Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Gegen KI-gestützte Phishing-Attacken: Microsoft leitet Ende der Passwörter ein
Microsoft treibt den Abschied von klassischen Passwörtern weiter voran und setzt künftig verstärkt auf passwortlose Authentifizierungssysteme. Hintergrund sind nach Angaben des Unternehmens zunehmende Sicherheitsprobleme durch moderne Phishing-Angriffe, die mittlerweile häufig mit KI-gestützten Methoden durchgeführt werden. ... weiterlesen
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Hintergrund sind nach Angaben des Unternehmens zunehmende Sicherheitsprobleme durch moderne Phishing-Angriffe, die mittlerweile häufig mit KI-gestützten Methoden durchgeführt werden.
Wo bleiben Risiken?
Obwohl Passkeys Phishing-resistent sind, gibt es andere Szenarien: [1, 2]
Physischer Diebstahl: Wird das entsperrte Smartphone gestohlen, kann darauf zugegriffen werden.
Social Engineering: Ein Angreifer bringt Sie dazu, ihm selbst Zugriff auf Ihr Gerät zu geben oder einen neuen Passkey für sein Gerät zu autorisieren.
Fallback-Methoden: Wenn ein Dienst als "Notfalloption" weiterhin SMS-Codes zulässt, kann diese schwächere Methode angegriffen werden. [1, 2, 3, 4, 5]
Fazit: Passkeys lösen das Grundproblem des Phishings (die Eingabe gestohlener Daten) fast vollständig. Sie sind die aktuell sicherste Methode zur Anmeldung
... obwohl ich persönlich folgendes "etwas kritisch" sehe: >>Die praktikabelste Lösung aber stellt sicherlich ein Backup in der Cloud Ihrer Wahl dar.<<
Das Problem ist, das der Passkey auf dem Gerät gespeichert ist.
Was bringt mir der Passkey auf meinem PC, wenn ich aber dann mal vom Handy aus zugreifen will? Oder von einem anderem PC? Es benutzt nicht jeder nur einen PC...
Um das zu lösen, benutzt man Manager die die Passkeys via Cloud von überall zugreifbar machen? Na dann leg ich mir doch lieber ein Stück Papier mit dem notiertem Passwort unter die Tastatur...
Ausserdem, wie schon die Antwort von KaNoHLF aufzeigt: Ein Passkey-Verfahren mit einem auf dem Gerät gespeichertem PrivateKey authentifiziert das Gerät von dem aus zugegriffen wird, nicht den Nutzer der das Gerät benutzt.
Es entbehrt einer gewissen Ironie, das MS hier das ende der Passwörter einläutet und es mit der Sicherheit begründet, wärend sie bei Forza Horizon 6 zu dämlich sind und es durch einen Updatefehler überall noch vor Start zu haben ist und gespielt werden kann.
Microsoft scheitert an der Einbindung eines Captchas beim Anlegen zusätzlicher 2FA-Methoden. Gigantisches Vertrauen hab ich in den Saftladen, ich kanns kaum in Worte fassen.
Das größte Problem mit PassKeys ist, dass die zu kompliziert sind.
Passwörter sind einfach und logisch. Man kann jedem erklären, was das ist und wie die funktionieren.
PassKeys hingegen sind eben nicht einfach. Asyncrone Verschlüsselung ist nicht einfach und nicht selbsterklärend. Ich bin mir ziemlich sicher, dass viele hier nicht wissen wie das funktioniert.
Wie sollen denn dann Leute die nichts mit IT zu tun haben damit Verantwortungsvoll umgehen?
"Nie über das Telefon ein Passwort rausgeben." -> Das verstehen die meisten Menschen noch.
"Nie dem Support auf Anfrage ein Passkey generieren." -> Das verstehen viele eben nicht.
Auch so fragen wie man das ganze jetzt über mehrere Geräte hinweg benutzt ist für viele schlichtweg eine Nummer zu hoch.
Alles in allem sehe ich in PassKeys nicht die ultimative Lösung. In der Komplexität auch nicht wirklich geringer als nen Passwortmanager und TOTP. Der Mehrwert ist da, aber gering.
