Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Ich hatte den Familienoberhauptvogel schon fast vergessen! Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D Familienoberhauptvogel, alter ... xD
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Rückschritt von MFA auf einen unsicheren Faktor… schon vergessen, wie schnell Fingerabdrücke und Gesichtserkennung geknackt wurden? Vertrauen auf einem TPM Chip, von dem Du genau gar nichts weißt? Ggü Konzernen, die (nicht nur) in den USA an die Behörden liefern müssen?
@@Mineroboter Völlig einverstanden… Wenn jetzt der private Key in der Cloud landet oder aus einem TPM Chip aufgrund von Backdoors gestohlen oder nach der Generierung auf dem Weg in den TPM Chip ausgeleitet wird, braucht man nur noch deinen Fingerabdruck oder dein Gesicht und kann deine Identität annehmen. Keine große Sache, wenn der Gegner es will oder schlicht das Recht zur Zwangsentsperrung hat wie in D die Polizei. Die nimmt einfach dein Gesicht oder Finger und gut. Lies mal die Berichte dazu, das geht seit einiger Zeit. Im übrigen braucht man nicht deinen Fingerabdruck oder Gesicht, sondern die Prüfroutine muss dem BS ein ok zurückmelden.
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder? Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen. Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde. Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren. So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren. Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht" Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
PGP und SSH lässt grüßen. Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account. Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@MineroboterToll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
ja krass. Ich bleibe beim Yubikey aber für die Massen ist es ok wenn nur Apple und Google das verwaltet. Ich werde das Gefühl nicht los dass die 2 großen den Dreibuchstabigen das Hintertürchen sichern wollen😂🙈 Paranoja läst grüßen…
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
Hallo @Morpheus, ich bin vor kurzem auf diesen Kanal gestoßen, finde ihn sehr informativ. Auch des Thema mit Sicherheit, 2FA und Passkey. Eins verstehe ich allerdings nicht, weil ich mich noch nicht so tief mit dem Thema befasst habe. Aber werde durch solche Videos mehr und mehr für das Thema Sicherheit sensibilisiert. Danke dafür! Apple und Google haben doch dann meine kompletten und wichtigsten Daten was mich im Netz als Person von einer KI unterscheidet, oder? Irgendwie sehe ich das auch als hohes Risiko an, wenn ich zu einer AppleID einen Fingerabruch und ein Gesicht hinterlegen muss... Ist es wirklich sicher? Kann Apple nicht an meine Daten, weil Sie verschlüsselt sind (gibt doch bestimmt irgendwelche Backdoors, für FBI und ähnliche Strafverfolgungsbehörden) d.h. Hacker haben dann zukünftig nur noch ein Ziel. Apple, Google und Co. (wo mein PassKey synchronisiert ist) und dann hat man alle Daten vom Millionen von Nutzern.
Theoretisch sind die Passwörter nur in den Chips des jeweiligen Endgerätes, allerdings weiss keiner was es für Hintertüren gibt, wenn diese entdeckt werden muss auch immer ein Sicherheitsupdate nachgeschoben werden.
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Auch ich bin ein rießiger Fan von Passkeys. Ich teile ähnliche Bedenken wie du, dass wir bis jetzt die privaten Schlüssel den großen Tech-Playern anvertrauen müssen. Als Familienadmin habe ich mich aber um die Einführung von FIDO USB-Sticks gedrückt, weil ich die Leute eh nicht überzeugt bekomme, dass sie zwei Sticks pflegen müssen. Alles was über zwei Aktionen erfordert, ist für den DAU mindestens eine Aktion zu viel und wird als unbrauchbar abgetan. Passkeys kümmern sich mehr oder weniger selbstständig um das Backup des Schlüsselbundes.
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann. Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre… Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht. Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
Das hat nichts mit Passwörtern zu tun. Aber es hat alles mit biometrischer, personenbezogener Identifikation = Anti-Anonymität zu tun. Als Nebenprodukt kann man dann der Schwiegermutter nicht mehr helfen, wenn sie wiedermal ihre Handyeinstellungen versaut hat.
korrekt wie du es schreibst, es steht in Verbindung mit der Personal Web3 ID. Da der Google Cloud Service für alle EVM Sidechains Nodes Validiert zur dauerhaften Anbindung kommenden Payments-and-infrastructure services
google und apple mögen dass, je mehr leute sich nicht in ihren google oder apple accounts einloggen können, desto weniger gebrauchte geräte landen auf dem markt
Die personenbezogenen Daten bleiben allerdings ebenso wie der private Schlüssel auf dem Endgerät. Sofern also keine persönlichen Daten freiwillig anderswo deponiert werden, bleiben sie auch privat. Für den durchschnittlichen DAU spielt die möglichst hohe Anonymität im übrigen kaum eine Rolle. Nur der Missbrauch persönlicher Daten ist unerwüscht.
@@_larkin_321 der DAU regt sich allerdings tierisch auf wenn er ausversehen ein Pin/Muster eingestellt hat an das er sich nicht erinnert und dann das Gerät nur noch wegschmeißen kann (alles schon erlebt). Eine solche Lösung wäre einem DAU nicht zu zu muten.
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Schwerer und sicherer. 😂😂 Als ob. Man hat nur ein Gesicht und ein Finger. Passwörter kann man ändern, das Gesicht und den Finger nicht! Dann lieber ein Zwangs-Login oder Löschung des Accounts. Besonders dann, wenn man einen Account aufgedrängt bekommt wie bei Google bei Android Handys! Fazit: Ich möchte beim Passwort bleiben!
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
Prinzip nicht verstanden? Mit den biometrischen Daten wird der lokale "Tresor" aufgeschlossen, in dem die Schlüssel aufbewahrt werden, sie dienen nicht zu Anmeldung und verlassen ebenso wenig das Gerät wir die Schlüssel.
@@kayh4656 LOL. Und wo ist der Unterschied, ob ich den Schlüssel zum Aktenkoffer in der Hand an der Halskette trage, welcher erst den Zugangs-Schlüssel beinhaltet oder gleich den Zugangsschlüssel an der Halshette.trage? Wie auch immer: Biometrische Daten sind immer eine recht schlechte Idee zur Zugangssicherung. Ausnahme wäre evt. der Abdruck der kleinen Zehe oder die Pennis-Biometrie. Dann hat nur die (Ehe)frau und/oder Geliebte Zugang. ;)
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
ich hab noch nie einen Account verloren. Ich sehe eher, dass man sich auch mal ganz fix aussperrt und man weiß ja wie der Support bei diesen Unternehmen so arbeitet. Dann das Problem wenn man mehrere Geräte mit einem Account benutzt. Ich bleib lieber bei meinem Passwortmanager
Niemandem hilft ein super sicheres Verfahren, das so kompliziert ist, dass es kaum einer nutzt. Usability war schon immer Teil von Sicherheitsmechanismen, nicht ihr Gegner… my two cents als security expert nach über 20 Jahren in der Branche.
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier. Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Ich bleibe schön bei den Passwörter, mir ist der Fingerabdruck einbisschen zu viel. Ich bräuchte wohl ein neues Handy um mich mit den Finger anmelden zu können.
1. Wird (wenn) nur bei Neu angelegten Accounts funktionieren. 2. Haben sehr viele Handys keinen Biometric Scan. 3. Support von Big Companys, gibt's schon lange nur noch von Chat Software. 4. Die Sperrung der Passwortfunktion, würde ca 70-80% der Accounts unbrauchbar machen! Was quasi Selbstzerstörung wäre!
