Im Webbrowser und in der App
Amazon unterstützt Passkeys anstelle von klassischen Anmeldedaten
Amazon unterstützt jetzt die Anmeldung mit Passkeys anstelle der traditionellen Login-Daten. In Verbindung mit einem Computer oder Mobilgerät kann man sich fortan auf die gleiche Weise bei seinem Amazon-Konto anmelden, wie man das Gerät selbst entsperrt – also per Fingerabdruck, Gesichtserkennung oder auch einem Passcode.
Die Anmeldung per Passcode soll für zusätzliche Sicherheit sorgen, weil die lokale Autorisierung im Gegensatz zu beispielsweise als SMS übermittelten Zwei-Faktor-Codes die Möglichkeit von Phishing-Angriffen und dergleichen ausschließt.
Passkeys sollen den Anmeldeprozess gleichzeitig vereinfachen und sicherer machen. Man muss sich keine komplizierten Anmeldedaten merken und diese eingeben, ein Fingerabdruck oder dergleichen genügt. Gleichzeitig wird für eine Anmeldung aber vorausgesetzt, dass man Zugriff auf ein persönliches Gerät hat und dieses auch mithilfe der entsprechenden Sicherheitseinrichtung entsperren kann.
Start im Web und auf iOS-Geräten
Amazon hat eben erst mit der Bereitstellung der neuen Funktion begonnen. Während die neue Option beim Besuch der Amazon-Webseite bereits für alle Nutzer zur Verfügung stehen sollte, kann es sein, dass sich die Möglichkeit zum Aktivieren von Passkeys auf Mobilgeräten noch nicht bei allen Nutzern zeigt. Zunächst werden die Passkeys ohnehin nur auf iOS-Geräten verfügbar sein, Amazon will seine Shopping-App schrittweise um die Unterstützung erweitern. Android-Nutzer müssen sich dagegen generell noch gedulden, hier will Amazon zu einem späteren Zeitpunkt mit der Bereitstellung von Passkeys starten.
Ihr findet die Möglichkeit zum Erstellen und Verwalten von Passkeys sowohl beim Besuch der Amazon-Webseite als auch bei Verwendung der Amazon-App in den Einstellungen zu eurem Konto und dort im Bereich „Anmeldung & Sicherheit“. Das Einrichten und die Verwendung von Passkeys setzt zwingend einen Cloud-Service wie den iCloud-Schlüsselbund oder die Verwendung eines Hardware-Sicherheitsschlüssels voraus.
Nur blöd, dass bei der Verwendung eines Passkeys weiterhin, wenn eingerichtet, ein OTP-Code benötigt wird. Besser wäre es doch das auf die Passwort-Methode zu beschränken. Bei Passkeys ist der zweite Faktor ja schon inbegriffen.
Passkey ist kein 2 Faktor. Das ersetzt lediglich nur das Passwort eingeben. Statt Authentifizieren und Passwort wird automatisch reingedonnert ist das ein Passkey. Das war’s. Genauso sicher / unsicher.
Eine falsche Erwartungshaltung an der Technologie.
Ehm nö. Vielleicht nochmal die Doku lesen. Um an den passkey zu kommen muss bereits der zweite Faktor eingegeben sein. Nebenbei findet auch noch ein Abgleich der URL statt etc.
Wir sprachen nicht über eine Vorrausetzung. Von Passkey Sondern von ein Ersatz der 2 Faktor. Die gibt es bei Passkey nicht. Verstehend lesen.
Ich habe mehrere Passkeys von eBay, Paypal etc. Überall muss ich 2 Faktor ausführen was auch völlig normal ist.
Eigentlich nicht.
Faktor 1: Besitz der Passkey-Datei
Faktor 2: Biometrische Identifizierung (oder sonstige Entsperrung der Datei)
Meine PKI-Authentifizierung in der Arbeit welche als „starke Authentifizierung“ betrachtet wird basiert auch darauf, dass ich a) meine Zertifikats-Smartcard besitze und b) ihren PIN kenne.
