Gestern war wieder der „Änder-dein-Passwort-Tag“. Früher war das Standard. Wer heute noch in einer Firma arbeitet, die das erzwingt, weiß, dass er eine unfähige IT-Abteilung hat. Aber so ein Tag ist eine gute Gelegenheit, sich zu fragen, ob man Passwörter überhaupt noch braucht.
Warum kein Passwort?
Die Kombination aus Benutzername/E-Mail-Adresse und Passwort ist nach wie vor das Rückgrat der Kontosicherheit im Internet. Dieses Prinzip ist jedoch sehr anfällig. Ist das Passwort zu einfach, kann es schnell geknackt werden. Ist das Passwort zu schwer, kann man es sich schlecht merken. Deshalb verwenden viele Menschen immer dasselbe Passwort. Auch deshalb sind Datenlecks so gefährlich. Die Voraussetzung eines einzigen Sicherheitsfaktors („Wissen“) ermöglicht zudem Phishing-Angriffe.
Passwortmanager sind ein Hilfsmittel, um den Passwort-Zoo überschaubar zu halten. Nur so können individuelle und sichere Passwörter für alle Accounts verwendet werden. Die Sicherheit dieser Passwortmanager hängt jedoch vom sicheren Master-Passwort ab. Außerdem haben Passwortmanager das „alle Eier in einem Korb“-Problem.
Vor einigen Jahren kamen daher Hardware-Schlüssel wie der Yubikey oder der Nitrokey auf. Damit sollten einfachere PINs (Faktor „Wissen“) mit einem externen Sicherheitsschlüssel (Faktor „Besitz“) kombiniert werden. Ich habe hier auch damit gespielt. Sie haben sich nur nie durchgesetzt. Man kann damit ein paar kritische Dienste absichern, aber Reichweite bekommen die nicht. Ich würde daher darauf nicht mehr setzen.
Das einzige verbreitete Hilfsmittel sind zusätzliche Einmalpasswörter auf der Basis von TOTP. Diese werden in der Regel mit einer App auf dem Smartphone generiert und ergänzen den Faktor „Besitz“ um den Faktor „Wissen“, den das Passwort erfordert. Viele Menschen empfinden dies als lästig, weshalb TOTP oft erst dann genutzt wird, wenn Diensteanbieter massiv darauf hinweisen oder es gar erzwingen.
Was sind Passkeys?
Was geblieben ist, ist die FIDO-Allianz als Standardisierungsgremium für Passwortalternativen. Diese hat mit FIDO2 inzwischen einen Standard geschafft, der mit einigen Anpassungen unter dem Marketingbegriff Passkey oder auch passwortloses Anmelden bekannt wurde. Das System wurde benutzerfreundlicher gemacht und anstelle von zusätzlichen Hardwaredongeln wird mit dem Smartphone ein Gerät verwendet, das man sowieso besitzt.
Passkeys basieren auf dem bewährten Prinzip der getrennten Schlüssel. Es gibt einen öffentlichen Schlüssel, der dem Dienstanbieter bekannt ist, und einen geheimen Schlüssel im internen Speicher, der für die Anmeldung benötigt wird. Dies hat mehrere Vorteile gegenüber Passwörtern:
- Passkeys sind nie unterkomplex
- Passkeys können nicht vergessen werden
- Passkeys können nicht einfach durch Phishing abgegriffen werden
- Passkeys werden immer individuell für einen Account erstellt.
Passkeys beheben also die schlimmsten Schwächen von Passwörtern. Gleichzeitig machen sie Krücken wie TOTP überflüssig, da der Faktor „Besitz“ – also des vertrauenswürdigen Endgerätes – den Passkeys immanent ist.
Funktionsweise
Das Konzept sah ursprünglich das Smartphone als zentrales Medium zur Generierung und Verwaltung von Passkeys vor. Das war konzeptionell klug gedacht, weil die meisten Menschen ein Smartphone haben und Banking Apps sowie TOTP bereits bei den Menschen verankert hat, dass Smartphones für so etwas geeignet sind.
Smartphones wurden aber vor allem deshalb gewählt, weil sie spezielle Sicherheitschips (z.B. Secure Enclave beim iPhone, Titan M beim Pixel) enthalten und die Betriebssysteme Android und iOS diese sinnvoll nutzen können. Nur so können Passkeys sicher gespeichert werden. Hier ist keine Synchronisation und keine proprietäre Cloud notwendig. Eine Anmeldung an Webseiten mit Passkey-Authentifizierung ist natürlich auch am Desktop möglich, setzt dann aber in diesem Konzept eine Freischaltung am Smartphone voraus. Zur Identifizierung ist entweder eine PIN oder ein biometrischer Abgleich notwendig. Also nichts, was moderne Smartphone-Nutzer nicht ohnehin schon kennen.
