Bevor wir über die Unterstützung von Passkeys bei heise sprechen sollte erstmal die grundsätzliche digitale Verwaltung eines Abos implementiert werden. 😁
Ich hab euch immer als Podcast gehört. Hier muss ich sagen. Man merkt irgendwie schon hier echte ITler Sitzen und ein Moderator. Die ITler fühlen sich vor der Kamera nicht so wohl scheint es zumindest
Das Thema ist äußerst komplex, wie mir scheint. Einfache Erklärungen sind schwierig bis unmöglich, wie ich finde. Auch dem Podcast merkt man an, dass es noch viel Durcheinander gibt. Es fiel mir schwer, dem Podcast zu folgen und daraus Lösungen oder Anregungen zu entnehmen. Der Artikel im Heft ist besser strukturiert. Konkrete Empfehlungen hinsichtlich Software/Passwortsafes und Sicherheitsschlüsseln würde ich mir noch wünschen.
Das Video hat mir auch überhaupt nicht gefallen. Denn gleich die Antwort auf die Einstiegsfrage "Was sind Passkeys?" war viel zu kompliziert. Dabei ist es völlig simpel: Passkeys sind Passwörter, die der Server nicht kennt, und die ihm weder bei der Einrichtung eines Accounts noch später beim Anmelden mitgeteilt werden. Das macht sie unphishbar und damit wehren sie den häufigsten Fall für erfolgreichen Identitätsdiebstahl im Netz ab. Verwenden kann man die aber nur mit Passwort-Managern, denn das Merken einer gut 300 Bit langen Zufallszahl (das sind knapp 100 Hex-Ziffern, die man sich merken müsste) sowie das Eintippen von so einem Ding ist unpraktikabel - wer sich schon mal die Passwörter angesehen hat, die Passwort-Manager erzeugen: Passkeys sind dann noch mal deutlich länger und zufälliger. Also lässt man die Erzeugung, Speicherung und Verwendung der Passkeys vom Passwort-Manager machen, das Benutzererlebnis ist "schlimmstenfalls" genauso wie das bei Passwörternt, bestenfalls einfacher. Ohne Passwort-Manager im Internet unterwegs sein sollte man ja schon lange nicht mehr. Apple hat bisher die umfassendste Unterstützung für Passkeys, Synchronisation auf alle Apple-Geräte, und mit anderen OS kann man die Passkeys dann per Bluetooth und nem iPhone verwenden. Google macht Synchronisierung/Cloud-Backup nur bei Android, nicht aber beim Passwortmanager des Chrome-Desktop-Browsers, kommt aber noch. Microsoft kann noch gar nicht synchronisieren, insofern ist die Nutzung unter Windows am einfachsten mit einem Smartphone einer der beiden anderen Welten - die Passkeys auf dem Smartphone sind dann entweder in der Apple- oder der Google-Cloud gesichert, können so also nicht verloren gehen. Unabhängige Passwort-Manager wie 1Password, Bitwarden oder KeePass schicken sich an, die Technik auch zu unterstützen. Fertig. Ausprobieren kann man das bspw. auf webauthn.io - passkeys.com finde ich nicht so prickelnd zum Ausprobieren, weil die den Registriervorgang komplizierter machen als nötig und dabei obendrein eine gültige E-Mail-Adresse haben wollen. In der Praxis werden Passkeys heute entweder schon wirklich als Passwort-Ersatz oder als gegenüber OTP (also den Dingern mit dem zeitlich wechselnden Zahlencode) einfacher zu handhabender zweiter Faktor unterstützt. Dass das alles funktioniert, ist die Magie der Public Key Kryptographie. Die zu verstehen ist dann aber schon was für technisch sehr stark interessierte (die Mathematik dahinter ist allerdings wirklich elegant). Als Anwender muss man davon überhaupt nichts verstehen. Und wer das schon mal erlebt hat, wie ein Passwort-Manager ein Passwort-Eingabefeld einer Webseite nicht erkennt, oder beim Ändern eines Passworts auf einer Webseite die Änderung dann nicht mitbekommt oder nicht richtig zuordnet: kann mit Passkeys alles nicht passieren. Denn statt aufs Geratewohl Webseiteninhalte nach nirgendwo standardisierten Regeln zu analysieren, folgt das Passkey-Verfahren einem strikten, unzweideutigen Standard. Die Verwendung ist also auch stressfreier.