Schönes Video. Ich habe aber noch eine Anmerkung. Auf einem PC wird nicht zwangsläufig das Handy benötigt. Unter Windows kann man auch einen gerätegebundenen Passkey anlegen, der dann aber nur auf dem Gerät zur Verfügung steht und demnach nicht synchronisiert wird ==> Keine Recovery-Möglichkeiten. Grundsätzlich kann man zwischen synchronisierten Passkeys (Android & Apple oder externer Passwortmanager) und gerätegebundenen Passkeys (Windows oder externes Gerät wie ein Security-Key) unterscheiden. Das Verfahren ist genau dasselbe, nur die Art der Speicherung ändert sich. Passkey stellen demnach nur einen massentauglichen Begriff für sog. Discoverable Credentials dar (Teil der WebAuthN-Spezifikation). Aber solche synchronisierte Passkeys sind NICHT sicherer als ein Security-Key. Weil man hierbei einfach eine Third-Party hat, die theoretisch attackiert werden könnte. Es ist schon einsehbar, welche Maßnahmen Google und Apple ergreifen, die synchronisierten Passkeys zu schützen und zwischen Geräten zu synchronisieren. Da gibt es paar offizielle Stellungnahmen und Blog-Beiträge der Entwickler. Es wird in jedem Fall eine 2FA benötigt, bevor die Passkeys über mehrere Geräte synchronisiert werden. Aber ja, hier sind Passkeys nur maximal so sicher wie die Recovery-Prozesse. Was auch noch wichtig ist, ist dass der Standard kontinuierlich weiterentwickelt wird. Aktuell ist man bei den synchronisierten Passkeys noch an ein Ökosystem gebunden. Dennoch wird aktuell an einem Ökosystem-übergreifenden Austauschverfahren gearbeitet, sodass sich Passkeys in der Zukunft auch zwischen mehreren Ökosystemen austauschen lassen. Aktuell haben Passkeys noch schlechte Recovery-Mechanismen und können daher Passwörter und alternative 2FA Verfahren noch nicht wirklich ersetzen.
Hey Morphy 😋 Ja da beginnt man sich wieder ins eigene Knie zu schießen, vielleicht nicht so dramatisch aber in etwa. Allerdings kam mir bei der Erwähnung vom Yubikey und der Erwägung, zur Sicherheit 2 zu haben ein anderer Sync Gedanke. Es wäre doch schön wenn man einen solchen Yubikey während der Erstellung des Passkey als Backup-System mit angeschlossen haben könnte, auf dem man nur während des Prozesses der Erstellung des Passkey eine Sicherung syncronisiert. Dieser wird dann weg gelegt und fertig ist die Sicherung. Oder man macht es wie in der Kryptowelt mit 24 Wörtern oder wenn icn an meinen vorherigen Vorschlag denke an eine Art Ledger oder BitBox etc etc. Die sind doch auch recht sicher, bzw waren wenn ich an die Entwicklung des Ledger denke😢.
Genau dafür setze ich meine YubiKeys ein. Du kannst in der Regel mehr als einen Passkey für einen Dienst hinterlegen und bei Verlust auch einzeln deaktivieren oder löschen. Ich habe für die Anmeldung bei Google, Microsoft und ein paar anderen Diensten zusätzlich zu 1Password und Chrome auch 2 YubiKeys als Passkeys hinterlegt. Einen habe ich am Schlüsselbund, der andere ist bei meiner Oma im Garten vergraben. Die YubiKeys sind selbstverständlich mit einer PIN gesichert.
Alles schön und gut.., nur hat eben nicht jeder Smartphone Nutzer Bock drauf, sämtliche biometrischen Daten seinem Smartphone und damit auch dem jeweiligen Hersteller anzuvertrauen....! Ich persönlich bevorzuge da eher die 2FA. Einfach und sicher.
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft. Noch mehr Kontrolle für Google? Nein.
Das Passwort kann man für sich behalten. Aber Beamten ist es nicht verboten dir dein Handy vors Gesicht zu halten oder dich dazu zu zwingen deinen Daumen drauf zu drücken.
Seh ich genau so! Gilt aber nicht nur für die Justiz sondern eben auch für Leute, die dich einfach um dein Geld oder Infos "erleichtern" wollen. Es werden - glaub ich zumindest - immernoch mehr Leute ausgeraubt, als verhört. (Noch)
Smartphone vors Gesicht halten habe ich öfter gehört, Fingerabdruck müssten sie dich aber schon körperlich zu zwingen und das soll wohl nicht so einfach rechtlich möglich sein.
In welchem Lebensdrama kommt es vor, dass man von Beamten dazu gezwungen wird, das Smartphone zu entsperren oder einen bestimmten Account zu öffnen?! Was muss manman angestellt haben, dass das passiert…
Wäre toll das ohne biometrische Daten zu machen. Ich glaube wir sind noch nicht soweit, dass sowas sicher genug ist. Datenbanken mit Fingerabdrücken gibts auch schon.
Das geht selbstverständlich ohne biometrische Daten. Biometrie ist nur nötig um das Gerät und den "Tresor", in dem die Schlüssel gespeichert sind, zu entsperren. Du kannst stattdessen auch eine PIN, ein Kennwort oder ein Muster verwenden.
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
Gibt es eine Empfehlung für den richtigen USB -Key oder Hinweise wie man Gute identifizieren kann. Zum Beispiel das sie Fido2 kompatibel sind oder so? Auch schön wäre, wenn du zeigst, wie man einen physischen Schlüssel klont, damit man auch beide Schlüssel zum selben Zweck verwenden kann. Oder wird das in der Software geregelt?
Den Public Key würde ich als Vorhängeschloss erklären. Jeder kann es schliessen ohne Kenntnis des Schlüssels haben zu müssen. Das ist einfacher zu verstehen.
Das ist einfacher, aber leider falsch. Der öffentliche Schlüssel kann sowohl Ver- als auch Entschlüsseln. Die jeweils andere Operation ist dann nur noch mit dem privaten Schlüssel möglich.
@@toniferic-tech8733 Das ist leider nicht ganz korrekt. Was mit einem privaten Schlüssel verschlüsselt wurde kann mit dem öffentlichen Schlüssel entschlüsselt werden. Das ist (vereinfacht gesagt) die Grundlage von Zertifikaten. Auf diesem Weg kannst du deine Identität bestätigen. Du kannst ja auch z.B. bei PGP sowohl verschlüsselte E-Mails senden, als auch deine eigenen Mails unterschreiben.
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏 Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey? Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind? Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen. Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts. Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird. Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen. Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^ Danke dir für die Informationen.
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden. Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
cooles Video !=) Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
bei google gabs diese probleme ja schon öfter, das der account gesperrt wurde, weil man kinderfotos von dem eigenen kind auf dem handy hatte. im prinzip bin ich schon deshalb raus. ausserdem kann man wohl trotzdem die session auf dem handy klauen und nutzen. und dann sind alle accounts easy vom hacker nutzbar.
Keine Gute Idee.. 1. Abhängigkeit 2. Wer weiss, ob das Ganze nicht irgendwelche Hintertüren für Behörden hat? Fazit: Das gute alte Passwort ist immernoch das Beste... im Video wurde leider unterschlagen, dass z.b die Polizei dein Gerät unter Zwang mit dem Finger oder Gesicht entsperren könnte.. das geht mit einem Passwort halt nicht 😉 deshalb immernoch das Beste.
