittels PIN, Masterpasswort, Gesichtserkennung oder Fingerabdruck. Das ist nicht nur schneller und bequemer, sondern auch sicherer als jeder bisherige Login-Prozess. Entwickelt hat die Passkey-Technologie Google und die FIDO-Allianz (FIDO = Fast Identity Online) – zu der auch Unternehmen wie Microsoft, Apple oder Amazon gehören.
Hinter einem Passkey verbergen sich zwei verschiedene Schlüssel, die in Kombination dein Login ermöglichen: Der öffentliche Schlüssel ist im Online-Dienst wie der Webseite oder der App gespeichert, der zweite private Schlüssel ist auf deinem Smartphone oder Tablet hinterlegt. Dieser ist ein asymmetrischer Krypto-Schlüssel, der aus einer sehr langen, zufällig generierten Abfolge von Zeichen besteht. Nicht mal du selbst erfährst, wie er sich zusammensetzt.
Das klingt kompliziert, ist aber im Alltag einfach und praktisch. Denn die Technik nimmt dir fast alles ab. Der Online-Dienst fragt nicht nach deinen Daten, sondern bittet dein Gerät, seine Anfrage zu bestätigen. Das Vorgehen erinnert an die Authentifizierung im E-Banking.
Passkeys beseitigen das Risiko von Phishing und anderen Cyberattacken, indem sie den klassischen Authentifizierungsprozess umkehren. Der Clou ist dabei, dass das verbundene Gerät bei jeder Anmeldung ein neues Passwort erzeugt. Das macht es Hacker*innen unmöglich, dein Passwort zu klauen, weil es beim nächsten Login bereits ungültig ist. Wenn du dich mittels Gesichtserkennung oder Fingerabdruck und ganz ohne PIN oder Masterpasswort authentifizierst, kann sich niemand anderes per Passkeys in deinem Namen einloggen.
Fachpersonen hypen Passkeys. Doch jede Technologie hat ihre Vor- und Nachteile. Eine kurze Zusammenfassung:
Vorteile
Nachteile
Einige grosse Tech-Unternehmen setzen bereits auf Passkeys. So ist das System in den iCloud-Schlüsselbund von Apple oder ins Google-Konto integriert. Wie du sie bei Apple, Google und Microsoft aktivierst, erfährst du in den verlinkten Schritt-für-Schritt-Anleitungen der Anbieter. Im Passkeys-Directory findest du zudem in alphabetischer Reihenfolge weitere Dienste, die Passkeys schon unterstützen.
Nutzt du schon Passkeys? Teil deine Erfahrungen mit der Community!
Ich nutze Passkeys schon bei einigen Diensten und finde es super. Durch die Integration in meinen Passwortmanager meiner Wahl (1Password), kann ich die Passkeys auf all meinen Geräten verwenden solange ich mein 32 stelliges Masterpasswort weiss 🙂
Ich hoffe das Swisscom dies im Kundencenter auch einführen wird. Das würde einiges vereinfachen. SMS ist sehr veraltet und MobileID auf 1 Gerät beschränkt.
danke @TamaraA für diese Sicherheitsinformationen🔐
Wie melde ich mich irgendwo in der Pampa wo es vielleicht einen Desktop mit Satellitenanschluss gibt, aber kein Mobilempfang und kein WLAN?
Bei vielen Anbieter wird meistens noch eine Ausweichmöglichkeit zur Verfügung gestellt, z.b. per E-Mail oder eine Passworteingabe über ein Loginfenster.
Wenn es einen einheitlichen anbieter gäbe wäre es ja gut. Aber google hat einen und viele andere so muss mann letztendlich viele solchee apps noch zusätzlich auf dem Mobiltelefon haben. Und wenn man mal nicht mehr so einloggen kann fängt der ärger erst richtig an und mann muss tage lang abwarten bis dies wieder funktioniert. Also absoluter Schwachsinn, das Gute Alte Passwort ist nach wie vor das beste. Leider muss ich diesen Schwachsinn auch für drei logins benutzen und muss für diese auch drei verschiedene key apps benutzen🤣
Huch - da bist du aber auf einem interessanten Kurs
.Einheitliche Anbieter sind nie die Lösung - das führt nur zu einem Monopol. Das Motto muss lauten: open standards. Und das ist WebAuthn.