Kann ich nachvollziehen; und Passkeys werden womöglich das gleiche Schicksal erleiden wie z.B. PGP bei z.B. E-Mails. Es sei denn, man kommt irgendwann einfach nicht mehr drumherum, da man es mit der Brechstange durchsetzt - a la: Kein Passkey, kein Account.
PassKeys hingegen sind eben nicht einfach. Asyncrone Verschlüsselung ist nicht einfach und nicht selbsterklärend. Ich bin mir ziemlich sicher, dass viele hier nicht wissen wie das funktioniert.
Wer Passkeys benutzt muss nicht verstehen wie sie funktionieren.
Es weiß, wenn man es technisch genau nimmt, auch keine Sau wie Passwörter funktionieren.
"Nie über das Telefon ein Passwort rausgeben." -> Das verstehen die meisten Menschen noch.
"Nie dem Support auf Anfrage ein Passkey generieren." -> Das verstehen viele eben nicht.
Verstehe nicht, was es daran nicht zu verstehen gibt.
Man gibt niemandem sein Passwort.
Man gibt niemandem einen Passkey.
Einem Anwender kann man alles was er wissen muss ganz einfach erklären:
Stell dir einen Passkey wie ein Passwort mit 4000 Zeichen vor. Weil du dir das eh nicht merken kannst und auch nicht eintippen willst, wird das in einer Datei gespeichert. Diese Datei ist dein Passkey. Wenn du die Datei nicht zur Hand hast, kannst du dich natürlich auch nicht einloggen. Wenn du jemandem die Datei gibst, oder jemandem extra eine generierst und die ihm gibst, dann ist das genauso wie wenn du ihm dein Passwort sagen würdest.
Mehr muss ein Anwender nicht wissen und schwierig ist das nicht wirklich.
Kann ich nachvollziehen; und Passkeys werden womöglich das gleiche Schicksal erleiden wie z.B. PGP bei z.B. E-Mails. Es sei denn, man kommt irgendwann einfach nicht mehr drumherum,
Passkeys kann man aber im Gegensatz zu PGP ganz einfach durchsetzen.
PGP war immer optional.
Wenn ein Dienst Zugang nichtmehr mit Passwort erlaubt, sondern Passkey verlangt, dann hast du keine Wahl mehr.
Mir wäre nicht bekannt, das PGP bei E-Mail überhaupt irgendwo auch mal Vorraussetzung war um überhaupt E-Mails schreiben zu können.
Das ist also eine komplett andere Sachlage.
Einem Anwender kann man alles was er wissen muss ganz einfach erklären:
Stell dir einen Passkey wie ein Passwort mit 4000 Zeichen vor. Weil du dir das eh nicht merken kannst und auch nicht eintippen willst, wird das in einer Datei gespeichert. Diese Datei ist dein Passkey. Wenn du die Datei nicht zur Hand hast, kannst du dich natürlich auch nicht einloggen. Wenn du jemandem die Datei gibst, oder jemandem extra eine generierst und die ihm gibst, dann ist das genauso wie wenn du ihm dein Passwort sagen würdest.
Mehr muss ein Anwender nicht wissen und schwierig ist das nicht wirklich.
Ich muss sagen, ich beneide dich um die User die du betreust. Wo wohnst du und wo arbeitest du, dass der DAU-Anteil gering genug für solche Aussagen ist?
Mich stören 2 Dinge an der Sache:
A) wenn ein Grosskonzern wie MS, Google und co etwas einführt mit der Begründung, dass es Ihnen um die Sicherheit der User geht.
In den meisten Fällen vorgeschoben. Besonders wenn an andere Stelle Sicherheitsbedenken oder Privatsphäre der User völlig in den Wind geschlagen werden
(Scheunentorgrosse Sicherheistlücken in Agentic OS, Recall etc ppp)
Es geht möglicherweise eher um Geld, Kontrolle, UserDaten, Nachverfolgung und generell Enshittification.
B) Das geshille um Passkeys. Fast überall werden einem nur die enormen Vorteile™ genant, gleichzeitig auffälliges Schweigen bei den Nachteilen.