Moderne Desktop-Hardware für macOS und Windows kann Passkeys auch auf dem Desktop erzeugen und speichern. Das funktioniert schon Out-of-the-Box. Apple und Google (Android & Chrome) bieten in ihren Softwarelösungen eine cloudbasierte Synchronisation der Passkeys an. Dadurch sind Smartphones und Desktop synchron und es braucht kein Smartphone für die Freigabe auf dem Desktop. Auch Microsoft arbeitet an einer entsprechenden Lösung für Windows Hello. Auch hier ist eine biometrische Freigabe erforderlich. Moderne Hardware ist in der Regel mit Fingerabdruck- oder Gesichtserkennungsverfahren kompatibel und kann dafür genutzt werden. Das schließt andere Browser nicht aus. Firefox bietet ebenfalls Passkey-Unterstützung für Windows und macOS, nutzt dafür aber die entsprechenden Betriebssystemfunktionen (Apple Passwörter / Windows Hello).
Für Linux ist keine Out-of-the-Box-Implementierung integriert. Es sind auch keine Pläne bekannt, die Passwortspeicher entsprechend zu erweitern. Da es keine Linux-Smartphones gibt, ist das auch nicht weiter dramatisch. Nutzer können einfach auf Android ausweichen und darüber Passkeys erzeugen und freigeben. Will man Passkeys ohne Smartphone erzeugen und nutzen, benötigt man zusätzlich einen modernen Passwortmanager wie KeePassXC (ab Version 2.7.7.) und das entsprechende Firefox-Addon. Leider hat Linux auch hier Sicherheitsdefizite, da standardmäßig kein TPM zur Absicherung verwendet wird und biometrische Verfahren nicht sicher gespeichert werden können. Die KeePass-Datenbank sollte daher unbedingt zusätzlich mit einer Schlüsseldatei oder einem Hardwareschlüssel geschützt werden. Auch wenn dies die Vorteile von Passkeys wieder zunichte macht. Linux und Sicherheit ist leider keine einfache Sache mehr.
Ich habe gelesen dass…
Passkeys sind neu und Passwörter alt. Bornierte Alleshasser haben sich natürlich sofort darauf gestürzt. Da war anfangs sehr viel Halb- oder Unwahrheit im Unlauf und hat den Start von Passkeys zumindest in Deutschland massiv beeinträchtigt. Beliebte Angriffspunkte sind die Cloud-Sync-Funktion der großen Hersteller und die Bindung an ein Smartphone. Ersteres, weil die großen Hersteller böse sind und Smartphones gerne von Leuten als unsicher gebrandmarkt werden, die sie technisch nicht verstehen und die intime Kenntnis ihrer herkömmlichen Betriebssysteme mit Sicherheit verwechseln. Inzwischen ebbt die Pauschalkritikwelle aber ab und viele begreifen die Vorteile.
Wer auf solche Kommentare stößt, kann sie getrost ignorieren. Oft entlarven sie sich durch in diesen Kreisen beliebte Verballhornungen (Klaut, M$, Intelligenzphone etc.) selbst. Die Passkey-Synchronisation ist bei allen Anbietern durch zusätzliche Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung und die Speicherung auf dem Gerät zusätzliche Sicherheitsmodule wie TPM geschützt. Im direkten Vergleich zu Passwörtern haben Passkeys deutlich mehr Vorteile als Nachteile. Theoretisch überlegene Alternativen wie Yubikey sind leider an der Praxis gescheitert.
Fazit
Die Liste der Dienstanbieter, die Passkeys unterstützen wird stetig länger. Passkeys sind damit über jene Schwelle gekommen, die Hardwareschlüssel wie Yubikeys nie überschreiten konnten. Anstelle also sein Passwort zu ändern, sollte man prüfen, ob der Dienstanbieter nicht schon Passkeys unterstützt und diese anstelle nutzen.
Hallo Gerrit,
vielen Dank fuer den Artikel.
Du schreibst: „FIDO2 inzwischen einen Standard geschafft, der unter dem Marketingbegriff Passkey oder auch passwortloses Anmelden bekannt wurde“
Diese Aussage scheint irreführend, da sie den Leser schliessen lassen könnte, dass Passkey selbst ein Standard sei!
Ich verweise diesbezüglich auf: https://karl-voit.at/FIDO2-vs-Passkeys/
* Passkeys ist __kein Standard__!
Passkeys nutzt die gleichen Grundbausteine (wie FIDO2) aber da ist __nichts prüfbar__. Die gespeicherten Passkeys sind noch prüfbar (sofern der Zugriff darauf ermöglicht wird). Aber keinesfalls bezieht sich die Prüfbarkeit auf die Implementierung am Server oder das exakte Protokoll, denn hier kochen aktuell alle Hersteller ihre eigenen Süppchen und das noch **proprietär**.