(Ich habe im Video nicht alles gesehen aber) wollte sagen dass der Dienst 1Password passkeys schon weitaus länger als Google & Apple hat, der TItel ist somit (meiner Meinung nach) irreführend
naja, die 100% Sicherheit gibts halt nicht. 100% Sicher ist nur sich einfach aus dem Internet rauszuhalten. Festnetztelefon, Brief statt Email, Überweisung am Bankschalter abgeben statt Onlinebanking und Kaufen im Laden vor Ort. 😎 Punkt.
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
![[TH] 2024 PMSL SEA W2D1 | Fall | ต่อเนื่อง ในสัปดาห์สอง](http://i.ytimg.com/vi/ElcO9uC_Dbk/mqdefault.jpg)
Das "Aber..." ist genau der Punkt und die Synchronisierung bedeutet, wenn man den Google Account verliert, verliert man alle Accounts. Sich selbst auszusperren ist meiner Meinung nach das viel größere Problem als das Opfer von Hackern zu werden.
genau das sehe ich auch
Des Weiteren freuen sich sicher auch die triple digit agency's. Zugang bei jedem einzelnen Dienstleister anfragen? Nö kein Problem. Einfach zu Apple oder Google und die Passkeys aushändigen lassen. Perfetto.
Gibt mittlerweile Passwort Manager. die Passekeys unterstützen, ganz unabhängig von Google und auch Open Source. Passkeys sind standardisiert und haben nix mit Google zu tun.
@@Sertsch iCloud ist mittlerweile E2E verschlüsselt, Apple kann nichts aushändigen, was sie nicht haben. Des weiteren musst du deine Passkeys ja nicht bei Google und Apple speichern.
Wer Google zu wichtig nimmt, hat die Kontrolle über sein Leben verloren...
Hallo Herr Morpheus, ich mag sehr Ihre Videos. Danke, dass Sie sich immer die Mühe geben, so viele komplexe Sachen zu erläutern und dabei stets coole Brillen tragen. Danke.
schön wie das Video einfach 13:37 Minuten lang ist. Premium Content.
Ich finde so was sehr interessant, weil mir vor drei Jahren auch mal was passiert ist, von dem ich dachte, so was würde mir nie passieren. PC-Sicherheit ist sehr wichtig und einige deiner Videos zu dem Thema finde ich schon ziemlich nützlich und insprierend.
Zum Thema Fingerabdruck. Da ich hobbymäßig manchmal mit Holz arbeite habe ich gelegentlich keinen. Das ist mir erst aufgefallen, als ich für meinen Persi oder Reispass einen brauchte und die im Amt keinen gültigen Fingerabdruck bekommen haben. Ich glaube der Mittelfinger von der linken Hand wurde dann mal akzeptiert. Also Fingerabdruck wäre für mich nichts.
Zehen sollten auch gehen ;)
Zur Freigabe des Passkeys ist nicht der Fingerabdruck wichtig, sondern die Entsperrmethode des Geräts auf dem Ihr Passkey gespeichert ist. Benutzen Sie PIN oder Passwort, um ihr Gerät zu entsperren, ist das dann eben auch die Methode, um den Passkey freizugeben. Benutzen Sie den Fingerabdruck und Sie verlieren den Finger: entsperren Sie Ihr Gerät mit dem Geräte-Passwort und ändern dann in den Einstellungen den Finger, mit dem Sie sich zukünftig Ihr Gerät entsperren wollen. Mit diesem Finger geben Sie dann auch zukünftig den Passkey frei.
@@sukohurodann wären wir wieder beim Passwort.Der jenige der mein Gerätepasswort hat kann also auch meine Accounts entsperren?Sehr sicher und sehr durchdacht.(Ironie)
@@fibisworld7717jemand der den physischen Schlüssel zu deinem Haus hat, kommt auch hinein 🤷🏼♂️
Was mir bei diesen Konzepten fehlt, ist der Mittelweg. Sprich: Der Key verlässt zwar nie das Gerät in Richtung Cloud aber es gibt trotzdem eine Möglichkeit, eine lokale Kopie von dem Schlüssel auf einem Stick zu machen (oder umgekehrt) - zum Beispiel in einer sicheren Umgebung beim Booten. Ein anderer Ansatz wäre es, wenn man den TPM-Chip mit einem externen Key initialisieren oder autorisieren könnte. Das hätte auch den Vorteil, dass man die Schlüssel für ein verlorenes Gerät einfach widerrufen kann, so lange man noch den Master hat (zB im Banksafe).
Geht bei iPhones schon.
Jetzt hätte ich ja gerne ein Video dazu, wie man solche keys einrichtet und nutzt. Das wär klasse.
Ich hatte den Familienoberhauptvogel schon fast vergessen!
Seit Jahren nicht mehr dran gedacht, aber direkt wieder nen Lachflash bekommen! :'D
Familienoberhauptvogel, alter ... xD
Ein Stück goldene Geschichte 😁
ist man da nicht noch mehr an sein Gerät gekettet und macht sich noch mehr abhängig von den digitalen Grosskonzernen? (die wenigsten werden extra sticks verwenden)
Rückschritt von MFA auf einen unsicheren Faktor… schon vergessen, wie schnell Fingerabdrücke und Gesichtserkennung geknackt wurden?
Vertrauen auf einem TPM Chip, von dem Du genau gar nichts weißt? Ggü Konzernen, die (nicht nur) in den USA an die Behörden liefern müssen?
@@Mineroboter
Völlig einverstanden…
Wenn jetzt der private Key in der Cloud landet oder aus einem TPM Chip aufgrund von Backdoors gestohlen oder nach der Generierung auf dem Weg in den TPM Chip ausgeleitet wird, braucht man nur noch deinen Fingerabdruck oder dein Gesicht und kann deine Identität annehmen. Keine große Sache, wenn der Gegner es will oder schlicht das Recht zur Zwangsentsperrung hat wie in D die Polizei. Die nimmt einfach dein Gesicht oder Finger und gut. Lies mal die Berichte dazu, das geht seit einiger Zeit.
Im übrigen braucht man nicht deinen Fingerabdruck oder Gesicht, sondern die Prüfroutine muss dem BS ein ok zurückmelden.
Sehr gut erklärt, mit Vor- und Nachteilen, sowie Ausblick. Außerdem geiles T-Shirt :D
Wie praktisch, jetzt hat Google nicht nur den Zugriff auf die Daten von meinem Telefon, sondern auf mein ganzes Leben. 👍
Und es ist ja sicher problemlos möglich, die passkeys von Apple nach Google zu übertragen, falls ich von iOS nach Android wechseln möchte! oder?
Wäre natürlich super, wenn die Unternehmen da eine zusätzliche Hürde hätten, wenn man auf die Idee kommt, ihr Öko-System verlassen zu wollen!
Bis die ersten Accounts bei den Anbietern gesperrt werden und man keinen Zugang mehr zu den kompletten Internet bekommt weil alles bei den Anbietern gespeichert ist. Netter neben Effekt das Öko System zu wechseln von Apfel zu Android wird damit noch mehr erschwert oder haben die Anbieter vor ein Transfer der Schlüssel zu erlauben?
Ich würde wenig gern auf richtige Passwörter verzichten wollen, auch wenn diese mehr als Backup dienen.
Denn allein schon mit 2FA's hatte ich in Vergangenheit schon größere Probleme, an manche Accounts zurück zu gelangen, weil mein Smartphone, auf welches die Apps für diese 2FA's installiert war, kaputt gegangen ist und somit unbrauchbar wurde.
Würde mir das jetzt passieren, ohne Passwörter als Backup zu haben, dann hätte ich diese Accounts wohl für immer verloren und das darf halt nicht passieren.