Vermutlich nutzt du also entweder keinen Passkey, sondern irgendwelche proprietären Lösungen, oder hast unnötigerweise 3 Apps für dieselbe Technologie installiert 😉
LG
r00t
Leider sind Passwörter im heutigen Internet Dienst nicht mehr sicher . 😕
Gesichterkennung ist auch guter Dienst und wird heute schon mehrfach verwendet.
Warum sollen Passwörter nicht mehr sicher sein? Wenn ich diese nicht gerade auf Instagram poste sind dise nach wie vor sicher, ich hatte noch nie Probleme. Aber wenn man mal das Mobil Telefon kaputt geht oder abhanden kommt, dann fängt der Ärger an wie man wieder Zugriff erhält, denn die Apps sind meistens vom angemeldeten Mobiltelefon abhängig, also eine absolut unbrauchbare Technik. Bei Banken wartet man von 2 bis mehrere Tage. Oder Anrufe an den Anbieter, Telefonnummer wechseln ist auch nicht mehr so easy usw. Wenn man sich das Leben zusätzlich erschweren möchte, dann ist dieser nicht ausgereifter schrott genau der richtige weg.
Sorry, da muss ich nochmals reingrätschen:
ich hatte noch nie Probleme
Mir wurde auch noch nie ein Auto gestohlen - verstehe nicht, warum wir da so viel Geld unnütz für die Polizei ausgeben 😉😉
Als jemand, der in nahe der Passwortknackenden Branche (natürlich nur im erlaubten Masse) steht, kann ich dir sagen, dass die Realität da sehr anders aussieht. Passwörter sind der natürliche Feind des Internetnutzers. Denn um es wirklich ernst zu nehmen, hat man bei jeder Seite ein komplett zufällig generiertes, langes Passwort.
Das kann sich niemand merken - darum gibt es Passwortmanager.
Und wenn man schon einen Passwortmanager hat, kann man anstelle eines Passworts ja auch gerade einen privaten Schlüssel speichern. Mittels Challenge-Response Verfahren muss man diesen anschliessend auch nicht mehr übertragen usw. usw. usw: (Auszug Wikipedia:)
- As the private part of a credential is automatically generated using a sane algorithm with sane parameters and randomness, and stored in a trusted authenticator, the following issues disappear:
- Easily bruteforceable passwords due to insufficient length.
- Easily guessable passwords by dictionary attacks (e.g., "password", "12345678", etc.).
- Easily guessable passwords by social engineering (e.g., date of birth, home address, etc.).
- Inadequate password storage on the client side (e.g., written on a post-it note, in a book, in the mobile phone contact list, etc.).
- Password reusal for different websites, as different credentials are automatically created for different websites.
- The need for servers to enforce minimum criteria for passwords while not limiting usability.
- Servers setting arbitrary and inadequate restrictions on the maximum length of passwords and the allowed charset.
- As the private part of a credential is never stored on a database on a server, the following issues disappear:
- Inadequate password storage in databases (e.g., plaintext, or using weak or insecure algorithms or constructions).
- Potential databases leaks exposing passwords.
- As credentials are different for every website, the following issues disappear:
- Credential stuffing attacks that combine database leaks with the common practice of reusing passwords for multiple websites.
- Phishing attacks, as the user verification process never involves credentials for the wrong website.
Ich persönlich nutze, wo möglich Passkeys - mit meinem Passwortmanager sind diese auch auf allen Geräten verfügbar. Wenn du ein Problem mit dem Zugriff hast, wenn auch nur ein Gerät abliegt, dann liegt das an deinem Sicherheitskonzept - nicht an einer "unausgereiften" Technik.
Wenn du ein Passwort vergisst, ist ja auch nicht das Passwort schuld 😉
LG
r00t
Ich vertraue nach wievor auf Keepass. Datenbank auf einer Cloud, Offline-Backup auf div. Geräten.
Aktuell finde ich die Auth-Methode von Micrososft und Google über den Authenticator ok.
Ja, Keepass Datenbank in Cloud A, zusätzlich eine Schlüsseldatei in Cloud B oder je lokal auf dem entsprechenden Gerät. Lebe seit mehreren Jahren problemlos mit dieser Lösung....