* Passkey __schützt im Gegensatz zu FIDO2 nicht prinzipiell das Geheimnis__ und das ganz bewusst: optional können die Geheimnisse eine Cloud __synchronisiert__ werden… auch die dafür verwendete Software geheim bzw. **proprietär** und kann deshalb __nicht__ von unabhängigen Experten __geprüft__ werden
Der Vorteil von kryptographischen Schlüsseln steht ausser Frage (Beispiel SSH). Jedoch Passkeys mit dem Standard FIDO2 gleichzusetzen ist schlichtweg falsch und irreführend. Die derzeitige Praxis der proprietären Implementierung ist aus Sicherheits-Aspekten äusserst bedenklich. Passkeys sollten ausschliesslich zusammen mit einem FIDO2-Hardware-Token verwendet werden.
PS: Die Nutzung von „Verballhornungen“ mag zwar etwas über die Einstellung des Nutzers aussagen, jedoch nicht über die Richtigkeit eines Kommentars. Hast Du es wirklich nötig, Kommentare (und vielmehr den Kommentator) auf diese Weise zu diskreditieren anstatt mit Fakten/Gegenargumenten das Gegenteil zu beweisen?
Zum Standard: Ja, Passkeys sind ein angepasster FIDO-Standard. Es wurden praktisch alle Hindernisse für eine breitere Nutzung durch bessere Lösungen ersetzt. Z.B. Hardwarestick gegen Smartphone, Synchronisation über Gerät hinweg etc. Sie kommen aber nicht aus dem luftleeren Raum oder von irgendwelchen dunklen Mächten, sondern stammen direkt von der FIDO Alliance (ja die besteht u.a. aus Konzernen, aber so what?): https://fidoalliance.org/passkeys/ Das wird gerne unterschlagen, wenn man einfach nur Microsoft, Google, Apple oder „Megacorps“ schreibt. Passkey ist kein FIDO hat für mich das Niveau von GNU und Linux.
Dein Argument ist also im Kern die fehlende Open-Source-Implementierung der Umsetzung und die teilweise proprietäre Cloud-Synchronisation? Dem stimme ich nicht (mehr) zu. Open-Source wäre immer wünschenswert, aber wenn wir warten, bis etwas Open-Source entwickelt wird, sich in der konservativen Community durchsetzt und marktreif wird, dann verharren wir ewig im Status Quo. Ich bin da mittlerweile ziemlich pessimistisch.
Grundsätzlich fände ich es ja auch schön, wenn sich Sticks wie der Yubikey durchgesetzt hätten. Ich habe einen, ich habe hier darüber geschrieben, ich fand die toll. Aber ich akzeptiere die Realität und die zeigt, dass sich diese Sticks nicht über bestimmte, eng begrenzte Bereiche hinaus durchsetzen.
Zum letzten Punkt: Ich finde diese lächerlichen Verballhornungen derart nervig, dass ich tatsächlich solche Kommentare gar nicht mehr lese. Ich kann mich also nicht mit ihnen auseinandersetzen.
Das Argument „Passkeys sind überlegend, weil sie gut sind“ ist auf keiner Weise überzeugend. Passkeys haben gravierende Nachteile: sie sind kompliziert, erfordern ein zusätzliches Gerät und forcieren Einsatz der Biometrie. Langfristig wird das sich nicht durchsetzen, man wird bei Kombination Login/Passwort bleiben.
Nein, sie sind nicht wirklich kompliziert, wenn man ein Standard-Betriebssystem (Windows, macOS) oder einen proprietären Browser (Chrome) verwendet. Das zusätzliche Gerät brauche ich auch nur, wenn mein System keine biometrischen Funktionen unterstützt oder ich keine Synchronisation wünsche. Biometrische Funktionen sind heute für die meisten Menschen Standard.
Ergo: Kompliziert ist es nur für Linux-Anwender oder Verfechter reiner Open-Source-Lösungen. Von diesen Anwendern erwarte ich aber, dass sie in der Lage sind, eine steilere Lernkurve für mehr Sicherheit zu meistern.
Also meine These bleibt, dass Passkeys kompliziert sind. Entweder habe ich sie nicht verstanden, dann sind sie kompliziert, oder ich habe sie verstanden und deswegen sind sie kompliziert. Wir haben auf einer Seite ein Paar: Benutzername/Passwort, ein Konzept, dass sogar meine Mutter verstanden hat, auf der anderen Seite haben wir einen Zweitgerät mit Authenticator, der einen ganzen Rattenschwanz aus Problemen hat (kein Vertrauen in das Gerät / Authenticator, forcierung der Biometrie, Fall des Verlustes des Gerätes, …). Ich muss anmerken, Passkeys sind nicht nur kompliziert, sie sind auch komplex. Sie versuchen zwar die Probleme der Passwörter zu lösen, schaffen jedoch noch mehr Probleme. Nach einer Abwägung überzeugen mich die Passkeys in keinster Weise.
Eigentlich hast du doch nur zwei Argumente, oder?
1. Unwillen sich damit zu beschäftigen.
2. Gelerntes Wissen, soll nicht entwertet werden.
Das ist für mich bei IT-Sicherheit keine valide Argumentation.
Wenn man das ganze Overthinking und seinen Ballast an IT-Wissen mal beiseite legt, sind Passkeys ein total simples Konzept. Diese ganzen Vorbehalte ggü. proprietärer Software und Smartphones als Schlüssel haben die meisten Menschen meiner Erfahrung nach nicht.