So gut es auch gemeint ist von der Sicherheit her, aber das Risiko sich selbst für immer auszusperren ist da leider eine zu große Red Flag.
so kompliziert erklärt das da die oma am anfang schon nicht mitgekommen ist😂😂😂
damit hat man im enttefekt einen key den man überall nutzen muss, womit man warscheinlich früher oder später noch mehr Daten von dir hat weil man ja weis wender Key gehört. Top
Nein. Du hast es nur nicht verstanden. Selbstverständlich hat jeder Dienst einen eigenen Schlüssel.
Passwörter sind ersetzbar, biometrische Daten sind einzigartig. Wenn diese einmal kompromittiert werden, dann Prost-Mahlzeit.
Wie sollen die kompromittiert werden, wenn sie das Gerät nicht verlassen? Außerdem ist die Nutzung von Passkeys nicht an Biometrie gebunden.
Ich denke es wird beim Thema IT Security immer ein Kompromiss zwischen Sicherheit und Benutzerfreundlichkeit geben. Ich habe sogar schon Leut kennen gelernt die lieber
ungebremst auf die Nase fliegen (Bankkonto, Google Konto, etc leer oder weg) als sich 2FA einzurichten. Und da müsste man sich auch was überlegen, aber sollte man Menschen hier vor sich selbst schützen?
Naja, es gibt auch einen Führerschein zum Auto fahren und Finanzierung der cybercrime Industrie ist nicht gerade was gutes, daher für solche Menschen einfach passkeys 😅👍
@@TheMorpheusTutorials wenns nur so einfach wär. Der gute hat nen Android Phone mit etwa Android 6, ne Windows Vista Kiste und mein altes Macbook von 2014 ;D Ein Boomer wie im Lehrbuch
Genau solche Menschen (die absichtlich ihre Sicherheit vernachlässigen) sollten per Gesetz einfach jegliche Ansprüche verlieren.
Mir wurde immer beigebracht "Dummheit und Unwissenheit schützen vor Strafe nicht"
Wieso ist das bei der Cybersecurity anders? Wieso dürfen die Leute so extrem dumm handeln und am Ende muss es die Gesellschaft ausbaden?
Passwort ist immer beste
Bankkonto geplättet .. da hilft ein offline sparbuch ...
PGP und SSH lässt grüßen.
Ich finde das ganze nicht zu schlecht. Passwörter werden bei mir trotzdem nicht obsolet. Dazu vertraue ich Biometrie nicht und staatlich kann man dazu gezwungen werden oder es lässt sich auch anders salopp beschrieben austricksen. Ein Passwort kann ich immer noch "vergessen". Klar nutze ich Fingerprint aber eingeschränkt am PC und auf dem Smartphone weiß ich eben was ich damit mache (und was nicht). Ich logge mich auch nicht mit Google und Co. bei anderen Diensten ein, sondern erstelle immer einen neuen Account.
Unterm Strich wird der Angriff zwar schwieriger, die Methoden werden sich aber anpassen. Von daher finde ich die weitere Abhängigkeit nicht unbedingt gut. Das Problem verschiebt sich nur.
Aber dann dass Passwort in einen passwortmanager verwahren ist ok? Oder merkst du dir für jeden Account dein Passwort? Oder verwendest du immer das gleiche und einfaches? Warum sollten die Hersteller denn nicht sicher mit den Passwörtern umgehen? Google weis doch eh alles. Die brauchen dein Passwort nicht. Jedoch haben die doch Interesse, dass die Accounts alle sicher sind. Ich denke bei dem Thema sind Unternehmer und Benutzer einer Meinung.
@@GunniBusch1 Die hätten sicherlich auch Interesse an Biometrische daten, so wie die Interesse an jeglichen Persönliche daten haben, also wieso sich nur auf Elektronische daten einschränken ?
@@IkmaLPCTund genau da beginnt das Problem.
Bis alles erfasst ist und schön in digitale social/öko scores verrechnet werden kann....
@@MineroboterToll und das macht es ja auch soooo viel sicherer.😂Da braucht nur jemand da das Passwort oder Muster kennen etc und kann dann meine Accounts damit öffnen.Ganz toll.😂
Wieso ist es gut wenn ich meine persönlichen Zugangsdaten in proprietärer Umgebung speicher über die letztlich zwei Unternehmen, Apple und Google, die Kontrolle haben? I don't get it. 🤔
ja krass. Ich bleibe beim Yubikey aber für die Massen ist es ok wenn nur Apple und Google das verwaltet.
Ich werde das Gefühl nicht los dass die 2 großen den Dreibuchstabigen das Hintertürchen sichern wollen😂🙈 Paranoja läst grüßen…
Das fühlst Du richtig, die haben bei Google und Co. eh schon eigene Büros (siehe Twitter).
Also ich nutze Google Authenticator und den von Microsoft. Was mich daran stört ist warum nicht alles in einer App. Passkeys nutze ich schon seit Apple es rausgebracht hat und es immer populärer wird. Tolles Video! Folge dir noch nicht lange aber lerne immer wieder was dazu.
Ich nehme an du meinst die 2FA Codes? Ob man den Google authenticator oder den von Microsoft oder irgendeinen anderen verwendet, ist da vollkommen egal. Der Algorithmus dahinter ist bei allen derselbe. Ich habe alle meine 2FA Codes in einer App, die weder von Microsoft noch von Google kommt
Keepass kann das z.B. in den neueren Versionen. Wann immer man einen 2FA-QRcode scannen soll, gibt's in der Regel die Chance, an dessen Inhalt manuell ranzukommen.
wozu hast du denn 2? Du kannst jeden beliebigen nehmen. Auch wenn MS immer seinen eigenen vorschlägt. Ich würde 2FAS nehmen. Open Source und hat sogar Chrome Erweiterung, dann muss du nicht mal die Ziffern per Hand eingeben.
@@Evil_Morty1337Die passwortlose Anmeldung bei Microsoft funktioniert nur mit dem Google-Authenticator.
schade, dass du auf Fragen nicht antwortest. Ansonsten gefällt mir den Kanal gut
Hallo @Morpheus, ich bin vor kurzem auf diesen Kanal gestoßen, finde ihn sehr informativ. Auch des Thema mit Sicherheit, 2FA und Passkey.
Eins verstehe ich allerdings nicht, weil ich mich noch nicht so tief mit dem Thema befasst habe. Aber werde durch solche Videos mehr und mehr für das Thema Sicherheit sensibilisiert. Danke dafür!
Apple und Google haben doch dann meine kompletten und wichtigsten Daten was mich im Netz als Person von einer KI unterscheidet, oder?
Irgendwie sehe ich das auch als hohes Risiko an, wenn ich zu einer AppleID einen Fingerabruch und ein Gesicht hinterlegen muss...
Ist es wirklich sicher? Kann Apple nicht an meine Daten, weil Sie verschlüsselt sind (gibt doch bestimmt irgendwelche Backdoors, für FBI und ähnliche Strafverfolgungsbehörden)
d.h. Hacker haben dann zukünftig nur noch ein Ziel. Apple, Google und Co. (wo mein PassKey synchronisiert ist) und dann hat man alle Daten vom Millionen von Nutzern.
Theoretisch sind die Passwörter nur in den Chips des jeweiligen Endgerätes, allerdings weiss keiner was es für Hintertüren gibt, wenn diese entdeckt werden muss auch immer ein Sicherheitsupdate nachgeschoben werden.
Sind die Passkeys wirklich nur auf den Endgeräten? Bei Apple werde ich gezwungen den iCloud Schlüsseldienst zu verwenden…
Hallo Cedric
Kannst du bitte mal Proton Pass
durchleuchten.
