Mich würde mal eure Meinung im Bezug auf Passkeys interessieren, da ja hier doch auch einige ITler und ähnliche anwesend sind.
Viele unternehmen (z.B Google, Apple und Microsoft) führen ja grade nach und nach Passkeys statt Passwort ein.
Was haltet ihr davon?
Was nutzt ihr lieber und warum?
Was ist sicherer?
Was, wenn ich den Passkey auf meinem Smartphone habe und den Zugriff verliere, weil Gerät weg oder kaputt?
Ich benutze Aktuell einen Passwort Manager (safe in Cloud) und bin damit seit Jahren sehr zufrieden, all meine Passwörter sind vom Manager generiert, mit diversen Sonderzeichen etc und mindestens 10 Stellig. Wenn möglich nutze ich 2 Faktor über Google Authenticator oder SMS Tan.
Das sollte doch eigentlich sicherer sein als ein Passkey oder?
Und vom Comfort Aspekt her, ich gehe in meinen Passwort Manager, kopiere das Passwort, füge es ein und fertig, dauert 3 Sekunden, also auch kein Grund auf Passkeys zu wechseln.
Weil? Das Backup liegt auf meiner eigenen Cloud (Google Drive) und ich habe ein offline Backup (ist natürlich nie brandaktuell, aber würde sagen 80% der Passwörter darin stimmen noch)
Mein Google Konto ist durch 2 FA geschützt und der App Anbieter Safe in Cloud hat 0,0 Zugriff auf mein Backup, da es ja in meiner Cloud liegt
(klar könnte der Anbieter technisch wahrscheinlich einfach trotzdem alle Passwörter mitlesen wenn er das wollte, das kann man natürlich nie gänzlich ausschließen. Die wichtigsten Sachen sind jedoch eh mit 2 FA sodass einfacher zugriff auf das Passwort nicht ausreicht)
Ich habe mich das auch schon gefragt.
Warum nicht BIP 39 Seed zur PW-Generierung benutzen.
Eine BTC Adresse müsste ja ein sicheres PW darstellen.
12 Wörter notieren und das PW ist gut gesichert.
Das einzige was mich davon abhält ist die Tatsache das die PW ja immer eingegeben werden müssen. Ich will ja nicht jedes mal eine ganze BTC Adresse eingeben.
Aber sicher müsste es doch sein.
Das was so meine Idee dazu.
Meistens ist es so, das je bequemer die Passwort Variante ist, desto unsicherer.
Eine viel höhere Sicherheit, aber unbequemer. Ein gutes 12 stelliges Passwort mit Gross/kleinschreibung, Zahl, Sonderzeichen und zusätzliche 2FA reicht nach heutigem Standard aus.
Ich finde es super, dass es diese Technologie gibt.
Ich nutze Passkeys, da wo es möglich ist, weil es mir spaß macht mich damit zu beschäftigen.
Ich denke, das generiertes Passwort + 2FA genau so sicher sind, wie Passkeys. Entscheidend ist das das 2FA. Passwort alleine ist einfach nicht mehr Zeitgemäß.
Du kannst bei den Accounts mehrere Passkeys hinterlegen. (Was man auch unbedingt machen sollte!) Geht nun eins verloren, wird geklaut oder geht kaputt, kann man sich mit dem weiteren Passkey anmelden und den alten Passkey von dem Account entfernen.
Rein technisch ist das Konzept des Passkeys sicherer. Der Key wird nämlich nicht versendet sondern signiert quasi eine Nachricht, die dann an die Webseite gesendet wird als Beweis, dass du zugangsberechtigt bist. Somit kann die Webseite bei der du dich einloggst, nicht versehentlich (oder absichtlich) Zugangsdaten leaken.
Persönlich habe ich darauf noch nicht umgestellt, weil ich gerne kleine Anbieter nutze und es sich dort noch nicht durchgesetzt hat.
Aber wenn mein Handy zum Beispiel geklaut wird und wie auch immer entsperrt wird (bei nem Standard 4 stelligen Pin nicht so schwer) dann ists doch deutlich unsicherer als ein Passwort oder? Bei Passwort + Passwortmanager ists ja dann so, wenn man das Passwort zum Manager 3x falsch eingibt wird er zurückgesetzt oder gesperrt.
Wenn man z.B. nur ein Handy hat und keinen Laptop oderso dann hat man den Passkey ja auch nur einmal
wenn man nur ein Gerät hat, sollte man keine Passkeys nutzen. Da ist der Aufwand und Ärger seinen Account bei Verlust wieder zu bekommen es einfach zu hoch.
Du kannst aber auch dir noch ein zwei Security-Token (z.B. Yubikeys) nutzen. Die kann man auch als Passkeys nutzen.
Bei einem richtig implementierten Passwortsystem weiß die Website wo du dich einloggst auch nicht dein Passwort. Es wird da nur ein Hashwert übertragen und gespeichert. Wenn jemand den Hashwert unberechtigt abgreift, kann er daraus nicht das Passwort finden.