Ich fand die Zeit auch super, als wir uns alle keine Sorgen gemacht haben und Hans87654321 ein mega sicheres Kennwort war. So 1995 ungefähr. Dem nachtrauern? Gerne. An Hans87654321 festhalten? Lieber nicht.
Den Ball kann ich so ähnlich zurück spielen. Eigentlich willst du nicht auf meine Argumente eingehen und hältst an der Strategie fest:
1. Problem erfinden
2. unnötige Komplexität drauf packen
3. drauf hoffen, dass es dadurch gelöst wird
4. dadurch entstandene Probleme ignorieren
Das habe ich in der Welt der IT genug gesehen. Das geht meist nicht gut aus. Ich werde an „}uph:knurAfVa7“ (Name meiner Katze) festhalten. Passwörter sind sicher und können gegen Brutforce, z.B. durch Begrenzung der Versuche oder Erhöhung der Zeit zwischen den Versuchen, gehärtet werden.
Hindert dich doch niemand, oder?
Kackt die Taube jetzt aufs Spielfeld?
„Beliebte Angriffspunkte sind die Cloud-Sync-Funktion der großen Hersteller und die Bindung an ein Smartphone. “
In Deinemn(in diesem Abschnitt eher unsachlichen) Aussagen führst Du nicht an, warum man nicht durch Apple/Google/Microsoft in deren Käfig gebunden wird, sobald man sich für eine Passkey-Lösung per Android/iOS etc. entschieden hat. Wäre schön, wenn man sich so weit aus dem Fenster lehnt, deutlicher zu schreiben, wie man die Herstellerbindung ablegen kann, wenn das funktioniert.
„Theoretisch überlegene Alternativen wie Yubikey sind leider an der Praxis gescheitert.“
Keine Ahnung, wie Du zu dieser Aussage kommst, aber ich arbeite gern damit und habe damit die Bindung an einen Hersteller bei den Betriebssystemen überwinden können.
Komplexität bei Passkeys etc: gering bis gar nicht. Gebe aber zu, dass es viel zu weniger Anbieter von Passkeys-Zugängen in meinem Interessensgebiet gibt.
„Ersteres, weil die großen Hersteller böse sind und Smartphones gerne von Leuten als unsicher gebrandmarkt werden, die sie technisch nicht verstehen… “
Keine Ahnung, wie sehr Du Dich mit IT-Sicherheit und insbesondere mobilen Geräten (Forensik?) beschäftigst, vorsichtig würde ich bei solchen Aussagen an Deiner Stelle auf jeden Fall sein. Beruflich bin ich immer wieder fasziniert, was alles doch möglich ist…
Ich habe ehrlich gesagt etwas Mühe den Kommentar zu verstehen.
Passkeys mit Open-Source-Software hatte ich doch exemplarisch mit KeePassXC beschrieben. Reicht das nicht?
Zur Hardware: Moderne iPhones oder Pixel-Geräte mit aktueller Software (bei Pixel gerne GrapheneOS als freies System) sind sicherer als normale PC-Hardware mit Linux oder Windows. Das ist doch überhaupt nicht strittig!?
Hallo,
„Passkeys mit Open-Source-Software hatte ich doch exemplarisch mit KeePassXC beschrieben. Reicht das nicht?“
Mir ging es nicht um Open-Source-Software sondern im ersten Abschnitt um die Kritik an den Kritikern, dass sie die Bindung an Smartphones kritisieren würden. In dem Abschnitt führst Du aber nur die (vermeintlich höhere) Sicherheit und eben nicht Kritik an die Bindung an die Smartphones (und dem jeweiligen Hersteller) als Punkt auf.
Mich würde aber interessieren, wie die Erfahrung bei einem Wechsel der Plattform ist, um diesen Kritikpunkt zu begegnen.
„Zur Hardware: […]“
De facto ist es eigentlich im Allgemeinen so, dass man – wenn erst einmal das Gerät (etwas llänger) nicht mehr im physischen Besitz (Zugriff) hat – kaum mehr dem Gerät vertrauen kann – egal ob Smartphone oder Notebook etc., wenn man wirklich so interessant ist. Kein (Consumer-)Gerät übersteht solche Angriffe. Aber das meinst Du sicher nicht.
Sicherheit wird ja bekanntlich mit den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit verbunden. Wenn diese Verfügbarkeit bspw. sich auf die Backup-Funktion marktüblicher Smartphone-Betriebssystem bezieht und dabei bspw. die Übertragung der Daten (Passkeys?) auf neue Systeme betrachtet, so sehe ich wenigstens schon in diesem Punkt den Kritikpunkt an andere Kritiker hinterfragungswürdig an – auf jeden Fall wenn ich Deinen Wunsch der Betrachtung des „Spannungsfeld[s] digitaler Teilhabe und Sicherheit“.