Wenn eine Technik so zwanghaft beworben wird und unters Volk gebracht werden soll, sollte man zumindest aufhorchen
Passworte sind ansich eine sichere Sache wenn ordentlich umgesetzt. Man sollte User nicht völlig von ihrer Verantwortung entbinden. (siehe Signal, Klöckner)
So ein paar random Punkte:
Was mich an Passkeys stört ist die künstliche geschaffene Abhänggkeit. Ohne das entspechende Device (meistens wohl das Smartphone) gehts nichts.
Was man als Versuch werten könnte, diese mobilen Wanzen noch unverzichtbarer zu machen.
Ein Passwort hat man im Kopf, Smartphones gehen gerne mal abhanden, verloren, defekt oder der Akku ist im schlechtesten Moment leer; Daumen lassen sich abschneiden, mal so als Extremfall.
Passworte/Zugangsdaten lassen sich mit anderen teilen, Passkeys eher nicht (oder?). Ein Schelm were böses dabei denkt.
Manchmal ist es ja durchaus gegeben, dass man jemand auf seinen acc lassen müsste um drigendes zu erledigen, weil man selber vlt gerade nicht in der lage dazu ist.
Wie das mit passkeys funktionieren soll, wüsste ich jetzt nicht.
Des weiteren die leichtere Zuordnungsbarkeit. Der Diensteanbieter weiss, dass es immer derselbe User ist, da Sharing (scheinbar) nicht mehr möglich ist.
Gleichzeitig dazu die Frage, inwieweit eine Benutzung z.B. des Smartphones als biometrisches Device dem Diensteanbieter zusätzliche informationen liefern kann
die z.b zu Deanonymisierung führt. (Smartphones lassen ja schon dank dverser Technken und Dinge wie ad tracker, werbenetzwerke, provider verkaufen daten, gps etc eindeutige
Rückschlüsse, neben Aufenthaltsort, auf den User zu.) (Nur weil es es schon schlimm ist und Privatsphäre überall erodiert muss man es ja nicht noch schlimmer werden
lassen, falls jetzt der reflexartige Whataboutismus kommt)
Da wäre Input eines Experten mal ganz sinnvoll. Zähle nur Punkte auf, die man, wenn man Passkeys schon bewirbt, auch alle ansprechen sollte, wenn
man seriös rüberkommen möchte.
Und, wie leicht lassen sich passkeys auf andere geräte migrieren, kopieren?
Was ist, wenn jemand sein Smartphone verliert? - der Kopf ist angewachsen, das Smarthone (zG) noch nicht. .
Damit verlöre man auf einen Schlag all seine Zugänge, falls man nicht noch andre Geräte besitzt auf denen mal seine Passkeys verwaltet.
TL;DR gemischte Gefühle bei der Sache, Speziell die Tatsache, dass die Nachteile fast überall durch die Bank verschwiegen werden.
Ich muss sagen, ich beneide dich um die User die du betreust. Wo wohnst du und wo arbeitest du, dass der DAU-Anteil gering genug für solche Aussagen ist?
Tut mir leid für dich, aber das kapieren sogar meine Ü70 Eltern und die sind auch die einzigen, von denen man im weitesten Sinne sagen kann, das ich sie betreue.
Wie schon gesagt, ich verstehe auch nicht was daran so schwer zu verstehen sein soll...
Wer das nicht auf die Kette kriegt, der sollte keinen Zugriff auf irgendwelche IT-ähnlichen Geräte haben dürfen (schon gar nicht mit Internetverbindung).
Bin auch der Meinung, die Bundestagsabgeordneten die da neulich auf Phising via Signal reingefallen sind indem sie ihre Passwörter rausgegeben haben, gehören fristlos entlassen, Pension gestrichen und sollten womöglich sogar noch mit weiteren Folgen zu rechnen haben. Denn ein Passwort egal wem mitzuteilen ist einfach nur abgrundtief dämlich. Selbst wenn jemand von Elon Musk persönlich, live, nach seinem Passwort gefragt wird, sagt man es nicht.
MAN TEILT NIEMANDEM EIN PASSWORT MIT. N_I_E_M_A_N_D_E_M!
Alleine schon wenn überhaupt jemand danach fragt, ist ein eindeutiges Zeichen, das das nicht mit rechten Dingen zugehen kann.
