passkey-login
3 months ago
Hallo!
Anmeldung mit passkey wird ja intensiv beworben, das wäre sicherer und so ...
Das BSI schreibt hierzu ( https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort.html?nn=1107468#doc1107470bodyText1 )
"Wie sicher ist die Anmeldung mit Passkey?
Passkeys sind der gewöhnlichen Anmeldung mit Benutzername und Passwort in vielerlei Hinsicht überlegen:
...
Die wohl größten Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass Sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen. ...
Wenn Ihnen also von einem vertrauten Diensteanbieter vorgeschlagen wird, Passkey einzurichten, können Sie die Technologie ohne weiteres verwenden und Ihr Passwort ersetzen."
Ergänzende Anmerkung von mir:
Das Problem von Passwörtern ist ja u.a. der Datenklau beim "Gegenüber", bei dem ich mich anmelden möchte/muss!
Wenn ich mir jetzt die Informationen der Telekom dazu durchlese
siehe hier https://www.telekom.de/hilfe/vertrag-rechnung/telekom-login/passkey-alternative-anmeldung
und hier https://www.telekom.de/hilfe/vertrag-rechnung/telekom-login/loeschen
und lese dort
"Hinweis: Nach dem Löschen Ihres Telekom Logins haben Sie keinen Zugang mehr zu Telekom Diensten wie E-Mail-Adresse @magenta.de oder @t-online.de, MagentaCLOUD, Kundencenter oder MeinMagenta App."
dann komme ich zum Ergebnis: Das ist doch nicht im Sinne der Erfinder!
Wenn ich die hinter passkey stehenden Sicherheitsüberlegungen richtig verstehe, müsste das normale Login zumindest "gesperrt" sein ...
Oder versteh ich da irgendetwas falsch?
Gruß
uwe34
P.S. Ich habe in einem anderen Thread folgende Meinung gelesen (von @Kugic )
"So richtig Konsequent war hier bisher nur Sony in der Umsetzung.
Mit anlegen des Passkeys, wurde das Passwort gelöscht.
Sodass nur noch Passkey Only möglich ist nach der Einrichtung, was die Sicherheit halt erst dann auch erhöht."
also stehe ich nicht allein mit meiner "Kritik" ...
252
14
This could help you too
8 months ago
693
0
2
2 months ago
in
180
0
1
in
72
0
3
3 months ago
Das löschen des Logins löscht das Konto, also kann man sich dann auch nicht mehr mit Passkey anmelden.
Sinnvoll wäre es die Anmeldemethode mittels Passwort zu deaktivieren.
dann hat man aber auch keinen Zugang mehr, wenn einem der Passkey abhanden kommt.
Am sinnvollsten ist es ein Komplexes Passwort zu erstellen, sicher zu verwahren, aber nicht aktiv zu nutzen.
komplexes Passwort könnte so was sein:
dgefe35&%353dgjk
duden-amigo-bubble-soda
5354355365435758765434328a
0
3 months ago
Das Problem von Passwörtern ist ja u.a. der Datenklau beim "Gegenüber", bei dem ich mich anmelden möchte/muss!
Hallo!
Anmeldung mit passkey wird ja intensiv beworben, das wäre sicherer und so ...
Das BSI schreibt hierzu ( https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort.html?nn=1107468#doc1107470bodyText1 )
"Wie sicher ist die Anmeldung mit Passkey?
Passkeys sind der gewöhnlichen Anmeldung mit Benutzername und Passwort in vielerlei Hinsicht überlegen:
...
Die wohl größten Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass Sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen. ...
Wenn Ihnen also von einem vertrauten Diensteanbieter vorgeschlagen wird, Passkey einzurichten, können Sie die Technologie ohne weiteres verwenden und Ihr Passwort ersetzen."
Ergänzende Anmerkung von mir:
Das Problem von Passwörtern ist ja u.a. der Datenklau beim "Gegenüber", bei dem ich mich anmelden möchte/muss!
Wenn ich mir jetzt die Informationen der Telekom dazu durchlese
siehe hier https://www.telekom.de/hilfe/vertrag-rechnung/telekom-login/passkey-alternative-anmeldung
und hier https://www.telekom.de/hilfe/vertrag-rechnung/telekom-login/loeschen
und lese dort
"Hinweis: Nach dem Löschen Ihres Telekom Logins haben Sie keinen Zugang mehr zu Telekom Diensten wie E-Mail-Adresse @magenta.de oder @t-online.de, MagentaCLOUD, Kundencenter oder MeinMagenta App."
dann komme ich zum Ergebnis: Das ist doch nicht im Sinne der Erfinder!
Wenn ich die hinter passkey stehenden Sicherheitsüberlegungen richtig verstehe, müsste das normale Login zumindest "gesperrt" sein ...
Oder versteh ich da irgendetwas falsch?
Gruß
uwe34
P.S. Ich habe in einem anderen Thread folgende Meinung gelesen (von @Kugic )
"So richtig Konsequent war hier bisher nur Sony in der Umsetzung.
Mit anlegen des Passkeys, wurde das Passwort gelöscht.