Worauf willst du hinaus? Ich habe deinen Kommentar jetzt 3. Mal gelesen, aber durch die vielen Schachtelsätze verstehe ich ihn wohl nicht richtig.
Die Möglichkeiten zum Backup und Transfer von Passkeys sind dokumentiert. Auch ohne Cloud.
Ein modernes Smartphone mit z.B. GrapheneOS ist auch nach Verlust schwer zu knacken, lässt sich nur schwer auslesen und löscht sich u.U. schnell selbst. Das wurde jüngst wieder bestätigt. Das Sicherheitsniveau erreicht kein Desktopbetriebssystem. Aber darauf willst du nicht hinaus, oder?
o.k. Einfach:
– Mann hat iPhone. IPhone defekt. Backup in der iCloud (Standard Apple).
– Mann hat kein Geld für neues iPhone und will sich ein Android-Gerät leisten.
Geht das? Ja/Nein/Vielleicht (Voraussetzungen)
Hardware-Sicherheit ist tatsächlich nicht (bzw. hier) Thema.
Geht nicht, aber specs sind schon klar und Hersteller haben mitgezeichnet. Kommt also demnächst. https://fidoalliance.org/fido-alliance-publishes-new-specifications-to-promote-user-choice-and-enhanced-ux-for-passkeys/
I know 🙂
Für den Blog-Eintrag finde ich es aber wenigstens erwähnenswert, dass derzeit eine Herstellerabhängigkeit besteht. Ebenso zu erwähnen ist der Nachteil eines defekten Nitrokeys auch auf Smartphones zu übertragen – inkl. der ausbaufähigen Backupstrategie, sofern über die herstellereigenen Anwendung weitere verwendet werden (habe diesen Nachteil letztens nett miterleben dürfen).
Bzgl. einer etwaigen Umsetzung bin ich sehr neugierig. Die Kundenbindung würde damit aufgehoben werden, was sicherlich nicht interessant für das Geschäft ist.
Danke für Deinen Post zu Passkeys!
Polemische Spitzen sind ein Markenzeichen dieses Blogs. Ich lese darüber hinweg. Den Punkt hast du natürlich trotzdem. Passkeys haben das Momentum und könnten wirklich die Kennwortmisere beenden. Wir nehmen Phishing zu sehr als unvermeidliches Übel. Hardwaretoken hatten vor 5 Jahren ein kurzes Momentum, konnten aber keine kritische Masse erreichen. Weil die Pappnasen da draußen eben kein Geld ausgeben wollen und das zu fummelig mit extra Dongel ist. Schade, aber gelaufen. Wenn das Momentum vorbei ist, ist es vorbei.
Das werden diese ganzen Open Source Security Leute nie verstehen. Die haben auch von Mailverschlüsselung geschrieben, als alle auf Messenger waren und wollten XMPP mit irgendwelchen Addons fit machen, weil – ach, schon wieder vergessen. Dass hier irgendwelche Experten mit „mir reicht aber mein Nitrokey“ um die Ecke kommen, war dir sicher klar. Mir gefällt an diesem Blog, dass du den normalen Anwender im Blick hast. Weiter so!
Danke für den Artikel.
Ich habe mich auch immer wieder mit dem Thema Passkeys beschäftigt und auch den Einsatz in Unternehmen evaluiert. Ich finde sie in punkto Sicherheit und Komfort super.
Den einzigen Nachteil, den ich aktuell noch sehe, ist die potentielle Abhängigkeit von einem Ökosystem bzw. die fehlende Möglichkeit eines Backups, da man die Passkeys nicht aus der Secure Enclave auslesen kann. Das stärkt natürlich die Sicherheit, aber wird beim Verlust des Devices problematisch.
KeePassXC bietet die Möglichkeit Passkeys in der Datenbank zu speichern. Dann kann man Backups der Datenbank machen, aber der Passkey lässt sich dann auch aus einer entsperrten Datenbank „einfach“ auslesen.
Biometrische Merkmale gelten als nicht ausreichend sicher.
Ich möchte gar nicht auf mögliche technische Angriffsszenarien eingehen, nur auf „analoge“. Der erste Punkt ist, dass biometrische Daten nicht so ein-eindeutig sind, wie gemeinhin angenommen. Bei der Einwohnerzahl Österreichs bspw. gibt es theoretisch 10 weitere Österreicher, die mit einem ihrer Finger mein Handy entsperren könnten. (Es gibt einen Fall eines fälschlich Mordverdächtigen in den USA, dessen Fingerabruck vom FBI-System als ident erkannt wurde.)
Und diverse Kunstprojekte, die im Internet verfügbare Bilder benützten, bewiesen, dass jeder von uns mindestens einen Doppelgänger hat. Das funktioniert letztlich auch deshalb, weil der Abgleich gewisse Toleranzen haben muss, sonst bräuchten wir jedes Mal 10 Versuche, um unser eigenes Gerät zu entsperren.
Das ist immer noch sehr theoretisch… Viel „praktischer“ ist es, ein entzogenes iPhone dem Eigentümer kurz vor die Nase zu halten oder nach Verabreichung von KO-Tropfen einfach den Finger an den Sensor zu halten.