Danke für das sehr informative Video, ich nutze bereits Passkeys, wo es geht und mir angeboten wird. In meinem Apple Ökosystem ist es auch recht einfach und wird durch Apple sehr sicher gestaltet, daher nutze ich es lieber als Passwörter und Passwortmanager. 😎🖖
Für den Endbenutzer bleibt der FiDo2-USB einzig transparent (Password-Manager & FiDo2-Authentificator). Den Notfall-Optionen und Regeln kann/will niemand folgen (weil keine IT-Fachperson).
@@Bogomil76 1) Ja, es gibt mindestens eine Kopie; bzw. eine externe Datei zum Erzeugen eines FiDo2-USB. 2) in einem Passwort-Manager steht nicht nur das Passwort, sondern auch Adressen und Infos zum z.B. WEB-Anbieter. 3) ein Passwortmanager bietet einem eine Struktur der Nutzung / des Zwecks (z.B. Bekleidung / Getränke / ..).
Kann man sich dann auch beim Chromebook endlich anmelden ohne jedesmal das Passwort einzugeben? Was mich wundert ist z.b das wenn man Paypal Passkey aktivieren Googelt, man der Anleitung folgt, aber dann bei Paypal keine entsprechende Option findet?
Wie gegen Ende des Podcasts erklärt: Die Funktionsweise von Passkeys ist zwar etwas komplex, der Nutzer muss sie aber gar nicht im Detail verstehen. Als Nutzer reicht es zu wissen, auf welchen Geräten ich Passkeys erzeugen und wohin ich sie synchronisieren kann, und wie ich mich danach mit Passkeys anmelden kann. Im einfachsten Fall reicht ein iPhone oder Android-Smartphone. Auf Geräten, auf die ich meine Passkeys nicht synchronisieren kann, scanne ich dann einfach einen QR-Code mit meinem Smartphone und kann mich auch so anmelden.
passkey ist wesentlich einfacher, als sich andauernd irgendwelche kompliziert zu denken. auch. Mein 80-jähriger Vater findet es viel einfacher, sich per Face ID und passkey bei der Bank anzumelden.
Also, Tatsache habe ich mehr Angst davor, mich auszusperren, als vor einem Hack. Und es ist mir zu technisch verwinkelt. Man muss zu viele Schritte exakt einhalten, um es sicher zu haben. Bei meinen Passwörtern ist es schlicht ein Login+ Passwort, keine Dateien, kein USB-Sticks, kein Bluetooth (den ich auf meinem PC eh nicht habe). Ich finde es auch ein Problem, wenn inzwischen alles auf das Handy zentriert ist. Handys sind derart fragil und leicht zu verlieren/klauen, dass ich das Risiko, zu viel zu verlieren, nur weil mein Handy nicht verfügbar ist, nicht eingehen möchte. Ich finde, es gibt ein Level an Sicherheit, das die Sicherheit, auf Kosten der Zugänglichkeit, zu schwierig macht. Da bin ich ehrlich, Sicherheit ist mir wichtig, aber die Lebensqualität und Nutzbarkeit, spielt für mich ebenfalls eine große Rolle.
Beim Handy auch nicht vergessen: seit Fingerprint und FaceID reicht ein einfacher K.O. oder auch nur ein tiefer gesunder Schlaf des Besitzers aus, um ein Handy ohne Bewusstsein des Besitzers zu entsperren.
@@Roger_P. Ja, da gehts um „fremde“ Rechner denen man nicht so „vertraut“, bei Deinem eigenen kannste doch die Passkeys lokal vorhalten?! Dann musste das Handy nicht als Authenticator benutzen!
Ich kann meinen Passkey immernoch auf Amazon umgehen wenn jemand Benutzer und Passwort kennt schützt immernoch nur 2FA weil man das alte Login nicht abschalten kann
Funktioniert bei meinen Geräten garnicht ! werde zwar immer gefragt ob ich umsteigen will !aber wenn ich es dann in meinem Google-Konto probiere ! heist es Passkeys nicht möglich !was nun ?
