2 Punkte von GN⁺ 2023-10-12 | 1 Kommentare | Auf WhatsApp teilen
  • Google macht den Wechsel zu passwortlosen Anmeldungen einfacher, indem es Passkeys für private Google-Konten als Standardoption anbietet
  • Ab der nächsten Anmeldung wird ein Prompt zum Erstellen und Verwenden von Passkeys angezeigt, und in den Kontoeinstellungen ist die Option „Skip password when possible“ aktiviert
  • Mit Passkeys meldet man sich per Fingerabdruck, Gesichtsscan oder PIN an, also mit derselben Methode wie zum Entsperren des Geräts. Google hält das für 40 % schneller als Passwörter und dank der kryptografischen Methode auch für sicherer
  • Die Anmeldung per Passwort bleibt vorerst bestehen, und wer das nicht möchte, kann die Nutzung von Passkeys ablehnen, indem „Skip password when possible“ deaktiviert wird
  • Passkeys werden bereits bei YouTube, Search und Maps genutzt, auch Uber und eBay unterstützen sie, und WhatsApp-Kompatibilität soll bald folgen

Änderung der Standard-Anmeldung für private Google-Konten

  • Google sieht die Reaktionen der Nutzer seit der Einführung der Unterstützung für Passkeys Anfang dieses Jahres als positiv an
  • Nun werden Passkeys für private Google-Konten insgesamt als Standard-Anmeldeoption angeboten
  • Bei der nächsten Kontoanmeldung wird ein Prompt zum Erstellen und Verwenden von Passkeys angezeigt
  • In den Google-Konto-Einstellungen ist die Option „Skip password when possible“ aktiviert

Funktionsweise und Sicherheitsmerkmale von Passkeys

  • Passkeys verwenden für die Kontoanmeldung Fingerabdruck, Gesichtsscan oder PIN, also dieselbe Methode wie zum Entsperren des Geräts
  • Laut Google ist die Anmeldung mit Passkeys 40 % schneller als mit Passwörtern
  • Sie gelten aufgrund kryptografischer Verfahren als sicherer und sind zudem phishing-resistent
  • Nutzer müssen sich dadurch weniger Zahlen und Sonderzeichen für Passwörter merken

Passwörter und Wahlfreiheit für Nutzer bleiben bestehen

  • Google geht davon aus, dass es Zeit braucht, bis sich neue Technologien etablieren, und dass Passwörter noch eine Weile bleiben werden
  • Nutzer können sich weiterhin mit Passwort anmelden
  • Wer keine Passkeys nutzen möchte, kann die Option „Skip password when possible“ deaktivieren

Passkey-Unterstützung breitet sich auch außerhalb von Google aus

  • Seit der Einführung von Passkeys nutzen Anwender sie bereits in Google-Apps wie YouTube, Search und Maps
  • Google bewertet den Trend zur zunehmenden Einführung von Passkeys in der gesamten Branche positiv
  • Uber und eBay bieten auf ihren Plattformen bereits eine passwortlose Anmeldeoption an
  • WhatsApp-Kompatibilität soll ebenfalls bald verfügbar sein

Der nächste Schritt hin zur passwortlosen Anmeldung

  • Google will weiterhin darauf hinweisen, wo sich Passkeys auch bei anderen Online-Konten verwenden lassen
  • Das Unternehmen will die Branche dazu ermutigen, auf Passkeys umzusteigen, um die Nutzung von Passwörtern zu reduzieren und sie langfristig zur Ausnahme zu machen
  • Informationen zur Sicherheit von Google-Konten gibt es unter myaccount.google.com/safer

