Am heutigen 7. Mai ist World Password Day, an dem an die Bedeutung des Themas erinnert werden soll. In diesem Kontext sind mir einige Meldungen zugegangen, die ich als Abriss im Beitrag spiegele. Ich verbinde es mit der Frage, wie ihr das in eurem Bereich so handhabt, und ob Passkeys so langsam zum Standard werden?
Der Weltpassworttag findet jedes Jahr am ersten Donnerstag im Mai statt und soll zu besseren Passwortgewohnheiten anregen. Passwörter sind wichtige Schutzmechanismen für digitalen Identitäten. Sie ermöglichen den Zugang zu Online-Shopping, Dating-Plattformen, Online-Banking, sozialen Medien, privaten Arbeitsinhalten und der Kommunikation im Alltag.
Passwörter und Cyberresilenz
"Gute Passwörter sind lang, bestehen aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen." schreibt Thomas Lo Coco, Sales Manager Central Europe, Absolute Security. Aber er fragt, wie es ausschaut, wenn ein Mitarbeiter das Unternehmen verlässt und die Passwörter – etwa die BitLocker-Keys oder die BIOS-Zugangsdaten – auch gleich mitgehen lässt? Oder wenn Cyberkriminelle diese Passwörter umgehen oder durch einen erfolgreichen Brute-Force-Angriff die richtige Kombination ermitteln?
Auch wenn Passwörter eine notwendige erste Verteidigungslinie darstellen, sind dies nur einige Beispiele dafür, wie eine eindimensionale Sicherheitsstrategie leicht scheitern kann – eine einzige Schutzebene reicht nicht aus, um den Risiken in der heutigen feindlichen digitalen Umgebung zu begegnen.
Thomas Lo Coco schreibt, dass Unternehmen deshalb eine robuste Strategie zur Cyber-Resilienz brauchen, die die Endpunktsicherheit stärkt und es ihnen ermöglicht, zeitnah zu reagieren. Herkömmliche Sicherheitsmaßnahmen, die auf geschützten Büroverbindungen basieren, reichten nicht mehr aus. Endpoint-Sicherheitssoftware funktioniert in 20 Prozent der Fälle nicht effektiv, so dass Geräte an 76 Tagen im Jahr nicht vollständig geschützt sind und die Sicherheitsrichtlinien nicht einhalten. Angesichts der zahlreichen Geräte, die von Remote-Mitarbeitern genutzt werden, sei die Gewährleistung der Cyber-Resilienz entscheidend, um Schäden und Ausfallzeiten zu minimieren. Störungen können den Betrieb empfindlich treffen, die Produktivität beeinträchtigen und zu erheblichen finanziellen Verlusten führen.
Eine umfassende Verteidigungsstrategie müsse Maßnahmen für eine sofortige Reaktion definieren, präventiv Schwachstellen schließen und Protokolle zur schnellen Wiederherstellung der Funktionalität umfassen. Eine aktualisierte Software, die Überwachung aller Geräte und eine gewährleistete Netzwerktransparenz sind zentrale Maßnahmen, um Risiken zu mindern. Der Schutz des Netzwerks allein reiche nicht aus, wenn Endgeräte aufgrund veralteter Sicherheitsmaßnahmen anfällig bleiben oder Passwörter wirkungslos geworden sind. Zentralisierte IT-Teams benötigen einen Echtzeiteinblick in das Netzwerk und müssen bei verdächtigen Aktivitäten entschlossen handeln. Wird ein ungewöhnliches Verhalten festgestellt, sollten sie kompromittierte Geräte sperren oder herunterfahren, um den Vorfall einzudämmen, bevor er sich ausbreitet. Darüber hinaus bietet die Isolation von Geräten, die von unbekannten Standorten aus genutzt werden, eine zusätzliche Schutzebene und ermöglicht ein schnelles und effizientes Vorfallmanagement.
