- Google macht den Wechsel zu passwortlosen Anmeldungen einfacher, indem es Passkeys für private Google-Konten als Standardoption anbietet
- Ab der nächsten Anmeldung wird ein Prompt zum Erstellen und Verwenden von Passkeys angezeigt, und in den Kontoeinstellungen ist die Option „Skip password when possible“ aktiviert
- Mit Passkeys meldet man sich per Fingerabdruck, Gesichtsscan oder PIN an, also mit derselben Methode wie zum Entsperren des Geräts. Google hält das für 40 % schneller als Passwörter und dank der kryptografischen Methode auch für sicherer
- Die Anmeldung per Passwort bleibt vorerst bestehen, und wer das nicht möchte, kann die Nutzung von Passkeys ablehnen, indem „Skip password when possible“ deaktiviert wird
- Passkeys werden bereits bei YouTube, Search und Maps genutzt, auch Uber und eBay unterstützen sie, und WhatsApp-Kompatibilität soll bald folgen
Änderung der Standard-Anmeldung für private Google-Konten
- Google sieht die Reaktionen der Nutzer seit der Einführung der Unterstützung für Passkeys Anfang dieses Jahres als positiv an
- Nun werden Passkeys für private Google-Konten insgesamt als Standard-Anmeldeoption angeboten
- Bei der nächsten Kontoanmeldung wird ein Prompt zum Erstellen und Verwenden von Passkeys angezeigt
- In den Google-Konto-Einstellungen ist die Option „Skip password when possible“ aktiviert
Funktionsweise und Sicherheitsmerkmale von Passkeys
- Passkeys verwenden für die Kontoanmeldung Fingerabdruck, Gesichtsscan oder PIN, also dieselbe Methode wie zum Entsperren des Geräts
- Laut Google ist die Anmeldung mit Passkeys 40 % schneller als mit Passwörtern
- Sie gelten aufgrund kryptografischer Verfahren als sicherer und sind zudem phishing-resistent
- Nutzer müssen sich dadurch weniger Zahlen und Sonderzeichen für Passwörter merken
Passwörter und Wahlfreiheit für Nutzer bleiben bestehen
- Google geht davon aus, dass es Zeit braucht, bis sich neue Technologien etablieren, und dass Passwörter noch eine Weile bleiben werden
- Nutzer können sich weiterhin mit Passwort anmelden
- Wer keine Passkeys nutzen möchte, kann die Option „Skip password when possible“ deaktivieren
Passkey-Unterstützung breitet sich auch außerhalb von Google aus
- Seit der Einführung von Passkeys nutzen Anwender sie bereits in Google-Apps wie YouTube, Search und Maps
- Google bewertet den Trend zur zunehmenden Einführung von Passkeys in der gesamten Branche positiv
- Uber und eBay bieten auf ihren Plattformen bereits eine passwortlose Anmeldeoption an
- WhatsApp-Kompatibilität soll ebenfalls bald verfügbar sein
Der nächste Schritt hin zur passwortlosen Anmeldung
- Google will weiterhin darauf hinweisen, wo sich Passkeys auch bei anderen Online-Konten verwenden lassen
- Das Unternehmen will die Branche dazu ermutigen, auf Passkeys umzusteigen, um die Nutzung von Passwörtern zu reduzieren und sie langfristig zur Ausnahme zu machen
- Informationen zur Sicherheit von Google-Konten gibt es unter myaccount.google.com/safer
1 Kommentare
Meinungen auf Hacker News
Wie mehrere Leute gesagt haben: Wenn man ein Gerät verliert, ist es sehr schwierig, kryptografische Authentifizierung wieder in Gang zu bringen.
Meine Frau hat letzten Monat das Glas ihres iPhones beschädigt und es über AppleCare reparieren lassen, aber Apple hat uns nicht gesagt, dass eine „Glasreparatur“ faktisch den Austausch interner Komponenten und ein Zurücksetzen umfasst.
Apple-iPhone-Backups enthalten keine kryptografischen Geheimnisse wie eSIMs.
Am Ende gerät man in eine Schleife: Um die eSIM zu aktivieren, braucht man E-Mail; für E-Mail braucht man MS Authenticator; und MS Authenticator lässt sich ohne SMS nicht aktivieren.
Wir mussten mit einem Stapel Lichtbildausweisen in den Shop des Mobilfunkanbieters gehen, um die eSIM neu ausstellen zu lassen, und obwohl das Passwort korrekt war, wurde wegen irgendeiner Hardware-Sperre des Telefons sogar das Bankkonto gesperrt.