Bei Passwort dagegen:
Faktor 1: Kenntnis des Passwortes
Faktor 2: nix. Daher wird OTP benötigt
Nach der Logik müssen ja der Schlüsselbund eine 2 Faktor sein was natürlich falsch ist. Entsperre den Manager und setze den Passwort ein. Genauso funktioniert Passkey. Nur fehlt halt der 2. Weg um sich zu authentifizieren. Z.b per SMS oder Code durch Authentificator.
Ich glaube nicht das alle großen Anbieter es falsch machen. Es wird nur falsch Verstanden.
Meldet euch mal bei eBay, Paypal, Microsoft, Apple und Amazon. Zeigt den mal wie es richtig geht.
Mit dem unterschied, dass du das Passwort auch ohne entsperren des Passwortmanager eingeben kannst und dich einloggen kannst, wenn du es auswendig weißt. Deshalb ist das kein 2 Faktor. Das Passwort von Passkeys hingegen kannst du nicht ohne dein Gesicht eingeben -> 2 Faktor.
Dumm nur, dass man sich bei den Apps immer explizit abmelden muss. Da ist man eh immer angemeldet.
Das Blöde ist nur, dass das „nur“ das Passwort ersetzt. Falls man MFA aktiviert hat, muss man den Code trotzdem eingeben
Das soll es ja auch nicht ersetzen. Der Witz an Passkey ist das man sich nicht tausend Passwörter merken oder sogar das gleiche überall nutzt.
Auch hier: Voraussetzung != Ersatz.
Blöd ist nur der als Voraussetzung notwendige CloudService.
Lokal via Strongbox App
Was ist denn Passkeys? Hab ich das verpasst als das bei Apple eingeführt wurde? Kann mich nur an das mit Apple anmelden erinnern..
Ja, hast du verpasst!
Was ist jetzt eigentlich der Vorteil z.B. bei der Amazon-App? Wenn ich abgemeldet bin, melde ich mich über FaceID an? Ich verstehe das nicht ganz.
Korrekt. Musst dir im besten Fall kein PW mehr merken und musst in der Öffentlichkeit auch nicht mehr dein PW eingeben während dir vllt. einer über die Schulter guckt.
Nur ist Apple dann einmal mehr der gatekeeper für ne fremde App und ich begebe mich damit noch mehr in die Abhängigkeit EINES Unternehmens. Oder sehe ich das technisch falsch?
Blöd wenn man sein Gerät verliert und dann nicht mehr einloggen kann.
Oder die Telefonnummer wird einem geklaut (mir passiert beim Anbieterwechsel). Man kommt nicht mehr an die Daten ran.
Nene. Ich bleib beim Passwort
Wenn du dein Passwort kennst kann es kein gutes sein. Und nicht für 100e Dienste.
Er schrieb er bleibt beim Passwort, nicht dass er beim Passwort beleibt da er dieses Kennt.
1Password, Keypass und wie sie alle heißen verwalten sehr gut die Passwörter und können dazu auch welche generieren nach dem Schema “ 1(nsdfjkn4&38ßfv(&(JHg##äsadfz37u!_sdf49u5pkjjdfkjbsd “ wo man sich doch ziemlich schwertut diese zu merken.
Deshalb werden die Daten in der Cloud gespeichert.
Und wer kein Backup hat, hat selbst schuld.
Deswegen werden Passkeys ja auch mittels des Schlüsselbunds zwischen all Deinen Geräten synchronisiert. Die Telefonnummer ist irrelevant, Dein Apple-Account ist es. Und wenn ein Gerät weg ist, kannst Du Dich immer noch herkömmlich anmelden.
Ich nutze kein iCloud, weil ich mich damit in zu großer Abhängigkeit sehe. Mache meine updates verstreut lokal.
Ich verstehe noch nicht ganz, was der Vorteil gegenüber eines generierten Passworts aus dem Manager oder einen sinnvoll langen Passphrase ist?!
So binde ich mich an Apple, anders bleibe ich Herr über meine Logins. Es ist ja auch nicht komfortabler. Es ist doch einfach nur anders, oder habe ich es noch nicht verstanden?!