Und für Passkeys gilt das genauso. Und das schließt auch generieren von neuen Passkeys für irgendjemanden ein.
Die Abhängigkeit beschränkt sich auf den Zugang zum Passkey. Hast du Zugriff auf die Datei in der der Passkey gespeichert ist, kannst du mit dem Passkey machen was du willst.
Auch ihn auf ein anderes Gerät kopieren.
Umständlicher als ein gemerktes Passwort auf einem anderem Gerät einfach einzugeben ist das aber natürlich.
Natürlich lassen sich Passkeys teilen... wenn du Zugriff auf die Datei hast in der der Passkey steht. Oder wo auch immer der Passkey gespeichert ist.
Es ist im Prinzip nur ein Private-Key.... wie man ihn sonst auch in anderen Fällen verwendet. Den solltest du aber weder verlieren, und schon gleich dreimal nicht einer anderen Person geben (ausser du willst, das die (uneingeschränkten) Zugang erhält).
Des weiteren die leichtere Zuordnungsbarkeit. Der Diensteanbieter weiss, dass es immer derselbe User ist, da Sharing (scheinbar) nicht mehr möglich ist.
Das weiß der Dienstanbieter sowieso schon, wenn du nur einen Account erstellst. Egal ob mit Passwort oder Passkey. Deswegen wird ja überall für jeden Furz ein Account verlangt.
Wie gesagt, Passkeys sind genauso weitergebbar und der Denkfehler ist sogar, das ein Passkey eben nicht den User identifiziert, sondern nur wer Zugriff auf den Passkey hat. Also im Endeffekt in der Hinsicht komplett gleich zu einem Passwort.
Siehe oben: Man kann sich einen Passkey wie eine elendig langes Passwort vorstellen, was in einer Datei gespeichert wird. Eben weil es elend lang ist.
Kriegt jemand Zugriff auf diese Datei, hast du verloren.
Passkey ansich ist also sicher nicht der Stein der Weisen. Wenn überhaupt dann Passkey + Passwort.
Aber wer weder bei Passwörtern noch bei Passkeys kapiert, das man die einfach NIEMALS hergibt, wird dann einfach Passwort + Passkey ausposaunen.
Die Spirale dreht sich sogar endlos weiter: Weil ein Passkey auf dem Gerät gespeichert wird, kann den auch ein Trojaner einfach auslesen. Was er bei einem Passwort nicht kann, solange das nur in meinem Kopf gespeichert ist (und es auch nicht eingegeben wird, z.B. via Keylogger).
Ausser, der Passkey ist einem Passwortmanager nochmals verschlüsselt hinterlegt, für den man ... trommelwirbel... ein Passwort oder einen Passkey braucht um Zugriff zu kriegen.
Aus dem gleichen Grund wird übrigens OTP auch nur in Verbindung mit einem Passwort verwendet. Man muss also Passwort UND den OTP kennen um Zugriff zu erlangen. Wenn man das Passwort weglassen würde, könnte sich jeder einloggen, der Zugriff auf mein Smartphone mit den eingerichteten OTP-Generatoren erlangt. Bringt ihm aber nichts, solange er mein Passwort nicht kennt.
Und ja, man gibt auch keinen OTP-Key an Fremde.
Man kann es drehen und wenden wie mal will. Die Schwachstelle ist der Mensch. Ist der zu dämlich, hilft alles nichts.
Natürlich lassen sich Passkeys teilen... wenn du Zugriff auf die Datei hast in der der Passkey steht. Oder wo auch immer der Passkey gespeichert ist.
Es ist im Prinzip nur ein Private-Key.... wie man ihn sonst auch in anderen Fällen verwendet. Den solltest du aber weder verlieren, und schon gleich dreimal nicht einer anderen Person geben (ausser du willst, das die (uneingeschränkten) Zugang erhält).
. Egal ob mit Passwort oder Passkey. Deswegen wird ja überall für jeden Furz ein Account verlangt.
Wie gesagt, Passkeys sind genauso weitergebbar und der Denkfehler ist sogar, das ein Passkey eben nicht den User identifiziert, sondern nur wer Zugriff auf den Passkey hat. Also im Endeffekt in der Hinsicht komplett gleich zu einem Passwort.
