Gibt es dann auch optionen wie passkeys auf USB-Sticks oder ähnlichem? Bin gespannt was sich da in Sachen Privatsphäre dann alles machen lässt. Ob Passkeys die neue Methode für Anonymität im Internet werden oder uns gläserner machen als bisher wird auch spannend. EIn längeres Video über weitere Verwendungsmöglichkeiten oder auch andere, interessante Optionen dieser Art wäre wirklich cool. Sowieso immer super Videos von dir!
Was sollen Passkeys mit Anonymität oder Gläsern zutun haben? Man nutzt sie für eine Authentifizierung, also hat man schon einen Account am Wickel. Also ist kann höchstens pseudonym. Schlüsselpaare enthalten nur die Informationen, die man explizit bei der Erstellung eingibt, und sind ansonsten mehr nur zufällig generierte Daten...
@@lars7898 Die Keys an sich nichts. Eher das drum herum, wie sie nacher genutzt werden, wer dadurch was schlußfolgern kann, usw. Wenn ich mir schon vorstellen kann, wie man das nutzen könnte, dann können es andere auch, besonders jemand mit deutlich mehr Ahnung. Aus einem Passwort selbst kann man wahrscheinlich oft genug nichts ablesen. Allein die Option vl keinen Usernamen mehr zu benötigen bietet so viel Potenzial in beide Richtungen. Bin da sehr gespannt
@@philippXcarnifex Ja, man kann Passkeys auch auf Hardware Security Keys (z.B. YubiKey) speichern. Meinst du das? Auf herkömmlichen USB Sticks kann man Passkeys nicht speichern, denn sie lassen sich nicht exportieren, sie sind auf dem Security Chip des jeweiligen Geräts gespeichert. Im lokal auf dem Gerät gespeicherten Passkey wird das Schlüsselpaar (privater und öffentlicher Schlüssel), Name und Domain der Webseite, sowie Anzeigename und Benutzername (dieser Teil wäre dann wohl optional bei anonymen Accounts) gespeichert. Auf dem Server der Webseite ist nur der öffentliche Schlüssel deines Passkeys gespeichert. Weitere Daten dann eben je nachdem ob du diese angibst oder nicht. Die Webseite kann natürlich trotzdem eine eindeutige ID für deinen Benutzer erstellen und deine Aktivitäten auf ihrer Webseite tracken. Aber über mehrere Webseiten hinweg ist kein Tracking mit Passkeys möglich, da für jede Webseite ein eigener Passkey erstellt wird, und aus den öffentlichen Schlüsseln lassen sich keine Rückschlüsse zu deiner Identität ziehen.
Was ist die sicherste Form der Account Verschlüsselung? Einfach als Video Idee, wo du jede Form vorstellst und die Vor und Nachteile sowie deine eigene Meinung einbringst :) Gibt es eine Möglichkeit Passkeys auf einen analogen Gerät zu hinterlegen, wie ein 2FA Stick?
Im Prinzip ein alter Hut, wenn man zB unter einem GNU/Unix System mal ssh konfiguriert hat. Die Einrichtung kann nervig sein, je nachdem wie die passkeys auf den Geräten abgelegt werden. Wenn man sie zB in eine .kbdx file schreiben kann, die man dann über die Cloud mit allen Geräten synct, wäre das allerdings recht angenehm. Keepass kann ich dann biometrisch, per Passwort oder an einem PC mit einem USB-Stick, der als Schlüssel fungiert, entsperren. Dann wäre auch das Risiko bei einem Verlust des Gerätes minimal. Den Stick hab ich ja am (analogen) Schlüsselbund 😄
Hi Flo, kurze off-topic Frage: Am 6. Novemver 2022 ist Sword Art Online Day (Der Tag an dem in der Geschichte das Spiel SAO released wurde). Hast du dafür evtl ein Video zum Thema VR geplant? Das würde doch gut passen!
Vielen Dank für die einfache Erklärung - jetzt versteh ich das Passkeys-Thema. Bin noch am überlegen, ob ich die Passkeys verwende, da ich für die ganze Familie der "Admin" bin und deshalb die Geräteabhängigkeit nicht sehr spannend für mich ist.
Kannst ja Mal gerne ein Video machen, wie man sich über GitHub/SSH/etc. mit dem Public Key authentifiziert oder wie man ein Schlüsselpaar erstellt. Btw, was hältst du denn von z.B. Bitwarden als Passwort Manager? Ist man da auch vor einem Angriff sicher?
Ja, Bitwarden (Cloud basiert) und Keepass (manuell) sind die beiden Kennwortverwaltungen die man gut empfehlen kann. Je nach dem welche Art von Kennwortverwaltung man haben möchte. Bei "Sicherheit vor Angriff" kommt es immer darauf an was genau gemeint ist. Wenn ein Angreifer dein Gerät komplett in der Hand hat, kommt er natürlich auch an die Kennwortverwaltung.
Ich denke ich bleibe bei Bitwarden und 20 Stelligen Passwörtern, hört sich zwar ganz interessant an, aber die Gerätegebundenheit würde mir vor allem bei meinem Handy sorgen machen...
Ich bin kein Apple Nutzer (LiNuX aRcH ;) ) jedoch habe ich gehört, dass wenn man ein Apple Gerät nutzt, Apple bei Drittanbietern eine neue E-Mail Adresse für einen erstellt, die wiederum mit deiner Apple ID verknüpft ist. Ganz coole Idee.