Wie sicher dieser kostenlose Dienst ist.
Danke für deinen tollen Content
na ja ich sehe Daten zum Beispiel ein Problem darin mir ist jetzt zum Beispiel letztens mein Endgerät kaputt gegangen und wieder hoffentlich dass ich das noch nicht mal mehr reparieren zu lassen und wie ist das denn wenn man da diesen Schlüssel Halt braucht um an diese ganzen Daten wieder anzukommen weil man sich zum Beispiel irgendwo wieder einloggen muss und wenn da halt dann das Endgerät noch defekt ist und man die Möglichkeit nicht mehr hat ist das meiner Meinung nach sehr schlecht
Auch ich bin ein rießiger Fan von Passkeys. Ich teile ähnliche Bedenken wie du, dass wir bis jetzt die privaten Schlüssel den großen Tech-Playern anvertrauen müssen. Als Familienadmin habe ich mich aber um die Einführung von FIDO USB-Sticks gedrückt, weil ich die Leute eh nicht überzeugt bekomme, dass sie zwei Sticks pflegen müssen. Alles was über zwei Aktionen erfordert, ist für den DAU mindestens eine Aktion zu viel und wird als unbrauchbar abgetan.
Passkeys kümmern sich mehr oder weniger selbstständig um das Backup des Schlüsselbundes.
Kann man beides gleichzeitig nutzen? Also Passkeys und einen physischen Schlüssel?
Wenn es der Dienst (icloud, Amazon oder was auch immer) unterstützt, natürlich. Ich hab zb bei Icloud, und paar anderen Diensten, Yubikeys und gleichzeitig Passkey aktiviert. zb am PC nutz ich dann nen Yubikey, und am iphone/ipad den passkey(der aber am PC auch gehen würde)
Hi, mega interessantes Thema, aber ich weiß nicht, wie es bei älteren Hash verfahren ist. Aber meines Wissens nach, ist alles asymetrische nicht quanten sicher. Wenn jetzt gerade alle Konzerne sagen sie würden riesen Fortschritte damit machen, wäre es dann nicht besser etwas anderes zu suchen. Also zumindest Staaten können dann demnächste einfach alles mitlesen oder sehe ich das falsch?
Ich habe da mal eine Frage dazu: Was ist mit den Passkeys, wenn eine Regierung die Herausgabe der Schlüssel von diesen Unternehmungen a la Apple oder Google fordert? Damit wäre ja wiederum die verschlüsselte Kommuniaktion „as usual“ gebrochen und kontrollierbar.
Dazu müsste die Regierung erstmal die zu den Passkeys gehörende Geräte haben. Auf den Servern der Unternehmen befinden sich nur die Public Keys aber nicht die Private Keys (die im Normalfall auf dem Gerät bleiben).
Natürlich geht es darum! Irgendwie muss man die ganzen Verschwörungstheoretiker in den Griff bekommen.
Im Video wird doch gut erklärt, wie so ein restore funktioniert. = Über diese Funktion, kann Apple/Google der Regierung alles rausgeben. @@coloneljacensolo2011
@@coloneljacensolo2011Wenn der private Schlüssel beim Anbieter gespeichert wird, dann braucht man eben keinen Zugriff aufs Smartphone.
@@__christopher__ - danke, das meinte ich eben… Wenn der private Schlüssel transferierbar auf ein anderes Gerät ist, wer sagt dann, dass eine Regierung nicht Druck auf ein privates Unternehmen ausüben kann.
Was das ganze wieder mit „Verschwörungstheorien“ zu tun haben soll, kann ich nachvollziehen. Ich möchte einfach nur Privatsphäre…
Gott is die Zeit heute manchmal anstrengend mit diesen Fingerdeutern und irgendwas rausrufen, hauptsache irgendwas is gesagt…
Ich will aber keine biometrische Daten verwenden. Ich traue den Betriebssystemhersteller auf meinem Handy nicht.
Die haben schon genug Daten von mir, da brauchen die nicht noch Fingerabdrücke und Gesicht. Dann bleib ich doch beim Passwort☹
Dann schaffe dir doch yubi keys an oder eine der vielen alternativen.
Und was ist mit dem Thema Face ID und Fingerprint als Sicherheitstechnische Katastrophe?
Exakt, was ich mich fragte. Fingerprint relativ einfach fakebar...
Und gibt es da eine Lösung, die nur Hardware und Software einsetzt, der ICH vertraue? Also PC und Handy mit Linux, kein Google, Apple oder Microsoft. TPM und Co sind darauf ausgelegt, dass andere meinen Geräten mehr vertrauen als sie mir vertrauen. Nennt mich paranoid, aber ich vertraue Smartphones nicht, gerade weil Google, Banken und Co ihm vertrauen. Sobald ich versuche zu kontrollieren was auf dem Smartphone läuft, ich es also roote, sind Smartphone+ich nicht mehr vertrauenswürdig.
Interessantes Thema, aber mir macht die verdummung oder diese Faulheit oder immer sind andere dafür verantwortlich sehr viel angst und ich finde es sehr gefährlich und tragisch. Das ist dann der Punkt wo man anfängt Freiheiten gegen Sicherheit einzutauschen egal in welchen Bereichen.
Das hat nichts mit Passwörtern zu tun. Aber es hat alles mit biometrischer, personenbezogener Identifikation = Anti-Anonymität zu tun. Als Nebenprodukt kann man dann der Schwiegermutter nicht mehr helfen, wenn sie wiedermal ihre Handyeinstellungen versaut hat.
korrekt wie du es schreibst, es steht in Verbindung mit der Personal Web3 ID. Da der Google Cloud Service für alle EVM Sidechains Nodes Validiert zur dauerhaften Anbindung kommenden Payments-and-infrastructure services
google und apple mögen dass, je mehr leute sich nicht in ihren google oder apple accounts einloggen können, desto weniger gebrauchte geräte landen auf dem markt
Genau mein Gedanke
Die personenbezogenen Daten bleiben allerdings ebenso wie der private Schlüssel auf dem Endgerät. Sofern also keine persönlichen Daten freiwillig anderswo deponiert werden, bleiben sie auch privat.
Für den durchschnittlichen DAU spielt die möglichst hohe Anonymität im übrigen kaum eine Rolle. Nur der Missbrauch persönlicher Daten ist unerwüscht.
@@_larkin_321 der DAU regt sich allerdings tierisch auf wenn er ausversehen ein Pin/Muster eingestellt hat an das er sich nicht erinnert und dann das Gerät nur noch wegschmeißen kann (alles schon erlebt).
Eine solche Lösung wäre einem DAU nicht zu zu muten.
Wie ist das mit dem digitalem Nachlass? Ich und meine Frau kennen den unsere Handycodes aber haben nicht den Finger oder das Gesicht registriert. Komme ich dann bei einem Ableben auf die Konten? Zurzeit haben wir ein gemeinsames Passwortbuch und nutze den Apple Passwortservice auf dem Handy. Das Handy wird immer mehr zur Zentrale meines Lebens. Banking, Passwörter... Da muss man so langsam echt ein funktionierendes (älteres) Zweitgerät haben.
Schwerer und sicherer. 😂😂
Als ob.
Man hat nur ein Gesicht und ein Finger.
Passwörter kann man ändern, das Gesicht und den Finger nicht!
Dann lieber ein Zwangs-Login oder Löschung des Accounts.
Besonders dann, wenn man einen Account aufgedrängt bekommt wie bei Google bei Android Handys!
Fazit: Ich möchte beim Passwort bleiben!
13:37. Perfektion!!!