Das teilen ginge dann aber nur, wenn Passkeys ohne Biometrie oder Hardwareverknüpfung (TPM) verwendet werden (können). Lt meinen (unvöllständigen) Informationen
wird als Biometriealternative ein lokaler Authentifikator angeführt, als ein Mechanismus auf dem Gerät, der die Identität überprüft:
Lokale Authentifikatoren sind __gerätespezifisch__ und werden vom Benutzer eingerichtet.
PIN-Codes – Ein numerischer Code, den Sie zum Entsperren Ihres Geräts eingeben.
Muster – Ein Wischmuster, das auf einem Touchscreen gezeichnet wird.
Gerätepasswörter – Alphanumerische Passwörter, die für den Gerätezugriff verwendetwerden.
Bildschirmsperren – Jeder andere Mechanismus, der den Gerätezugriff einschränkt.
Also, wieder Verknüpfung mit dem Gerät oder einem vorhandenen Account. Vom linux root pw steht da zb. jetzt nichts.
D.h der Zugriff auf den PK wäre eben nicht universell, sondern geräte oder account gebunden.
Wenn wirklich nur ein PW / PIN reicht, das sonst nichts mit (m)einer Maschine oder dem OS darauf zu tun hat, nicht mit der hardware verknüpft werden muss (TPM zb) , ok, ansonsten nicht ok.
Und selbst das wäre 100x umständlicer als per Telefon die Zugangsdaten zu nennen. Kenne Leute, die wären total aufgeschmissen wenn die eine Datei per was auch immer auf ihrem Smartphone importieren müssten und dort an den richtigen platz speichern.
> Das weiß der Dienstanbieter sowieso schon, wenn du nur einen Account erstellst
Das ist nicht gleichwertig mho. denn L/P lassen sich mit jedem Gerät (irgendwo auf er Welt) auf dem ein Browser läuft von egal wem erstellen.
Ich kann im internetcafe in NY mein acc erstellen und in de benutzen oder jmd anders geben und benutzen lassen.
(was der diensteanbieter natürlich nicht will, . netflix *cough*)
Das teilen ginge dann aber nur, wenn Passkeys ohne Biometrie oder Hardwareverknüpfung (TPM) verwendet werden (können). Lt meinen (unvöllständigen) Informationen
wird als Biometriealternative ein lokaler Authentifikator angeführt, als ein Mechanismus auf dem Gerät, der die Identität überprüft:
Dann ist der Key aber ja an die Hardware/Installation gebunden. Kann man machen. Ist aber dann halt kacke.
Es wird dann aber bei einem Login trotzdem nicht die Identität des Nutzer festgestellt, sondern nur die Identität des Geräts auf dem eben dieser Passkey gespeichert ist.
Kenne Leute, die wären total aufgeschmissen wenn die eine Datei per was auch immer auf ihrem Smartphone importieren müssten und dort an den richtigen platz speichern.
Dafür musst du physisch nach NY? Also mir reicht da ein VPN.
Mit einem TPM-gesicherstem Passkey kannst du das dann übrigens nicht mehr, denn der liegt dann auf dem Rechner im Internetcafe in NY.
Tut mir leid für dich, aber das kapieren sogar meine Ü70 Eltern und die sind auch die einzigen, von denen man im weitesten Sinne sagen kann, das ich sie betreue.
Wie schon gesagt, ich verstehe auch nicht was daran so schwer zu verstehen sein soll...
Wer das nicht auf die Kette kriegt, der sollte keinen Zugriff auf irgendwelche IT-ähnlichen Geräte haben dürfen (schon gar nicht mit Internetverbindung).
Bin auch der Meinung, die Bundestagsabgeordneten die da neulich auf Phising via Signal reingefallen sind indem sie ihre Passwörter rausgegeben haben, gehören fristlos entlassen, Pension gestrichen und sollten womöglich sogar noch mit weiteren Folgen zu rechnen haben. Denn ein Passwort egal wem mitzuteilen ist einfach nur abgrundtief dämlich. Selbst wenn jemand von Elon Musk persönlich, live, nach seinem Passwort gefragt wird, sagt man es nicht.