Das Video gefällt mir wirklich gut (gut und kompakt erklärt). Zwei Sachen verwirren mich gerade jedoch insgesamt bei dem Thema am meisten: 1. Was ist mit 2FA und Passkeys? Entfällt 2FA quasi, wenn man einen Passkey benutzt? Oder ist die 2FA sozusagen im Passkey-Verfahren enthalten? 🤔 2. Was SIND Passkeys denn nun? Sind das "Dateien", die man - sofern man da dran käme - irgendwie auch so speichern könnte, oder wie kann man sich das vorstellen? 🤔
@@Florian.Dalwigk Die FIDO Alliance ist davon überzeugt, dass 2FA mit Passkeys nicht mehr notwendig ist, da bei einem Login mit Passkeys immer automatisch 2 Faktoren geprüft werden: Besitz des Passkeys (something you have) und Biometrie (something you are) oder Wissen (PIN, something you know). Quelle: Ein Vidoe von der RSA Conference mit dem Titel " Passkeys: The Good, the Bad and the Ugly" bei Minute 17:43.
@@Florian.Dalwigk Das Smartphone nicht zu schützen sehe ich wiederum nicht ein, weil man darauf ja persönliche Daten hat. Eine Bildschirmsperre eingerichtet zu haben ist (soweit ich weiss) Voraussetzung, um Passkeys zu nutzen.
meiner Meinung nach reicht es aus, wenn man einen Passwortmanager (am liebsten Keepass) hat und alle wichtigen Passwörter so ca. alle 6 Monate erneuert^^ Der Passwortmanager sollte natürlich ordentlich geschützt sein, mindestens 2fa mit einem yubikey z.B.
Warum sollte man die Passwörter ändern? Viele Sicherheitsexperten raten davon ab und wenn man die in Keepass o.ä. speichert ist es auch möglich ausreichend sicherer zu nehmen und was viel wichtiger ist für jeden Account ein anderes Passwort. Was macht man wenn der Yubikey defekt/verloren ist mit der Passwortmanagerdatei?
@@Florian.Dalwigk Da ich wenig Kentnisse habe, ist mir nicht geheuer, was z.B. mit meinem Fingerabdruck angestellt werden kann. Deshalb vermeide ich es, meinen Fingerbdruck und mein Gesicht ins Netz zu geben.
@@user-uo4gg3ek4v Biometrische Daten wie Fingerabdruck oder Gesicht bleiben grundsätzlich auf deinem Gerät, du kannst jedoch auch eine PIN, ein Password oder Muster verwenden. Je nach dem was dir lieber ist. Alles was dein Gerät zum Entsperren unterstützt, wird auch für die Passkey Vewendung aktiv sein.
Solange du deine Mobilfunknummer hast (bzw. dir eine Ersatz Simkarte schicken lässt), solltest du per sms wieder reinkommen. Du kannst dich ja einfach mal ausloggen und so tun, als hättest du alles verloren. Dann solltest du nach etwas durchklicken bei sms landen.
Ich bleibe bei Passwörtern mit Password-Manager. Diese kann ich bei Bedarf einfach an andere verschicken und gegebenenfalls ändern. Bei einem Passkey wäre das nicht mehr möglich.
Das funktioniert aber nicht zentral verwaltet über einen Domain Controller oder? Wäre cool, wenn man das in einer AD Umgebung automatisiert den Nutzern anbieten könnte :)
Passkeys? Ich kannte schon einige Namen wie u2f, FIDO/FIDO2, Security Key oder WebAuthn, aber die NAmen ändern sich scheinbar schneller als bei USB die Versionsbezeichnungen, oder was?
Könnte man die Passkeys nicht auf einem USB Stick speichern? Dann hätte man ein echtes Objekt als Schlüssel, mit dem man zum Beispiel Google „aufschließen“ kann.
Falls du es in der Zwischenzeit nicht bereits gesehen hast, es gibt von der FIDO Alliance ein gutes Video, das den Loginprozess auf verschiedenen Plattformen demonstriert: Passkeys in Action von FIDO Alliance. Ich versuche im nächsten Kommentar noch den Link zu posten, aber Kommentare mit Links werden manchmal gelöscht...
Ich hab vor mir das in nächster Zeit von außen anzuschauen. Könntest du das bitte in weiteren Videos genauer erklären? Gerade das was passiert, wenn man keinen Zugang zu einem Endgerät hat, auf dem die passkeys gespeichert sind, zb. Wenn das Haus brennt oä.
Naja, wenn du keinen Zugriff auf das Endgerät hast, ist der Account weg, außer du hast einen Recovery-Key. Das ist so, wie wenn du deinen 2FA Token verlierst
@@Florian.Dalwigk Ich hatte dich unter einem alten Video gefragt, ob du mal etwas zum Thema Passkeys machen könntest. Wollte mich mit diesem Kommentar nur bedanken :)
Wenn man z.b. einen Yubikey hat ist das kein wirkliches problem mehr wenn man sich wo anders mal anmelden will (einfach reinstecken und fertig) Kann jedoch unpraktisch werden wenn man nur einen hat und dieser verloren geht ^^
Könnte man nich die Challenge nicht durch eine eventuelle Lücke verändern so dass google denkt das man den privaten Schlüssel hätte obwohl man ihn nicht hat?
Ich kann mir vorstellen, das die Passkeys dan auf einer password geschützten cloud liegen. Da ist dass dan nur ein zusätzliche schritt zur anmeldung. Ein Problem, welches ich mit Passkeys sehe, ist das ein paar große Anbiter einen ausreißer machen und eine eigene Implementation im zusammenhang mit einer eigenen App oder so machen, wie es bei 2FA leider ja jetzt schon vorkommt.
Im Video wird erklärt, dass die Schlüssel auf dem Gerät liegen?! Die meisten unterstützen jetzt schon fast beliebige 2FA Apps zum Authentifizieren, klar kann es nimmt ein paar Sonderfälle geben, aber der Großteil wird das hoffentlich nicht.