1 Kommentare

 
GN⁺ 2023-10-12
Meinungen auf Hacker News
  • Wie mehrere Leute gesagt haben: Wenn man ein Gerät verliert, ist es sehr schwierig, kryptografische Authentifizierung wieder in Gang zu bringen.
    Meine Frau hat letzten Monat das Glas ihres iPhones beschädigt und es über AppleCare reparieren lassen, aber Apple hat uns nicht gesagt, dass eine „Glasreparatur“ faktisch den Austausch interner Komponenten und ein Zurücksetzen umfasst.
    Apple-iPhone-Backups enthalten keine kryptografischen Geheimnisse wie eSIMs.
    Am Ende gerät man in eine Schleife: Um die eSIM zu aktivieren, braucht man E-Mail; für E-Mail braucht man MS Authenticator; und MS Authenticator lässt sich ohne SMS nicht aktivieren.
    Wir mussten mit einem Stapel Lichtbildausweisen in den Shop des Mobilfunkanbieters gehen, um die eSIM neu ausstellen zu lassen, und obwohl das Passwort korrekt war, wurde wegen irgendeiner Hardware-Sperre des Telefons sogar das Bankkonto gesperrt.
    Die Lösung dauerte mehrere Tage und erforderte persönliche Besuche bei mehreren Stellen. Wären wir auf einer Auslandsreise gewesen, wären wir völlig festgesessen.
    Die Zeiten haben sich geändert: Die gesamte digitale Identität ist jetzt eine Smartcard im Telefon. Ob diese Smartcard nun die SIM ist oder ein eingebauter TPM-Chip – wenn man sie verliert, ist man aus Sicht anderer so gut wie tot.
    Passkeys verschlimmern dieses Problem erheblich. Eine physische SIM kann man immerhin von einem Telefon in ein anderes umstecken, aber Passkeys lassen sich nicht zwischen Anbietern übertragen.
    Man sollte schreiend davonlaufen. Glaubt nicht dem Hype; wartet, bis die Anbieter brauchbare Lösungen für Übertragung und Wiederherstellung liefern.