Passkey tritt auf mittlere Frist an die Stelle der Eingabe des Passwort. Du denkst zu kurz, wenn es dir nur um den Ersatz des Passwort Managers geht den gibt es schließlich nicht auf jeder Plattform. Die Idee ist, dass du bei deinem nächsten Fernseher, bei dem du dich vielleicht an Netflix anmelden möchtest nur noch deine E-Mail-Adresse eingibst Dann rappelt sofort dein Handy und frag dich ob du dich auf auf dem TV anmelden möchtest wenn du das bestätigst und dies mit Fingerabdruck oder Gesicht verifiziert hast, dann bist du auf dem Fernseher sofort an Netflix angemeldet und musst dein Passwort nicht eingeben. Es macht Passwort Manager also bis zu einem gewissen Rahmen überflüssig. Nicht ganz, denn das Passwort hast du ja noch zusätzlich. Du musst es nur noch hoffentlich selten benutzen. Wenn mal alle umgestiegen sind auf Passkey eigentlich gar nicht mehr.
Passwörter können abhanden kommen, deine passphrase nicht. Damit sind Späh Attacken mit 100fach Zoom Kameras wirkungslos.
Ein langes und komplexes Passwort aus dem Passwortmanger (einzigartig für jeden Service ein anderes PW) sind ein super Anfang.
Dann noch einen 2.Faktor einrichten und schon ist die Nutzung sehr sicher.
Aber diese Anmeldetechnologie ist nicht pishingresistent und kann weiterhin (trotz komplexem Passwort) von Angreifern erfolgreich attackiert werden. Denn: das schwächste Glied in der Kette ist der Mensch und der wird angegriffen durch gute und auch weniger gute Phishingmails. (Und in selten ganz gezielt per Man in the Middle-Attacks.)
Passkeys helfen hier, sie sind einzigartig und werden in Passwortmanagern verwaltet (modere Passwortmanager, aktuellen Browserpasswortsafes oder direkt im Schlüssebund) werden.
Besonderheit: Passkey sind an den eingerichteten Service (hier zb. Amazon) gebunden und können technologisch nicht durch Phishinganggriffe oder Man in the middle-Angriffe ausgehebelt werden
.
Also einfacher Nutzen für Anwendende und hohe Sicherheit bei der Nutzung.
Passkeys sind die „Passwörter2.0“ :-)
Lieben Dank für die ausführliche und freundliche Erklärung :*
Was ist, wenn ich tradtitionell mit einem Passwort angemeldet war & mir nun Passkeys angeboten wird?
Werden sich im Schlüsselbund die Passkeys Einstellungen mit dem bestehenden Passwort abgleichen oder wird ein neues Passwort mit generiert?
Passwort bleibt wie es war. Das sind separate Datensätze, Du hast dann zwei verschiedene Anmeldemethoden (als ob Du für eine Tür sowohl einen Schlüssel als auch eine Zugangskarte hast, die das Schloss elektronisch öffnet – Karte und Schlüssel sind völlig umabhängig).
Was ich an der bisherigen Umsetzung von Diensten, die jetzt Passkeys zur Authentifizierung anbieten (jetzt Amazon, davor schon Google und eBay), nicht verstehe: Da kann man sich ja immer noch alternativ mit dem Passwort anmelden.
Solange diese Option noch besteht und Leute neben dem super sicheren Passkey weiter ein möglichweise schwaches Passwort hinterlegt haben, ist doch nichts gewonnen. Man müsste doch dann mit dem Hinterlegen des Passkeys anbieten, eine Authentifizierung nur mit Passwort nicht mehr zuzulassen. Oder verstehe ich da was falsch?
Passkeys helfen gegen das Szenario „dem Nutzer wird eine Website vorgegaukelt“. Wenn Du auf eine Phishing-Mail hereinfällst und auf einer nachgemachten Website Dein Passwort eingibst, hast Du ein Problem. Das kann mit Passkeys nicht passieren, da die Websiteadresse Teil der Authentifizierung ist. Man verhindert also, das Passwort überhaupt eingeben zu müssen.
Gegen das Szenario „Passwort wird mit Brute Force geknackt, weil zu einfach“ hilft das nicht. Aber wenn man das Passwort nur noch im Ausnahmefall „Passkey geht nicht, weil neues Gerät“ nutzt, ist die Wahrscheinlichkeit des Missbrauchs viel geringer, deswegen sind Passkeys besser.
Findet Ihr diese Entwicklung eingentlich noch gesund?