Die Lösung dauerte mehrere Tage und erforderte persönliche Besuche bei mehreren Stellen. Wären wir auf einer Auslandsreise gewesen, wären wir völlig festgesessen.
Die Zeiten haben sich geändert: Die gesamte digitale Identität ist jetzt eine Smartcard im Telefon. Ob diese Smartcard nun die SIM ist oder ein eingebauter TPM-Chip – wenn man sie verliert, ist man aus Sicht anderer so gut wie tot.
Passkeys verschlimmern dieses Problem erheblich. Eine physische SIM kann man immerhin von einem Telefon in ein anderes umstecken, aber Passkeys lassen sich nicht zwischen Anbietern übertragen.
Man sollte schreiend davonlaufen. Glaubt nicht dem Hype; wartet, bis die Anbieter brauchbare Lösungen für Übertragung und Wiederherstellung liefern.
Menschen hassen Passwörter, aber realistisch gesehen sind sie in vielen Situationen und Bedrohungsmodellen der beste Kompromiss. Wenn man 32 Byte oder mehr aus
/dev/randomzieht und sie nach Belieben kodiert, kann das in diesem Universum niemand per Brute Force knacken, und Passwortmanager lösen auch das Wiederverwendungsproblem.Außerdem hat man den Vorteil, dass man die Speicherung selbst kontrollieren und so viele redundante Backups anlegen kann, wie man braucht, um sich sicher zu fühlen.
Ein iPhone-Backup enthält ein Backup der in iCloud Keychain gespeicherten Einträge, und wenn man ein anderes Apple-Gerät oder einen Wiederherstellungsschlüssel hat, kann man wieder darauf zugreifen. Mit dem Gerätecode oder dem Wiederherstellungsschlüssel kann man alles wieder neu bootstrappen.
eSIMs sind ein Sonderfall, weil sie Sache des Mobilfunkanbieters sind; solche Dinge waren schon immer und bleiben wohl auch künftig unangenehm an Shops und Telefonhotlines gebunden.
Ich nutze fast immer drei: einen Yubikey an der Workstation, einen tragbaren Yubikey und mein Telefon. Mit diesen drei kann ich sowohl Google für E-Mail als auch Apple für das Telefon wieder in Gang bringen. Der Rest liegt in 1Password und ist über diese Mittel erreichbar.
Selbst im schlimmsten denkbaren Notfall könnte ich E-Mail vermutlich irgendwie zurückbekommen. Ich könnte mich beim DNS-Anbieter ausweisen und die MX-Records ändern, dann ließe sich wieder arbeiten. Trotzdem würde ich es nicht unbedingt als lebensnotwendig ansehen. Den Zugriff zu verlieren wäre extrem unbequem, aber wohl kein Todesurteil.
SMS- und Signal-Kontakte habe ich auch anderswo, und das Geld auf dem Bankkonto kann ich per Scheck ausgeben. Bei Firmenkonten kann ich persönlich im Büro auftauchen und bekomme wieder Zugriff.
Allerdings halte ich Passkeys für normale Computernutzer wahrscheinlich für zu kompliziert. Leider scheint der Ansatz „Wir schicken dir bei jedem Login einen E-Mail-Link“ die benutzerfreundlichste passwortlose Authentifizierung zu sein.
Die Gewohnheit, Passkeys in 1Password zu legen, gibt mir auch kein völlig gutes Gefühl. Ich weiß ja, dass ich damit dauerhaft gebunden bin. Aber ich mag den Dienst, und falls ich irgendwann wechseln will, habe ich zumindest eine Liste der Konten, die ich neu erstellen müsste.
Am meisten fürchte ich die Situation, den Telefoncode zu vergessen. Einmal bin ich aufgewacht und war in einem sehr schlechten Moment abgelenkt, sodass mir der 6-stellige Code partout nicht einfiel. Ich benutze denselben Code auch zum Entsperren der Workstation. Nachdem ich kurz meine Aufmerksamkeit auf etwas anderes gelenkt hatte, fiel er mir über das Muskelgedächtnis gerade noch ein.
Es war wirklich so ein Moment von „Hatte ich gerade einen Schlaganfall?“. Jetzt speichere ich diesen Code in 1Password, sodass ich mein Gedächtnis auffrischen kann, wenn wenigstens ein Gerät entsperrt ist. Das ist schon ziemlich lange her, und ich glaube nicht, dass es Demenz war – einfach ein seltsames vorübergehendes Phänomen.