    • Ich stimme „schreiend davonlaufen“ sehr zu. Authentifizierung an Hardware zu binden, die ich nicht kontrolliere, kann in Zukunft fast zwangsläufig zu einer Dienstverweigerung führen.
      Menschen hassen Passwörter, aber realistisch gesehen sind sie in vielen Situationen und Bedrohungsmodellen der beste Kompromiss. Wenn man 32 Byte oder mehr aus /dev/random zieht und sie nach Belieben kodiert, kann das in diesem Universum niemand per Brute Force knacken, und Passwortmanager lösen auch das Wiederverwendungsproblem.
      Außerdem hat man den Vorteil, dass man die Speicherung selbst kontrollieren und so viele redundante Backups anlegen kann, wie man braucht, um sich sicher zu fühlen.
    • Ich glaube die geschilderten Probleme alle, aber normalerweise kann man jedem Dienst mehrere Passkeys hinzufügen. Man kann sowohl ein iPhone als auch ein günstiges Android-Telefon registrieren, um Redundanz zu haben, oder Passkeys auch in 1Password speichern.
      Ein iPhone-Backup enthält ein Backup der in iCloud Keychain gespeicherten Einträge, und wenn man ein anderes Apple-Gerät oder einen Wiederherstellungsschlüssel hat, kann man wieder darauf zugreifen. Mit dem Gerätecode oder dem Wiederherstellungsschlüssel kann man alles wieder neu bootstrappen.
      eSIMs sind ein Sonderfall, weil sie Sache des Mobilfunkanbieters sind; solche Dinge waren schon immer und bleiben wohl auch künftig unangenehm an Shops und Telefonhotlines gebunden.
    • Hinzu kommt, dass viele Websites heutzutage geradezu stolz darauf sind, keinen menschlichen Kundensupport zu haben, und einem nicht bei der Wiederherstellung helfen, wenn das Konto gesperrt ist. Google und Meta sind so.
    • Wie bei allem braucht man Backups. Man sollte mehr als einen Passkey haben.
      Ich nutze fast immer drei: einen Yubikey an der Workstation, einen tragbaren Yubikey und mein Telefon. Mit diesen drei kann ich sowohl Google für E-Mail als auch Apple für das Telefon wieder in Gang bringen. Der Rest liegt in 1Password und ist über diese Mittel erreichbar.
      Selbst im schlimmsten denkbaren Notfall könnte ich E-Mail vermutlich irgendwie zurückbekommen. Ich könnte mich beim DNS-Anbieter ausweisen und die MX-Records ändern, dann ließe sich wieder arbeiten. Trotzdem würde ich es nicht unbedingt als lebensnotwendig ansehen. Den Zugriff zu verlieren wäre extrem unbequem, aber wohl kein Todesurteil.
      SMS- und Signal-Kontakte habe ich auch anderswo, und das Geld auf dem Bankkonto kann ich per Scheck ausgeben. Bei Firmenkonten kann ich persönlich im Büro auftauchen und bekomme wieder Zugriff.
      Allerdings halte ich Passkeys für normale Computernutzer wahrscheinlich für zu kompliziert. Leider scheint der Ansatz „Wir schicken dir bei jedem Login einen E-Mail-Link“ die benutzerfreundlichste passwortlose Authentifizierung zu sein.
      Die Gewohnheit, Passkeys in 1Password zu legen, gibt mir auch kein völlig gutes Gefühl. Ich weiß ja, dass ich damit dauerhaft gebunden bin. Aber ich mag den Dienst, und falls ich irgendwann wechseln will, habe ich zumindest eine Liste der Konten, die ich neu erstellen müsste.
      Am meisten fürchte ich die Situation, den Telefoncode zu vergessen. Einmal bin ich aufgewacht und war in einem sehr schlechten Moment abgelenkt, sodass mir der 6-stellige Code partout nicht einfiel. Ich benutze denselben Code auch zum Entsperren der Workstation. Nachdem ich kurz meine Aufmerksamkeit auf etwas anderes gelenkt hatte, fiel er mir über das Muskelgedächtnis gerade noch ein.
      Es war wirklich so ein Moment von „Hatte ich gerade einen Schlaganfall?“. Jetzt speichere ich diesen Code in 1Password, sodass ich mein Gedächtnis auffrischen kann, wenn wenigstens ein Gerät entsperrt ist. Das ist schon ziemlich lange her, und ich glaube nicht, dass es Demenz war – einfach ein seltsames vorübergehendes Phänomen.
      Dagegen erinnere ich mich perfekt an alle Passwörter bei der Arbeit, die höchstens ein Jahr gültig waren. Hilft nur wenig, wenn einem die 6 Ziffern nicht einfallen.
    • Damit man den Artikel nicht lesen muss, bevor man schreiend davonläuft: Zusammengefasst steht dort, dass man sich weiterhin mit Passwort anmelden kann und Passkeys ablehnen kann, indem man „Passwort nach Möglichkeit überspringen“ deaktiviert.
      Also landet das Passwort wohl bald auch bei „Killed by Google“, und mein Konto gleich mit. Ich lasse kein einziges Gerät angemeldet.
      Es ist längst Zeit, auch die wenigen verbleibenden Nutzungen umzuziehen. Ich frage mich, ob die Firma meinen Passkey für das Arbeitskonto zurücksetzen kann, wenn irgendwann die unvermeidliche Situation eintritt.
  • Ich halte das zwar für die richtige Richtung, habe aber schon zu viele Horrorgeschichten gesehen, in denen Menschen aus ihrem Google- oder iCloud-Konto ausgesperrt wurden und realistisch keine Möglichkeit hatten, es wiederzubekommen.
    Ich glaube nicht, dass ich der Einzige bin, der so denkt, aber irgendwann werde ich vermutlich durch einen eigenen Fehler bei Google ausgesperrt, und mein digitales Leben ist ruiniert.
    Ich würde gern dafür bezahlen, wenn ein privates Unternehmen eine Login-Methode wie login.gov anbieten würde und man im Fall einer Sperre wie bei USPS mit einem echten Menschen sprechen könnte.