Boah es tut mir unendlich leid, aber die Thematik wird hier absolut unübersichtlich und nicht nachvollziehbar diskutiert und die Versuche das System zu erklären, fruchten bei mir leider auch nicht. Entweder herrscht da noch ein totales Durcheinander in dem Konzept oder es wird hier nicht konsistent erklärt. Besonderes Unverständnis herrscht zB bei der Aussage "Passkey statt Passwort", dann aber kann man keine Passkeys verwenden, wenn man keinen zweiten Faktor aktiv hat. Ist der Passkey dann der zweite Faktor oder der erste(Passwort)? Dann heißt es wieder, die Anbieter erlauben keine Passkeys als Passwortersatz... ja was denn nun?!
Ja, das hat für Verwirrung gesorgt. Ich würde Passkeys derzeit nicht als vollständigen Passwort-Ersatz, sondern eher als Passwort-Alternative betrachten. Einige Anbieter (glaube Apple wurde hier erwähnt) erlauben dir offenbar nur Passwörter zu verwenden, wenn du zusätzlich auch eine Zweifaktor-Authentifizierung eingerichtet hast. Dies aus dem Grund, damit du dich nicht aus deinem Account aussperrst, falls du dein Smartphone verlierst und auf keinem anderen Gerät mehr Zugriff auf dein Konto hast. Dann muss ein Login mit Passwort noch möglich sein, oder eine Recovery-Methode, womit man wieder Zugriff auf den Account erlangen kann. Passkeys sind aber grundsätzlich immer der erste Faktor und sollten bevorzugt zum Login verwendet werden, auch wenn das Passwort-Login noch als Backup möglich wäre.
@@sibu7 Das Passkeys-Verfahren, also das erweiterte Fido2-Verfahren, ist eine Zwei-Faktor-Verfahren: Was ich habe (something you own), also der Fingerabdrucksensor UND was ich bin (something you are), also die Verifzierung via Biometrie*. Apple erlaubt aber Passkeys nur, wenn du noch eine Zwei-Faktor-Auth via Passwort + Authenticator festgelegt hat (what you know, what you have). Der Grund ist einfach, damit man sich weiterhin einloggen kann, wenn man den private Key verloren hat, weil man den Authenticator verloren hat (zum Beispiel das Handy). * Windows Hello erlaubt auch die PIN als zweiten Faktor, das wäre dann etwas, was ich weiß (something you know). Grundsätzlich gilt: Passkeys bzw Fido2 sind immer mindestens 2Faktor-Auth, es können aber auch noch zusätzliche Faktoren dazukommen, zb. ein PIN. Dann wäre das Multi-Faktor-Auth.
Ich fände es sehr praktisch, wenn KeyPass meine Passkeys speichern könnte. Denn meine Keypass-Datenbank kann ich auf meine Geräte synchronisieren (oder es lassen).
Warum sind Session Cookies dann noch ein Problem? Der Server könnte die Antworten doch mit dem public key des Benutzers (den er ja bekommt) verschlüsseln, sodass nur ein Besitzer des private keys die Antwort überhaupt entschlüsseln kann.
Passkey scheint ja jetzt das neue Hypethema zu sein. Überall liest und hört man davon, dass es der neueste heisse Scheiss ist. Allerdings ist es in der Praxis mit nichten angekommen. Wie oft loggt man sich denn in seinen Account (google, apple, etc.) ein? Ich vlt. einmal die Woche oder weniger. Wo man sich wohl öfter einloggt ist der Mailprovider, der Internetshop, Paypal, Spotify, oder ähnliches. Alle diese Dienste nutzen dieses tolle Passkey überhaupt nicht. Also was solls. Ist vielleicht ein guter Anfang, der aber bei Weitem nicht diese Präsenz und diesen Hype rechtfertigen.
Es sollte schon möglich sein, die 2 auseinander zu halten. KeePass ist ein Open Source Passwortmanager, den es seit 2003 gibt. Passkey ist eine Abwandlung vom Wort "Password", "word" wird durch "key" (Schlüssel) ersetzt. Soweit ich weiss, gab es Passwörter schon vor Computern, man muss ein Passwort kennen, um Zutritt zu einem bestimmten Ort/Bereich zu erlangen. Englisches Verb "to pass" = passieren (du darfst passieren).