Dazu kommt noch, dass man biometrische Daten ständig offen mit sich trägt. Niemand hat sein Passwort irgendwo tätowiert (hoffentlich 🙂 )…
Somit erübrigt sich die Diskussion von unsicherer oder sicherer Speicherung biometrischer Daten, da diese selbst nicht ausreichend sicher bzw. geschützt sind.
Alles richtig.
Ich bin aber Pragmatiker. Bevor es biometrische Merkmale für die Entsperrung von Smartphones gab, nutzten viele gar keinen PIN oder eine simple Wischgeste. Menschen sind nunmal bequem. Hier bieten biometrische Merkmale eben dann doch wieder einen Mehrwert, weil sie verglichen mit vorherigen Methoden sicherer sind.
Die Hersteller entwickeln die Methoden übrigens weiter, da muss man immer auf der Höhe der Zeit mit seinen Gegenargumenten bleiben. Moderne iPhones prüfen, ob der Besitzer bei FaceID aufmerksam ist und in die Kamera blickt. In deinem KO-Tropfen-Beispiel würde die Entsperrung scheitern.
Biometrische Entsperung ist übrigens keine Voraussetzung für den Einsatz von Passkeys. Sie macht es nur komfortabler. Als zusätzlicher Identifikator lässt sich auch ein PIN nutzen.
Bei den simplen Wischgesten gibt es fast eine Million Kombinationen. Man hat den Vorteil, dass die Kombination geändert oder „vergessen“ werden könnte. Mit der Biometrie geht es nicht, sie ist halt da und kann gegen dich und ohne deinen Willen verwendet werden können.
Theorie und Praxis.
Natürlich gibt es theoretisch unendlich viele Wischgesten. Aber wir sind Menschen mit kultureller Prägung. Studien haben gezeigt, dass 43% der Menschen ihre Wischgeste in der linken oberen Ecke starten. Danach geht die Mehrzahl direkt nach rechts oder unten. Die Zahl der Kombinationen sinkt dramatisch. Weil auch nicht die meisten den Wischverlauf anzeigen lassen, lässt sich die Geste mit einem simplen Schulterblick oder dem berühmten Schmierfilm nachstellen.
Am sichersten sind zweifelsohne eine Buchstaben/Zahlen-Kombination, aber wer mag das schon ständig eingeben. Eine 6-stellige Zahlenkombination bietet mit ein paar Zusatzbestandteilen (Verzögerung & Autolöschung nach x Fehlversuchen) auch noch relativ viel Sicherheit. Jedenfalls sofern sie nicht zu einfach ist und da sind wir wieder beim Grundproblem.
Aber hier kommen wir dann in den Bereich, in dem Biometrie in der Realität (und über die schreibe ich) die Geräte realer Menschen besser absichern als sie es vorher getan haben. Das kann man anerkennen, auch wenn man die ganzen theoretischen Vorbehalte ggü. biometrischen Verfahren hat und um die Probleme weiß.
Theorie und Praxis eben.
Theorie und Praxis.
Ich muss die Anzahl der Kombos des Musters um ein Drittel nach unten Korrigieren. Es sind so um 390k. Das ist immer noch ein beachtlicher Raum. Wenn man den Startpunkt gesichert oben links einsetzt, sind es 43k. Zwar etwas mau, jedoch kann die Anzahl der Versuche begrenzt und eine Sperrung oder kompletter Wipe eingestellt werden. Nach einer Abwägung, halte ich die Wischgesten in der Theorie für sicher.
Für die Praxis bringst du valide Argumente: Fettspuren und Voyeurismus. Nun die beiden Angriffsvektoren gelten genau so auch für die Buchstaben/Zahlen-Kombination. So die Praxis.
Gehen wir mal auf die Biometrie in puncto Theorie und Praxis ein. Theorie ist, ein Schlüssel, dem du nicht kontrollierst, ist kein Schlüssel. Praxis: die Fingerabdrücke befinden sind überall am Gerät. Dein Gesicht ist jederzeit sichtbar.
Oder muss ich das mit der Theorie und Praxis eher auf eine karikaturistische Art und Weise verstehen? So etwa wie, dass in der Theorie keine Brandschutzversicherung nötig ist, weil in der Praxis ein Sicherungsautomat einen Kurzschluss abfängt.
Hallo, danke für den Artikel und auch an die hilfreichen Kommentierenden. Ich arbeite meistens mit Linux und manchmal mit Mac, habe also, was Linux angeht, die bekannten Hürden. Und es gibt noch etwas anderes: Auch nach Mail-Kontakten mit yubikey und Anfragen an verschiedene Redaktionen konnte mir niemand zusichern, dass das mit den Passkeys auch dann klappt, wenn man mehrere Rechner mit jeweils mehreren Betriebssystemen hat. Gehört wahrscheinlich zu den Fällen, die niemend checkt … Also lasse ich den Finger von Passkeys und arbeite weiter mit starken Passwörtern. Auch wenn mich theoretisch das Passkey-Konzept überzeugt.