    • Das ist besonders für normale Nutzer und ältere Menschen ein Problem, und Google hat eine Vorgeschichte, in der Support praktisch nicht existierte. Außerdem ist Passkey selbst ein fehlerhaftes System.
      https://mastodon.laurenweinstein.org/@lauren/111103819626952...
      https://mastodon.laurenweinstein.org/@lauren/111211366080459...
    • Disaster Recovery ist meine größte Sorge bei Zwei-Faktor-Authentifizierung oder Multi-Faktor-Authentifizierung. Ich glaube, das ist auch einer der Gründe, warum sich Dinge wie PGP nie breit durchgesetzt haben. Man musste immer etwas Kleines und Wertvolles verwalten, und die Folgen waren problematisch, wenn man es nicht mehr nutzen konnte oder wenn jemand Böswilliges es nutzen konnte.
    • „Man kann aus seinem Konto ausgesperrt werden“ ist die moderne Version von „Festplatten fallen irgendwann aus“.
      Es ist keine Frage des Ob, sondern des Wann. Wer seine Daten für wichtig hält, braucht Backups und einen gründlichen Disaster-Recovery-Plan. Irgendein Unternehmen wird etwas kaputtmachen, auch ohne dass man selbst schuld ist, und das lässt sich nicht vermeiden.
      Leider gibt es für manche Aspekte verlorener Konten keine guten Disaster-Recovery-Optionen, aber mehrere Konten zu haben und Single Points of Failure zu vermeiden, hilft zumindest ein Stück weit.
    • Sich pessimistische Szenarien vorzustellen, ist nützlich, wenn daraus Handeln folgt. In diesem Fall besteht die passende Maßnahme darin, die Wiederherstellungsoptionen für Google-Konten zu kennen und zu nutzen.
      Man sollte mehrere unabhängige Möglichkeiten haben, sich anzumelden. Zum Beispiel Backup-Codes ausdrucken und zusammen mit wichtigen Unterlagen aufbewahren.
      Aber auch das schützt nicht davor, durch Änderungen an Googles Richtlinien aus dem Konto ausgesperrt zu werden; idealerweise sollte man also auch üben, ohne ein Google-Konto auszukommen.
    • Stimme zu 100 % zu. Ich freue mich auf eine Zukunft ohne Passwörter, aber eine einzige Sperre ohne Erklärung macht es ähnlich wie den Verlust der physischen Geldbörse.
  • Lauren Weinstein warnt, dass Passkey fehlerhaft sei und besonders für normale Nutzer zu einem enormen Ärgernis werden werde.
    https://mastodon.laurenweinstein.org/@lauren/111103819626952...
    https://mastodon.laurenweinstein.org/@lauren/111211366080459...

    • Stimmt. Ich hatte schon seit ein paar Jahren ähnliche Beschwerden.
      Wenn man Datenschutz und Vendor Lock-in erst einmal ausklammert, sind Passkeys keine besonders schlechte Alternative für Leute, die auf allen Websites dasselbe grundlegende Passwort wiederverwenden und keine Zwei-Faktor-Authentifizierung nutzen.
      Aber sobald man anfängt, sich tatsächlich darauf zu verlassen, um etwas zu schützen, wird es schnell zu einem riesigen Albtraum. Noch schlimmer wird es dadurch, dass es als gleichwertig mit Passwort + Zwei-Faktor-Authentifizierung behandelt wird.
    • Wo wird erklärt, worin der Fehler besteht?
      Es heißt zwar, das sei „leicht zu finden“, aber offenbar finde ich es trotzdem nicht.
      https://mastodon.laurenweinstein.org/@lauren/111211489395997...
      Wenn Nutzer ohnehin wahrscheinlich schwache Passwörter für Dienste verwenden, verstehe ich nicht, warum ein schwacher Geräte-Passcode ein Grund sein soll, Passkeys zu meiden.
    • Es ist nicht klar, was daran das Ärgernis sein soll. Wenn es um die Folgen geht, die Passkeys für die meisten normalen Nutzer haben, dann sind die meisten auf ihrem Mobilgerät in ihrem Google-Konto angemeldet.
      In diesem Fall ist ohnehin auch das Konto kompromittiert, wenn die Geräteauthentifizierung durchbrochen wird.
      Gerade bei Google ist es derzeit nicht so aufgebaut, dass man sich zwischen Passwort und Passkey für genau eines entscheiden müsste. Wenn es auf dem Gerät keinen Passkey gibt, kann man zum Passwort-Login-Flow zurückkehren.
    • Diese Debatte ist frustrierend, weil Daten fehlen. Es gibt nur jede Menge Meinungen darüber, welches Risiko schlimmer ist als ein anderes.
      Um Risiken und Nutzen zu vergleichen, müsste man wissen, wie oft Menschen tatsächlich Passwörter wiederverwenden, ob sie Zwei-Faktor-Authentifizierung nutzen, ob sie den Zugriff auf alle Konten nur von der Bildschirmsperre ihres Smartphones abhängig machen, ob sie biometrische Authentifizierung nutzen, wie oft Kontowiederherstellung nötig ist und so weiter.
      Nur diese Daten könnten die Debatte klären und es jedem ermöglichen, je nach eigener Situation zu unterschiedlichen Schlüssen zu kommen.
      Google hat den Großteil dieser Daten. Wenn es seine Position stützen will, sollte es sie offenlegen.
    • „Schwache Geräteauthentifizierung“? Ich dachte, heutige Smartphones hätten alle Fingerabdruck- oder Gesichtserkennung.
  • 1Password hat kürzlich Passkey-Unterstützung aktiviert, und ich war „überrascht“, als ich feststellte, dass es keine Möglichkeit gibt, sie aus 1Password zu exportieren.
    Sie sind weder im Export im 1PUX-Format noch in CSV enthalten.
    Das heißt buchstäblich: Backups sind unmöglich. Wenn 1Password ausfällt, das Unternehmen schließt oder etwas Ähnliches passiert, sind die Passkeys einfach weg. Es gibt keinerlei Möglichkeit zur Wiederherstellung.

