Passkey statt Passwort?! Wie haltet Ihr das Online mit dem Zugang/Schutz?!

dieweltistrund · 22. Januar 2024

Hallo Kollegen,

im DLF kam Heute im Verbrauchertip dieser Beitrag https://www.deutschlandfunk.de/passkey-statt-passwort-dlf-f2f91581-100.html zum Thema Passwörter versus Passkey. Hatte davon so noch nichts gehört und frage mich ob ich umsteigen kann/soll und ob es besser ist jetzt umzusteigen? Wenn ich das richtge verstehe, ist es so wie beim Online Banking mit SecureGo +, Bestsign oder liege ich da falsch?!

Wie handhabt Ihr das denn? Benutzt jemand Passkey und wie sind die Erfahrungen?

Gruß
Jörg

KaiX0 · 22. Januar 2024

Ich überlege das gerade. Bisher nutze ich Passphrases, etwa

IchfindedasWoodworkerForumrichtiggut
wird zu
1fdWFrg#
Das ist aber zu kurz, daher verdoppeln
IfdWFrg#IfdWFrg#

Um brute-force Angriffe abzuwehren, sind Passwortlänge und die Größe des Zeichensatzes (Groß-/Kleinschreibung, Sonderzeichen, Ziffern) wichtig.
Und natürlich muss je account eine eigenes PW verwendet werden.
Zudem setze ich, wo immer mgl., 2FA Authentifizierung ein (i.d.R. ist dann das Smartphone der 2 Faktor).

PW Manager haben da natürlich Vorteile. ABER: verlierst Du den Zugriff auf den PW- Manager, ist alles! futsch...

inselino · 22. Januar 2024

Hm finde den Beitrag etwas nichtssagend. Mir ist nicht klar, was jetzt passkey genau ist.

Das herausgestellte Merkmal eines öffentlichen und eines privaten Schlüssels ist ja ein alter Hut, gab es bei RSA schon vor ich weiß nciht wie vielen Jahren.
Jetzt habe ich mal geschaut und wie vermutet ist das von einer Interessensgruppe (FIDO Allianz) entwickelt worden. Das heißt eine Website müsste das implementieren um es nutzen zu können. Dann ist es natürlich super. Aktuell geht das z.B. bei Google Diensten, Apple und anderen großen aber sicherlich nicht im Woodworker Forum. Dementsprechend wird man nicht um passwörter herum kommen.

KaiX0 schrieb:
IchfindedasWoodworkerForumrichtiggut
wird zu
1fdWFrg#
Das ist aber zu kurz, daher verdoppeln
IfdWFrg#IfdWFrg#

Das ist eigentlich der falsche Weg. Nimm einfach den ersten Satz und du hast das aller sicherste passwort aus den von dir genannten.

KalterBach · 22. Januar 2024

KaiX0 schrieb:
Das ist aber zu kurz, daher verdoppeln

War da bei der Enigma nicht schon was?!

KaiX0 · 22. Januar 2024

inselino schrieb:
Hm finde den Beitrag etwas nichtssagend. Mir ist nicht klar, was jetzt passkey genau ist.

Das herausgestellte Merkmal eines öffentlichen und eines privaten Schlüssels ist ja ein alter Hut, gab es bei RSA schon vor ich weiß nciht wie vielen Jahren.
Jetzt habe ich mal geschaut und wie vermutet ist das von einer Interessensgruppe (FIDO Allianz) entwickelt worden. Das heißt eine Website müsste das implementieren um es nutzen zu können. Dann ist es natürlich super. Aktuell geht das z.B. bei Google Diensten, Apple und anderen großen aber sicherlich nicht im Woodworker Forum. Dementsprechend wird man nicht um passwörter herum kommen.

Das ist eigentlich der falsche Weg. Nimm einfach den ersten Satz und du hast das aller sicherste passwort aus den von dir genannten.

Kennst Du diese admins, die aus unerfindlichen - und manchmal auch technischen Gründen - die Passwortlänge begrenzen?

dieweltistrund · 22. Januar 2024

Hallo Tom, hallo Kollegen,

die Methode Satzphrase kenne ich.

Habe mal etwas gesucht und das hier bei Microsoft gefunden:
https://support.microsoft.com/de-de...-windows-301c8944-5ea2-452b-9886-97e4d2ef4422

Der Betrag ist wohl für win11 und hat wohl die 2 Wege Schlüssel/Verteilung auf Desktop und Smartphone/tablet.

