Gibt es dann auch optionen wie passkeys auf USB-Sticks oder ähnlichem? Bin gespannt was sich da in Sachen Privatsphäre dann alles machen lässt. Ob Passkeys die neue Methode für Anonymität im Internet werden oder uns gläserner machen als bisher wird auch spannend. EIn längeres Video über weitere Verwendungsmöglichkeiten oder auch andere, interessante Optionen dieser Art wäre wirklich cool. Sowieso immer super Videos von dir!
Was sollen Passkeys mit Anonymität oder Gläsern zutun haben? Man nutzt sie für eine Authentifizierung, also hat man schon einen Account am Wickel. Also ist kann höchstens pseudonym. Schlüsselpaare enthalten nur die Informationen, die man explizit bei der Erstellung eingibt, und sind ansonsten mehr nur zufällig generierte Daten...
@@lars7898 Die Keys an sich nichts. Eher das drum herum, wie sie nacher genutzt werden, wer dadurch was schlußfolgern kann, usw. Wenn ich mir schon vorstellen kann, wie man das nutzen könnte, dann können es andere auch, besonders jemand mit deutlich mehr Ahnung. Aus einem Passwort selbst kann man wahrscheinlich oft genug nichts ablesen. Allein die Option vl keinen Usernamen mehr zu benötigen bietet so viel Potenzial in beide Richtungen. Bin da sehr gespannt
@@philippXcarnifex Ja, man kann Passkeys auch auf Hardware Security Keys (z.B. YubiKey) speichern. Meinst du das? Auf herkömmlichen USB Sticks kann man Passkeys nicht speichern, denn sie lassen sich nicht exportieren, sie sind auf dem Security Chip des jeweiligen Geräts gespeichert. Im lokal auf dem Gerät gespeicherten Passkey wird das Schlüsselpaar (privater und öffentlicher Schlüssel), Name und Domain der Webseite, sowie Anzeigename und Benutzername (dieser Teil wäre dann wohl optional bei anonymen Accounts) gespeichert. Auf dem Server der Webseite ist nur der öffentliche Schlüssel deines Passkeys gespeichert. Weitere Daten dann eben je nachdem ob du diese angibst oder nicht. Die Webseite kann natürlich trotzdem eine eindeutige ID für deinen Benutzer erstellen und deine Aktivitäten auf ihrer Webseite tracken. Aber über mehrere Webseiten hinweg ist kein Tracking mit Passkeys möglich, da für jede Webseite ein eigener Passkey erstellt wird, und aus den öffentlichen Schlüsseln lassen sich keine Rückschlüsse zu deiner Identität ziehen.
Solange du deine Mobilfunknummer hast (bzw. dir eine Ersatz Simkarte schicken lässt), solltest du per sms wieder reinkommen. Du kannst dich ja einfach mal ausloggen und so tun, als hättest du alles verloren. Dann solltest du nach etwas durchklicken bei sms landen.
Vielen Dank für die einfache Erklärung - jetzt versteh ich das Passkeys-Thema. Bin noch am überlegen, ob ich die Passkeys verwende, da ich für die ganze Familie der "Admin" bin und deshalb die Geräteabhängigkeit nicht sehr spannend für mich ist.
Ich denke ich bleibe bei Bitwarden und 20 Stelligen Passwörtern, hört sich zwar ganz interessant an, aber die Gerätegebundenheit würde mir vor allem bei meinem Handy sorgen machen...
Im Prinzip ein alter Hut, wenn man zB unter einem GNU/Unix System mal ssh konfiguriert hat. Die Einrichtung kann nervig sein, je nachdem wie die passkeys auf den Geräten abgelegt werden. Wenn man sie zB in eine .kbdx file schreiben kann, die man dann über die Cloud mit allen Geräten synct, wäre das allerdings recht angenehm. Keepass kann ich dann biometrisch, per Passwort oder an einem PC mit einem USB-Stick, der als Schlüssel fungiert, entsperren. Dann wäre auch das Risiko bei einem Verlust des Gerätes minimal. Den Stick hab ich ja am (analogen) Schlüsselbund 😄
Was ist die sicherste Form der Account Verschlüsselung? Einfach als Video Idee, wo du jede Form vorstellst und die Vor und Nachteile sowie deine eigene Meinung einbringst :) Gibt es eine Möglichkeit Passkeys auf einen analogen Gerät zu hinterlegen, wie ein 2FA Stick?