    • Keiner der großen Anbieter im Passkey-Bereich unterstützt derzeit den Export oder Import von Passkeys. Der Grund ist, dass man sich noch nicht auf eine Spezifikation geeinigt hat, wie das sicher erfolgen kann, und niemand den Klartext-Export von Passkeys erlauben möchte.
      Siehe dazu den jüngsten 1Password-Passkey-AMA-Beitrag:
      https://old.reddit.com/r/1Password/comments/16to6x7/hey_redd...
      Was den Fall angeht, dass 1Password verschwindet: Passwörter und Passkeys werden beim Synchronisieren auf Geräte beide auch lokal gespeichert. Selbst wenn man aus irgendeinem Grund keinen Zugriff mehr auf 1Password hat, kann man weiterhin auf alle Einträge im Tresor zugreifen; nur die Synchronisierung zwischen Geräten funktioniert dann nicht mehr.
    • Ist das nicht der Zweck von Passkeys? Dass Nutzer sie nicht direkt handhaben können, damit sie nicht per Social Engineering gestohlen werden.
      Statt Passkeys zwischen Geräten zu verschieben, sollte man das eher so verstehen, dass man wie bei SSH-Schlüsseln pro Gerät einen eigenen Passkey erzeugt und alle beim jeweiligen Dienst registriert.
      Natürlich kann ein Nutzer trotzdem dazu verleitet werden, den Passkey eines Angreifers zu seinem Konto hinzuzufügen.
    • Ich hatte einmal ein Gespräch mit meiner Mutter, als ich ihr empfahl, zu wechseln; sie fürchtet sich vor einem Wechsel des Internetanbieters, weil ihre E-Mail an den Anbieter gebunden ist.
      Bei Mobilfunk hat man dieses Problem schon vor Jahren gelöst, aber E-Mail ist immer noch ein Chaos. Die Lehre daraus ist: niemals abhängig werden.
    • Gibt es unter den selbst gehosteten Passwortmanagern von Drittanbietern überhaupt welche, die eine kompatible Passkey-Implementierung mit tatsächlichem Export und sicherem Backup anbieten?
    • Die Passkey-Unterstützung von 1Password wirkt ziemlich stark nach aggressivem Growth Hacking.
      Sie fängt Aufrufe von window.credentials ab, und wenn man neben 1Password auch andere Verifizierungsmittel wie einen Yubikey verwenden möchte, muss man in die Einstellungen gehen und die Passkey-Funktion komplett deaktivieren.
      Das ähnelt auch der Methode, Google-One-Tap-Prompts abzufangen und global zu deaktivieren, um den eigenen OAuth-Prompt anzuzeigen. Ich nutze nur die Chrome-Erweiterung, daher weiß ich nicht, ob sich die native App-Erfahrung stark unterscheidet.
  • Aus Nutzersicht ist mir das immer noch unklar.
    Was passiert, wenn zu Hause ein Feuer ausbricht oder Ähnliches und alle Geräte zerstört werden, auf denen man bei Google angemeldet war? Wie meldet man sich dann wieder beim Konto an?