Sodass nur noch Passkey Only möglich ist nach der Einrichtung, was die Sicherheit halt erst dann auch erhöht."
also stehe ich nicht allein mit meiner "Kritik" ...
Mit 2FA sind Passwort und Benutzername wertlos.
2
Answer
from
3 months ago
Das Problem ist aber dass die Telekom den 2FA auch abfragt wenn passkeys verwendet werden. Das ist dann schon irgendwie lästig .
Answer
from
3 months ago
Dürfte eigentlich nicht sein. Dann lass Passkey weg und nutze die alte Methode. Da muss man nicht ständig alles eingeben. Normalerweise merkt sich das LogIn die Anmeldedaten, sofern man nicht ständig die Cookies löscht. Wer nur als Angst vor Verfolgung seine Cookies löscht, muss eben ständig auch den TOTP eingeben.
Unlogged in user
Answer
from
3 months ago
Hallo @Stefan und @wizer !
vorläufiges Fazit als Frage - die optimale Lösung wäre dann also:
- Aktivierung passkey - ohne ZFA
und gleichzeitig
- Aktivierung ZFA zur Passwort-Anmeldemethode !?
weiteres vorläufiges Fazit - solange man bei der Telekom die ZFA nicht für jede Anmeldemethode getrennt anwählen kann:
Was soll denn dann eigentlich noch der Vorteil sein von passkey gegenüber einem Passwort-Manager, wenn ich wegen ZFA doch "herumfummeln" muss?
1
Answer
from
3 months ago
Passkey ist für Faule. Auch bei der alten Methode muss man nicht ständig den TOTP eingeben, wenn man nicht ständig die Cookies löscht. Lässt man die Cookies drin, fragen die meisten Seiten nur alle 30 Tage nach dem TOTP.
Unlogged in user
Answer
from
3 months ago
Hallo @wizer !
Was ist TOTP? "time-based one-time password"
Was ist ZFA? "Zwei-Faktor-Authentifizierung"
Deshalb verstehe ich Ihre Ausführungen nicht:
1. Ich habe doch weder bei der Passwort-Anmeldung noch bei Anmeldung mit ZFA noch bei passkey-Anmeldung irgendwo ein "TOTP" - oder wie meinen Sie das?
2. Wenn man ZFA nutzt, dann läuft das doch zwingend bei jeder Anmeldung, da gibt es doch keine "30-Tage-merk-ich-mir-Frist" über irgendwelche Cookies - das würde ja dem damit verbundenen Sicherheitsaspekt völlig widersprechen !?
3
Answer
from
3 months ago
Hallo @wizer !
Meine Fragen haben sich erledigt!
Answer
from
3 months ago
TOTP ist das Standardverfahren bei 2FA.
Answer
from
3 months ago
TOTP ist das Standardverfahren bei 2FA.
Unlogged in user
Answer
from
3 months ago
@uwe34
welchen zweiten Faktor benutzt du denn bei 2FA? TOTP ist nur eine Variante davon. Eine andere ist eine Authenticator App.
Passkey ist eine ein Faktor Authentifizierung, die einen externen Gerät benutzt, oft ist dieses biometrisch gesichert.
das macht es so sicher. Nutzt man Passkey und hat zwei Faktor Authentifizierung aktiviert. Dann brauchst du dieses externe Gerät in der Regel zweimal. Das bringt keinen zusätzlichen Gewinn, sondern nur Frust.
Passwort mit zwei Faktor Authentifizierung macht oder halt passkey ohne zweiten Faktor.
3
Answer
from
3 months ago
TOTP ist nur eine Variante davon. Eine andere ist eine Authenticator App.
@uwe34
welchen zweiten Faktor benutzt du denn bei 2FA? TOTP ist nur eine Variante davon. Eine andere ist eine Authenticator App.
Passkey ist eine ein Faktor Authentifizierung, die einen externen Gerät benutzt, oft ist dieses biometrisch gesichert.
das macht es so sicher. Nutzt man Passkey und hat zwei Faktor Authentifizierung aktiviert. Dann brauchst du dieses externe Gerät in der Regel zweimal. Das bringt keinen zusätzlichen Gewinn, sondern nur Frust.
Passwort mit zwei Faktor Authentifizierung macht oder halt passkey ohne zweiten Faktor.
Das ist beides das selbe. Beim Authenticator kommt TOTP zum Einsatz. Wenn ich TOTP schreibe, meine ich den Authenticator.
Answer
from
3 months ago
ist nicht zwingend dasselbe, der Microsoft Authenticator funktioniert - zumindest was zumindest Microsoft Seiten angeht - anders. Es gibt aber auch externe OTP Generatoren als Schlüsselanhänger.
und es gibt FIDO USB/RFID Sticks..
Answer
from
3 months ago
Nutzername, Passwort und 2FA würde ich trotzdem aktivieren. Kann zumindest hilfreich sein, wenn ich mich temporär auf einem fremden Rechner einloggen muss/möchte. Z.B. auf dem Bürorechner beim Arbeitgeber.
Unlogged in user
Answer
from
Unlogged in user
Ask
from