Btw. und nicht wirklich zum Thema gehörend: Ungefähr nur jedes fünfte Mal gelingt es mir (und ihr) beim MacBook meiner Frau, sich mit dem Passwort auf dem Rechner einzuloggen … Fingerabdruck geht immer, doch ich habe halt andere Finger und manchmal warte ich Ihren Rechner unterm Dach und sie werkelt gerade ich Keller … Treppensteigen soll gesund sein. Mit freundlichen Grüßen, Bostaurus
Was nutzt es mir, dass Passkeys als die Zukunft und das einfache neue Passwort vermarktet werden, aber in der Realität das ganze nicht funktioniert.
PayPal macht ewig Werbung man solle auf Passkeys setzen, es wäre einfacher und sicherer. Also habe ich das ausprobiert. Von wegen man braucht dann nur noch den Fingerabdruck und kein Passwort oder 2FA Nummer mehr. Es wurde kategorisch alles abgefragt, anstatt zwei Dingen durfte ich dann neu drei Dinge erledigen.
Was ist an einem Passwortmanager so schlecht, dass man unbedingt diesen Blödsinn erfinden muss, der dann nur mehr Arbeit macht und eh nicht funktioniert.
Auf die Frage wo die Passkeys herkommen, wenn mein Handy Schrott ist, konnte mir keiner beantworten. Es soll bald eine Sicherungsfunktion geben war die Antwort. Bald ist ein sehr geduldiges Wort.
Das ist eine Frage der Einbindung. Man kann Passkeys als 2FA nutzen, aber auch als vollständigen Ersatz für Passwörter.
Ich tue mich schwer damit, die genaue Funktion der Cloud Syncronisation bei Passkeys zu verstehen. Grundsätzlich scheinen Passkeys ja sowas wie authenticator apps vieler Banken zu sein, wo auch die app auf dem Smartphone als zweiter Faktor (oder bei einigen Banken auch als einziger) fungiert. Nur vielleicht etwas weniger proprietär und standardisiert.
Was mich dabei stören würde, ist die unbedingte Bindung an ein Smartphone. Zwar nutze ich auch auch jetzt KeepassDX als Passwortmanager auf dem Smartphone , die Keepass Datenbank syncronisere ich aber über meine Nextcloud und kann auch ohne Smartphone von überall darauf zugreifen. Regelmäßige Backups gibt es auch. Ausnahmen sind eben Banking Apps und einige wenige Websites, für die ich eine OTP Authenticator App benötige. Hier treibt mir aber im Moment jeder Smartphone Wechsel den Schweiß auf die Stirn, da das übertragen auf das neue Gerät immer Fallstricke mit sich bringt, und ohnehin nur funktioniert, wenn ich das alte noch funktionsfähig im Zugriff habe. Wenn ich mir jetzt vorstellen, auf den Großteil meiner > 100 Passwörter keine Zugriff mehr zu haben, wenn mein Smartphone defekt oder verloren ist, kriege ich Angstschweiß.
Inwieweit hilft da die von dir angesprochen Cloud Syncronisation von Passkeys? Gibt es dann eine Möglichkeit, meine Passkeys bei Verlust des Smartphones über die Cloud wiederherzustellen? Und was heißt Android bietet da eine Lösung an? Kann ich dafür meine Nextcloud nutzen, oder muss ich dafür ein Google Konto anlegen? Ich nutze das von dir empfohlene GraphenOS, da ist erst mal keine Cloud dabei und wenn ich ein Google Konto wollte, hätte ich mich nicht für GraphenOS entschieden.
Ich würde mich freuen wenn Du das aufklären könntest, vermutlich ist so was grundlegendes wie Backups bei Passkey mitgedacht, aber ich konnte dazu auf die schnelle nichts finden.
„Ich tue mich schwer damit, die genaue Funktion der Cloud Syncronisation bei Passkeys zu verstehen. Grundsätzlich scheinen Passkeys ja sowas wie authenticator apps vieler Banken zu sein, wo auch die app auf dem Smartphone als zweiter Faktor (oder bei einigen Banken auch als einziger) fungiert. Nur vielleicht etwas weniger proprietär und standardisiert.“
Nein, ich würde es eher mit PGP oder SSH-Keys vergleichen, nur weniger kompliziert in der Bedienung.
Die Bindung ans Smartphone ist übrigens kein Muss. Es ist nur der einfachste Weg, weil >90% der Menschen ein Smartphone besitzen. Und es soll ja vor allem sicher UND einfach sein.
Du kannst – wie beschrieben – auch KeePassXC zur Verwaltung von Passkeys nutzen. Dann brauchst du kein Smartphone und bist an keine proprietäre Cloud gebunden. Die sind dann in der üblichen KeePass-Datei gespeichert und entsprechend portabel. Nur dann halt mit erheblichen Sicherheitseinschränkungen, weshalb ich das nicht machen würde.