    • Genau so etwas ist in der Familie meiner Schwiegereltern passiert. Das Handy fiel auf der Treppe herunter, das Display zerbrach und reagierte nicht mehr.
      Ich gab ihnen ein altes Handy, und die SIM ließ sich problemlos umziehen, aber die Anmeldung beim Google-Konto gelang einfach nicht. Google forderte hartnäckig dazu auf, „das Handy zu verwenden“. Auch der Laptop war aus der E-Mail abgemeldet.
      Zum Glück hatte ich wegen eines früheren Vorfalls Backup-Tokens, und damit ließ es sich lösen. Keine Ahnung, was andere Leute in so einer Situation machen.
    • Ich weiß nicht, wie Google das gelöst hat, aber es gibt eine alte Lösung: Shamir's Secret Sharing.
      Dabei wird ein Schlüssel in M Teile zerlegt, und N davon sind erforderlich, um ihn wiederherzustellen. Bei 3/8 etwa reichen 3 von 8 Teilen, um den Schlüssel zu rekonstruieren. Man gibt die einzelnen Teile an vertrauenswürdige Personen und holt sich bei der Wiederherstellung von mindestens 3 dieser Personen die Teile zurück, um den Schlüssel wiederzubeleben.
      Als ich das in einer YC-Demo namens multipasskey implementierte, ließ ich vertrauenswürdige Kontakte auswählen und schickte ihnen im Hintergrund Schlüsselteile. Wenn eine Wiederherstellung nötig war, forderte man sie bei diesen Kontakten an, und sobald genügend Teile eingingen, wurde der Geräteschlüssel rekonstruiert. Mit dem Geräteschlüssel konnte dann ein verschlüsseltes Schlüssel-Backup vom Remote-Server heruntergeladen und wie neu wiederhergestellt werden.
      2017/2018 habe ich mich mit diesem Projekt, das ich multipasskey nannte, als funktionierender Demo bei YC beworben, wurde aber abgelehnt. Ich nehme an, ich habe es nicht gut genug erklärt.
    • Nebenbei: Dass dieser Artikel nicht auf eine FAQ verweist, die grundlegende nichttechnische Fragen beantwortet, ist ziemlich schwach.
      Als Techniker vermute ich, dass es bedeutet, man sollte einem Freund ein Backup-Gerät anvertrauen oder den Passkey auch im Apple-/Microsoft-/Passwortmanager-Konto speichern.
      Aber Google sollte das ausführlicher erklären.
    • Ich habe tatsächlich einen Brand erlebt. Der Vermieter hat mein Handy gerettet; dadurch blieb mir nur das, und ich verlor all meinen Besitz. Andernfalls wäre ich komplett ausgesperrt gewesen, weil alle TOTP-Apps darauf waren.
      Und man darf auf keinen Fall seine Telefonnummer verlieren. Selbst mit Nutzername, Passwort und Wiederherstellungs-E-Mail kommt man nicht wieder ins Google-Konto, wenn man den SMS-Code nicht empfangen kann.
    • Passkeys sind eine neue Technologie, und Nutzer, Diensteanbieter und Organisationen werden Zeit brauchen, um zu lernen und sich anzupassen.
      In dieser Übergangsphase wird empfohlen, Passkeys als Alternative zu den bereits angebotenen Methoden bereitzustellen. Google und viele Diensteanbieter machen das so.
      Die Frage, die hier gestellt wird, betrifft allerdings die Kontowiederherstellung, über die sich alle auch ohne Passkeys Gedanken machen sollten. Man braucht einen Plan dafür, wie man sich anmeldet, wenn man das Passwort vergisst, keinen Zugriff mehr auf den Passwortmanager hat oder das zweite Authentifizierungsgerät verliert. Die Einführung von Passkeys nimmt einem die Überlegungen zur Kontowiederherstellung nicht vollständig ab.
      Dennoch gibt es besondere Fälle, in denen Passkeys bei der Kontowiederherstellung besser sind. Wenn man auf Apple-Geräten mit iCloud-Schlüsselbund einen Passkey für ein Google-Konto erstellt, wird dieser Passkey mit iCloud synchronisiert. Wenn dann das Haus abbrennt und alle Geräte verloren gehen, kann man die Passkeys für das Google-Konto und andere Websites wiederherstellen, solange man Zugriff auf das iCloud-Konto hat.
      Natürlich ist die Frage „Was, wenn man den Zugriff auf das Apple-iCloud-Konto verliert?“ berechtigt. Daher verschwindet das Problem der Kontowiederherstellung nicht vollständig, aber in vielen Fällen kann es durch Passkeys deutlich reduziert werden.
  • Hier zeigt sich das Simpson-Paradoxon
    Im Durchschnitt kann es die Sicherheit erhöhen. Denn die große Mehrheit der Nutzer verwendet Passwörter äußerst schlecht
    Für erfahrene Nutzer, die Passwörter sicher verwenden, sinkt die Sicherheit jedoch drastisch, wenn es erzwungen wird
    Erzwungene Zwei-Faktor-Authentifizierung per Telefonnummer hat denselben Effekt. Im Fall von Big G ist erzwungene Telefonnummer-2FA eine als Sicherheit verpackte Anti-Anonymitätsrichtlinie. In diesem Fall wirkt es wie ein Versuch, biometrische Daten zu bekommen