Dagegen erinnere ich mich perfekt an alle Passwörter bei der Arbeit, die höchstens ein Jahr gültig waren. Hilft nur wenig, wenn einem die 6 Ziffern nicht einfallen.
Also landet das Passwort wohl bald auch bei „Killed by Google“, und mein Konto gleich mit. Ich lasse kein einziges Gerät angemeldet.
Es ist längst Zeit, auch die wenigen verbleibenden Nutzungen umzuziehen. Ich frage mich, ob die Firma meinen Passkey für das Arbeitskonto zurücksetzen kann, wenn irgendwann die unvermeidliche Situation eintritt.
Ich halte das zwar für die richtige Richtung, habe aber schon zu viele Horrorgeschichten gesehen, in denen Menschen aus ihrem Google- oder iCloud-Konto ausgesperrt wurden und realistisch keine Möglichkeit hatten, es wiederzubekommen.
Ich glaube nicht, dass ich der Einzige bin, der so denkt, aber irgendwann werde ich vermutlich durch einen eigenen Fehler bei Google ausgesperrt, und mein digitales Leben ist ruiniert.
Ich würde gern dafür bezahlen, wenn ein privates Unternehmen eine Login-Methode wie login.gov anbieten würde und man im Fall einer Sperre wie bei USPS mit einem echten Menschen sprechen könnte.
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Es ist keine Frage des Ob, sondern des Wann. Wer seine Daten für wichtig hält, braucht Backups und einen gründlichen Disaster-Recovery-Plan. Irgendein Unternehmen wird etwas kaputtmachen, auch ohne dass man selbst schuld ist, und das lässt sich nicht vermeiden.
Leider gibt es für manche Aspekte verlorener Konten keine guten Disaster-Recovery-Optionen, aber mehrere Konten zu haben und Single Points of Failure zu vermeiden, hilft zumindest ein Stück weit.
Man sollte mehrere unabhängige Möglichkeiten haben, sich anzumelden. Zum Beispiel Backup-Codes ausdrucken und zusammen mit wichtigen Unterlagen aufbewahren.
Aber auch das schützt nicht davor, durch Änderungen an Googles Richtlinien aus dem Konto ausgesperrt zu werden; idealerweise sollte man also auch üben, ohne ein Google-Konto auszukommen.
Lauren Weinstein warnt, dass Passkey fehlerhaft sei und besonders für normale Nutzer zu einem enormen Ärgernis werden werde.
https://mastodon.laurenweinstein.org/@lauren/111103819626952...
https://mastodon.laurenweinstein.org/@lauren/111211366080459...
Wenn man Datenschutz und Vendor Lock-in erst einmal ausklammert, sind Passkeys keine besonders schlechte Alternative für Leute, die auf allen Websites dasselbe grundlegende Passwort wiederverwenden und keine Zwei-Faktor-Authentifizierung nutzen.
Aber sobald man anfängt, sich tatsächlich darauf zu verlassen, um etwas zu schützen, wird es schnell zu einem riesigen Albtraum. Noch schlimmer wird es dadurch, dass es als gleichwertig mit Passwort + Zwei-Faktor-Authentifizierung behandelt wird.
Es heißt zwar, das sei „leicht zu finden“, aber offenbar finde ich es trotzdem nicht.
https://mastodon.laurenweinstein.org/@lauren/111211489395997...
Wenn Nutzer ohnehin wahrscheinlich schwache Passwörter für Dienste verwenden, verstehe ich nicht, warum ein schwacher Geräte-Passcode ein Grund sein soll, Passkeys zu meiden.
In diesem Fall ist ohnehin auch das Konto kompromittiert, wenn die Geräteauthentifizierung durchbrochen wird.
Gerade bei Google ist es derzeit nicht so aufgebaut, dass man sich zwischen Passwort und Passkey für genau eines entscheiden müsste. Wenn es auf dem Gerät keinen Passkey gibt, kann man zum Passwort-Login-Flow zurückkehren.
Um Risiken und Nutzen zu vergleichen, müsste man wissen, wie oft Menschen tatsächlich Passwörter wiederverwenden, ob sie Zwei-Faktor-Authentifizierung nutzen, ob sie den Zugriff auf alle Konten nur von der Bildschirmsperre ihres Smartphones abhängig machen, ob sie biometrische Authentifizierung nutzen, wie oft Kontowiederherstellung nötig ist und so weiter.
Nur diese Daten könnten die Debatte klären und es jedem ermöglichen, je nach eigener Situation zu unterschiedlichen Schlüssen zu kommen.