Oder du synchronisierst über die Hersteller-Clouds. Da geht als Paarung macOS/iOS und Chrome/Android.
Vielen Dank für die Antwort. Es trifft allerdings nicht ganz die Frage. Natürlich besitze ich ein Smartphone und nutze dieses auch primär für die Authentifizierung und um meine Passwörter zu verwalten. Es ist wie gesagt ein Pixel mit GraphenOS. GraphenOS nutze ich primär deswegen, weil es weitgehend ohne die Nutzung von Google Diensten möglich ist. Die Playservice nutze ich zwar für einige wenige Apps in einem extra Profil, aber ein Google Konto habe ich explizit nicht eingerichtet und möchte das auch nicht. Zur Datensyncronisierung nutze ich mein Nextcloudkonto und zur Sicherung der Systemeinstellungen Seedvault. KeePassXC gibt es nur für den Desktop, für Android gibt es zwar die kompatible App KeePassDX, die unterstütz aber, soweit ich es sehe, keine Passkeys sondern nur normale Passwörter. Wenn ich es richtig verstehe, gibt es damit ohne Google Konto keinen vernünftigen Weg, auf dem Smartphone eingerichtete Passkeys gegen Geräteverlust oder Beschädigung zu sichern? Und auch keinen Weg, die z.B. auf meine Desktop (Linux) Rechner zu nutzen, wenn das Smartphone mal nicht zur Hand ist?
Die Nutzung eine Passwort Manger wie KepassDX mag dann weniger sicher im Bezug auf Phishing sein, aber deutlich flexibler und auch sichere im Bezug auf Passwortverlust. Passwörter eintippen muss ich damit auch nicht, eine Legitimation per Fingerprint reicht, um das Passwort einzufügen.
So lange KeePassDX nicht nachgezogen hat, ist das leider so. Nur eine Frage der Zeit hoffentlich.
Ja, sieht so aus als ob daran aktiv gearbeitet wird, aber wenn man die Kommentare so ließt, scheint auch noch einiges an Weg zugehen zu sein, bis man Passkeys ohne Google Konto sinnvoll nutzen kann:
https://github.com/Kunzisoft/KeePassDX/issues/1421
Aber ich werde es auf jeden Fall im Hinterkopf behalten.
Schön wäre, wenn Banken standardmässiges TOTP nutzen würden. Aber stattdessen zwingen sie den Nutzern ihre proprietären Apps auf. Obendrauf noch die Tatsache, dass von 35 untersuchten Banken bzw. deren Apps keine einzige datenschutzkonform arbeitet! (https://www.kuketz-blog.de/der-grosse-online-banking-und-tan-app-test/) Und dem Skandal wird dann endgültig die Krone aufgesetzt durch Politiker und Bürokraten, die das geflissentlich durchgehen lassen.
Zurück zu TOTP/Authentikator Apps: Bei entsprechnder Wahl brauchst Du nicht mehr Angstschweiss haben als mit den Keepass Datenbanken! Zwei Funktionen sind bei Auswahl zu beachten, wenn gewünscht auch kombiniert, je nach Risikobereitschaft:
• Backup Funktion: z.B. KeePassXC, Ente Auth, Aegis, Authenticator Pro
• Sync Funktion: z.B. Ente Auth oder Bitwarden
Wichtig:
• Bei Apps, die sowohl für Passwörter als auch TOTP verwendbar sind, getrennte Datenbanken verwenden.
• U.a. nicht zu empfehlen: Authy und Google Authenticator
Ich bin mit der Kombination aus Passwortmanager, 2FA über mein Smartphone und einem Titan Key völlig zufrieden. Sehe nicht, wie ich dadurch angreifbar bin.
Passkeys verstehe ich nicht. Ich glaube, dass ich bereits welche habe, weil diese automatisch vom Browser generiert wurden und ich irgendein Pop-up Fenster weggedrückt habe. Auch dieser Artikel erklärt nicht richtig, wie es genau funktioniert und warum es besser ist.
Diese Diskussion hier… Der Autor schreibt ein bisschen Common Sense über Passkeys. Das steht auch beim BSI und anderswo und dann kommen diese Linux-Rentner und schreiben, dass sie es nicht verstehen und deshalb ablehnen. Ihr lebt in einer Blase. Genau deshalb wird Linux im Smartphone- und Laptopbereich immer irrelevanter. Ihr denkt, euer System ist sicher, aber das war vor 10 Jahren.
Früher hatten wir Linux auf den Laptops. Heute keine Sicherheitsfreigabe mehr, weil kein Sicherheitschip, keine Verschlüsselung mit Audit und keine biometrische Freigabe. Ende Gelände. Und kommen Sie mir nicht mit Datenschutz. Das ist nicht das Gleiche wie Sicherheit. Verwechseln nur viele.
Also danke Cruiz für den Post hier. Und das du ihn auch über die Linux-Planeten schickst. Einmal auf den Stein klopfen und gucken ob noch jemand drunter ist schadet nicht.