Yes :D
Keine Ahnung, ich verstehe nicht einmal das Konzept oder was ein Passkey ist. Tolles Wort, bisher nur eine Worthülse für mich für etwas, was ich noch nie in Action gesehen habe. Irgendwie schein ich ja weiter ein zweites Gerät dabei haben zu müssen und da habe ich keinen Nerv drauf. Ist nur ein verbesserter 2-Faktor-Gedöns.
Login mit biometrischen Daten ist fast so, wie mit dem Passwort auf dem T-Shirt aufgedruckt herumzulaufen.
Die Verbindung zwischen Metallica-Shirt und Metallica als Passwort, kommt bestimmt häufiger vor als man vermuten mag. XD Fühlt sich wer erwischt?🤣
@@AuftragschilIer LOL, das wär mal einen Versuch wert, die Accounts aller Metallica-Konzert-Besucher versuchen zu hacken.
Prinzip nicht verstanden? Mit den biometrischen Daten wird der lokale "Tresor" aufgeschlossen, in dem die Schlüssel aufbewahrt werden, sie dienen nicht zu Anmeldung und verlassen ebenso wenig das Gerät wir die Schlüssel.
@@kayh4656 LOL. Und wo ist der Unterschied, ob ich den Schlüssel zum Aktenkoffer in der Hand an der Halskette trage, welcher erst den Zugangs-Schlüssel beinhaltet oder gleich den Zugangsschlüssel an der Halshette.trage?
Wie auch immer: Biometrische Daten sind immer eine recht schlechte Idee zur Zugangssicherung. Ausnahme wäre evt. der Abdruck der kleinen Zehe oder die Pennis-Biometrie. Dann hat nur die (Ehe)frau und/oder Geliebte Zugang.
;)
@@kayh4656daran glaube ich nicht.. ich wittere böses
Endlich kommt das Thema ein bisschen voran und wird populärer. Die im Video angesprochene "...Aaaaber", wie z.B. Synchronization über mehrere Geräte, können aber zum Teil behoben werden, wenn man Bitwarden oder Vaultwarden auf dem eigenen Server einsetzt. Die Backup-Möglichkeit des ganzen und natürlich verschlüsselten Vaults in der Cloud oder anderen Medien wäre auch möglich. Wäre es nicht ein interessantes Thema für den Channel und Zuschauer?
So und jetzt erklär das alles mal Leuten wie Schülern ,Großeltern etc .Viel Spass dabei.Für mich trotz etwas Plan zu kompliziert.Das Telefon mit Accounts sollte es auch bleiben.Nicht jeder muss ein Profi für ein Telefon sein!
Interessant, hab direkt mal mit 2 Klicks Passkeys bei WhatsApp aktiviert. Nun Frage ich mich ob und wie ich die sichern kann. Auch wenn ich Google und Microsoft umstelle auf PK, wie sichere ich die und wie synchronisiere ich PC mit Handy? Ein Tutorial dazu wäre super 🙂👍🏻
Hab seit 10 Jahren Das selbe Passwort und wurde noch nie gehackt :D
Bezüglich der ausgehebelt en Sicherheit, wäre es dann nicht eine gute Idee, den zweit Schlüssel um das sicher zuhalten. Den im EC Karten Format zu gestalten, zu jedem neuen Telefon gibt es eine solche "karte" oder so ein Tag coin als Beispiel. Und mit diesem kann man dann, den Schlüssel zurücksetzen.
Du meinst sowas wie einen Yubikey? Ich glaube Du bist da etwas grossem auf der Spur ;) (Sarkasmus beiseite) Gibts schon (zwar noch nicht in ec Kartenform) aber nimm doch einfach einen Fido2 Hardwarekey?!
Mit so einem NFC Chip, kann man ja auch autoladesäulen freischalten. Warum dann auch nicht so. Der einfachste Weg ist doch manchmal der beste. Cheers.
@@playtopia336Problematisch ist dabei, dass man für das zurücksetzen eben nur einen Faktor braucht: Die Checkkarte. Das bedeutet für einen Angreifer ist es einfacher die Karte zu klauen und die Passkeys zurück zu setzen, als an die Passkeys selbst zu kommen. Somit wäre das Verfahren nicht sicherer als das zurücksetzen seitens Google oder Apple.
ich hab noch nie einen Account verloren. Ich sehe eher, dass man sich auch mal ganz fix aussperrt und man weiß ja wie der Support bei diesen Unternehmen so arbeitet. Dann das Problem wenn man mehrere Geräte mit einem Account benutzt. Ich bleib lieber bei meinem Passwortmanager
Niemandem hilft ein super sicheres Verfahren, das so kompliziert ist, dass es kaum einer nutzt.
Usability war schon immer Teil von Sicherheitsmechanismen, nicht ihr Gegner… my two cents als security expert nach über 20 Jahren in der Branche.
weiß nich schreckt mich dennoch ab das wenn das smartphone stirbt das man an nichts mehr rankommt.Leider für mich keiner zukunftsichere alternative
Ich bin altmodisch... Meine Passwörter stehen immer noch auf Papier.
Klar muss ich die immer per Hand eingeben, aber was tut man nicht alles für die Sicherheit.
Ich bleibe schön bei den Passwörter, mir ist der Fingerabdruck einbisschen zu viel.
Ich bräuchte wohl ein neues Handy um mich mit den Finger anmelden zu können.
Schön zusehen das du auch ein "Montagsmaler" bist
Bin mal gespannt wie sich das entwickelt und ob sich das wirklich für die breite Masse durchsetzt.
Danke fürs informieren 👍
Ich fände es toll, wenn du gerade zum Thema webauthn ein Video Tutorial machen könntest.
1. Wird (wenn) nur bei Neu angelegten Accounts funktionieren.
2. Haben sehr viele Handys keinen Biometric Scan.
3. Support von Big Companys, gibt's schon lange nur noch von Chat Software.
4. Die Sperrung der Passwortfunktion, würde ca 70-80% der Accounts unbrauchbar machen!
Was quasi Selbstzerstörung wäre!
Schönes Video. Ich habe aber noch eine Anmerkung. Auf einem PC wird nicht zwangsläufig das Handy benötigt. Unter Windows kann man auch einen gerätegebundenen Passkey anlegen, der dann aber nur auf dem Gerät zur Verfügung steht und demnach nicht synchronisiert wird ==> Keine Recovery-Möglichkeiten. Grundsätzlich kann man zwischen synchronisierten Passkeys (Android & Apple oder externer Passwortmanager) und gerätegebundenen Passkeys (Windows oder externes Gerät wie ein Security-Key) unterscheiden. Das Verfahren ist genau dasselbe, nur die Art der Speicherung ändert sich. Passkey stellen demnach nur einen massentauglichen Begriff für sog. Discoverable Credentials dar (Teil der WebAuthN-Spezifikation).
Aber solche synchronisierte Passkeys sind NICHT sicherer als ein Security-Key. Weil man hierbei einfach eine Third-Party hat, die theoretisch attackiert werden könnte.
Es ist schon einsehbar, welche Maßnahmen Google und Apple ergreifen, die synchronisierten Passkeys zu schützen und zwischen Geräten zu synchronisieren. Da gibt es paar offizielle Stellungnahmen und Blog-Beiträge der Entwickler. Es wird in jedem Fall eine 2FA benötigt, bevor die Passkeys über mehrere Geräte synchronisiert werden. Aber ja, hier sind Passkeys nur maximal so sicher wie die Recovery-Prozesse.