Hi Flo, kurze off-topic Frage: Am 6. Novemver 2022 ist Sword Art Online Day (Der Tag an dem in der Geschichte das Spiel SAO released wurde). Hast du dafür evtl ein Video zum Thema VR geplant? Das würde doch gut passen!
Kannst ja Mal gerne ein Video machen, wie man sich über GitHub/SSH/etc. mit dem Public Key authentifiziert oder wie man ein Schlüsselpaar erstellt. Btw, was hältst du denn von z.B. Bitwarden als Passwort Manager? Ist man da auch vor einem Angriff sicher?
Ja, Bitwarden (Cloud basiert) und Keepass (manuell) sind die beiden Kennwortverwaltungen die man gut empfehlen kann. Je nach dem welche Art von Kennwortverwaltung man haben möchte. Bei "Sicherheit vor Angriff" kommt es immer darauf an was genau gemeint ist. Wenn ein Angreifer dein Gerät komplett in der Hand hat, kommt er natürlich auch an die Kennwortverwaltung.
Ich bin kein Apple Nutzer (LiNuX aRcH ;) ) jedoch habe ich gehört, dass wenn man ein Apple Gerät nutzt, Apple bei Drittanbietern eine neue E-Mail Adresse für einen erstellt, die wiederum mit deiner Apple ID verknüpft ist. Ganz coole Idee.
Passkeys? Ich kannte schon einige Namen wie u2f, FIDO/FIDO2, Security Key oder WebAuthn, aber die NAmen ändern sich scheinbar schneller als bei USB die Versionsbezeichnungen, oder was?
Könnte man die Passkeys nicht auf einem USB Stick speichern? Dann hätte man ein echtes Objekt als Schlüssel, mit dem man zum Beispiel Google „aufschließen“ kann.
Das Video gefällt mir wirklich gut (gut und kompakt erklärt). Zwei Sachen verwirren mich gerade jedoch insgesamt bei dem Thema am meisten: 1. Was ist mit 2FA und Passkeys? Entfällt 2FA quasi, wenn man einen Passkey benutzt? Oder ist die 2FA sozusagen im Passkey-Verfahren enthalten? 🤔 2. Was SIND Passkeys denn nun? Sind das "Dateien", die man - sofern man da dran käme - irgendwie auch so speichern könnte, oder wie kann man sich das vorstellen? 🤔
@@Florian.Dalwigk Die FIDO Alliance ist davon überzeugt, dass 2FA mit Passkeys nicht mehr notwendig ist, da bei einem Login mit Passkeys immer automatisch 2 Faktoren geprüft werden: Besitz des Passkeys (something you have) und Biometrie (something you are) oder Wissen (PIN, something you know). Quelle: Ein Vidoe von der RSA Conference mit dem Titel " Passkeys: The Good, the Bad and the Ugly" bei Minute 17:43.
@@Florian.Dalwigk Das Smartphone nicht zu schützen sehe ich wiederum nicht ein, weil man darauf ja persönliche Daten hat. Eine Bildschirmsperre eingerichtet zu haben ist (soweit ich weiss) Voraussetzung, um Passkeys zu nutzen.
Ich bleibe bei Passwörtern mit Password-Manager. Diese kann ich bei Bedarf einfach an andere verschicken und gegebenenfalls ändern. Bei einem Passkey wäre das nicht mehr möglich.
@@Florian.Dalwigk Da ich wenig Kentnisse habe, ist mir nicht geheuer, was z.B. mit meinem Fingerabdruck angestellt werden kann. Deshalb vermeide ich es, meinen Fingerbdruck und mein Gesicht ins Netz zu geben.