MAN TEILT NIEMANDEM EIN PASSWORT MIT. N_I_E_M_A_N_D_E_M!
Alleine schon wenn überhaupt jemand danach fragt, ist ein eindeutiges Zeichen, das das nicht mit rechten Dingen zugehen kann.
Und für Passkeys gilt das genauso. Und das schließt auch generieren von neuen Passkeys für irgendjemanden ein.
Nichts für ungut, aber deine Ansichten sind ein wenig Weltfremd. Wenn du "nur" deine Eltern bezüglich IT betreuen musst ist das verzerrte Weltbild diesbezüglich aber verständlich.
Das soll absolut keine Beleidigung sein. Aber das die Mehrheit der User wird damit massiv überfordert sein.
Natürlich teilt man sein PW mit niemanden. Das weiß auch jeder. Man hat es oft genug gehört.
Und trotzdem gibt es immer wieder Fälle bei denen Senioren vermeintlichen Polizisten an der Haustür sämtliche Ersparnisse und Schmuck aushändigen. Aus Angst vor Einbrechern natürlich.
Du Unterschätzt du Dummheit der Menschen.
Und wenn die "Bösen" mit ihrem Social Enginierung am Telefon mal loslegen und dem DAU erklären, warum es absolut notwendig ist einen neuen Passkey zu bestätigen damit die Ersparnisse sicher bleiben, dann werden die damit Erfolg haben. Nicht in 100% der Fälle. Aber doch in einigen.
Diese "Opfer" aus dem Internet zu verbannen wird im übrigen nicht funktionieren. Die Digitalisierung schreitet zwar langsam voran, es geht aber voran. Einige Dinge wird man zukünftig ohne Internet schlicht nicht mehr machen können. Das Internet als exklusiver Ort für "Profis" hätte vor 25 Jahren vielleicht funktioniert, aber heute sicher nicht mehr.
Und trotzdem gibt es immer wieder Fälle bei denen Senioren vermeintlichen Polizisten an der Haustür sämtliche Ersparnisse und Schmuck aushändigen. Aus Angst vor Einbrechern natürlich.
Du Unterschätzt du Dummheit der Menschen.
Nein, ich unterschätze die Dummheit der Menschen nicht.
Ich halte solche Menschen einfach nur für dumm. Und gegen Dummheit ist halt einfach noch kein Kraut gewachsen.
Und wenn die "Bösen" mit ihrem Social Enginierung am Telefon mal loslegen und dem DAU erklären, warum es absolut notwendig ist einen neuen Passkey zu bestätigen damit die Ersparnisse sicher bleiben, dann werden die damit Erfolg haben. Nicht in 100% der Fälle. Aber doch in einigen.
Dem Dau wurde 100mal erklärt er soll sein Passwort niemals rausgeben. Nicht dem vermeintlichem Supportmitarbeiter, nicht der Polizei, nicht dem König von Zamunda. NIEMANDEM.
Wenn er das nicht kapiert hat, ist er schlicht und einfach dumm.... und am Ende somit auch irgendwie selbst schuld.
Tut mir echt leid, ich verstehe social engineering und ich verstehe auch, das die da recht begabt drin sind Druck zu machen.
Aber es gibt eine einfache Grundregel: Gib niemals irgendjemandem dein Passwort.
Wie ich schon sagte: Alleine auf die Frage nach einem Passwort, landet die Mail sofort im Papierkorb. Wenns ein Telefonat ist, legt man direkt nach der Frage einfach auf oder schließt den Chat.
Selbst wenn man meint mit einem Bankangestelltem zu telefonieren, weil das eigene Konto gerade gehakt wurde und man total verzweifelt ist weil 150k€ abgebucht wurden... wenn der nach einem Passwort fragt: Direkt auflegen. Du bist dann definitiv nicht an der richtigen Stelle.
MAN
SAGT
NIEMALS
IRGENDWEM
SEIN
PASSWORT
so einfach ist das eigentlich. Und auf Passphrases trifft einfach exakt das gleiche zu. Dazu muss man nichtmal wissen, was da überhaupt der Unterschied ist.