Durch einen proaktiven Ansatz zur Cyber-Resilienz könnten Unternehmen Ausfallzeiten reduzieren und eine schnelle Wiederherstellung nach Sicherheitsvorfällen gewährleisten, wodurch sensible Daten geschützt sind und der Betrieb aufrechterhalten bleibt. Ein sicherer und reibungsloser Betriebsablauf hängt – neben einer funktionierenden Passworthygiene – von einer starken Endpunktsicherheit, Echtzeitüberwachung und der Konzentration auf einen aktuellen Status der Systeme ab. Die sichersten Passwörter schützen nicht, wenn Sie in die falschen Hände geraten oder Insider sie missbrauchen. Diese Tatsache sollte man sich im Sinne einer gut funktionierenden Cyber-Resilienz bewusst machen. Denn es ist egal, wie hoch die Mauer ist, sobald jemand den Schlüssel zur Hintertür hat.
Sind Passkeys das Ziel bzw. die Lösung?
Martin Zugec, Technical Solutions Director bei Bitdefender plädiert dagegen für Passkeys. Er sagt: "Jedes Jahr am Weltpassworttag geben Anbieter für IT-Sicherheit dieselben Ratschläge: Längere Passwörter! Sonderzeichen hinzufügen! Niemals wiederverwenden! Und jedes Jahr bleibt '123456' das Kennwort, welches die Hacker weltweit am häufigsten ausnutzen. Irgendwann bleibt aber nur die ehrliche Einsicht, dass es nicht darum geht, all diese Ratschläge besser zu befolgen. Das Problem ist vielmehr, dass Passwörter das falsche Tool für die ihnen zugeschriebene Aufgabe sind. Und dass sollten wir auch klar sagen."
Zugec meint, Passwörter sind nicht gescheitert, weil Nutzer sorglos sind. Sie sind gescheitert, weil sie einen grundsätzlich falschen Ansatz verfolgen: Dutzende neuer Passwörter für alle möglichen Tools definieren, die komplex genug für Brute-Force-Angriffe sind, sich an diese erinnern und sie ständig wechseln – das sind Aufgaben, welche die kognitiven Fähigkeiten eines Menschen überfordern. Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in "Password1!" auf einem Post-it am Bildschirm.
Daher plädiert er dafür, dass der Welt-Passwort-Tag in Welt-Passwort-Ersetztag umbenannt werden sollte. Das sei eine ehrliche Standortbestimmung, wo sich die Industrie aktuell befindet. Natürlich sei für die bestehenden Nutzerkonten ein herkömmlicher Passwort-Manager immer noch ein essenzieller und wichtiger Schritt: Er verhindere, dass Nutzer Zugangsdaten wieder verwenden. Er generiert starke und einmalige Passwörter. Er reduziert die kognitiven Anforderungen an den Nutzer, an denen Passwörter in der Praxis scheitern.
Der zukünftige Weg ist aber laut Zugec bereits vorgezeichnet und die Ersatztechnologien sind bereits vorhanden: Passkeys, Hardwaresicherheitsschlüssel, FIDO2-basierte Verfahren zur Authentifikation. Apple Google und Microsoft verwenden diese bereits im großen Maßstab. Passwort-Manager sichern die Reise dorthin ab. Passkeys sind die Zukunft.
Von Thales-Mitarbeiter Roger Mahler habe ich noch ein interessantes Statement enthalten. Er argumentiert, dass die Branche jahrzehntelang versucht habe, die Internetsicherheit durch Passwörter zu verbessern. Doch in Wirklichkeit wollen Verbraucher diese nicht mehr nutzen. Eine klare Mehrheit (68 %) gibt laut dem Thales Digital Trust Index an, dass sie Unternehmen mehr vertrauen, wenn diese Passkeys verlangen. Die Authentifizierung sei nicht mehr nur eine Sicherheitsmaßnahme, sondern "ein wesentlicher Bestandteil des gesamten Kundenerlebnisses".
Die Studienergebnisse verdeutlichen, dass das Vertrauen in Unternehmen hinsichtlich des Datenschutzes nach wie vor gering ist. Verbraucher suchen nach einer klaren Bestätigung, dass ihre persönlichen Daten geschützt sind. Wenn Identitätsprozesse langsam oder schwierig sind, finden die Menschen Wege, diese zu umgehen. Tatsächlich geben 66 Prozent der Befragten von Drittanbietern zu, Zugangsdaten zu teilen oder auszuleihen – was verdeutlicht, wie schnell Reibungsverluste zu Risiken werden.