@@user-uo4gg3ek4v Biometrische Daten wie Fingerabdruck oder Gesicht bleiben grundsätzlich auf deinem Gerät, du kannst jedoch auch eine PIN, ein Password oder Muster verwenden. Je nach dem was dir lieber ist. Alles was dein Gerät zum Entsperren unterstützt, wird auch für die Passkey Vewendung aktiv sein.
meiner Meinung nach reicht es aus, wenn man einen Passwortmanager (am liebsten Keepass) hat und alle wichtigen Passwörter so ca. alle 6 Monate erneuert^^ Der Passwortmanager sollte natürlich ordentlich geschützt sein, mindestens 2fa mit einem yubikey z.B.
Warum sollte man die Passwörter ändern? Viele Sicherheitsexperten raten davon ab und wenn man die in Keepass o.ä. speichert ist es auch möglich ausreichend sicherer zu nehmen und was viel wichtiger ist für jeden Account ein anderes Passwort. Was macht man wenn der Yubikey defekt/verloren ist mit der Passwortmanagerdatei?
Falls du es in der Zwischenzeit nicht bereits gesehen hast, es gibt von der FIDO Alliance ein gutes Video, das den Loginprozess auf verschiedenen Plattformen demonstriert: Passkeys in Action von FIDO Alliance. Ich versuche im nächsten Kommentar noch den Link zu posten, aber Kommentare mit Links werden manchmal gelöscht...
Das funktioniert aber nicht zentral verwaltet über einen Domain Controller oder? Wäre cool, wenn man das in einer AD Umgebung automatisiert den Nutzern anbieten könnte :)
@@_MrFlash_ Mit einem Passphrase, ich würde schätzen 20 Zeichen (nicht gezählt - BruteForce fällt jedenfalls aus). Und um die Datei zu kopieren, müsste ja sowieso erstmal jemand an meinen PC kommen - ohne Wohnungsschlüssel unwahrscheinlich, und die Leute die in Wohnungen einbrechen, versuchen die Beute im Regelfall eher zu verkaufen, als Passwörter zu ergaunern ;-)
Ich hab vor mir das in nächster Zeit von außen anzuschauen. Könntest du das bitte in weiteren Videos genauer erklären? Gerade das was passiert, wenn man keinen Zugang zu einem Endgerät hat, auf dem die passkeys gespeichert sind, zb. Wenn das Haus brennt oä.
Naja, wenn du keinen Zugriff auf das Endgerät hast, ist der Account weg, außer du hast einen Recovery-Key. Das ist so, wie wenn du deinen 2FA Token verlierst
Wenn man z.b. einen Yubikey hat ist das kein wirkliches problem mehr wenn man sich wo anders mal anmelden will (einfach reinstecken und fertig) Kann jedoch unpraktisch werden wenn man nur einen hat und dieser verloren geht ^^
Könnte man nich die Challenge nicht durch eine eventuelle Lücke verändern so dass google denkt das man den privaten Schlüssel hätte obwohl man ihn nicht hat?
Ich glaube eher nicht, dass ich Passkeys verwenden werde. Wenn ein Gerät von mir kaputt geht, oder verloren geht, wäre das System zu aufwendig. Außerdem kann ich mich damit nicht schnell mal auf einem anderen Gerät anmelden.
Ich kann mir vorstellen, das die Passkeys dan auf einer password geschützten cloud liegen. Da ist dass dan nur ein zusätzliche schritt zur anmeldung. Ein Problem, welches ich mit Passkeys sehe, ist das ein paar große Anbiter einen ausreißer machen und eine eigene Implementation im zusammenhang mit einer eigenen App oder so machen, wie es bei 2FA leider ja jetzt schon vorkommt.