Das wird eigentlich überall und jederzeit proklamiert. Und genau das muss einfach in die Köpfe der Menschen rein. Wenn das nicht klappt, ist sowieso Hopfen und Malz verloren.
Ich weiß das durchaus. Nur dann muss man sich halt im klaren sein, in welchen Bereichen man sich bewegt.
Auf der anderen Seite: Wegen genau solchen "Opfern" gibts auch eine Führerscheinpflicht, Anschnallpflicht, FSK, etc.
Traurig ist in allen Fällen, das das wegen eigentlich nur wenigen, unbelehrbaren Individuen nötig wurde... aber es wurde offensichtlich nötig.
Und schon hast du den Fehler gefunden:
Mein Passwort muss ich niemandem geben. Es existiert in meinem Kopf. Und wenn ich das so will, dann nirgendwo anders. Niemand zwingt mich, es aufzuschreiben und "unter die Tastatur" zu legen.
Bei einem Passkey ist das schon anders. Der ist nicht "virtuell". Der ist vorhanden, als Datei, und eventuell als Kopie, als Kopie, als Kopie. Ob es nun ein Passwort oder ein Passkey ist, sobald es in einer Datei auf einem Gerät hinterlegt ist, wo nicht nur ich Zugriff habe, was ich nicht ständig bei mir habe, was Internet-Zugang hat, muss es als kompromittiert gelten, denn: woher weiß ich, dass es niemand heimlich abkupfert, mitliest, kopiert, whatever. Vom Vorteil der Länge abgesehen halte ich Passwörter für sicherer, weil die nur in meinem Kopf existieren.
Und du offensichtlich meine Antworten nicht gelesen, oder nach dem entsprechendem Satz zumindest aufgehört weiterzulesen.
Hab ich alles schon erwähnt. Mehrfach, sogar mit entsprechenden Ausführungen zu Risiken und Bequemlichkeiten.
So ist es.
Und Passwörter sind geräteunabhängig.
Was macht man, wenn z.B. ein Gerät kaputt geht?
Dann sind die darauf gespeicherten Passkeys auch weg.
Wie bekommt man die wieder?
Durch das Zurückspielen einer Datensicherung auf ein anderes Gerät wird es nicht funktionieren, denn damit hat man trotzdem keinen Zugriff auf die Passkeys, denn die sind ja gerätegebunden.
Passkeys in der Cloud speichern?
Was macht man, wenn einem vom Cloudanbieter der Zugang gesperrt wird oder der Cloudanbieter pleite geht?
...und zum Entsperren des PCs, auf dem der Passkey automatisiert hinterlegt ist, reicht dann vermutlich wieder ein 4stelliger Windows-Hello-Pin, oder wie?
Ich stehe mittlerweile oft vor dem Problem, unterwegs mal fix auf eine Nachricht antworten zu müssen, und dann nicht reinzukommen, weil die Anmeldeprocedere mal wieder verändert wurden. Mit "mal fix" ist dann nix. Und wenn das Smartphone der 2FA-"key" für den PC ist, was ist dann der Key für denselben Vorgang auf dem Smartphone, wenn man unterwegs ist? Dasselbe Gerät sollte ja aus Sicherheitsgründen nicht gelten, oder?
Richtig ist, auch Phishing-Angriffe werden immer besser. Erkannte man sie "früher" meist schon am schlechten Deutsch des automatischen Übersetzers, muß man heute genauer hinschauen. Ich hab solche Mails (neben fragwürdigen Inhalten) schon öfter nur noch daran auf den ersten Blick erkannt, daß es die falsche Mailadresse für den angeblichen Anbieter war, der sich da meldete (nutze für verschiedene Zwecke unterschiedliche). Dennoch käme ich nie auf die Idee. Zugangsdaten herauszugeben oder auf Links in solchen Mails zu klicken, wie manch Politiker, für den dann aber wieder die Ausrede "der Russe ist ja sooooo geschickt mit seinen Angriffen" geltend gemacht wird. So ein bischen Brain sollte doch noch vorhanden sein? Und bei wem nicht, der ist auch mit Passkeys nicht zu schützen.
