Aber was passiert, wenn man das Handy verliert bzw. die PC Festplatte den Geist aufgibt? Kann man dann eine Art Ersatzschlüssel bestellen oder habe ich dann keinen Zugriff mehr auf meine Accounts?
Wenn ich jetzt nur noch meinen Benutzernamen brauche um das Login zu triggern kann ich doch eine menge spam auf mein Handy bekommen. Ein Troll oder Angreifer braucht doch nur mein Benutzernamen und schon bekommen ich eine Nachricht ?
Ja das ist so wie wenn jetzt jemand immer Passwort vergessen klickt und du 100Mails deswegen bekommst. Müsste jetzt im Standard nachlesen. Wahrscheinlich ist es so umgesetzt wenn du das (mehrfach) ablehnst dass der Client eine Zeit gesperrt wird und das trolling hat ein Ende
Was ich noch nicht so verstanden habe, ich habe bei einem Dienst so einen Passkey jetzt erstellt, musste aber trotzdem noch eine PIN festlegen. Daher hat man ja wieder zwei Faktor oder nicht ?
Hm. Ich sollte vermutlich ein follow up diesbzgl machen. Kurz gesagt: Synchronisation der Keys vom Betriebssystem über die Cloud zwischen den Geräten bzw. Gibt's auch einen Prozess für Eco system übergreifende Übergabe.....
@@42Entwickler Ah ok danke. Aber wenn die Keys über die Cloud synchronisert werden sind sie ja nichtmehr privat :). Da würde ich lieber nur Web-Authn zeug wie Yubikeys benutzen.
Ja webauthn ist prima. Die passkeys sind eigentlich eine Weiterentwicklung davon. Theoretisch ist im OS und beim Sync alles verschlüsselt gespeichert. Ja natürlich müssen wir dann auf die Implementierung vom OS vertrauen. Die Wahrscheinlichkeit dass diese sicherer ist als die x-beliebige-Auth bei dem Onlinedienst ist vermutlich ziemlich hoch. Am Ende wird es wohl mit und ohne Sync geben aber aufgrund des Komforts wird sich bestimmt die Synchronisation durchsetzen...
ปีที่แล้ว +1
Wie wird verhindert, dass der private Schlüssel geklaut wird, wenn er lokal gespeichert wird? Wie bei Session-Token: diese können doch auch geklaut werden.
Der private Schlüssel wird vom Betriebssystem verwaltet. Bei windows würde ich mal schätzen im Bereich und der Art wo die User credentials sind. Am Ende wirst du dich mit Windows hello oder wie auch immer du dich bei Windows authentifiziert anmelden bzw. den Schlüssel für die Signatur verwenden der Rest ist im OS versteckt.
der private schlüssel wird durch die google oder apple cloud geschickt. und cloud ist immer sicher. google: niemand will eine passkey enshitifaction bauen!
Die Idee ist einfach genug um erfolgreich zu sein. Die Synchronisation zwischen devices eckt noch etwas und Mal schauen wie dann alles in der Praxis umgesetzt wird
![fellow fellow - พรุ่งนี้ไม่มีใครรู้ feat. INK WARUNTORN [OFFICIAL MV]](http://i.ytimg.com/vi/QP6JyjYx_W0/mqdefault.jpg)
Sehr gut erklärt und visuell dargestellt. Vielen Dank für die Mühe! :)
Danke
vielen Dank für die gute Erklärung 👍
Bitte
Aber was passiert, wenn man das Handy verliert bzw. die PC Festplatte den Geist aufgibt? Kann man dann eine Art Ersatzschlüssel bestellen oder habe ich dann keinen Zugriff mehr auf meine Accounts?
Wie immer wenn es um Daten und Verlust geht ist ein entsprechendes Backup vorteilhaft
Wenn ich jetzt nur noch meinen Benutzernamen brauche um das Login zu triggern kann ich doch eine menge spam auf mein Handy bekommen. Ein Troll oder Angreifer braucht doch nur mein Benutzernamen und schon bekommen ich eine Nachricht ?
Ja das ist so wie wenn jetzt jemand immer Passwort vergessen klickt und du 100Mails deswegen bekommst. Müsste jetzt im Standard nachlesen. Wahrscheinlich ist es so umgesetzt wenn du das (mehrfach) ablehnst dass der Client eine Zeit gesperrt wird und das trolling hat ein Ende
Was ich noch nicht so verstanden habe, ich habe bei einem Dienst so einen Passkey jetzt erstellt, musste aber trotzdem noch eine PIN festlegen. Daher hat man ja wieder zwei Faktor oder nicht ?
Ja das ist zur Freigabe der Signatur für den Dienst
Was passiert wenn man sich auf einem anderen Gerät einloggen möchte?
Hm. Ich sollte vermutlich ein follow up diesbzgl machen. Kurz gesagt: Synchronisation der Keys vom Betriebssystem über die Cloud zwischen den Geräten bzw. Gibt's auch einen Prozess für Eco system übergreifende Übergabe.....
@@42Entwickler Ah ok danke. Aber wenn die Keys über die Cloud synchronisert werden sind sie ja nichtmehr privat :).
Da würde ich lieber nur Web-Authn zeug wie Yubikeys benutzen.
Ja webauthn ist prima. Die passkeys sind eigentlich eine Weiterentwicklung davon. Theoretisch ist im OS und beim Sync alles verschlüsselt gespeichert. Ja natürlich müssen wir dann auf die Implementierung vom OS vertrauen. Die Wahrscheinlichkeit dass diese sicherer ist als die x-beliebige-Auth bei dem Onlinedienst ist vermutlich ziemlich hoch. Am Ende wird es wohl mit und ohne Sync geben aber aufgrund des Komforts wird sich bestimmt die Synchronisation durchsetzen...
Wie wird verhindert, dass der private Schlüssel geklaut wird, wenn er lokal gespeichert wird? Wie bei Session-Token: diese können doch auch geklaut werden.
Der private Schlüssel wird vom Betriebssystem verwaltet. Bei windows würde ich mal schätzen im Bereich und der Art wo die User credentials sind. Am Ende wirst du dich mit Windows hello oder wie auch immer du dich bei Windows authentifiziert anmelden bzw. den Schlüssel für die Signatur verwenden der Rest ist im OS versteckt.
der private schlüssel wird durch die google oder apple cloud geschickt. und cloud ist immer sicher.
google: niemand will eine passkey enshitifaction bauen!
Bin gespannt wie sich das entwickelt, ich nutze Sie noch nicht
Die Idee ist einfach genug um erfolgreich zu sein. Die Synchronisation zwischen devices eckt noch etwas und Mal schauen wie dann alles in der Praxis umgesetzt wird