Wenn jemand mein Handy klaut, hätte ich immer Angst, dass jemand das Gerät entsperren kann. Vielleicht kann er dann seinen Fingerabdruck o.ä. hinterlegen. Vielleicht geht das ja sogar per Foto von mir und einer schlechten Gesichtserkennung. Damit hätte er Zugang zu all meinen Passkeys. Wie mache ich den darauf abgelegten private Key ungültig? Muss ich dann bei zig Diensten einen neuen Passkey erzeugen, oder kann ich sowas zentral machen?
Da gabs nun schon bessere c't uplinks. Eigentlich sind mehr fragen offen geblieben als beantwortet worden. Souverän war der Auftritt der beiden Experten auch nicht wirklich. Passkeys schön und gut. Aber das ist wieder so eine Geschichte wie z.B. IPv6. Eigentlich ganz toll, setzt sich aber nicht wirklich durch. Jeder Dienst der Passkeys einrichtet wird auch weiterhin die Möglichkeit bieten sich mit Benutzername und Passwort anzumelden. Leider sind die DAUs dort draußen nicht gewillt sich mit Sicherheit auseinander zu setzen. Ansonsten hätte man schon lange überall 2FA verpflichtend gemacht. Aber es ist überall nur optional, und so wird auch Passkey nur eine optionale Möglichkeit bleiben sich anzumelden.
Mich würde interessieren ob Passwortmanager wie z. B Bitwarden die Passkeys auch in den Sicherheitschip ablegen können oder ob die nur Verschlüsselt auf der Festatte liegen. Mir gefällt der Gedanke, dass die Schlüssel im TPM oder einem anderen HW Modul sind und da auch keiner ran kommt. Die Chips sind ja vom OS entkoppelt. Vor Allem werden die Keys auch direkt in den Sicherheitschip wie z. B dem TPM erzeugt und verlassen diesen auch nicht.
und mir gefällt der gedanke nicht dass ich die keys nicht auf nen usb stick in nen tresor exportieren kann. motherboard tot --> über TMP key verschlüsselte daten tot Aber dafür sind meine daten dann extrem sicher, wenn keiner mehr INKLUSIVE MIR mehr rannkommt.
@@Henry-sv3wv Deswegen nutzt man auch mindesten zwei Geräte... z. B PC, Smartphone, Smart watch, Tablet mit Apple, Samsung /Knox, PC / TPM, Google / Tensor, oder HW Token. Sonst würde Passkeys auch keinen Sinn machen.
Also lässt sich festhalten: Fishing Schutz: Scheint es zu geben, aber muss sich in der Praxis zeigen, wie gut das Erkennen der Ziel Url funktioniert. Sonstige Vorteile: Irgendwie nicht. Man wird entweder in ein Ökosystem eines Bigtech Unternehmens gesperrt oder nutzt einen Passwortmanager, welcher nun halt anstatt Passwörtern Passkeys speichert. Dieser ist aber noch genauso angreifbar, wie er es auch zuvor schon war (Siehe Lastpass) Erscheint mir ehrlich gesagt eher wie ein Versuch der großen Player, die Nutzer noch mehr an sich zu binden.
Der Phishing-Schutz basiert darauf, dass ein Passkey nie an einen Server übertragen wird. Eine URL-Prüfung - die Passwort-Manager jetzt schon machen - schützt (in begrenztem Umfang) vor sogenanntem Session-Highjacking. Phishing hingegen funktioniert selbst bei korrekter URL. Angriffe, die mit der korrekten URL funktionieren, sind z.B. Cross-Site-Scripting, wobei der Angreifer es schafft, in die originale Webseite Javascript zu injizieren. Javascript kann ein Passwort schon erfassen, wenn es eingetippt oder vom Passwort-Manager eingesetzt wird. Und dann irgendwo hin senden.
Damit der bibothek computer dann mit seinem keylogger dein passwort hat? gerade FremdComputer sollte man nicht ungeschützt rannehmen, sonst hat man ganz schnell digitales Aids!
hi, super Video. 1PAssword wird dies ebenfalls unterstützen würde ich dann nehmen nur aktuell nur in Beta Version somit noch nicht final implementiert. Dann kann man es auf allen Geräten nutzen.
nix, nur dass man die Sicherheitsschlüssel über die Cloud synchronisieren kann, damit die ganzen noobs von jedem ihrer zig Endgeräte per face id überall in ihre Banking App reinkommen, ohne darüber nachzudenken, wie das jetzt wohl geklappt hat. Ich halte davon nichts, da ist ja Fido2 noch besser, da ist nämlich der Account an einen Authenticator gekoppelt.
