PayPal will Passwörter abschaffen und startet die Passkeys-Einführung

[o1] Nobel-Hobel am 25.10. 13:34
+3 -2
Und wenn man "iCloud Keychain" deaktiviert hat, funktioniert Passkey nicht. Keine gute Idee sich auf eine andere, "nicht eigene" Technologie zu stützen.
[re:1] RebelSoldier am 25.10. 14:05
+1 -3
@Nobel-Hobel: Die Passkeys müssen auch von den Geräteherstellern unterstützt werden. Apple gilt in dem Bereich als besonders sicher und haben die Unterstützung in allen Geräten nun drin. Daher werden sie hier wohl auch den Anfang machen, da es für Paypal hier einheitlicher ist.

Grundsätzlich ist die Technologie aber generell auch woanders verfügbar und in der Pressemitteilung und Paypal steht auch, dass man nach und nach den Dienst ausweitet.
[re:1] bAssI am 25.10. 21:23
+3 -
@RebelSoldier: Windows Hello Geräte machen es auch. Und ansonsten 2 YubiKeys (oder anderer Hersteller). Es gibt seit Jahren genug Hardwarelösungen um das ordentlich anzugehen. Hinterherhinken tun die Firmen, die Fido etc überhaupt ins Leben gerufen haben.
Und das ist furchtbar schade.
[o2] Neuer_RADA am 25.10. 14:21
+2 -2
Für mich heißt es immer noch Kennwort statt Passkey.
[re:1] eisteh am 25.10. 14:28
+2 -2
@Neuer_RADA: Kennwort ist aber eher Password. Passkey ist ein Schlüssel, ein Pass-Schlüssel, wenn du es wörtlich übersetzen möchtest..
[re:1] Neuer_RADA am 25.10. 15:37
+1 -2
@eisteh: wo ist nun der Unterschied?
[re:1] Thomynator am 25.10. 15:50
+2 -1
@Neuer_RADA: das eine - Passwort ist das, was du eingeben musst beim Login. Ein "Passkey" ist eine Anmeldemethode eben OHNE dieses Kennwort einzugeben. Sprich dein Gerät speichert einen "Schlüssel" quasi deinen Login zu einem Dienst und verschlüsselt den im sicheren Gerätespeicher. Sprich dein "Login" Ablauf wäre: Website oder App öffnen - auf Login drücken und es kommt die Abfrage nach FaceID oder bei älteren Geräten der Fingerabdruck und zack bist du eingeloggt, ganz ohne manuelle Eingabe. So zumindest vereinfacht die Theorie. Wie das die verschiedenen Dienste ein- oder umsetzen bleibt natürlich abzuwarten, aber das ist die Idee hinter dieser Login Methode.
[re:1] 000001a am 25.10. 18:45
+ -1
was quasi jede banking app macht?
login via fingerprint. damit hätt ich erstmal kein problem,
solange es einen funktionierenden recovery gibt...