@@_MrFlash_ klar liegen die Schlüssel auf dem gerät, müssen aber auf andere übertragen werden, wie ich es verstehe. Und dafür wird dann denke ich eine Cloud genutzt. Bei 2FA lassen viele anbiter belibige apps zu, als negativ beispiel fällt mir da spontan steam ein. Und schon ein Anbieter ders anders macht würde mich nerfen.
Wie kann man den Handy Passkey löschen. Mann kann nur andere Gärte entfernen. Und wie verhält es sich wenn man das Handy zurück setzt wird dann der Passkey automatisch gelöscht?
@@Florian.Dalwigk Hab nochmal geguckt. Mann muss nicht bei Passkeys gucken sonder mann muss dann die Option: ,,Wenn möglich, Passwort überspringen" deaktivieren
Ich glaube eher nicht, dass ich Passkeys verwenden werde. Wenn ein Gerät von mir kaputt geht, oder verloren geht, wäre das System zu aufwendig. Außerdem kann ich mich damit nicht schnell mal auf einem anderen Gerät anmelden.
Ganz unkompliziert: Heute mit Iphone bei Google probiert - auf dem Gerät nicht möglich. Anschliessend mit dem Mac bei Microsoft versucht. Dort gibt es die von MS propagierte Sicherheits-Seite unter accounts/Sicherheit/neue Methode erst gar nicht
Wie wird verhindert das zwei Personen zufällig das gleiche Schlüsselpaar verwenden? Ein Anmelde-Name wäre mM nach hier trotzdem noch sinnvoll um so etwas zu verhindern, bzw den Account auf den man zugreifen will eindeutig zu machen.
Ein Anmeldename würde das Problem auch nicht lösen, denn wenn man schon zufällig den gleichen Schlüssel generiert hat (Wahrscheinlichkeit so gut wie 0), dann kann man den Benutzernamen auch gleich noch mit generieren
@@_MrFlash_ Mit einem Passphrase, ich würde schätzen 20 Zeichen (nicht gezählt - BruteForce fällt jedenfalls aus). Und um die Datei zu kopieren, müsste ja sowieso erstmal jemand an meinen PC kommen - ohne Wohnungsschlüssel unwahrscheinlich, und die Leute die in Wohnungen einbrechen, versuchen die Beute im Regelfall eher zu verkaufen, als Passwörter zu ergaunern ;-)
DER große Pluspunkt ist ja angeblich, dass der passkey bei der Signatur niemals das Gerät verlässt. Aber grundsätzlich ist es ja möglich den zu sharen zwischen Geräten. Warum kann ich den dann nicht ungewollt auch mit einem Hacker sharen?
@@Florian.Dalwigk Warum geben Menschen jetzt ihre Passwörter heraus? Sie machen es ;). Was ist also gewonnen? Und auch über Trojaner kann man ja den passkey theoretisch abgreifen. Er liegt schließlich auf dem Rechner oder Handy genau wie jeder andere Inhalt auch.
@@yokmp1 Dann aber auch jedes Video beginnen mit "Hallo, in diesem Video ganz kurz gezeigt"... Gerade wenn das Video über 10 Minuten ist, "ganz kurz gezeigt" :D
Ich habe sogar die 2-Faktor Auth bei Google aus. Wenn ich das Handy verliere will ich es schnell von jedem Gerät mit Inernetzugang orten oder auch zurücksetzen können. Bei der Risikoberwertung aller Geräte kommt das Handy immer am schlechtesten weg. Und keinem fällt was besseres ein als genau das Gerät zum Schlüssel für alles zu machen.
Wäre gut gewesen, wenn noch Zusatzinformationen vorhanden wären im Video. Wie kopiert man sich den Passkey? Wie erstellt man einen Recovery Key? Falls man mal sein Gerät neu einrichtet oder Werkseinstellungen zurücksetzt? Usw., usw., usw., Aber vom Prinzip her ist das schon eine nette Alternative zum Password
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
Und was ist, wenn ich das System neu aufsetzen muss, weil z.B. Windows etc. nicht mehr läuft? Viel zu kompliziert, der Mist. Da bleibe ich lieber bei KeePass und sichere meine Datenbanken mehrfach auf separaten Datenträgern.
Erstens sollte das von vornhinein unabhängig sein von Windows, da es eine browserbasierte und Authentificator Geschichte ist. Zweitens wenn du wirklich, auch von dem Smartphone unabhängig sein willst, dann hol dir gleich einen Fido2 Stick, denn dann sogar mit einem Live System anmelden.
@@Florian.Dalwigk cool, vielleicht wären die mal ein Review- bzw. Verleichsvideo wert, davon gibt es relativ wenige aktuelle (vor allem in Hinsicht auf fido2 und open source hardware/software)
Da habe ich es auf einem Zettel hinterm Spiegel. Wenn ich meinen Google Account nur auf einem Smartphone per Passkey hinterlegt habe. Und das Handy ist weg, was dann? Muss ich dazu andere Zugangsformen aktivieren? Notfalls Codes generieren oder mich per zweiten Gerät auch per Passkeys den Google Zugang hinterlegen?
Es gibt noch ein weiterer Nachteil an Passkeys. Man hat keine Kontrolle darüber, wo die gespeichert sind. Zudem, könnte der Hersteller an den privaten Schlüssel, der auf dem mobilen Endgerät gespeichert ist, gelangen. Da bleibe ich doch lieber bei meiner Faultwarden instanz.
Wieso nicht? Die Algorithmen sind doch bekannt, wenn das Kerkhoffsche Prinzip umgesetzt wurde. Notfalls muss man sich dann eben einen eigenen Client bauen.