Ich sehe überhaupt keinen Sicherheitsgewinn. Solange die genutzten Dienste noch Passworte akzeptieren ist auch das Hacken und Abgreifen des Passwortes bei dem Dienst nach wie vor möglich. Und wenn der Login mit dem gestohlenen Passwort dann nach wie vor möglich ist, nutzt mein Passkey gar nichts. Und wenn es NUR noch Passkeys gibt, und Passworte komplett abgeschafft sind, besteht die erste Gefahr, sich selbst auszusperren.
Doch, es gibt einen Sicherheitsgewinn. Du musst das Passwort nicht im Browser, Passwortmanager etc. speichern (außer vielleicht zu Hause auf einem Zettel für eben diesen Notfall). Ansonsten muss das Passwort nirgendwo eingegeben werden und kann somit auch nicht angegriffen oder ausspioniert werden. Ja es ist immernoch da, das hilft nicht bei Sicherheitlücken beim Anbieter.
Ist es für die Sicherheitsfaktoren nicht wichtig, dass ich sie erneuern kann, wenn sie nicht mehr geheim sind??? Wie geht das bei Fingerabdruck- und Gesichtserkennung?
dann sicher halt deinen private key mit ner passphrase und lass den nicht durch nen keymanager per finger oder gesicht freigeben ... oder wenn man dir finger, gesicht und auge geklaut hat, dann nimm halt den pimmelscanner oder furzgeruchanalysator!
Toller Beitrag! Ab 33:25: ru-vid.com/video/%D0%B2%D0%B8%D0%B4%D0%B5%D0%BE-qNbsEAIcitE.html, habe ich etwas anzumerken: Der "Sensor" auf dem Hardware-Key ist doch nicht wirklich ein Fingerabdrucksensor, wie er z.B. im Mobilephone verbaut ist. Also der Stick scannt doch nicht den Fingerabdruck, sondern man bestätigt mit seiner Berührung nur, dass eine reale Person vor dem Gerät sitzt. Oder gibt es authentication keys mit einem echten Sensor?
Seien wir mal ehrlich. Ich kenne niemanden, der Fido2 benutzt. Ich sehe auch keinen Vorteil gegenüber einem Keepass Storage. Das kann ich auch sicher in der Cloud speichern und so mit allen Geräten synchronisieren.
er meinte im Video "ausschließlich Passkeys" und das geht meines Wissens immer noch nicht bzw. sollte erstmal auch so bleiben. Oder ist das jetzt so, dass wenn man passkeys nutzt, kein Passwort-Auth mehr machen kann?
Wenn sich Passkeys in der Breite durchgesetzt haben bin ich echt gespannt ob die halten was sie versprechen. So richtig in Gang wird das denke erst kommen wenn es erzwungen wird. Viele verstehen das Thema überhaupt nicht und sehen gar nicht die Notwendigkeit zu wechseln. Auch muss erst mal auf allen gängigen Plattform eine Unterstützung für Passkeys geschaffen werden. Ich bin gespannt wo sich das ganze hinentwickelt oder ob das gar wieder in der Versenkung verschwindet weil es nicht angenommen wird.
Naja die Hersteller versuchen ihr bestes: Beispiel Microsoft mit ihren neuen mindestanfoderungen für Laptops auf die W11 soll. Diese MÜSSEN Bluetooth haben etc, also alles was man für Passkeys braucht und sie bieten jetzt schon die funktion das PW abzuschaffen, die frage ist, bist wann das umgedreht wird und man zuerst nach dem Passkey gefragt wird und nicht nach dem PW.
Meine Befürchtung ist immer, dass man sich selbst wirksam dauerhaft aussperrt, wenn der Passkey verloren geht. Ansonsten würde ich es ja gerne nutzen, nur wo? Bisher habe ich es nur bei Synology eingerichtet. Papal käme für mich eventuell noch infrage. Den Rest der potentiellen Anbieter nutze ich nicht. Kein Shop, den ich nutze, bietet es an. Ich würde gerne eine Wordpress-Website auf Passkey umstellen, kann aber dazu nichts finden. Und bei Apple nutzt man es ja schon automatisch, ohne dass man es wissen muss. Da nutze ich es vermutlich auch schon.
