Passkeys werden derzeit überall als sichere und einfachere Alternative zu Passwörtern verkauft. Die Wahrheit ist für viele Anwender eine andere, denn wenn man sich die ganzen Möglichkeiten anschaut, wie Passkeys gespeichert oder synchronisiert werden, so werden sicherlich viele Anwender erst einmal abwarten.
In der letzten Zeit haben viele Dienste die Unterstützung für Passkeys eingeführt, glücklicherweise erst einmal optional und nicht erzwungen. Auch Amazon hat diese Neuerung eingeführt, deutsche Nutzer können mittlerweile unter Mein Konto › Anmeldung & Sicherheit › Passkey das Ganze einrichten. Nachdem der Nutzer einen Passkey eingerichtet hat, wird er auf Wunsch, also optional, in einem Cloud-Service-Konto gespeichert (Beispiel:
Falls Nutzer ihr Amazon-Konto mit anderen teilen, dann müssen diese anderen Personen auf dieser Seite ebenfalls einen Passkey einrichten. Wenn sie keinen eigenen Passkey einrichten möchten, können sich die anderen Personen mit einem Passkey von einem anderen Gerät anmelden. Solange sich dein Telefon in der Nähe ihrer Geräte befindet, werden die zwei Geräte über Bluetooth verbunden und der Hauptanwender wird aufgefordert, die Anmeldung auf seinem Telefon zu genehmigen.
Ganz krude bei Amazon: Normalerweise soll der Passkey nicht nur das Passwort ersetzen, sondern auch eine etwaige Zwei-Faktor-Authentifizierung. Amazon schreibt aber dazu: „Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.“
Ich sage mal so: Einfach und verständlich geht anders – und da kann man viele verstehen, die erst einmal mit den Passkeys abwarten. Oder habt ihr eine andere Meinung?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Quelle; Caschys
In der letzten Zeit haben viele Dienste die Unterstützung für Passkeys eingeführt, glücklicherweise erst einmal optional und nicht erzwungen. Auch Amazon hat diese Neuerung eingeführt, deutsche Nutzer können mittlerweile unter Mein Konto › Anmeldung & Sicherheit › Passkey das Ganze einrichten. Nachdem der Nutzer einen Passkey eingerichtet hat, wird er auf Wunsch, also optional, in einem Cloud-Service-Konto gespeichert (Beispiel:
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
oder Google-Konto, Windows folgt bald). Nutzer können ihn auf allen Geräten verwenden, die mit diesem Konto verknüpft sind.Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Falls Nutzer ihr Amazon-Konto mit anderen teilen, dann müssen diese anderen Personen auf dieser Seite ebenfalls einen Passkey einrichten. Wenn sie keinen eigenen Passkey einrichten möchten, können sich die anderen Personen mit einem Passkey von einem anderen Gerät anmelden. Solange sich dein Telefon in der Nähe ihrer Geräte befindet, werden die zwei Geräte über Bluetooth verbunden und der Hauptanwender wird aufgefordert, die Anmeldung auf seinem Telefon zu genehmigen.
Ganz krude bei Amazon: Normalerweise soll der Passkey nicht nur das Passwort ersetzen, sondern auch eine etwaige Zwei-Faktor-Authentifizierung. Amazon schreibt aber dazu: „Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.“
Ich sage mal so: Einfach und verständlich geht anders – und da kann man viele verstehen, die erst einmal mit den Passkeys abwarten. Oder habt ihr eine andere Meinung?
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Quelle; Caschys