Passkeys seien eine einfache, nahtlose Möglichkeit, diese Risiken zu reduzieren. Die Herausforderung bestehe nun darin, dass zwar 87 Prozent der IT-Entscheidungsträger die Bedeutung von Passkeys erkennen, aber nur etwa die Hälfte sie tatsächlich implementiert hat, schreibt Mahler.
In der Folge zeige sich also, dass die Verbraucher für passwortloses Arbeiten bereit sind, die Unternehmen aber hinterherhinken. Diese Lücke zu schließen, bedeutet nicht nur, Risiken zu reduzieren, sondern auch, Vertrauen von der allerersten Interaktion an aufzubauen. Internetsicherheit muss in einen Wettbewerbsvorteil verwandelt werden. Kunden haben offiziell genug von Passwörtern, und die Unternehmen müssen Schritt halten und endlich Passkeys in der Fläche einsetzen.
Allerdings muss auch klar sein, dass Passkeys ein Schritt in die richtige Richtung sind, es aber keine oberflächliche Lösung sein kann. Unternehmen müssen die Identitätsverwaltung für Kunden, Mitarbeiter und Partner neu überdenken. Diejenigen, die unternehmensweit eine einheitliche, benutzerfreundliche Authentifizierung einsetzen, stärken nicht nur die Sicherheit, sondern beseitigen auch Reibungsverluste im Arbeitsalltag.
Wie seht ihr in der Leserschaft dieses Themenfeld? Setzen sich Passkeys inzwischen durch, und wo hakt es noch?
MVP: 2013 – 2016
Da ich mit Linux und iPhone unterwegs bin, nutze ich Passkeys nicht, obwohl es eine technisch interessante Lösung ist. Passwörter und OTP funktioniert auch…
"Und die sie immer schon überfordert haben. Jahrzehntelange Rufe nach mehr Komplexität, nach Großbuchstaben, Zahlen und Sonderzeichen endeten in "Password1!" auf einem Post-it am Bildschirm."
Ganz so banal ist es selten. Meistens ist der Ort oder der Firmenname eingebaut, was es natürlich nicht besser macht. Oder auch oft: NamedesKindesGeburtsjahr!
>> Da ich mit Linux und iPhone unterwegs bin, nutze ich Passkeys nicht, obwohl es eine technisch interessante Lösung ist. Passwörter und OTP funktioniert auch…
Funktioniert, klar – aber das Problem ist, dass Pwd + OTP nicht phishingresistent ist… Wir sehen immer mehr Angriff,e wo genau das per Phishing umgangen wird – und jeder – auch "wir" IT Security affine Menschen – kann auf ein Phishing reinfallen
Passkeys mit Fingerabdruck sind bequem, aber gibt es eine Studie, wie sicher die Fingeradruck-Leser am Handy sind?
Vor physischen Zugriffen, wie z.B. Behörden sind solche Dinge z.B. überhaupt nicht sicher. Gibt Urteile das Behörden den Fingerabdruck erzwingen dürfen.
Hier gibt es je nach Betriebssystem auch Lösungen. Zum Entsperren des Gerätes benötigst du einen PIN. Zum Freigeben eines Passkeys danach benötigst du einen Fingerprint. So kannst du beide Problemen begegnen. Ist ein akzeptabler Kompromiss zwischen persönlichem Datenschutz und Bedienbarkeit. Und gilt natürlich nur für halbwegs rechtstaatliche Länder. Da wo Folter erlaubt ist, schützt auch ein PIN nicht. Es gibt dann je nach dem auch noch einen Duress-PIN.. aber da würde ich vorher meine allgemeine Lebenssituation überdenken.
Um sich beim Login Deiner Wahl abzusichern, ist der Hammer mit der erzwungenen Freigabe per Fingerabdruck aber einfach der falsche Vergleich. Das ist schon fast so schlimm wie "mein Daumen wird mir abgeschnitten, damit jemand mein Handy/Paypal/Auto/younameit freigeben kann…" Die Verhältnismäßigkeit stimmt einfach nicht.
99% der Anwender haben doch eher ein Risiko, unfreiwillig ein Passwort beim Phishing kundzutun, und kaum, sich selbst bzgl. eines Vergehens durch unfreiwillige Freigabe ihres Handys zu belasten.