Im Video wird erklärt, dass die Schlüssel auf dem Gerät liegen?! Die meisten unterstützen jetzt schon fast beliebige 2FA Apps zum Authentifizieren, klar kann es nimmt ein paar Sonderfälle geben, aber der Großteil wird das hoffentlich nicht.
@@_MrFlash_ klar liegen die Schlüssel auf dem gerät, müssen aber auf andere übertragen werden, wie ich es verstehe. Und dafür wird dann denke ich eine Cloud genutzt. Bei 2FA lassen viele anbiter belibige apps zu, als negativ beispiel fällt mir da spontan steam ein. Und schon ein Anbieter ders anders macht würde mich nerfen.
Ganz unkompliziert: Heute mit Iphone bei Google probiert - auf dem Gerät nicht möglich. Anschliessend mit dem Mac bei Microsoft versucht. Dort gibt es die von MS propagierte Sicherheits-Seite unter accounts/Sicherheit/neue Methode erst gar nicht
@@yokmp1 Dann aber auch jedes Video beginnen mit "Hallo, in diesem Video ganz kurz gezeigt"... Gerade wenn das Video über 10 Minuten ist, "ganz kurz gezeigt" :D
Wie kann man den Handy Passkey löschen. Mann kann nur andere Gärte entfernen. Und wie verhält es sich wenn man das Handy zurück setzt wird dann der Passkey automatisch gelöscht?
@@Florian.Dalwigk Hab nochmal geguckt. Mann muss nicht bei Passkeys gucken sonder mann muss dann die Option: ,,Wenn möglich, Passwort überspringen" deaktivieren
Wäre gut gewesen, wenn noch Zusatzinformationen vorhanden wären im Video. Wie kopiert man sich den Passkey? Wie erstellt man einen Recovery Key? Falls man mal sein Gerät neu einrichtet oder Werkseinstellungen zurücksetzt? Usw., usw., usw., Aber vom Prinzip her ist das schon eine nette Alternative zum Password
Ich habe sogar die 2-Faktor Auth bei Google aus. Wenn ich das Handy verliere will ich es schnell von jedem Gerät mit Inernetzugang orten oder auch zurücksetzen können. Bei der Risikoberwertung aller Geräte kommt das Handy immer am schlechtesten weg. Und keinem fällt was besseres ein als genau das Gerät zum Schlüssel für alles zu machen.
Wie wird verhindert das zwei Personen zufällig das gleiche Schlüsselpaar verwenden? Ein Anmelde-Name wäre mM nach hier trotzdem noch sinnvoll um so etwas zu verhindern, bzw den Account auf den man zugreifen will eindeutig zu machen.
Ein Anmeldename würde das Problem auch nicht lösen, denn wenn man schon zufällig den gleichen Schlüssel generiert hat (Wahrscheinlichkeit so gut wie 0), dann kann man den Benutzernamen auch gleich noch mit generieren
DER große Pluspunkt ist ja angeblich, dass der passkey bei der Signatur niemals das Gerät verlässt. Aber grundsätzlich ist es ja möglich den zu sharen zwischen Geräten. Warum kann ich den dann nicht ungewollt auch mit einem Hacker sharen?
@@Florian.Dalwigk Warum geben Menschen jetzt ihre Passwörter heraus? Sie machen es ;). Was ist also gewonnen? Und auch über Trojaner kann man ja den passkey theoretisch abgreifen. Er liegt schließlich auf dem Rechner oder Handy genau wie jeder andere Inhalt auch.
@@Florian.Dalwigk Ich hatte dich unter einem alten Video gefragt, ob du mal etwas zum Thema Passkeys machen könntest. Wollte mich mit diesem Kommentar nur bedanken :)
Bei Passkeys fehlen mir noch mehr Möglichkeiten um sich auf anderen Geräten anzumelden. Etwa dass man, um sich auf einem fremden PC anzumelden, die Daten nicht nur mit Bluetooth, sondern auch mit Kamera und QR-Code, Internet oder per Tonübertragung übertragen kann um (zum Beispiel) das Smartphone als Schlüssel zum Anmelden zu verwenden.