Paypal würde ich auch gerne umstellen, nur scheint das bei mir nicht zu gehen... Warum auch immer... paypal sagt, dass es nicht geht... Bei vielen anderen Anbietern läuft es super.
Angenommen unterwegs spioniert jemand mich aus wie ich am Handy meine PIN eingebe und anschließend klaut derjenige mein Handy (wodrauf mein Passkey liegt). Würde dann die Person dauerhaft Zugang zu meinen Accounts über mein Handy haben oder gibt es die Möglichkeit, von einem meiner anderen authentifizierten Geräten (mit oder ohne Passkey?) mein Handy bzw den Passkey sofort "ungültig" zu machen so dass jeglicher weiterer Zugriff auf all meine Konten verhindert wird? (das wird bei euch am Ende zwar angesprochen aber nicht beantwortet). Bei hardware-Sicherheitssschlüssel kann man diese ja ganz einfach sperren. Oder könnte der Dieb dann sogar mich selber aus meinen Konten ausschliessen indem er dann live alle anderen Sicherheits-Rücksetzverfahren aus meinem Konto (zb Google) entfernt? Wenn diese beiden erwähnten Punkte so sind dann wäre das ja fatal, so dass man für maximale Sicherheit doch zb. YubiKeys nutzen sollte?
Genau so ist es. Wenn jemand dein Handy entsperren kann, hat er Zugriff auf deine Passkeys und kann damit Schindluder betreiben. Den Zugriff hätte er aber auch wenn du Passwortmanager des Handys oder der Webbrowser benutzt. Es gibt nun mal keine 100% Sicherheit und Passkeys verhindern nur das Phishing. Allerdings, solange ich als Alternative mich auch noch überall mit Passwort anmelden kann, ist das so eine Sache. Zum einen liegt mein Passwort, hoffentlich gesalzen und gehasht, immer noch beim Anbieter. Zum anderen wird es immer irgendwelche Wiederherstellungsmethoden geben, auf die ich halt auch aufpassen muss.
ja, sehe ich auch so (als software entwickler). Das ganz Ding wird kompliziert und das Sicherheitsbewusstsein der Leute geht total verloren. Die Leute wissen ja heute schon nicht mehr, warum sie eigentlich in ihre Banking-App reinkommen und ob es noch andere Wege geben würde.
tja "TPM könnte auf Linux kommen"... dann gucken wir doch einfach mal die Pakete bei Debian 11/bullseye an, das inzwischen "oldstable" ist: p tpm-quote-tools - TPM-based attestation using the TPM quote operation (tools p tpm-tools - Management tools for the TPM hardware (tools) p tpm-tools-pkcs11 - Management tools for the TPM hardware (PKCS#11 tools) p tpm-udev - udev rules for TPM modules p tpm2-abrmd - TPM2 Access Broker & Resource Management Daemon p tpm2-initramfs-tool - Tool used in initramfs to seal/unseal FDE key to the TPM p tpm2-tools - TPM 2.0 utilities ... ja da "könnte was kommen in Zukuft ^Wder Vergangenheit ... 😂 p tpm2-tss-engine-dev - OpenSSL engine for tpm2-tss (development files) p tpm2-tss-engine-tools - OpenSSL engine for tpm2-tss (tools)
Die sinkende Qualität der ct´wird in diesem Video sehr deutlich veranschaulicht. (alleine schon die Papierqualität der Zeitschrift ist ne Frechheit) Ihr macht ein an sich einfaches System völlig abstrus kompliziert und undurchsichtig! Wenn ich etwas lernen möchte, ist es schwierig jemand zu folgen, der stottert, stammelt und viele Worthülsen bzw. ähhhms und ahhhs verwendet. Auch die "Moderation" macht das ganze nur schrecklicher ! Das Interview mit dem FIDO CMO ist mehr als entbehrlich !! Das ganze ct´uplink Vorhaben sollte an sich mal neu durchdacht werden. So wie es ist, ist es eine Katastrophe. ! Zwischenzeitlich gibt es dutzende RU-vidr die in eurem Gewässer fischen und es DEUTLICH besser machen. Es fehlt hier jemand, der den Spagat zwischen Nerd und Noob balancieren kann..... Wo steckt eigentlich Keno ?