Google hat den Großteil dieser Daten. Wenn es seine Position stützen will, sollte es sie offenlegen.
1Password hat kürzlich Passkey-Unterstützung aktiviert, und ich war „überrascht“, als ich feststellte, dass es keine Möglichkeit gibt, sie aus 1Password zu exportieren.
Sie sind weder im Export im 1PUX-Format noch in CSV enthalten.
Das heißt buchstäblich: Backups sind unmöglich. Wenn 1Password ausfällt, das Unternehmen schließt oder etwas Ähnliches passiert, sind die Passkeys einfach weg. Es gibt keinerlei Möglichkeit zur Wiederherstellung.
Siehe dazu den jüngsten 1Password-Passkey-AMA-Beitrag:
https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
Was den Fall angeht, dass 1Password verschwindet: Passwörter und Passkeys werden beim Synchronisieren auf Geräte beide auch lokal gespeichert. Selbst wenn man aus irgendeinem Grund keinen Zugriff mehr auf 1Password hat, kann man weiterhin auf alle Einträge im Tresor zugreifen; nur die Synchronisierung zwischen Geräten funktioniert dann nicht mehr.
Statt Passkeys zwischen Geräten zu verschieben, sollte man das eher so verstehen, dass man wie bei SSH-Schlüsseln pro Gerät einen eigenen Passkey erzeugt und alle beim jeweiligen Dienst registriert.
Natürlich kann ein Nutzer trotzdem dazu verleitet werden, den Passkey eines Angreifers zu seinem Konto hinzuzufügen.
Bei Mobilfunk hat man dieses Problem schon vor Jahren gelöst, aber E-Mail ist immer noch ein Chaos. Die Lehre daraus ist: niemals abhängig werden.
Sie fängt Aufrufe von
window.credentialsab, und wenn man neben 1Password auch andere Verifizierungsmittel wie einen Yubikey verwenden möchte, muss man in die Einstellungen gehen und die Passkey-Funktion komplett deaktivieren.Das ähnelt auch der Methode, Google-One-Tap-Prompts abzufangen und global zu deaktivieren, um den eigenen OAuth-Prompt anzuzeigen. Ich nutze nur die Chrome-Erweiterung, daher weiß ich nicht, ob sich die native App-Erfahrung stark unterscheidet.
Aus Nutzersicht ist mir das immer noch unklar.
Was passiert, wenn zu Hause ein Feuer ausbricht oder Ähnliches und alle Geräte zerstört werden, auf denen man bei Google angemeldet war? Wie meldet man sich dann wieder beim Konto an?
Ich gab ihnen ein altes Handy, und die SIM ließ sich problemlos umziehen, aber die Anmeldung beim Google-Konto gelang einfach nicht. Google forderte hartnäckig dazu auf, „das Handy zu verwenden“. Auch der Laptop war aus der E-Mail abgemeldet.
Zum Glück hatte ich wegen eines früheren Vorfalls Backup-Tokens, und damit ließ es sich lösen. Keine Ahnung, was andere Leute in so einer Situation machen.
Dabei wird ein Schlüssel in M Teile zerlegt, und N davon sind erforderlich, um ihn wiederherzustellen. Bei 3/8 etwa reichen 3 von 8 Teilen, um den Schlüssel zu rekonstruieren. Man gibt die einzelnen Teile an vertrauenswürdige Personen und holt sich bei der Wiederherstellung von mindestens 3 dieser Personen die Teile zurück, um den Schlüssel wiederzubeleben.
Als ich das in einer YC-Demo namens multipasskey implementierte, ließ ich vertrauenswürdige Kontakte auswählen und schickte ihnen im Hintergrund Schlüsselteile. Wenn eine Wiederherstellung nötig war, forderte man sie bei diesen Kontakten an, und sobald genügend Teile eingingen, wurde der Geräteschlüssel rekonstruiert. Mit dem Geräteschlüssel konnte dann ein verschlüsseltes Schlüssel-Backup vom Remote-Server heruntergeladen und wie neu wiederhergestellt werden.
2017/2018 habe ich mich mit diesem Projekt, das ich multipasskey nannte, als funktionierender Demo bei YC beworben, wurde aber abgelehnt. Ich nehme an, ich habe es nicht gut genug erklärt.
Als Techniker vermute ich, dass es bedeutet, man sollte einem Freund ein Backup-Gerät anvertrauen oder den Passkey auch im Apple-/Microsoft-/Passwortmanager-Konto speichern.