nur bekommen das 95% der apps von den mobilfunkanbietern hin.
ich kotze immer im strahl, denn die mich nach 2 tagen wieder grundlos abmelden... >:(
[re:2] iCakeMan am 26.10. 08:09
+2 -
@Thomynator: Also ein glorifizierter Passwort-Manager, nur dass ich das Passwort nichtmehr sehen kann?
[re:3] eisteh am 26.10. 14:51
+1 -
@000001a: Nicht ganz. Die Biometrie trägt ja quasi deine Zugangsdaten ein. Beim Passkey braucht man die nichtmal mehr. D. H. Es kann auch niemand dein Passwort erraten, weil es eben keines gibt.
[re:4] Thomynator am 26.10. 16:42
+1 -
@iCakeMan: nein - es gibt keinen Benutzername und kein Passwort im eigentlichen Sinne. Nur einen "Schlüssel" der dann übertragen wird. Und dieser Schlüssel wird Passkey genannt und identifiziert dich. Sprich ein weltweit/Dienstweit einmalig generierter Schlüssel/Zeichenfolge, welcher verschlüsselt und gesichert übertragen wird. Auf der Anbieterseite ist der Schlüssel eben deinem Account zugeordnet, sodass keiner in andere Logins kommt. Sprich technologisch gesehen anders als ein Passwort Manager der Ablauf für den Nutzer aber ähnlich (das mache ich mit Lastpass bspw. genauso) Die zusätzliche Sicherheit besteht halt darin dass es eigentlich kein Passwort geben müsste, somit könnte das auch keiner erraten. (natürlich muss es eine recovery Möglichkeit geben bei Diebstahl oder Verlust des Gerätes mit dem Schlüssel, wie das aber umgesetzt wird ist halt Anbietersache)
[re:5] 000001a am 26.10. 18:05
+2 -
@eisteh:
aber jeder der zugang zum gerät bekommt, bzw maleware könnten dann zugriff erlangen...
ohne eine zwischenabfrage (biometrie)
fände ich das dann doch nicht so geil...
[re:6] eisteh am 27.10. 09:30
+ -
@000001a: Natürlich muss der Passkey geschützt werden, keine Frage. Sonst könnte man gleich bei den Passwörtern bleiben. Für mich bleiben bei dem Thema aktuell noch viele Fragezeichen stehen, aber vielleicht gibt sich das, wenn man es auch mal selbst benutzen könnte (als Android User ist man da aktuell weitestgehend außen vor.)
[o3] eisteh am 25.10. 14:26
+ -
Kennwort ist aber eher Password. Passkey ist ein Schlüssel, ein Pass-Schlüssel, wenn du es wörtlich übersetzen möchtest..
[o4] eisteh am 25.10. 14:31
+6 -2
Ich verliere mein Smartphone (oder es wird mir geklaut) und besagter Dieb schafft es die biometrisch gesicherte Anmeldung zu umgehen. Jetzt liegt ihm doch alles offen, was irgendwie mit meinem Smartphone verknüpft ist? Oder übersehe ich da etwas?
Klar funktioniert das ganze nur so lange bis ich mein Gerät remote sperre. Gibt es noch einen Fallback zu Passkey? Wäre z. B. Mein Google Konto ebenfalls darüber geschützt, wie käme ich denn auf die Schnelle ins Konto um mein Gerät zu sperren?
[re:1] c[A]rm[A] am 25.10. 15:27
+1 -3
@eisteh: Nebensächlichkeiten. Es geht um das einfache Bezahlen. Das ist wie mit Kreditkarten. Die interessiert auch ihre Unsicherheit seit Jahrzehnten nicht.
[re:1] blaiz am 25.10. 16:31
+2 -4
@c[A]rm[A]: juhu, ein Schritt in die falsche Richtung. Oder ein Grund mehr Bar oder eben altmodisch per Überweisung zu zahlen. Man muss den großen Konzernen ja auch nicht noch mehr Geld in den Rachen werfen.
[re:1] KarstenS am 25.10. 18:52
+8 -2
@blaiz: Wenn dein Bargeld geklaut wird, kann es ganz ohne weitere Hürden ausgegeben werden. In wie Fern ist das jetzt Sicherer?
[re:1] James8349 am 29.10. 17:40
+ -
@KarstenS: Es ist nicht "sicherer", was das schlussendliche ausgeben angeht. Aber du wirst in den seltensten Fällen dein gesamtes Konto-Geld in Bar dabei haben.
[re:2] eisteh am 26.10. 14:48
+2 -
@c[A]rm[A]: Wir schaffen Passwörter ab, weil sie in der Regel unsicher sind. Aber wenn der Nachfolger solche gravierenden Mängel hat ist das nebensächlich? Also ich persönlich finde es einfacher eine Kreditkarte zu sperren als den Zugriff auf ALLES zu verlieren, wenn mein Smartphone weg ist. Geschweige denn, den Zugriff auf alles in Hände eines anderen zu geben.
[re:1] c[A]rm[A] am 29.10. 15:02
+1 -
@eisteh: *Sarkasmus ;) Anders hält man die Realsatire kaum noch aus. Dass das Smartphone ein Unsicherheitsfaktor ist statt Sicherheit bietet ist ja schon per Design so. Da kann man sich direkt bei Apple und Google/Alphabet bedanken oder der Politik die tatenlos zusieht.
[re:2] ReBaStard am 25.10. 16:45
+1 -
@eisteh: er müsste die biometrische Anmeldung mehrfach an verschiedenen Stellen umgehen, incl. Authenticator (so er 2FA aktiviert hat) - da ist die Kreditkarte klauen wesentlich einfacher. Davon abgesehen kann man der Paypal-Abbuchung auf CC oder Girokonto berechtigt widersprechen. Wenn die Karte weg ist, ist auch das zurückziehen der dann gemachten Umsätze ebenfalls wesentlich schwieriger.
[re:1] eisteh am 26.10. 14:49
+1 -
@ReBaStard: Wenn ich den Abdruck habe, habe ich den Abdruck. Ob ich den dann 1,2, 100 mal brauche ist Wurst. Denke das Szenario ist kein sehr wahrscheinliches, da reden wir schon eher von gezielte Diebstahl und entsprechender Vorbereitung.
[re:3] Islander am 25.10. 20:41
+1 -
@eisteh: Tatsächlich gibt der Ansatz zu denken. So wie ich das gesehen habe, ist der Schlüssel ja einzigartig. Wenn ich das einzige Gerät verliere, auf dem die gespeichert sind, oder aus einem anderen Grund nicht mehr darauf zugreifen kann, verliere ich mit einem Schlag *JEDE* Möglichkeit, an die betroffenen Konten zu kommen. Es sei denn, ich habe als Backup noch eine zweite Zugriffsmöglichkeit (und sei es 2FA), wo wir dann wieder beim Ausgangspunkt wären und die Konten weniger sicher.
[re:4] 000001a am 26.10. 18:13
+ -
@eisteh:
wenn du dein smartphohne verlierst, dann solltest du es in deinem google/apple konto schleunigst sperren.
dann brauch der dieb zusätlich noch dein google/apple passwort.