Sie meinen einen angepassten Web Browser, der einem erlaubt, die Aufgabe zu extrahieren? Ich denke, das ist Verdammt aufwändig. Zudem, bleibt da noch die Möglichkeit, an die entsprechenden Schlüssel zu gelangen. Ich gehe davon aus, dass es wahrscheinlich nicht möglich ist. Schließlich ist davon auszugehen, dass die Schlüssel, wenn sie auf dem Gerät gespeichert sind, in irgendeinem Sicherheitsmodul gespeichert werden. Ich werde wahrscheinlich alles in allem bei meinem Passwort Manager samt den 128 Zeichen langen Passwörtern bleiben. An die Passwörter, komme ich immer heran und kann die notfalls in eine andere Instanz umziehen. Sollte es jedoch einfach möglich sein, diese Schlüssel zu extrahieren und es dann auch noch recht einfach sein, die Aufgabe aus dem Web-Browser heraus lösen zu können, zum Beispiel mit einem angepassten Plaque in, dann überlege ich mir tatsächlich auch auf dieses sichere Verfahren umzusteigen. Denn so gut meine Passwörter sind, Das System ist wahrscheinlich noch etwas sicherer, wobei dann allerdings niemals ein Schlüssel verloren werden darf. Doch das ist bei Passwörtern ja nicht anders. Wenn ich jedoch keinerlei Kontrolle über die Schüssel habe und diese selbst bei Verlust des Gerätes nicht verwenden kann, habe ich keinerlei Interesse daran, dieses Verfahren trotz der erhöhten Sicherheit zu verwenden.
Wenn ein Anmeldename noch vorhanden ist, sollte es möglich sein an das Gerät mit dem Passkey eine Meldung zu schicken um den Login freizuschalten. Oder sehe ich das falsch? Dann muss man natürlich darauf achten, dass man nicht immer daraufklickt wenn man sich gar nicht anmeldet.
2:35 "Der private Schlüssel, der sich in deinem Passwortmanager befindet, verlässt dabei niemals dein Gerät". Das ist doch ein Widerspruch, oder nicht? Der Passwortmanager speichert den Private Key ja zwangsläufig in der Cloud. Somit verlässt der Private Key doch mein Gerät?
![[Full Episode] MasterChef Junior Thailand มาสเตอร์เชฟ จูเนียร์ ประเทศไทย Season 3 Episode 10](http://i.ytimg.com/vi/8kldrPPsDZs/mqdefault.jpg)
Gibt es dann auch optionen wie passkeys auf USB-Sticks oder ähnlichem? Bin gespannt was sich da in Sachen Privatsphäre dann alles machen lässt. Ob Passkeys die neue Methode für Anonymität im Internet werden oder uns gläserner machen als bisher wird auch spannend.
EIn längeres Video über weitere Verwendungsmöglichkeiten oder auch andere, interessante Optionen dieser Art wäre wirklich cool. Sowieso immer super Videos von dir!
Was sollen Passkeys mit Anonymität oder Gläsern zutun haben? Man nutzt sie für eine Authentifizierung, also hat man schon einen Account am Wickel. Also ist kann höchstens pseudonym.
Schlüsselpaare enthalten nur die Informationen, die man explizit bei der Erstellung eingibt, und sind ansonsten mehr nur zufällig generierte Daten...
@@lars7898 Die Keys an sich nichts. Eher das drum herum, wie sie nacher genutzt werden, wer dadurch was schlußfolgern kann, usw. Wenn ich mir schon vorstellen kann, wie man das nutzen könnte, dann können es andere auch, besonders jemand mit deutlich mehr Ahnung.
Aus einem Passwort selbst kann man wahrscheinlich oft genug nichts ablesen.
Allein die Option vl keinen Usernamen mehr zu benötigen bietet so viel Potenzial in beide Richtungen. Bin da sehr gespannt
@@philippXcarnifex Ja, man kann Passkeys auch auf Hardware Security Keys (z.B. YubiKey) speichern. Meinst du das? Auf herkömmlichen USB Sticks kann man Passkeys nicht speichern, denn sie lassen sich nicht exportieren, sie sind auf dem Security Chip des jeweiligen Geräts gespeichert.
Im lokal auf dem Gerät gespeicherten Passkey wird das Schlüsselpaar (privater und öffentlicher Schlüssel), Name und Domain der Webseite, sowie Anzeigename und Benutzername (dieser Teil wäre dann wohl optional bei anonymen Accounts) gespeichert. Auf dem Server der Webseite ist nur der öffentliche Schlüssel deines Passkeys gespeichert. Weitere Daten dann eben je nachdem ob du diese angibst oder nicht. Die Webseite kann natürlich trotzdem eine eindeutige ID für deinen Benutzer erstellen und deine Aktivitäten auf ihrer Webseite tracken. Aber über mehrere Webseiten hinweg ist kein Tracking mit Passkeys möglich, da für jede Webseite ein eigener Passkey erstellt wird, und aus den öffentlichen Schlüsseln lassen sich keine Rückschlüsse zu deiner Identität ziehen.
Was ist die sicherste Form der Account Verschlüsselung? Einfach als Video Idee, wo du jede Form vorstellst und die Vor und Nachteile sowie deine eigene Meinung einbringst :)
Gibt es eine Möglichkeit Passkeys auf einen analogen Gerät zu hinterlegen, wie ein 2FA Stick?
Gute Idee.
2FA ist möglich.
