#40 - Passkey statt Passwort - was steckt dahinter? | BSI
ฝัง
- เผยแพร่เมื่อ 28 ก.พ. 2024
- Dienste und Webseiten bieten immer häufiger ein Login ohne Passwort an. Die neue Technologie heißt Passkey und ist besonders komfortabel. Das Besondere: Ihr müsst euch keine langen Passwörter merken, denn die Authentisierung basiert auf einem kryptografischen Verfahren. Dazu werden im Hintergrund zwei digitale Schlüssel erzeugt, die miteinander agieren: der eine liegt bei euch, der zweite beim Dienstanbieter. Bei jedem Login werden Aufgaben erstellt, die nur mit eurem geheimen Schlüssel gelöst werden können. So kann eindeutig belegt werden, dass ihr euch einloggt. Da der persönliche Benutzername und das Passwort wegfallen, ist euer Account auch besonders gut gegen Pishing-Angriffe geschützt.
Stefan Becker, Referatsleiter Cyber-Sicherheit für die Wirtschaft beim BSI, erklärt anschaulich, wie Passkey funktioniert und warum das Verfahren Cyberkriminellen das Leben besonders schwer macht. Durch das Gespräch führt das bewährte Moderatorenteam Ute Lange und Michael Münz.
Transkript zur Folge: multimedia.gsb.bund.de/BSI/Po...
Weiterführende Links zur Folge:
• Passkey einfach erklärt: www.bsi.bund.de/DE/Themen/Ver...
• Ausführliche Erklärung der Funktionsweise von Passkey: www.bsi.bund.de/DE/Themen/Ver...
Kontakt:
• Website: www.bsi.bund.de/
• Facebook: / bsi.fuer.buerger
• Twitter: / bsi_bund
• Instagram: / bsi_bund
• Mastodon: social.bund.de/@bsi
• E-Mail: bsi@bsi.bund.de - วิทยาศาสตร์และเทคโนโลยี
echt guter Podcast für den interessierten Laien, Abo dagelassen
Das freut uns - danke für das Lob!
Sehe verständlich kommuniziert. Weiter so 👍.
Danke!
Sehr gut! Abo!
Weiter so & Danke!
Danke :-)
Ist das nicht wieder ein Risiko wenn der Backup-Schlüssel, wenn auch verschlüsselt, auf meiner Smartphone Cloud abgelegt wird?
In der Theorie besteht hier ein Risiko, da in die Server eingedrungen werden könnte. In der Praxis verhindert dies aber noch ein zweiter Faktor, z. B. Ihr Fingerabdruck, den Cyberkriminelle nicht besitzen, sodass sie keine Anmeldung vornehmen können. Zudem müssten Täter den Passkey mit den entsprechenden Credentials, also beispielsweise dem Benutzernamen, verbinden. In Summe ist der Sicherheitsgewinn, gerade in Kombination mit dem Komfortgewinn, nicht von der Hand zu weisen.
Sicherlich ein sehr spannendes Thema was das eigene PW-Management vereinfachen wird. Die eine oder andere Frage bleibt jedoch offen.
1. Ist der private Schlüssel Betreiberübergreifend bei jedem der gleiche? Wie funktioniert es, wenn ich zu Hause ein Mac OS benutze und auf Arbeit einen Windowsrechner, und z.b. vom Büro den Status meiner Bestellung die ich mit dem MAC OS aufgegeben habe checken möchte? Woher bekommt Windows dann den Schlüssel für die Anfrage?
2. Wenn der / die Betreiber meinen privaten Schlüssel verwalten und sich dort ein Datenleck auftut und meine Daten inkl. des privaten Schlüssels abfließen, wie ist man da geschützt?
3. Wenn ein Anbieter z.B. den Zugang sperrt (ais welchem Grund auch immer). dann sind demzufolge alle Dienste dieses Anbieters betroffen. z.B. Emails. Ich käme nie wieder an meine Emails auch alle weiteren Emails-Accounts des Anbieters wären betroffen. .
Spannende Fragen, die wir hier leider nicht in aller Breite beantworten können. Aber kurze Einschätzungen haben wir natürlich:
1. Der private Schlüssel wird für jeden Dienst neu erstellt, egal mit welchem Betriebssystem oder Passwortmanager sie diesen verwalten. Wenn Sie häufig zwischen Betriebssystemen und Geräteklassen wechseln, empfiehlt sich die Speicherung in einem Passwortmanager oder einem Hardwaretoken. Passkeys, die z. B. bei Apple hinterlegt sind, lassen sich nicht ohne weiteres auf ein Windowssystem übertragen. Falls Sie die Passkeys auf dem Handy pflegen und am PC eine Anmeldung vornehmen möchten, können Sie den Login außerdem über Ihr Handy freigeben.
2. Das stellt der zweite Faktor sicher, der bei Passkey immer abgefragt wird. Das heißt, ein Täter müsste sowohl den privaten Schlüssel erbeuten wie auch z. B. Ihren Fingerabdruck.
3. In der Theorie könnte das passieren, in der Praxis ist eine plötzliche Abschaltung sehr unwahrscheinlich. Falls Sie sichergehen möchten, speichern Sie Ihre Passkeys auf einem Hardwaretoken, der dann entweder per USB am PC oder per Bluetooth oder NFC am Smartphone ausgelesen werden kann. Dann empfiehlt es sich allerdings, ein Backup für den Fall des Verlusts zu erstellen. Außerdem bieten die meisten Onlinedienste eine Funktion zur Accountwiederherstellung an, sodass Sie notfalls auch dann an Ihre Zugänge gelangen sollten.
passkey ist ein totes pferd
William Brown, developer of webauthn-rs, has written a scathing blog post detailing how corporate interests - namely, Apple and Google - have completely and utterly destroyed the concept of passkeys. The basic gist is that Apple and Google were more interested in control and locking in users than in providing a user-friendly passwordless future, and in doing so have made passkeys effectively a worse user experience than just using passwords in a password manager.