wie biometrie umgangen werden kann wüsste ich jetzt nicht,
ich würde nicht behaupten dass es unmöglich sei,
aber bis jetzt habe ich in der presse noch von keinem größeren angriff gehört.

wenn man kein billigst handy nutzt, dann sollte der scanner den finger auch auswerten, und nicht bei jeden finger entsperren... XD

ein dieb ist weniger auf die daten aus, sonndern verkauft ehr dein gerät. als ersatzteilspänder wird es sicher noch irgendwo einen wert haben...
[o5] Bautz am 25.10. 18:17
+1 -1
Erst fangen alle (sinnigerweise) mit 2FA an, und man fügt dem 1. Faktor Passwort den Zweiten Faktor "Kennung von einem zweiten Gerät erzeugt" hinzu. Jetzt schafft man den 1. Faktor ab, und ist dann wieder bei einem Faktor.
[re:1] bAssI am 25.10. 21:17
+2 -2
@Bautz: Da der eine Faktor nicht über bekannte Methoden abgefangen, ausprobiert oder gefisht werden kann, ist ein 2. Faktor eher optional.
Ein YubiKey kann zb nicht kopiert werden...daher ist ein 2. Faktor kaum erforderlich.

Es bieten aber noch viel zu wenige so etwas an.
WebAuthn gibts ewig aber niemand unterstützt es wirklich sinnvoll. Windows Hello, Apple und eben diese Keys von Yubico etc unterstützen das und es wäre tatsächlich sicher und für den Nutzer überaus komfortabel.
[re:1] Bautz am 26.10. 17:45
+2 -1
@bAssI: Ein Yubikey kann gestohlen werden, ein biometrisch geschütztes iPhone kann dir vor die Fresse gehalten werden ... und schon ist ohne dein Zutun die Sicherheit kompromittiert.
[re:1] bAssI am 26.10. 19:19
+ -
@Bautz: beides kommt tagtäglich mindestens so häufig vor, wie Passwort fishing?

Ja ein Diebstahl kann bei Unternehmen Probleme bereiten. Man muss halt den Schlüssel als ungültig deklarieren und einen neuen ausgeben. Aber für die IT leichter nachzuvollziehen, weil der User Bescheid geben MUSS.

Wenn man mich aber bedroht und zur Herausgabe von Zugangsdaten zwingt, hab ich in dem Moment wohl andere Sorgen und muss mit schlimmeren rechnen. Und das trifft 1:1 auf Passwörter zu ... oder denkst da geben solche Leute dann auf oder können nicht feststellen, ob das Passwort stimmt?