Im Prinzip ein alter Hut, wenn man zB unter einem GNU/Unix System mal ssh konfiguriert hat. Die Einrichtung kann nervig sein, je nachdem wie die passkeys auf den Geräten abgelegt werden. Wenn man sie zB in eine .kbdx file schreiben kann, die man dann über die Cloud mit allen Geräten synct, wäre das allerdings recht angenehm. Keepass kann ich dann biometrisch, per Passwort oder an einem PC mit einem USB-Stick, der als Schlüssel fungiert, entsperren. Dann wäre auch das Risiko bei einem Verlust des Gerätes minimal. Den Stick hab ich ja am (analogen) Schlüsselbund 😄
Genau so macht man es ^^ und ich habe auch immer noch ein Backup ohne Schlüssel für alle Fälle :P
Hi Flo, kurze off-topic Frage: Am 6. Novemver 2022 ist Sword Art Online Day (Der Tag an dem in der Geschichte das Spiel SAO released wurde). Hast du dafür evtl ein Video zum Thema VR geplant? Das würde doch gut passen!
Lass dich überraschen :)
Danke. Sehr gut erklärt und auf das Wesentliche beschränkt.
Vielen Dank für die einfache Erklärung - jetzt versteh ich das Passkeys-Thema. Bin noch am überlegen, ob ich die Passkeys verwende, da ich für die ganze Familie der "Admin" bin und deshalb die Geräteabhängigkeit nicht sehr spannend für mich ist.
Kannst ja Mal gerne ein Video machen, wie man sich über GitHub/SSH/etc. mit dem Public Key authentifiziert oder wie man ein Schlüsselpaar erstellt.
Btw, was hältst du denn von z.B. Bitwarden als Passwort Manager? Ist man da auch vor einem Angriff sicher?
Ja, Bitwarden (Cloud basiert) und Keepass (manuell) sind die beiden Kennwortverwaltungen die man gut empfehlen kann. Je nach dem welche Art von Kennwortverwaltung man haben möchte.
Bei "Sicherheit vor Angriff" kommt es immer darauf an was genau gemeint ist. Wenn ein Angreifer dein Gerät komplett in der Hand hat, kommt er natürlich auch an die Kennwortverwaltung.
Ich denke ich bleibe bei Bitwarden und 20 Stelligen Passwörtern, hört sich zwar ganz interessant an, aber die Gerätegebundenheit würde mir vor allem bei meinem Handy sorgen machen...
Ich bin kein Apple Nutzer (LiNuX aRcH ;) ) jedoch habe ich gehört, dass wenn man ein Apple Gerät nutzt, Apple bei Drittanbietern eine neue E-Mail Adresse für einen erstellt, die wiederum mit deiner Apple ID verknüpft ist.
Ganz coole Idee.
Ende November soll es Google auch unterstützen
Das Video gefällt mir wirklich gut (gut und kompakt erklärt). Zwei Sachen verwirren mich gerade jedoch insgesamt bei dem Thema am meisten:
1. Was ist mit 2FA und Passkeys? Entfällt 2FA quasi, wenn man einen Passkey benutzt? Oder ist die 2FA sozusagen im Passkey-Verfahren enthalten? 🤔
2. Was SIND Passkeys denn nun? Sind das "Dateien", die man - sofern man da dran käme - irgendwie auch so speichern könnte, oder wie kann man sich das vorstellen? 🤔
1. Passkeys ersetzen 2FA nicht.
2. Man kann es sich wie eine Datei vorstellen.
@@Florian.Dalwigk Danke für die schnelle Antwort!
@@Florian.Dalwigk Die FIDO Alliance ist davon überzeugt, dass 2FA mit Passkeys nicht mehr notwendig ist, da bei einem Login mit Passkeys immer automatisch 2 Faktoren geprüft werden: Besitz des Passkeys (something you have) und Biometrie (something you are) oder Wissen (PIN, something you know). Quelle: Ein Vidoe von der RSA Conference mit dem Titel " Passkeys: The Good, the Bad and the Ugly" bei Minute 17:43.
@sibu7 Sehe ich anders, weil nicht jeder Benutzer sein Smartphone schützt.
@@Florian.Dalwigk Das Smartphone nicht zu schützen sehe ich wiederum nicht ein, weil man darauf ja persönliche Daten hat. Eine Bildschirmsperre eingerichtet zu haben ist (soweit ich weiss) Voraussetzung, um Passkeys zu nutzen.
Coole Alternative zu Passwörtern und ein sehr interessantes Thema.
meiner Meinung nach reicht es aus, wenn man einen Passwortmanager (am liebsten Keepass) hat und alle wichtigen Passwörter so ca. alle 6 Monate erneuert^^ Der Passwortmanager sollte natürlich ordentlich geschützt sein, mindestens 2fa mit einem yubikey z.B.
Warum sollte man die Passwörter ändern? Viele Sicherheitsexperten raten davon ab und wenn man die in Keepass o.ä. speichert ist es auch möglich ausreichend sicherer zu nehmen und was viel wichtiger ist für jeden Account ein anderes Passwort. Was macht man wenn der Yubikey defekt/verloren ist mit der Passwortmanagerdatei?
@@_MrFlash_ Stimmt (Passwortwechsel). Ich nutze Keepass mit PW + zusätzlichen Key-File, das Keepass von Haus aus anbietet.
@@_MrFlash_ Dass vom Wechsel abgeraten wird, betrifft nur von Menschen erdachte Kennworte, weil die dann zu einfach gewählt werden.
Passwörter ohne Anlass zu ändern empfiehlt heute niemand mehr. Siehe mein Video zu den Passwortmythen.
Das Problem ist das Merken/Speichern dieser Passwörter.
Bedeutet die dafür die notwenige Benutzung des Fingerabdrucks oder der Gesichtsscannung nicht auch eine Gefahr?
Nicht mehr als sonst auch
@@Florian.Dalwigk Da ich wenig Kentnisse habe, ist mir nicht geheuer, was z.B. mit meinem Fingerabdruck angestellt werden kann. Deshalb vermeide ich es, meinen Fingerbdruck und mein Gesicht ins Netz zu geben.