Was auch noch wichtig ist, ist dass der Standard kontinuierlich weiterentwickelt wird. Aktuell ist man bei den synchronisierten Passkeys noch an ein Ökosystem gebunden. Dennoch wird aktuell an einem Ökosystem-übergreifenden Austauschverfahren gearbeitet, sodass sich Passkeys in der Zukunft auch zwischen mehreren Ökosystemen austauschen lassen. Aktuell haben Passkeys noch schlechte Recovery-Mechanismen und können daher Passwörter und alternative 2FA Verfahren noch nicht wirklich ersetzen.
Das Thema klingt sehr interessant! Danke dir für das Video
Das ist keine gute Idee das Google den zweiten Schlüssel hat ?? 🤔
Welchen zweiten Schlüssel hat Google?
@@kayh4656 die zwei autentifizirung Schlüssel einer hat der User und denn anderen hat Google 🤔
Hey Morphy 😋
Ja da beginnt man sich wieder ins eigene Knie zu schießen, vielleicht nicht so dramatisch aber in etwa.
Allerdings kam mir bei der Erwähnung vom Yubikey und der Erwägung, zur Sicherheit 2 zu haben ein anderer Sync Gedanke. Es wäre doch schön wenn man einen solchen Yubikey während der Erstellung des Passkey als Backup-System mit angeschlossen haben könnte, auf dem man nur während des Prozesses der Erstellung des Passkey eine Sicherung syncronisiert. Dieser wird dann weg gelegt und fertig ist die Sicherung. Oder man macht es wie in der Kryptowelt mit 24 Wörtern oder wenn icn an meinen vorherigen Vorschlag denke an eine Art Ledger oder BitBox etc etc. Die sind doch auch recht sicher, bzw waren wenn ich an die Entwicklung des Ledger denke😢.
Genau dafür setze ich meine YubiKeys ein. Du kannst in der Regel mehr als einen Passkey für einen Dienst hinterlegen und bei Verlust auch einzeln deaktivieren oder löschen. Ich habe für die Anmeldung bei Google, Microsoft und ein paar anderen Diensten zusätzlich zu 1Password und Chrome auch 2 YubiKeys als Passkeys hinterlegt. Einen habe ich am Schlüsselbund, der andere ist bei meiner Oma im Garten vergraben. Die YubiKeys sind selbstverständlich mit einer PIN gesichert.
Wie schaut es aus wenn das Handy verliert oder kaputt geht durch ein Unfall, Wasserschaden, runtergefallen, usw.?
Alles schön und gut.., nur hat eben nicht jeder Smartphone Nutzer Bock drauf, sämtliche biometrischen Daten seinem Smartphone und damit auch dem jeweiligen Hersteller anzuvertrauen....!
Ich persönlich bevorzuge da eher die 2FA. Einfach und sicher.
Ich hasse 2FA verfahren - ich verzichte herzlich gerne und nehme sämtliche Konsequenzen in Kauf
Kannst du eventuell noch drauf eingehen was es bedeutet passkeys mit Passwort Managern wie 1Password zu nutzen?
Bin alt und habe gerade Bitwarden gekauft und quäle mich damit herum. Dort kann ich meinem Partner das Masterpasswort geben. Aber wie soll er mit meinen toten Augen mein Handy öffnen? Oder einen winzigen Schlüssel finden? Schon jeder Handywechsel ist grauenhaft.
Noch mehr Kontrolle für Google? Nein.
Das Passwort kann man für sich behalten. Aber Beamten ist es nicht verboten dir dein Handy vors Gesicht zu halten oder dich dazu zu zwingen deinen Daumen drauf zu drücken.
sicher? Hab das bisher immer etwas anderes gehört. Also das man das nicht unterstützen muss solange es keine Anordnung ist.
Seh ich genau so!
Gilt aber nicht nur für die Justiz sondern eben auch für Leute, die dich einfach um dein Geld oder Infos "erleichtern" wollen.
Es werden - glaub ich zumindest - immernoch mehr Leute ausgeraubt, als verhört. (Noch)
Smartphone vors Gesicht halten habe ich öfter gehört, Fingerabdruck müssten sie dich aber schon körperlich zu zwingen und das soll wohl nicht so einfach rechtlich möglich sein.
@@anonapacheWenn du eingeschlafen bist ist es natürlich ein enormer Zwang, Deinen Daumen aufs Gerät zu halten...
In welchem Lebensdrama kommt es vor, dass man von Beamten dazu gezwungen wird, das Smartphone zu entsperren oder einen bestimmten Account zu öffnen?! Was muss manman angestellt haben, dass das passiert…
Wäre toll das ohne biometrische Daten zu machen. Ich glaube wir sind noch nicht soweit, dass sowas sicher genug ist. Datenbanken mit Fingerabdrücken gibts auch schon.
Das geht selbstverständlich ohne biometrische Daten. Biometrie ist nur nötig um das Gerät und den "Tresor", in dem die Schlüssel gespeichert sind, zu entsperren. Du kannst stattdessen auch eine PIN, ein Kennwort oder ein Muster verwenden.
Wie Safe kann denn der 2te Passkey (Gesichtserkennung oder Fingerabdruck) sein, wenn man doch ggf. jeden mittels der guten alten Gewalt, dazu zwingen kann? Also etwa Laptop vor die Birne halten oder die Hand drauf drücken?
verstehe ich das richtig, dass passkeys auch fingerprint/face-id benötigen?
Hey finde Passkeys sehr interessant, könntest du ein Video machen wie man Passkeys mit einem Sicherheitsschlüssel macht wie zb. dem Yubikey?
Gibt es eine Empfehlung für den richtigen USB -Key oder Hinweise wie man Gute identifizieren kann. Zum Beispiel das sie Fido2 kompatibel sind oder so? Auch schön wäre, wenn du zeigst, wie man einen physischen Schlüssel klont, damit man auch beide Schlüssel zum selben Zweck verwenden kann. Oder wird das in der Software geregelt?
Den Public Key würde ich als Vorhängeschloss erklären. Jeder kann es schliessen ohne Kenntnis des Schlüssels haben zu müssen. Das ist einfacher zu verstehen.
Das ist einfacher, aber leider falsch. Der öffentliche Schlüssel kann sowohl Ver- als auch Entschlüsseln. Die jeweils andere Operation ist dann nur noch mit dem privaten Schlüssel möglich.
Nein falsch. Öffentliche Schlüssel können nicht entschlüsseln.
@@toniferic-tech8733 Das ist leider nicht ganz korrekt. Was mit einem privaten Schlüssel verschlüsselt wurde kann mit dem öffentlichen Schlüssel entschlüsselt werden. Das ist (vereinfacht gesagt) die Grundlage von Zertifikaten. Auf diesem Weg kannst du deine Identität bestätigen. Du kannst ja auch z.B. bei PGP sowohl verschlüsselte E-Mails senden, als auch deine eigenen Mails unterschreiben.
Kannst du mal ein Tutorial zu den Yubikeys machen? Habe schon lange einen, nutze den aber kaum.
Sekunde mein Rechner ist gerade abgestürzt 😂
Ich bin gerade im Ausland und kann nicht auf mein Bankkonto zugreifen, weil ich eine andere SIM habe. Ich bin also sicher ausgesperrt. 2-Wege Eliminierung des Nutzers.
Vielen Dank für den superspannenden Beitrag 🙏🙏🙏🙏🙏
Kann nicht eins meiner anderen Apple Geräte (watch, iPad, Mac) den Hardware-Schlüssel ersetzen, falls zB.das iPhone verloren geht oder gestohlen wird? Oder brauche ich trotzdem noch so einen YubiKey?
Und macht das überhaupt Sinn, wenn doch ein Großteil meiner Passwörter in der Apple Cloud sind?