Es gibt ja die neue Tendenz zu langen unkomplizierten Passwörtern (Passphrase) die man nie mehr ändern muss oder statt dessen nur noch Passkeys oder Hello for Business. Passphrase, die sich nie mehr ändern, in Frankreich kann man bereits seit 2 Jahren Zugang zu einem (einfachen) Quantencomputer mieten, oder es ist eine Frage, wieviele GPU man in Singapur oder China mieten kann, um aufgeschnappte Hashes zu untersuchen. Ich weiß nicht ob ich das gut finden soll, denn Passkeys und HfB wird auf der Maschine verwaltet, auf der man sich anmeldet. Da wird es eines Tages bestimmt Wege geben, das zu knacken, und wenn es nur so passiert, dass es jemand gelingt, sich in diesen Anmeldeprozess einzuklinken und ein "Ok" an den Anmeldeprozess zurück zu liefern, statt es an die Passkeys/HfB Logik zur Prüfung zu reichen. Und wenn man sich mal von einem anderen Gerät anmelden muss, als dem auf dem der Passkey oder HfB liegt, biste aufgeschmissen.
Ich halte daher den Ansatz, "etwas regelmäßig änderndes wissen" plus "etwas extra haben" für sicherer. Sprich ein gutes Passwortmanagement (hier erscheinen ja regelmäßig gesponsorte Artikel von Specops, das taugt wirklich), plus Authenticator-App auf einem extra Gerät (Smartphone), Yubikey oder so einem RSA-Token für die bessere Wahl. Zumindestens bei TOTP und RSA gibts nochmal eine zusätzliche "Air-Gap" zu dem Gerät, auf dem man sich anmeldet, die Finger müssen das dort erzeugte Geheimnis in den Anmeldeprozess übertragen.
Dass man mit verschiedenen Passwörtern für verschiedene Dienste manche Leute überfordert, kann ich nachvollziehen, aber mit Hilfe eines guten Passwortmanagers ist das lösbar. Und dabei sollte man keines Falls irgendwelche Cloud basierte Dienste (also auch die PW-Manager im Browser, speziell neuerdings den in Edge erst recht nicht) nehmen, da kann man nicht reingucken, was die tatsächlich machen, selbst wenn der Code scheinbar (!) auf Github liegt. Bei selbst gehosteten Server-Lösungen bin ich mir auch nicht sicher, wenn das gehackt wird… Was lokales, wo man ein Backup ziehen kann (sollte!), AES256 oder besser verschlüsselt, das isses imho. Zum Beispiel Keepass(XC).
Global gesehen sind doch sicherlich 99% der Benutzer von Kaufplattformen zu "faul" für zusätzliche technische Lösungen, die mehr als ein Daumenauflegen benötigen – oder gar was kosten!!1! Yubikey? Da ist die Kaufhürde plötzlich gaaanz hoch, wenn man 50€ berappen soll. Und ein biometrischer? >100€! Da sagen nur Nerds "ja, bitte".
Denn für viele, sehr viele ist es ja sooo bequem, nur ein Passwort mit dem Namen der Mutter und deren Geburtsdatum für alle Dienste eingeben zu müssen. 2. Faktor ist schon lästig, "mach das weg"!
Ich muss gestehen, noch nicht mit Passkeys warm geworden zu sein. Mir stellt sich da weiterhin die Frage nach der Möglichkeit des Aussperrens und der Interoperabilität. Wenn irgendwas in Richtung Security als "einfach und narrensicher" verkauft wird, z. B. indem der lokale Browser die Speicherung eines Tokens übernimmt, dann macht mich das prinzipiell skeptisch.
Bei (ausreichend komplexem + nur 1x verwendeten) Passwort + 2FA via TOTP liegen die Zugangdaten komplett in meiner Kontrolle, ich kann sie dokumentieren, ins Backup packen etc. – bei FIDO2 muss für echte Redundanz nach meinem Verständnis ein zweites Konto hergenommen werden, während man mit 2FA via TOTP einfach den QR-Code auf mehreren Geräten scannt. Klar, das kann wiederum ein Sicherheitsproblem sein. Wäre aber kompensierbar. Hingegen durch die Support-Hölle zu wandern, weil man nicht mehr an ein gesperrtes Konto herankommt, macht auch keinen Spaß (btdt).