@@user-uo4gg3ek4v Biometrische Daten wie Fingerabdruck oder Gesicht bleiben grundsätzlich auf deinem Gerät, du kannst jedoch auch eine PIN, ein Password oder Muster verwenden. Je nach dem was dir lieber ist. Alles was dein Gerät zum Entsperren unterstützt, wird auch für die Passkey Vewendung aktiv sein.
Was passiert wenn mein sein Handy verliert oder gestohlen wird?
Kann man das dann bei Google melden und der gibt dir einen neuen Passkey?
Solange du deine Mobilfunknummer hast (bzw. dir eine Ersatz Simkarte schicken lässt), solltest du per sms wieder reinkommen. Du kannst dich ja einfach mal ausloggen und so tun, als hättest du alles verloren. Dann solltest du nach etwas durchklicken bei sms landen.
Ich bleibe bei Passwörtern mit Password-Manager. Diese kann ich bei Bedarf einfach an andere verschicken und gegebenenfalls ändern. Bei einem Passkey wäre das nicht mehr möglich.
Sicherheit hat eben seinen Preis
Das funktioniert aber nicht zentral verwaltet über einen Domain Controller oder? Wäre cool, wenn man das in einer AD Umgebung automatisiert den Nutzern anbieten könnte :)
technisch gesehen sollte es funktionieren, ob das aber praktisch unterstützt wird ist was anderes
Passkeys? Ich kannte schon einige Namen wie u2f, FIDO/FIDO2, Security Key oder WebAuthn, aber die NAmen ändern sich scheinbar schneller als bei USB die Versionsbezeichnungen, oder was?
Echt gut erklärt! Ich würde es mal ausprobieren zu nutzen. Wie genau kopiert man die Passkeys (Datei)?
Genau, das ist einfach nur eine Schlüsseldatei, ähnlich wie bei PGP
@@Florian.Dalwigk Super, danke fürs Erklären. Deine Videos sind eben immer noch am Besten
Könnte man die Passkeys nicht auf einem USB Stick speichern? Dann hätte man ein echtes Objekt als Schlüssel, mit dem man zum Beispiel Google „aufschließen“ kann.
Könnte man, ja. Wäre aber unsicherer als im PM des Geräts
Danke, gerne mehr dazu vielleicht mit Praxisbeispielen auf verschiedenen Plattformen?
Mal schauen
Falls du es in der Zwischenzeit nicht bereits gesehen hast, es gibt von der FIDO Alliance ein gutes Video, das den Loginprozess auf verschiedenen Plattformen demonstriert: Passkeys in Action von FIDO Alliance. Ich versuche im nächsten Kommentar noch den Link zu posten, aber Kommentare mit Links werden manchmal gelöscht...
Ich hab vor mir das in nächster Zeit von außen anzuschauen.
Könntest du das bitte in weiteren Videos genauer erklären? Gerade das was passiert, wenn man keinen Zugang zu einem Endgerät hat, auf dem die passkeys gespeichert sind, zb. Wenn das Haus brennt oä.
Naja, wenn du keinen Zugriff auf das Endgerät hast, ist der Account weg, außer du hast einen Recovery-Key. Das ist so, wie wenn du deinen 2FA Token verlierst
Danke, dass du auf meinen Kommentar mit einem Video reagiert hast ☺️
Welches Video? Welcher Kommentar?
@@Florian.Dalwigk Ich hatte dich unter einem alten Video gefragt, ob du mal etwas zum Thema Passkeys machen könntest. Wollte mich mit diesem Kommentar nur bedanken :)
Ah, danke :) Gerne ;)
ist das nicht irgendwie wie Yubikey/(andere fido2 hardware schlüssel) nur in Software
Wenn man z.b. einen Yubikey hat ist das kein wirkliches problem mehr wenn man sich wo anders mal anmelden will (einfach reinstecken und fertig)
Kann jedoch unpraktisch werden wenn man nur einen hat und dieser verloren geht ^^
(es ist mit chrome auch über handy möglich btw)
FRAGE: könnte man denn auch später wieder von Passkey auf Passwort zurück "wechseln"?
Bestimmt
geht bei meinem handy garnet ! was nun ?
Alternativen verwenden
Hi,
Danke für das Video, aber wie kann man Passkeys z.B. an der PC übertragen, dass man sich hier auch anmelden kann?
Hängt vom Hersteller ab. Pragmatisch wäre USB.
Könnte man nich die Challenge nicht durch eine eventuelle Lücke verändern so dass google denkt das man den privaten Schlüssel hätte obwohl man ihn nicht hat?
Der Server weiß ja, welche Challenge er geschickt hat.
Ich hab mir vor kurzen zwei Yubikeys gekauft, muss sie nur noch einrichten :)
mit Bitwarden kann man jetzt auch kostenlos Passkeys halten, braucht Yubikeys nicht mehr
Ich kann mir vorstellen, das die Passkeys dan auf einer password geschützten cloud liegen. Da ist dass dan nur ein zusätzliche schritt zur anmeldung. Ein Problem, welches ich mit Passkeys sehe, ist das ein paar große Anbiter einen ausreißer machen und eine eigene Implementation im zusammenhang mit einer eigenen App oder so machen, wie es bei 2FA leider ja jetzt schon vorkommt.
Im Video wird erklärt, dass die Schlüssel auf dem Gerät liegen?! Die meisten unterstützen jetzt schon fast beliebige 2FA Apps zum Authentifizieren, klar kann es nimmt ein paar Sonderfälle geben, aber der Großteil wird das hoffentlich nicht.
@@_MrFlash_ klar liegen die Schlüssel auf dem gerät, müssen aber auf andere übertragen werden, wie ich es verstehe. Und dafür wird dann denke ich eine Cloud genutzt. Bei 2FA lassen viele anbiter belibige apps zu, als negativ beispiel fällt mir da spontan steam ein. Und schon ein Anbieter ders anders macht würde mich nerfen.