Bei meinem Acount bei der Krankenkasse bekomme ich beim login eine SMS mit einem 6 zahligen Code, das klappt gut, aber das brauche ich 1-2 mal im Monat also nicht praktikabel für die täglichen Sachen.

Kann man diesen PM (meint wohl Passwortmanager, oder?) nicht über ein 2-3 Wege Zugang so absichern, das man immer selber dran kommt?

Fragen über Fragen...

Gruß
Jörg

dieweltistrund · 22. Januar 2024

Hallo Kollegen,

bei Heise habe ich das hier zum Passkey-Verfahren gefunden:

Passkeys auf allen Geräten Windows unterstützt ab Version 10 das Passkey-Verfahren, macOS ab Ventura, iOS ab Version 16 und Android ab Version 9. Zudem ist einer der folgenden Browser in einer aktuellen Version notwendig: Chrome, Edge oder Safari.19.05.2023

https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html

Gruß
Jörg

KaiX0 · 22. Januar 2024

Grundsätzlich bleibt zu sagen: 2 Faktor ist, wenn immer möglich, Pflicht! Meine Nachbarin erhielt im Dezember die automatische Nachricht, sie hätte ihr Passwort bei GMX geändert. Ein sofortiger Loginversuch schlug fehl, erwartungsgmäss. Die Passwort-Zurücksetzen Funktion schlug auch fehl, da der Hacker sofort eben diese GMX eMail Adresse als Notfalladresse hinterlegt hat. Warum das überhaupt geht (es technisch ein Kinderspiel, das zu unterbinden) müssen die Profis von GMX mal erklären.
Naja, und soll ich jetzt etwas zum Support von GMX schreiben? Der existiert schlicht nicht, es gibt keinen Kanal, auf dem ein so schwerwiegendes Problem gemeldet werden kann.
Im Ergebnis ist Ihr eMail-Konto gekapert und wer weiß, wozu es nun missbraucht wird. Ich habe ihr natürlich zu einer Strafanzeige und einer schriftlichen Anzeige bei GMX geraten.

Hätte sie die 2FA genutzt, hätte sie den PW- Wechsel z. B. auf dem Smartphone bestätigen müssen ->es wäre nix passiert!

willyy · 22. Januar 2024

Wenn es die Haupt-email Adrese erwischt, was jemand gekapert hat, dann wird es echt böse. Ich hatte ganz früher mal auf mehreren Accounts dasselbe Passwort. Das ist ganz übel und mittlerweile absolut ein no go.
Bin damals noch glimpflich rausgekommen. Mittlerweile habe ich ein paar DIN A 4 Seiten mit Passwörtern voll. Auch zu 30+ Online Shops merke ich mir kein Passphrasen mehr.
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.

KaiX0 · 22. Januar 2024

willyy schrieb:
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.

Meinst Du das Risiko des Verlustes? Ja, das ist auch mein Punkt. Allerdings kann man ja Kopien auf USB-Sticks im physikalischen Tresor, im Backup, in der gut gesicherten Cloud etc. vorhalten.
Das entschlüsseln/hacken sollte, solange niemand mit einem Quantencomputer daher kommt, allerdings praktisch unmöglich und damit sicher sein.

Flyer01 · 24. Januar 2024

willyy schrieb:
Wenn es die Haupt-email Adrese erwischt, was jemand gekapert hat, dann wird es echt böse. Ich hatte ganz früher mal auf mehreren Accounts dasselbe Passwort. Das ist ganz übel und mittlerweile absolut ein no go.
Bin damals noch glimpflich rausgekommen. Mittlerweile habe ich ein paar DIN A 4 Seiten mit Passwörtern voll. Auch zu 30+ Online Shops merke ich mir kein Passphrasen mehr.
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.

Ich sehe kein Problem darin, ein Passwort für mehrere Accounts zu nutzen, wenn dieses denn praktisch unknackbar ist.
Aber zu deiner Blättersammlung: in unserem Unternehmen wurde von der IT Keepass "angeordnet" und das funktioniert hervorragend.

Nachtrag: Aktionen auf dem Smartphone mache ich nur noch per Fingerabdruck. Man muss nur vorher die Leimreste runterrubbeln

inselino · 24. Januar 2024

Flyer01 schrieb:
ch sehe kein Problem darin, ein Passwort für mehrere Accounts zu nutzen, wenn dieses denn praktisch unknackbar ist.