Aber Google sollte das ausführlicher erklären.
Und man darf auf keinen Fall seine Telefonnummer verlieren. Selbst mit Nutzername, Passwort und Wiederherstellungs-E-Mail kommt man nicht wieder ins Google-Konto, wenn man den SMS-Code nicht empfangen kann.
In dieser Übergangsphase wird empfohlen, Passkeys als Alternative zu den bereits angebotenen Methoden bereitzustellen. Google und viele Diensteanbieter machen das so.
Die Frage, die hier gestellt wird, betrifft allerdings die Kontowiederherstellung, über die sich alle auch ohne Passkeys Gedanken machen sollten. Man braucht einen Plan dafür, wie man sich anmeldet, wenn man das Passwort vergisst, keinen Zugriff mehr auf den Passwortmanager hat oder das zweite Authentifizierungsgerät verliert. Die Einführung von Passkeys nimmt einem die Überlegungen zur Kontowiederherstellung nicht vollständig ab.
Dennoch gibt es besondere Fälle, in denen Passkeys bei der Kontowiederherstellung besser sind. Wenn man auf Apple-Geräten mit iCloud-Schlüsselbund einen Passkey für ein Google-Konto erstellt, wird dieser Passkey mit iCloud synchronisiert. Wenn dann das Haus abbrennt und alle Geräte verloren gehen, kann man die Passkeys für das Google-Konto und andere Websites wiederherstellen, solange man Zugriff auf das iCloud-Konto hat.
Natürlich ist die Frage „Was, wenn man den Zugriff auf das Apple-iCloud-Konto verliert?“ berechtigt. Daher verschwindet das Problem der Kontowiederherstellung nicht vollständig, aber in vielen Fällen kann es durch Passkeys deutlich reduziert werden.
Hier zeigt sich das Simpson-Paradoxon
Im Durchschnitt kann es die Sicherheit erhöhen. Denn die große Mehrheit der Nutzer verwendet Passwörter äußerst schlecht
Für erfahrene Nutzer, die Passwörter sicher verwenden, sinkt die Sicherheit jedoch drastisch, wenn es erzwungen wird
Erzwungene Zwei-Faktor-Authentifizierung per Telefonnummer hat denselben Effekt. Im Fall von Big G ist erzwungene Telefonnummer-2FA eine als Sicherheit verpackte Anti-Anonymitätsrichtlinie. In diesem Fall wirkt es wie ein Versuch, biometrische Daten zu bekommen
Telefonnummern sind für die meisten Menschen die beste langfristige Identität, die sie haben, und Google muss Kontowiederherstellung für Milliarden von Nutzern in aberwitzigem Maßstab unterstützen
Viele Menschen verlieren ihr Passwort und ihre Geräte, aber sehr wenige verlieren ihre Telefonnummer
Daher ist es logisch, dass Google Telefonnummern nutzt, um auf seiner Plattform Identität zuzuweisen und zu delegieren. Das ist schlecht für den Datenschutz, aber sehr gut für die Sicherheit, weil es die Kontrolle über Daten über ein externes Authentifizierungs-„Credential“ ermöglicht, das Nutzer nicht selbst verwalten müssen
Und bei diesem Teil bin ich mir nicht sicher; wer es besser weiß, möge mich korrigieren. Selbst wenn man von einem erfahrenen Nutzer ausgeht, der gegen schwache Passwörter, Wiederverwendung und Phishing immun ist, verstehe ich es so, dass es einen Sicherheitsvorteil gibt. Selbst wenn ein Google Passkey geleakt wird, wird nur der öffentliche Schlüssel geleakt, und mit dem öffentlichen Schlüssel kann man sich nicht anmelden, also ist der Leak praktisch nutzlos
Wenn Google biometrische Daten gesammelt hätte, hätten sie das längst getan, und es hätte nichts mit dieser Funktion zu tun
Diese sehr grundlegenden Details dieses Sicherheitsmodells gelten schon seit langer Zeit, seit der Ära, in der das iPhone begann, die Secure Enclave zu nutzen. Ich weiß nicht, warum Leute auf dieser Seite so entschieden über Dinge sprechen, die sie überhaupt nicht verstehen, und ehrlich gesagt überrascht mich das
Passkeys sind im Grunde moralisch gleichwertig damit, für den Login auf einem Server statt eines SSH-Passworts einen SSH-Key zu verwenden, nur auf Websites übertragen. Außerdem gibt es objektiv einfache Fakten, die man nicht durch die Vorstellung „Passwörter sicher verwenden“ ersetzen kann. Passkeys sind buchstäblich phishing-resistent