Wie kann man den Handy Passkey löschen. Mann kann nur andere Gärte entfernen. Und wie verhält es sich wenn man das Handy zurück setzt wird dann der Passkey automatisch gelöscht?
Kommt vermutlich auf den Hersteller an
@@Florian.Dalwigk Hab nochmal geguckt. Mann muss nicht bei Passkeys gucken sonder mann muss dann die Option: ,,Wenn möglich, Passwort überspringen" deaktivieren
Ich glaube eher nicht, dass ich Passkeys verwenden werde. Wenn ein Gerät von mir kaputt geht, oder verloren geht, wäre das System zu aufwendig. Außerdem kann ich mich damit nicht schnell mal auf einem anderen Gerät anmelden.
Wichtiges Video
#sagneinzuPasswörter
#sagjazuPasskeys :)
Wie kann der Kommentar drei Tage alt sein, Wenn das Video keine 30 Minuten draußen ist ?
@@FFaattCCaatt patreon Supporter können die Videos früher anschauen
@@JustPyroYT ah gut zu wissen danke also leider doch keine Verschwörung.
@@FFaattCCaatt 😀😀
Ganz unkompliziert: Heute mit Iphone bei Google probiert - auf dem Gerät nicht möglich. Anschliessend mit dem Mac bei Microsoft versucht. Dort gibt es die von MS propagierte Sicherheits-Seite unter accounts/Sicherheit/neue Methode erst gar nicht
Ist wohl noch nicht ausgereift
Wie wird verhindert das zwei Personen zufällig das gleiche Schlüsselpaar verwenden? Ein Anmelde-Name wäre mM nach hier trotzdem noch sinnvoll um so etwas zu verhindern, bzw den Account auf den man zugreifen will eindeutig zu machen.
Nicht notwendig, da zu unwahrscheinlich. Zumindest vom Konzept.
Das ist seeeeeehr unwahrscheinlich
Ein Anmeldename würde das Problem auch nicht lösen, denn wenn man schon zufällig den gleichen Schlüssel generiert hat (Wahrscheinlichkeit so gut wie 0), dann kann man den Benutzernamen auch gleich noch mit generieren
wieder einmal ein sehr cooles viedo!
Danke 👍
Passkeys? Ich bleibe lieber bei Keepass - das klingt so ähnlich und hat auch ähnliche Vorteile! ;-)
Wie hast du die Keepass Datei geschützt? Wenn die nur mit einem Passwort versehen ist und die Datei mal kopiert wird, könnte das zum Problem werden.
Ich bleib auch lieber bei Keepass
@@_MrFlash_ Mit einem Passphrase, ich würde schätzen 20 Zeichen (nicht gezählt - BruteForce fällt jedenfalls aus).
Und um die Datei zu kopieren, müsste ja sowieso erstmal jemand an meinen PC kommen - ohne Wohnungsschlüssel unwahrscheinlich, und die Leute die in Wohnungen einbrechen, versuchen die Beute im Regelfall eher zu verkaufen, als Passwörter zu ergaunern ;-)
KeePass hat entscheidende Nachteile. Kommt für mich nicht in Betracht. Aber besser als nichts
DER große Pluspunkt ist ja angeblich, dass der passkey bei der Signatur niemals das Gerät verlässt. Aber grundsätzlich ist es ja möglich den zu sharen zwischen Geräten. Warum kann ich den dann nicht ungewollt auch mit einem Hacker sharen?
Könnte man, doch wieso sollte man das tun?
Man muss eben klar kommunizieren, dass der Passkey an NIEMANDEN gegeben werden darf, auch nicht an "Microsoft Techniker" :D
@@Florian.Dalwigk Warum geben Menschen jetzt ihre Passwörter heraus? Sie machen es ;). Was ist also gewonnen? Und auch über Trojaner kann man ja den passkey theoretisch abgreifen. Er liegt schließlich auf dem Rechner oder Handy genau wie jeder andere Inhalt auch.
Könntest deine Videos mal testweise mit OK beenden. :)
Dann müsste ich aber auch ein Intro mit klassischer Musik einführen ;)
@@Florian.Dalwigk Dürfen die ja nicht mehr seit ein paar Jahren (riesen Blödsinn) aber es gibt sicher ein paar Lizenzfreie Stücke.
@@yokmp1 Dann aber auch jedes Video beginnen mit "Hallo, in diesem Video ganz kurz gezeigt"... Gerade wenn das Video über 10 Minuten ist, "ganz kurz gezeigt" :D
Ich habe sogar die 2-Faktor Auth bei Google aus. Wenn ich das Handy verliere will ich es schnell von jedem Gerät mit Inernetzugang orten oder auch zurücksetzen können. Bei der Risikoberwertung aller Geräte kommt das Handy immer am schlechtesten weg. Und keinem fällt was besseres ein als genau das Gerät zum Schlüssel für alles zu machen.
Dann Fido2 Stick holen.
Bei SSH schon lange Gang und Gäbe 🙃
Wäre gut gewesen, wenn noch Zusatzinformationen vorhanden wären im Video. Wie kopiert man sich den Passkey? Wie erstellt man einen Recovery Key? Falls man mal sein Gerät neu einrichtet oder Werkseinstellungen zurücksetzt? Usw., usw., usw., Aber vom Prinzip her ist das schon eine nette Alternative zum Password
Naja, da kann man eigene Videos drehen ...
Hier geht es ums Prinzip der Passkeys
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
Dann bleibt es wohl erstmal beim Passwort
Und was ist, wenn ich das System neu aufsetzen muss, weil z.B. Windows etc. nicht mehr läuft? Viel zu kompliziert, der Mist. Da bleibe ich lieber bei KeePass und sichere meine Datenbanken mehrfach auf separaten Datenträgern.