Was also bleibt ist die Tatsache, dass man Passwörter schlecht wählen kann und diese abgefangen oder gar beim Betreiber schlecht gespeichert werden können. Beides kann unbemerkt passieren. Das abgreifen von Zugangsdaten ist bei Hardwareschlüsseln nicht möglich ... und daran ändert auch deine Abneigung gegenüber diesen Lösungen nichts.

Es ist wissenschaftlich bewiesen, dass Passwörter die größten Sicherheitslücken im gesamten Konzept sind und schon immer waren. Die Frage ist, wie man das lösen kann.
Passwortcontainer und 2FA sind erste Schritte gewesen aber sie bieten nachweislich keinen ausreichenden Schutz.

Nur der Hardwareschlüssel bietet das...und das sehr einfach:
- Hast du ihn, ist alles OK
- Ist er weg, musst du reagieren
[re:1] Bautz am 27.10. 07:45
+ -
@bAssI: Nene, ich bin voll für diese Lösungen ... und zusätzlich einem Passwort (das man sich merken kann).
[re:2] bAssI am 27.10. 08:20
+ -
@Bautz: aber dann ist noch immer das Passwort die Schwachstelle. Über einen sehr langen Wiederherstellungscode zum ausdrucken kann man nachdenken oder das Passwort ist min 25 Zeichen lang. Aber das haben die wenigsten. Dh sie werden weiterhin was zu einfaches wählen und damit das komplette Konzept aushebeln.

Wenn man 2-3 dieser hardwareschlüssel hat, brauch man wirklich kein Backup Passwort mehr.
[re:3] Bautz am 27.10. 13:44
+ -
@bAssI: Kein Backup-passwort (dafür hat z.b. auch MS einen Wiederherstellungscode), sondern einfach das Passwort als zweiten Faktor zum physischen (und damit klaubaren) Gerät.
[o6] PedroE am 25.10. 21:14
+2 -1
Bei Apple kann man derzeit eine Touch - ID nur erstellen, nachdem man "zweimal kurz hintereinander den Ein-/Aus-Button betätigt" hat.
Ich habe das bisher ungefähr 30mal versucht, es ist mir nicht gelungen; der MAC blieb entweder an oder aus, zweimal kurz hintereinander den Ein-/Aus-Sensor zu registrieren, schafft er nicht.
Ebenso geht es zahlreichen meiner Bekannten: keiner hat bisher herausgefunden, wie man denn erfolgreich "zweimal kurz hintereinander" usw.
Wenn schon das Erstellen einer Touch - ID so unüberwindich gestaltet wird, kann man sich ja im Weiteren auf einiges gefasst machen.
Eins ist sicher: das Verfahren ist sicher, denn niemand schafft es, damit Zahlungsvorgänge zu starten. Gute Idee.
[re:1] bAssI am 25.10. 21:19
+1 -1
@PedroE: Was? Wovon sprichst du da?
[re:2] Joyrider am 26.10. 09:49
+1 -1
@PedroE: Ich würde mal behaupten, du (und deine Bekannten) haben da etwas falsch verstanden, und zwar ganz deutlich. Wenige Sachen sind so einfach, wie TouchID zu konfigurieren. Der Assistent dazu ist dermaßen simpel gestaltet, das schafft wirklich jeder. Sogar (und das meine ich nicht böse) meine Mutter, welche vor ihrem ersten Smartphone (iPhone 8) immer mit ganz normalen Tastenhandys zufrieden war.

2x schnell hintereinander drücken muss man dabei nie, vermutlich beziehst du dich hier auf den An-Aus-Schalter und die Bezahlfunktion an iPhone oder der Apple Watch?
[re:3] bAssI am 26.10. 12:42
+ -1
@PedroE: TouchID/FaceID hat bisher nur sehr wenige Probleme gemacht. Und die Einrichtung zählt nicht dazu. Und An oder Aus geht ein Gerät bei der Einrichtung gar nicht! Ich empfehle die Anleitung zu lesen ...
[re:4] RebelSoldier am 26.10. 23:58
+ -
@PedroE: Du solltest dir wirklich mal die Anleitung dazu anschauen oder die entsprechende Option in den Geräteeinstellungen. Man muss wirklich nirgendwo den An-/Ausschalter 2x betätigen um Touch-ID einzurichten.