    • Die Aussage „erzwungene Telefonnummer-2FA ist eine als Sicherheit verpackte Anti-Anonymitätsrichtlinie“ kann beides sein. Tatsächlich ist das sehr wahrscheinlich
      Telefonnummern sind für die meisten Menschen die beste langfristige Identität, die sie haben, und Google muss Kontowiederherstellung für Milliarden von Nutzern in aberwitzigem Maßstab unterstützen
      Viele Menschen verlieren ihr Passwort und ihre Geräte, aber sehr wenige verlieren ihre Telefonnummer
      Daher ist es logisch, dass Google Telefonnummern nutzt, um auf seiner Plattform Identität zuzuweisen und zu delegieren. Das ist schlecht für den Datenschutz, aber sehr gut für die Sicherheit, weil es die Kontrolle über Daten über ein externes Authentifizierungs-„Credential“ ermöglicht, das Nutzer nicht selbst verwalten müssen
    • Warum sinkt die Sicherheit drastisch, wenn erfahrene Nutzer Passwörter sicher verwenden? Weil das Gerät gestohlen werden und die PIN erraten werden kann? Kann man nicht, wenn man möchte, statt einer PIN ein langes Passwort verwenden?
      Und bei diesem Teil bin ich mir nicht sicher; wer es besser weiß, möge mich korrigieren. Selbst wenn man von einem erfahrenen Nutzer ausgeht, der gegen schwache Passwörter, Wiederverwendung und Phishing immun ist, verstehe ich es so, dass es einen Sicherheitsvorteil gibt. Selbst wenn ein Google Passkey geleakt wird, wird nur der öffentliche Schlüssel geleakt, und mit dem öffentlichen Schlüssel kann man sich nicht anmelden, also ist der Leak praktisch nutzlos
    • Biometrische Daten werden verwendet, um den Key Store auf dem lokalen Gerät zu entsperren, in dem der private Schlüssel liegt. Daraus lässt sich der öffentliche Schlüssel ableiten, und das Wesen eines Passkeys ist ein Public-/Private-Key-Paar, das zur Verifizierung von Website-Logins verwendet wird
      Wenn Google biometrische Daten gesammelt hätte, hätten sie das längst getan, und es hätte nichts mit dieser Funktion zu tun
      Diese sehr grundlegenden Details dieses Sicherheitsmodells gelten schon seit langer Zeit, seit der Ära, in der das iPhone begann, die Secure Enclave zu nutzen. Ich weiß nicht, warum Leute auf dieser Seite so entschieden über Dinge sprechen, die sie überhaupt nicht verstehen, und ehrlich gesagt überrascht mich das
      Passkeys sind im Grunde moralisch gleichwertig damit, für den Login auf einem Server statt eines SSH-Passworts einen SSH-Key zu verwenden, nur auf Websites übertragen. Außerdem gibt es objektiv einfache Fakten, die man nicht durch die Vorstellung „Passwörter sicher verwenden“ ersetzen kann. Passkeys sind buchstäblich phishing-resistent
    • Passkeys hängen nicht von Google oder Apple ab. Wie es Unternehmen und Behörden benötigen, kann man einen eigenen Verwahrer oder Manager haben
  • Ich bin überrascht, dass sie das schon vorantreiben. Noch letzte Woche gab es in der Implementierung genug raue Kanten, dass ich es in meinem Workspace-Tenant deaktiviert habe
    Die zwei nervigsten Punkte sind, dass Advanced Protection Passkeys noch nicht unterstützt, sodass man vorerst bei U2F bleiben muss, und dass Google, wenn im Konto ein U2F-Key eingerichtet ist, zuerst vorschlägt, diesen als Passkey zu verwenden, und einen dann, weil es kein Passkey ist, auffordert, sich mit dem Passwort anzumelden
    Dadurch verlieren Nutzer von phishing-resistenter Mehrfaktor-Authentifizierung die Möglichkeit, den Mehrfaktor-Schritt auf dem Gerät „merken“ zu lassen. Denn Google verlangt vor dem Passwort immer zuerst den U2F-Authentifizierungsfaktor
    Unabhängig davon habe ich, während ich mich darauf vorbereite, bei einigen kleineren Kunden Okta-basierte passwortlose Logins auszurollen, FIDO2-Flows mit Security Keys und Passkeys über Gerätetypen und Plattformen hinweg ausgiebig getestet. Der Authentifizierungsablauf selbst gefällt mir insgesamt, aber es gibt viele Fallstricke, auf die man achten muss
    Ich habe ziemlich viel Zeit darauf verwendet, den Standardpfad zu bereinigen, Onboarding-Material zu erstellen und Business-Continuity-Szenarien zu dokumentieren. Private Nutzungsszenarien sind in mancher Hinsicht schwieriger, weil man nicht einen einzelnen IdP, sondern jeden einzelnen Dienst betrachten muss
    Wenn man mehrere Umgebungen unterstützen muss, ist der einfache Weg im Moment, in 1Password oder einen anderen Passwortmanager zu investieren, der Passkeys unterstützt. Das bietet die konsistenteste User Experience und funktioniert auf den meisten Plattformen, aber unter Android 14 gibt es noch Probleme
    Für hochprivilegierte Konten werde ich weiterhin Hardware-Keys verwenden, daher bekommen Administratoren ein Paar FIDO2-Keys. Alle anderen bekommen einen Yubikey, der als Backup dient, wenn sie den Zugriff auf ihr Gerät verlieren oder sich von einem nicht vertrauenswürdigen Gerät anmelden müssen. Auch hier ist Android ein Problem. Selbst Version 14 scheint passwortlose FIDO2-Flows nicht zu unterstützen