Keno gibt's jede Woche hier neu --> www.youtube.com/@ct3003 Ich fand das Video hier auch nicht gut. Ich habe die Artikel im Heft nicht gelesen, aber ich fühlte mich durch den uplink hier auch nicht wirklich aufgeklärt und abgeholt was nun zu tun ist.
Goodbye c't uplink. If you can't promote actual security and just promote passkey spam instead to earn money from Google, you're clearly not a reliable source of information.
Wie Lage bin ich schon mit dem Internet verbunden🤔 mal überlegen seid 2005 😁 und hatte ich Probleme damit in Sachen Passwörter und wurde ich schon mal gehakt? Eigentlich wurde ich noch nie gehakt! Mache ich mir sorgen das dies vorkommen könnte? Nie! Liegt es vielecht an mir? Vielecht ich sag’s mal so ich sehe das Internet und mein Computer nicht als Spielwiese wo man alles darf, und klicke nicht wild rum oder las Werbung zu die mich e nicht interessiert, schlichtweg deswegen habe ich einen linux Rechner und deswegen habe ich Google und deswegen habe denn abblocker drin, ach wenn es heisst du hast keine Ahnung, du wirst trotzdem gehackt wenn du nicht dies und das machst und auch das andere löscht, ich sagt dann oft, mag schon sein, aber was interessiert mich deine deine Haltung? Ich mache es eben so, und mir egal wie du das machst denn das ist dein Problem wenn du deine Füsse nicht Stil halten kannst.
Selbst ein ultra-vorsichtiger Umgang mit dem Internet schützt dich nicht vor Datenleaks, also Fällen, bei denen ein Anbieter gehackt wurde. Im schlimmsten Fall hat der Angreifer dann dein Passwort und wenn du dieses Passwort bei mehreren Seiten verwendest, kann er sich damit bei mehreren Seiten anmelden und grossen Schaden anrichten. Heutzutage sind die meisten Passwörter zwar zum Glück nicht im Klartext gespeichert, sondern gehasht, trotzdem könnte ein Angreifer mit genügend Zeit dein Passwort knacken. Bei Passkeys besteht diese Problematik nicht, denn der Anbieter speichert nur einen öffentlichen Schlüssel von dir, den er nicht besonders schützen muss, da ein Angreifer damit nichts anfangen kann. Der öffentliche Schlüssel dient dem Anbieter nur dazu zu verifizieren, dass du wirklich den dazugehörigen privaten Schlüssel besitzt, welcher dich zur Anmeldung berechtigt. Dein privater Schlüssel verlässt dein Gerät aber nie und kann somit gar nicht gestohlen werden.
@@Bogomil76 Hä? Er schreibt wirres Zeug, wie mir scheint. Passkeys sollen verhindern das jemand Fremdes deinen Account benutzt. Denn es wird bei Passkeys kein Geheimnis mehr zum Anbieter übertragen wie z.B. das Passwort.
@@ipv6technican155 1. Auch ein Passwort muss nicht „übertragen“ werden. Aber Du hast mich nicht verstanden gehabt! Ich wollte sagen, die grösste Gefahr ist der Passwortklau beim Anbieter, wie er täglich passiert, siehe haveibepawned!
@@sibu7 aber es dauert, und ab und zu gehts auch erst beim zweiten mal, wenn du ehrlich bist. Ich möchte etwas erledigen, wenn ich Computer oder Handy wecke, nicht mit den Sklaven kommunizieren.
@@deristfrei Na wenn du meinst... Ich möchte, dass meine Geräte sicher vor unbefugten Zugriffen sind, da sie wichtige und persönliche Daten enthalten. Wenn du sicherstellen kannst, dass dein Smartphone oder Computer NIE in fremde Hände gelangen, weil sie z.B. immer zuhause bleiben, finde ich es ok, wenn du keinen Zugangsschutz einrichtest. Aber sonst finde ich es einfach fahrlässig und dumm, Bequemlichkeit über Sicherheit zu stellen.
@@ger6177 da wir Menschen es immer gerne bequem haben FaceID und Fingerprint gerne nutzen ist es doch eine Leichtigkeit für die Behörden die gerne etwas wissen wollen/müssen an die entsprechenden Keys zu gelangen ,was bei einem gut gewählten Passwort nicht der Fall ist (vorausgesetzt man gibt es nicht preis..)