@@Florian.Dalwigk cool, vielleicht wären die mal ein Review- bzw. Verleichsvideo wert, davon gibt es relativ wenige aktuelle (vor allem in Hinsicht auf fido2 und open source hardware/software)
Wenn ein Anmeldename noch vorhanden ist, sollte es möglich sein an das Gerät mit dem Passkey eine Meldung zu schicken um den Login freizuschalten. Oder sehe ich das falsch? Dann muss man natürlich darauf achten, dass man nicht immer daraufklickt wenn man sich gar nicht anmeldet.
Da habe ich es auf einem Zettel hinterm Spiegel. Wenn ich meinen Google Account nur auf einem Smartphone per Passkey hinterlegt habe. Und das Handy ist weg, was dann? Muss ich dazu andere Zugangsformen aktivieren? Notfalls Codes generieren oder mich per zweiten Gerät auch per Passkeys den Google Zugang hinterlegen?
Es gibt noch ein weiterer Nachteil an Passkeys. Man hat keine Kontrolle darüber, wo die gespeichert sind. Zudem, könnte der Hersteller an den privaten Schlüssel, der auf dem mobilen Endgerät gespeichert ist, gelangen. Da bleibe ich doch lieber bei meiner Faultwarden instanz.
Wieso nicht? Die Algorithmen sind doch bekannt, wenn das Kerkhoffsche Prinzip umgesetzt wurde. Notfalls muss man sich dann eben einen eigenen Client bauen.
Sie meinen einen angepassten Web Browser, der einem erlaubt, die Aufgabe zu extrahieren? Ich denke, das ist Verdammt aufwändig. Zudem, bleibt da noch die Möglichkeit, an die entsprechenden Schlüssel zu gelangen. Ich gehe davon aus, dass es wahrscheinlich nicht möglich ist. Schließlich ist davon auszugehen, dass die Schlüssel, wenn sie auf dem Gerät gespeichert sind, in irgendeinem Sicherheitsmodul gespeichert werden. Ich werde wahrscheinlich alles in allem bei meinem Passwort Manager samt den 128 Zeichen langen Passwörtern bleiben. An die Passwörter, komme ich immer heran und kann die notfalls in eine andere Instanz umziehen. Sollte es jedoch einfach möglich sein, diese Schlüssel zu extrahieren und es dann auch noch recht einfach sein, die Aufgabe aus dem Web-Browser heraus lösen zu können, zum Beispiel mit einem angepassten Plaque in, dann überlege ich mir tatsächlich auch auf dieses sichere Verfahren umzusteigen. Denn so gut meine Passwörter sind, Das System ist wahrscheinlich noch etwas sicherer, wobei dann allerdings niemals ein Schlüssel verloren werden darf. Doch das ist bei Passwörtern ja nicht anders. Wenn ich jedoch keinerlei Kontrolle über die Schüssel habe und diese selbst bei Verlust des Gerätes nicht verwenden kann, habe ich keinerlei Interesse daran, dieses Verfahren trotz der erhöhten Sicherheit zu verwenden.
Und was ist, wenn ich das System neu aufsetzen muss, weil z.B. Windows etc. nicht mehr läuft? Viel zu kompliziert, der Mist. Da bleibe ich lieber bei KeePass und sichere meine Datenbanken mehrfach auf separaten Datenträgern.
Erstens sollte das von vornhinein unabhängig sein von Windows, da es eine browserbasierte und Authentificator Geschichte ist. Zweitens wenn du wirklich, auch von dem Smartphone unabhängig sein willst, dann hol dir gleich einen Fido2 Stick, denn dann sogar mit einem Live System anmelden.
2:35 "Der private Schlüssel, der sich in deinem Passwortmanager befindet, verlässt dabei niemals dein Gerät". Das ist doch ein Widerspruch, oder nicht? Der Passwortmanager speichert den Private Key ja zwangsläufig in der Cloud. Somit verlässt der Private Key doch mein Gerät?