Ich bin überrascht, dass sie das schon vorantreiben. Noch letzte Woche gab es in der Implementierung genug raue Kanten, dass ich es in meinem Workspace-Tenant deaktiviert habe
Die zwei nervigsten Punkte sind, dass Advanced Protection Passkeys noch nicht unterstützt, sodass man vorerst bei U2F bleiben muss, und dass Google, wenn im Konto ein U2F-Key eingerichtet ist, zuerst vorschlägt, diesen als Passkey zu verwenden, und einen dann, weil es kein Passkey ist, auffordert, sich mit dem Passwort anzumelden
Dadurch verlieren Nutzer von phishing-resistenter Mehrfaktor-Authentifizierung die Möglichkeit, den Mehrfaktor-Schritt auf dem Gerät „merken“ zu lassen. Denn Google verlangt vor dem Passwort immer zuerst den U2F-Authentifizierungsfaktor
Unabhängig davon habe ich, während ich mich darauf vorbereite, bei einigen kleineren Kunden Okta-basierte passwortlose Logins auszurollen, FIDO2-Flows mit Security Keys und Passkeys über Gerätetypen und Plattformen hinweg ausgiebig getestet. Der Authentifizierungsablauf selbst gefällt mir insgesamt, aber es gibt viele Fallstricke, auf die man achten muss
Ich habe ziemlich viel Zeit darauf verwendet, den Standardpfad zu bereinigen, Onboarding-Material zu erstellen und Business-Continuity-Szenarien zu dokumentieren. Private Nutzungsszenarien sind in mancher Hinsicht schwieriger, weil man nicht einen einzelnen IdP, sondern jeden einzelnen Dienst betrachten muss
Wenn man mehrere Umgebungen unterstützen muss, ist der einfache Weg im Moment, in 1Password oder einen anderen Passwortmanager zu investieren, der Passkeys unterstützt. Das bietet die konsistenteste User Experience und funktioniert auf den meisten Plattformen, aber unter Android 14 gibt es noch Probleme
Für hochprivilegierte Konten werde ich weiterhin Hardware-Keys verwenden, daher bekommen Administratoren ein Paar FIDO2-Keys. Alle anderen bekommen einen Yubikey, der als Backup dient, wenn sie den Zugriff auf ihr Gerät verlieren oder sich von einem nicht vertrauenswürdigen Gerät anmelden müssen. Auch hier ist Android ein Problem. Selbst Version 14 scheint passwortlose FIDO2-Flows nicht zu unterstützen
Eine interessante Richtung. Allerdings ist es erwähnenswert, dass biometrische Daten wie Fingerabdrücke oder Gesichtserkennung eigentlich keine „Geheimnisse“ sind
Sie können ohne Wissen oder Zustimmung des Nutzers beobachtet oder genutzt werden und verhalten sich in vielerlei Hinsicht eher wie ein Benutzername als wie ein Passwort
Der Fingerabdruck entsperrt lediglich das kryptografische Schlüsselpaar, das für die Authentifizierung verwendet wird
Ich nutze einen Yubico Security Key als Passkey, geschützt durch eine sechsstellige PIN. Diese PIN existiert nur lokal auf dem Gerät und soll verhindern, dass jemand, der das Gerät physisch besitzt, sich sofort anmelden kann. Gibt man die PIN zehnmal hintereinander falsch ein, wird der Key gelöscht
Wenn man die PIN eingibt, wird der Key entsperrt, und genau dieser Key verschafft einem Zugriff auf das Google-Konto
Die meisten Konten mit Passwort haben eine Sicherheitsvorkehrung nach dem Motto: „Wenn du dem Unternehmen deine Identität nachweist, setzen wir es zurück.“ Wenn man sein Bankpasswort nicht mehr weiß, gibt es also einen Weg, über den die Bank es zurücksetzt
Bei den Dingen, die Google kontrolliert, gibt es überhaupt keine Möglichkeit, jemanden zu kontaktieren, um ein Problem zu lösen. Das ist bereits bei allen Google-Produkten ein Problem
Jeglichen Zugriff hinter einer von Google kontrollierten Tür einzuschließen, heißt, sich selbst einen Albtraum für die Zukunft vorzubereiten
Schade, dass man Passkeys noch nicht in Bitwarden speichern kann. Der Meldung oben auf dieser Seite zufolge soll das aber wohl im Oktober kommen
https://bitwarden.com/blog/bitwarden-passkey-management/