Und wie sieht es mit 1Password aus? Hier brauche ich ja immer erst mein Passwort, um an die dort gespeicherten Logins zu kommen.
Kannst du da bitte nochmal etwas Licht ins Dunkel bringen?
Bei Apple muss ich Passkey ja auf jedem Gerät neu einrichten. Ist das nicht schon die Lösung? So bin ich wieder bei der Kombi aus Geräte und Passkey, oder?
Brauch ich den jetzt noch einen Passwortmanager wie z.b. Bitwarden, man man, das ist doch alles ganz schön Kompliziert, und Nervt nur noch, aber noch Viel schlimmer find ich die ganzen KYC verfahren wo man Ausweise an irgend eine Firma schicken soll die das KYC macht damit man einen Account eröffnen kann, ich trau der ganzen Sache nicht und denk das es hier dringend eine bessere Lösung geben muss!?
Also bleibe ich bei meinem 2fa und passwortmanager. Habe apple und 1passwort als Schutz. Denn zurückserzen bringt es mir nichts.
Ich bin auch nicht auf den Kopf gefallen, aber checke weiterhin nicht. Was wenn ich mein Smartphone tausche. Ich habe ein iPhone 14 pro und ein s23 ultra. An sich habe ich ja dann zwei Schlüssel aber kompatibel sind die doch nicht miteinander oder... Zurzeit mit Apple passwort manager und 2fa, welches ich bei Apple und 1passwort integriert habe fühle ich mich sicherer. Und einem fast kryptische passwort von über 20 Zeichen als Master.
Fingerabdruck von einem Getränkeglas genommen und Handy geklaut => Zugriff auf ALLES!!!
Ich weiß nicht, ob ich das will.
Was genau wird im Chip gespeichert? Das Schlüsselpaar wird für jede Webseite einzeln erzeugt, die können es nicht sein.
Frage: Wenn Apple und Google das Zeug in Password Manager gespreichert werden und in die Cloud geladen wird.
Hat Google / Apple dann nicht auch die Möglichkeit sich mit den Daten bei den Accounts Anzumelden?
Würde für Passwörter in Passwortmanagern ja auch gelten!
Deswegen, nein, diese Möglichkeit haben sie eigentlich nicht, wenn die Daten sinnvoll verschlüsselt sind. Um aber sinnvoll prüfen zu können bevorzuge ich Open source, zb bei Passwort Managern. Ist es closed source muss man sich halt drauf verlassen
@@TheMorpheusTutorials Die Sachen sind ja closed source und in den USA gibt es ja Bestrebungen (EU weiß ich nicht) Backdoors in Verschlüsslungen einzubauen.
Von daher bleibe ich dann doch Vorerst mal bei meinen Yubikeys. Sry bin da wohl Paranoid ^^
Danke dir für die Informationen.
@@crowATlinux
Nein bist Du nicht. Wer Apple, Google und staatlichen Akteuren vertraut hat die Kontrolle über seine Daten schon verloren 🙈
@@crowATlinuxDann nutz halt ab Android 14 Release einen Opensource Drittanbieter wie Bitwarden als Synchronisierungsoption. Über die Kompatibilitätsbibliothek sollten Drittanbieter auch unter älteren Androidversionen unterstützt werden.
Ich finde es gut Dinge kritisch zu hinterfragen und das persönliche Risiko abzuwägen. Das "da bin ich wohl zu paranoid" Argument habe ich in meinem Leben aber meist von Leuten gehört die einfach nur nicht verstehen wie Dinge funktionieren. Teilweise resultierte das dann in deutlich unsichereren genutzten Verfahren.
Omma Gertrude MVP
Oh man. Einfach mein Herzen kurz in 1000 Teile gebrochen in Minute 09:03 …. Schlüssel beim Schlüsselmanager No Go. Dann ist es wohl zu spät 🫣😮💨
Dann muss ich jetzt wohl eure Daumen abschneiden 😂
Fingerabdrücke vom Handygehäuse "stehlen" und damit dann einloggen ist wahrscheinlich relativ trivial für alle außer Gelegenheitsdieben.
Danke!
Ich danke dir vielmals ❤️
Als "Oma Getrude" gefällt mir Dein Content, speziell der zu den Sicherheitsthemen.
schön falls am handy der fingerabdruck sensor auf einmal versagt. ein passwort für alles ist leider nicht do optimal. falls man den google account verliert ist alles weg... das wird warscheinlich ein viel größeres problem werden.
cooles Video !=)
Was macht man wenn man sein Handy verliert? Man muss ja irgendein Backup Passwort haben. Das ist zum Beispiel eine Schwachstelle richtig?
Sry für Doppel Post die YT App spackt bisschen Rum auf Android mit: Text verwerfen oder weiterschreiben 😢
Warum eigentlich unbedingt Biometriedaten u. nicht irgendwelche physischen Schlüssel, wovon der ein oder andere im Safe als BU liegt?
Also würdest du es am Ende trotzdem empfehlen, für beispielsweise PayPal usw. Passkey einzurichten?
Ein weiterer Schritt Richtung RFID chip :)
Aber passkeys hat nichts mit den zwei Sicherheitsschlüssel zu tun die man als Passwort hinterlegen kann oder? Es gibt ja so eine Funktion wo man zwei Schlüssel als Zwei-Faktor-Authentifizierung hinterlegen kann. Das hat nichts mit passkeys zu tun oder. Ich hab das nämlich noch nicht so verstanden.
Niemals werde ich mich in diese Abhängigkeit begeben. 😵
bei google gabs diese probleme ja schon öfter, das der account gesperrt wurde, weil man kinderfotos von dem eigenen kind auf dem handy hatte. im prinzip bin ich schon deshalb raus. ausserdem kann man wohl trotzdem die session auf dem handy klauen und nutzen. und dann sind alle accounts easy vom hacker nutzbar.
Dann hast Du das Prinzip von Passkey, asynchroner Verschlüsselung und End-to-End-Verschlüsselung noch nicht verstanden.
Keine Gute Idee..
1. Abhängigkeit
2. Wer weiss, ob das Ganze nicht irgendwelche Hintertüren für Behörden hat?
Fazit: Das gute alte Passwort ist immernoch das Beste... im Video wurde leider unterschlagen, dass z.b die Polizei dein Gerät unter Zwang mit dem Finger oder Gesicht entsperren könnte.. das geht mit einem Passwort halt nicht 😉 deshalb immernoch das Beste.
😂 Omas brauchen keine Rezepte, die liefern die Rezepte.
(Ich habe im Video nicht alles gesehen aber) wollte sagen dass der Dienst 1Password passkeys schon weitaus länger als Google & Apple hat, der TItel ist somit (meiner Meinung nach) irreführend
Geiles Shirt :D
naja, die 100% Sicherheit gibts halt nicht. 100% Sicher ist nur sich einfach aus dem Internet rauszuhalten. Festnetztelefon, Brief statt Email, Überweisung am Bankschalter abgeben statt Onlinebanking und Kaufen im Laden vor Ort. 😎 Punkt.
Danke für das Video, sehr interessant! Achtung noob Frage :) : wenn ich den passkey aktiviert habe, kann ich dann 2FA via SMS bzw. Authentictor app deaktivieren?
Das hängt vom jeweiligen Dienst ab. Amazon hat es zur Zeit auch noch nicht ganz verstanden und verlangt zum Passkey zusätzlich noch einen 2FA-Code :-(.
Das mit dem private und public Schlüssel gibt es in der Linuxwelt seit eh und je, nichts neues also.