Erstens sollte das von vornhinein unabhängig sein von Windows, da es eine browserbasierte und Authentificator Geschichte ist. Zweitens wenn du wirklich, auch von dem Smartphone unabhängig sein willst, dann hol dir gleich einen Fido2 Stick, denn dann sogar mit einem Live System anmelden.
Wie bekommt man den Passkey auf ein zweites oder drittes Gerät?
Kopieren?
@@Florian.Dalwigk Und wo finde ich den Passkey auf meinem ersten Gerät? Bin nicht gerade der Durchblicker.
SSH Keys user be like: ...
...
wär schön wenn sich ein physischer fido-schlüssel mit fingerabdrucksensor/pin tatsächlich durchsetzt. Ich will mich aber nicht zu früh freuen
So einen habe ich
@@Florian.Dalwigk cool, vielleicht wären die mal ein Review- bzw. Verleichsvideo wert, davon gibt es relativ wenige aktuelle (vor allem in Hinsicht auf fido2 und open source hardware/software)
Was passiert, wenn ich mein Gerät verliere?
Was passiert, wenn du dein Passwort vergisst?
Da habe ich es auf einem Zettel hinterm Spiegel.
Wenn ich meinen Google Account nur auf einem Smartphone per Passkey hinterlegt habe. Und das Handy ist weg, was dann?
Muss ich dazu andere Zugangsformen aktivieren? Notfalls Codes generieren oder mich per zweiten Gerät auch per Passkeys den Google Zugang hinterlegen?
Vorher ein Backup des Keys anfertigen
Kommt wohl hauptsächlich auf den Anwendungsfall an. Ich denke aber, dass bei mir persönlich Passkeys dies keine Alternative sein wird.
Wieso? Wo hast du Bedenken?
Es gibt noch ein weiterer Nachteil an Passkeys. Man hat keine Kontrolle darüber, wo die gespeichert sind. Zudem, könnte der Hersteller an den privaten Schlüssel, der auf dem mobilen Endgerät gespeichert ist, gelangen. Da bleibe ich doch lieber bei meiner Faultwarden instanz.
Die Gefahr, dass der Hersteller an den Schlüssel kommt, besteht immer. Außer du holst dir ein nicht verbundenes Gerät
@@Florian.Dalwigk das ist richtig. Allerdings kann man soweit ich weiß mit einem nicht verbundenen Gerät die Aufgabe nicht lösen, oder?
Wieso nicht? Die Algorithmen sind doch bekannt, wenn das Kerkhoffsche Prinzip umgesetzt wurde. Notfalls muss man sich dann eben einen eigenen Client bauen.
Sie meinen einen angepassten Web Browser, der einem erlaubt, die Aufgabe zu extrahieren? Ich denke, das ist Verdammt aufwändig. Zudem, bleibt da noch die Möglichkeit, an die entsprechenden Schlüssel zu gelangen. Ich gehe davon aus, dass es wahrscheinlich nicht möglich ist. Schließlich ist davon auszugehen, dass die Schlüssel, wenn sie auf dem Gerät gespeichert sind, in irgendeinem Sicherheitsmodul gespeichert werden. Ich werde wahrscheinlich alles in allem bei meinem Passwort Manager samt den 128 Zeichen langen Passwörtern bleiben. An die Passwörter, komme ich immer heran und kann die notfalls in eine andere Instanz umziehen. Sollte es jedoch einfach möglich sein, diese Schlüssel zu extrahieren und es dann auch noch recht einfach sein, die Aufgabe aus dem Web-Browser heraus lösen zu können, zum Beispiel mit einem angepassten Plaque in, dann überlege ich mir tatsächlich auch auf dieses sichere Verfahren umzusteigen. Denn so gut meine Passwörter sind, Das System ist wahrscheinlich noch etwas sicherer, wobei dann allerdings niemals ein Schlüssel verloren werden darf. Doch das ist bei Passwörtern ja nicht anders. Wenn ich jedoch keinerlei Kontrolle über die Schüssel habe und diese selbst bei Verlust des Gerätes nicht verwenden kann, habe ich keinerlei Interesse daran, dieses Verfahren trotz der erhöhten Sicherheit zu verwenden.
Wird es möglich sein die Passkeys auf einem Hardwarekey zu haben und sich damit überall anmelden zu können?
Wenn ein Anmeldename noch vorhanden ist, sollte es möglich sein an das Gerät mit dem Passkey eine Meldung zu schicken um den Login freizuschalten. Oder sehe ich das falsch? Dann muss man natürlich darauf achten, dass man nicht immer daraufklickt wenn man sich gar nicht anmeldet.
Wieso nicht? Bei PGP geht das ja auch.
Wenn ich mein USB Stick als Passkey verwenden darf, dann ist das mein Zukünftiger Schlüssel :)
Das wäre wohl eher ein Hardware-Token
Ich habe mir extra ein Yubikey 5 gekauft für Sicherheit
Bitwarden mit 2FA reicht mir :0
👍
nee passkeys mag ich.nicht so.
2:35 "Der private Schlüssel, der sich in deinem Passwortmanager befindet, verlässt dabei niemals dein Gerät". Das ist doch ein Widerspruch, oder nicht? Der Passwortmanager speichert den Private Key ja zwangsläufig in der Cloud. Somit verlässt der Private Key doch mein Gerät?
Ich würde keinen Passwort-Manager mit Cloud-Anbindung nutzen. Und das macht auch nicht jeder automatisch.
Was ist denn, wenn ich ein neues Handy bekomme? Damit kann ich mich ja nicht einfach anmelden.
Schlüssel übertragen
Nico findet das video nicht gut weil er vegan ist
Wer? Was?