    • Warum sollte Android das unterstützen? Passkeys geben Google doch eine weitere Gelegenheit, Kunden in einen Lock-in-Effekt zu binden
  • Eine interessante Richtung. Allerdings ist es erwähnenswert, dass biometrische Daten wie Fingerabdrücke oder Gesichtserkennung eigentlich keine „Geheimnisse“ sind
    Sie können ohne Wissen oder Zustimmung des Nutzers beobachtet oder genutzt werden und verhalten sich in vielerlei Hinsicht eher wie ein Benutzername als wie ein Passwort

    • Auch Passwörter sind per Definition geteilt und daher nicht völlig geheim. Passkeys verwenden Public-Key-Kryptografie und sind in jeder Hinsicht sicherer
    • Braucht man nicht physischen Zugriff auf das Gerät und zusätzlich den Fingerabdruck oder das Gesicht?
    • Passkeys sind an sich keine biometrische Authentifizierung. Nur weil man zum Beispiel TouchID verwendet, authentifiziert Google den Nutzer nicht per Fingerabdruck
      Der Fingerabdruck entsperrt lediglich das kryptografische Schlüsselpaar, das für die Authentifizierung verwendet wird
      Ich nutze einen Yubico Security Key als Passkey, geschützt durch eine sechsstellige PIN. Diese PIN existiert nur lokal auf dem Gerät und soll verhindern, dass jemand, der das Gerät physisch besitzt, sich sofort anmelden kann. Gibt man die PIN zehnmal hintereinander falsch ein, wird der Key gelöscht
      Wenn man die PIN eingibt, wird der Key entsperrt, und genau dieser Key verschafft einem Zugriff auf das Google-Konto
  • Die meisten Konten mit Passwort haben eine Sicherheitsvorkehrung nach dem Motto: „Wenn du dem Unternehmen deine Identität nachweist, setzen wir es zurück.“ Wenn man sein Bankpasswort nicht mehr weiß, gibt es also einen Weg, über den die Bank es zurücksetzt
    Bei den Dingen, die Google kontrolliert, gibt es überhaupt keine Möglichkeit, jemanden zu kontaktieren, um ein Problem zu lösen. Das ist bereits bei allen Google-Produkten ein Problem
    Jeglichen Zugriff hinter einer von Google kontrollierten Tür einzuschließen, heißt, sich selbst einen Albtraum für die Zukunft vorzubereiten

  • Schade, dass man Passkeys noch nicht in Bitwarden speichern kann. Der Meldung oben auf dieser Seite zufolge soll das aber wohl im Oktober kommen
    https://bitwarden.com/blog/bitwarden-passkey-management/