Ich gehe davon aus, dass du auch eines der aktuellen Mac-Modelle hast was entweder (als MacBook) ein integriertes Touch-ID hat oder es in Verbindung mit der Touch-ID Tastatur verwendest.
Alte Modelle haben die Funktionalität nicht.
[re:5] maatn am 27.10. 13:43
+ -
@PedroE: Ich habe es am gerade mal mit einem zweiten Finger gemacht: Da steht "Lege den Finger wiederholt auf die TouchID". Von drücken steht da nichts!
Ausprobiert unter MacOS 13.0
Das funktioniert 1a und ohne Probleme.
[o8] markox am 26.10. 00:19
+9 -
Also mal eben auf einem beliebigen Gerät eine Zahlung veranlassen wenn "mein Gerät" nicht griffbereit, Akku leer, kaputt,... ist geht dann nicht mehr wenn ich das richtig sehe. Macht die Sache in Problemfällen dann aber auch nicht gerade einfach. Smartphone kaputt oder verloren bedeutet irgendwann mehr Aufwand als wenn man seinen Personalausweis verliert. Dann ist man erst Mal für Tage oder Wochen handlungsunfähig bis man die Ganzen Zugänge wieder hat. Und jedes Unternehmen handhabt das dann anders. Beim einen geht es nur per Anruf, beim nächsten muss man auf einen physischen Brief zum zurücksetzten warten, wieder ein anderer will ein neues Video Ident,... der Horror.
[re:1] RebelSoldier am 26.10. 06:51
+1 -1
@markox: Wie machst du das denn aktuell, wenn dein Gerät für die 2FA aktuell nicht griffbereit, Akku leer oder kaputt ist?
[re:1] markox am 26.10. 10:15
+4 -
@RebelSoldier: Na erstens ist das noch nie vorgekommen, zum Glück, und zweitens versuche ich noch so viele Geräteunabhängige "zweite Faktoren" zu nutzen, wie Codes per Mail, Sicherheitsfragen, Foto-Tan Lesegerät statt Smartphone,... . Aber das wird halt immer schwieriger wie uns Paypal hier zeigt.
[re:1] bAssI am 26.10. 12:36
+1 -2
@markox: Sicherheitsfragen kann ich nicht empfehlen! Diese sind definitiv durch fishing gefährdet, solange du kein "zufällig" generiertes Buchstaben/Zahlen Wirrwarr als Antwort verwendest.
[re:2] bAssI am 26.10. 12:34
+ -3
@RebelSoldier: Ich habe mir YubiKeys angeschafft. 3 Stück (2 reichen).
Ich kann nun mit Iphone, Mac und 2 YubiKeys meine Identität bestätigen. Dh man kauft sich 1 YubiKey zusätzlich zum Smartphone und/oder Laptop und schon funktioniert das alles auch, wenn der Akku leer ist. Geht eins der beiden verloren, muss man es im betreffenden Account entfernen und einen Ersatz hinzufügen.

Einzig der Umstand, dass das bei 100+ Accounts sehr nervig sein könnte, bereitet mir auch noch Sorgen.
ABER dafür wird sich auch noch eine Lösung finden. Sodass solch ein Key nur für die Zentrale Schlüsselverwaltung benötigt wird und diese dann die Identität gegenüber dem betreffenden Service bestätigt. Quasi wie "mit Google/Facebook/Apple/Github anmelden" Gedöns ...
Man hat 1 richtig gesicherten Account und dieser klärt dann den Rest.
[re:1] Scaver am 29.10. 20:07
+ -
@bAssI: Schon alleine den Key mit rumschleppen zu müssen, ist für mich ein NoGo. Dann lieber doch ein Passwortmanager!
[re:1] bAssI am 30.10. 00:19
+ -
@Scaver: hab den am Schlüsselbund. Oder habt ihr sowas nicht mehr?
Und ist doch gar nicht erforderlich? der erste Schlüssel ist das Smartphone?erst als Ersatz hat man denn den yubikey oderso.

Aber ja hab's verstanden, dass ihr kein Interesse habt und somit jeden Weg findet, wieso das für euch ein no Go sein wird.
oder

Zugangsdaten vergessen?

Jetzt kostenlos Registrieren!
< Zurück Startseite
 
Desktop-Version anzeigen
Hoch © 2023 WinFuture Impressum Datenschutz Cookies