1. Es gibt keine Unknackbaren Passwörter. (Aber das ist nicht das Hauptproblem)
2. Wenn du das PW beim Holzwerkerforum und beim Online-Banking verwendest und der Server vom Holzwerkerforum wird gehackt und die Passwörter abgeschnorchelt, dann bringt dir das unknackbarste Passwort überhaupt nichts.
3. Kein Dienst ist so sicher, dass er nicht gehackt werden kann. Das liegt daran, dass diese Dienste alle durch Menschen betrieben werden und damit immer angreifbar sind.

Flyer01 · 24. Januar 2024

Zu 2 und 3 stimme ich dir zu. Ein Grund mehr Keepass o. Ä. zu nutzen.
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.

KaiX0 · 24. Januar 2024

Flyer01 schrieb:
Zu 2 und 3 stimme ich dir zu. Ein Grund mehr Keepass o. Ä. zu nutzen.
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.

1 stimmt insofern, als steigende Rechenleistung auch heute schon den Aufwand für das Knacken v. PW kontinuierlich sinken lässt. Nocjhh ist das eher theoretisch, aber wer weiß...

Pringles87 · 24. Januar 2024

inselino schrieb:
2. Wenn du das PW beim Holzwerkerforum und beim Online-Banking verwendest und der Server vom Holzwerkerforum wird gehackt und die Passwörter abgeschnorchelt, dann bringt dir das unknackbarste Passwort überhaupt nichts.

Dann müsste es aber eine Verbindung vom Forum zum online-Banking geben. Klar ist das in anderen Fällen einfacher, z.b. wenn das PW bei seinen Mailanbietern, Onlineshops, etc. genutzt wird, denn da kommt man leichter auf eine Verbindung. Obwohl, da kann man dann auch wieder auf die Kontoinformationen kommen

VENEREA · 24. Januar 2024

Onlinebanking, Paypal, Krankenkasse, etc ist doch eh alles doppelt geschützt

Wenn du bei mir was holen willst, brauchst du meine Iban ( Nicht schwer raus zu bekommen)
Mein Passwort ( schon schwerer)
Mein Handy
Mein Gesicht zum entsperren
Mein Passwort vom Push-tan, bzw. meinem Authenticator.

Wird schwer werden

Gruß Sebastian

inselino · 24. Januar 2024

Flyer01 schrieb:
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.

Du denkst nach wie vor viel zu kurz. Passwort knacken umfasst nicht unbedingt Quantencomputing. Es heißt erstmal nur dein Passwort rausfinden.
das heißt ich kann
a) Mir Zugang zu einer Datenbank verschaffen wo dein Passwort drinsteht z.B. bei einer Internetseite mit weniger Sicherheitsvorkehrungen
b) Dein Passwort phishen ggf. mit Social Engineering
c) Mir Zugang zu einem deiner Systeme verschaffen und einen Keylogger nutzen
d) Bei dir einbrechen und nach aufgeschriebenen Passwörtern suchen

Das ist jetzt für den Phisher von Nebenan der einfach 10.000 gleiche Mails verschickt sicher nichts, der geht auf Masse statt Klasse. Aber schwierig ist das alles nicht.

Pringles87 schrieb:
Dann müsste es aber eine Verbindung vom Forum zum online-Banking geben.

Auch die gibt es viel einfacher als du vermutlich denkst. Wie viele Leute speichern beim Online-Einkauf ihre Bank/Kreditkartendaten um den Bezahlvorgang abzukürzen? Und bei wie vielen dieser Dienste kannst du dich mit Mailadresse + Passwort anmelden?
Du siehst, ich muss nicht wissen wo du dein Konto hast.
Es reicht wenn ich alle Mail-Adressen + Passwort kombinationen die ich habe auf diversen Websites (Amazon, Maildienste etc.) durchprobiere.

Pringles87 · 24. Januar 2024

inselino schrieb:
Auch die gibt es viel einfacher als du vermutlich denkst.

Habe ich ja in meinem Satz danach geschrieben

Passkey statt Passwort?! Wie haltet Ihr das Online mit dem Zugang/Schutz?!

dieweltistrund

ww-robinie

KaiX0

ww-robinie

inselino

ww-robinie

KalterBach

ww-robinie

KaiX0

ww-robinie

dieweltistrund

ww-robinie

dieweltistrund

ww-robinie

KaiX0

ww-robinie

willyy

ww-robinie

KaiX0

ww-robinie

Flyer01

ww-esche

inselino

ww-robinie

Flyer01

ww-esche

KaiX0

ww-robinie

Pringles87

ww-robinie

VENEREA

ww-robinie

inselino

ww-robinie

Pringles87

ww-robinie