Nordnavigator schreibt: "zweites Konto hergenommen werden, während man mit 2FA via TOTP einfach den QR-Code auf mehreren Geräten scannt"
Ich wollte OTP auf einem 2. Gerät für meinen Teamviewer-Account einrichten. Das geht aber nicht. Kann jemand bestätigen, dass OTP bei Teamviewer auf EIN Gerät beschränkt ist?
Wenn das auf einem QR Code basiert, kann das gar nicht sein. Woher sollte Teamviewer wissen wie oft man den QR Code eingescannt?
Oder ist es so ein MS Authenticator Spezialfall. Das kann man umgehen indem man nicht MS Authenticator nutzt sondern eben Standard TOTP.
@Olli: Der QR-Code erscheint nur einmal beim erstmaligen Einrichten. Danach kann ich den QR-Code nicht mehr erzeugen, um ihn auf einem 2. Gerät zu nutzen. Es gibt nur die Option, 2FA ganz auszuschalten.
EDIT: Ich lese gerade weiter unten, dass man sich den QR-Code "ausdrucken"/merken muss. Ist das wirklich so?
Entweder scannt man diesen QR selbstverständlich(!) in diesem Moment mit mehreren Geräten ein bevor man ihr bestätigt und/oder man macht einen Screenshot und druckt diesen aus – dann kann man jederzeit zusätzliche Geräte einrichten indem man einfach den Ausdruck einscannt.
Der Scrennshot selbst gehört natürlich nicht(!) als Bild auf dem PC abgespeichert.
Ja, das ist Standard und auch so gewünscht das nach der Erzeugung dieser Schlüssel nicht mehr aufgerufen werden kann, sonst könnte jeder der irgendwie auf den Bereich Zugriff hat sich erneut das Setup ansehen und auf einem 2ten Gerät aktivieren. Es gibt immer auch eine Option sich nicht nur den QR-Code sondern den richtigen Secret-Key anzeigen zu lassen. Den sollte man sich auf jeden Fall sichern. Kann man beides ausdrucken und in den Tresor legen.
Man kann den QR Code in jedem x-beliebigen OTP Tool erneut einscannen und hat damit immer ein Backup. Macht durchaus Sinn das auf einem 2ten Gerät immer parallel aktiv zu haben, falls doch mal das Telefon verloren oder defekt ist, sonst ist man gleich überall ausgesperrt!
Eigentlich ist es ganz Einfach:
Ein 2FA-Token ist nichts anderes wie ein klassischer Haustürschlüssel. Haustürschlüssel besitzt man typischerweise auch mindestens zwei Stück. Eher sogar drei Stück und sofern man alleine wohnt hinterlegt man den zweiten respektive den dritten Schlüssel ja auch bei seinen Eltern/Kindern/besten Freunden etc.
Würden man vom Vermieter bzw. vom Hersteller/Verkäufer eines Schlosses nur einen einzigen Schlüssel erhalten, würden die Meisten fragen was das soll?
Leider schaffen es nur ganz wenige diesen "geistigen Sprung" von der analogen in die digitale Welt durchzuführen.
@Ralf M.: Danke. Ich sehe tatsächlich im MS-Authenticator, dass ich den Secret-Key auch eintippen kann. Wieder was gelernt :-)
"Ich lese gerade weiter unten, dass man sich den QR-Code "ausdrucken"/merken muss. Ist das wirklich so?"
Jain. Der QR Code bei der Einrichtung enthält das "Shared Secret", über das der Dienst und der Authenticator deiner Wahl die Codes erstellen/überprüfen können. Den kann man sich auf den meisten Seiten auch als Text anzeigen lassen (braucht man, wenn man z.Bsp. Keepass für die Erzeugung der Codes nutzen möchte). Solange du das Secret hast, kannst du theoretisch beliebig viele Geräte damit ausstatten, die erzeugen dann logischerweise alle den gleichen 2FA-Code. Für den Dienst ist das wie ein Gerät.
Das Secret sollte natürlich niemand anderem in die Hände fallen, daher muss man damit vorsichtig umgehen.
Bei Diensten, die von sich aus mehrere Geräte unterstützen, wird pro Gerät/Authenticator ein separates Shared Secret erzeugt.
Kommt auf die TOTP-Software an. Ich habe früher FreeOTP(+) und Aegis genutzt und bin aktuell bei Vaultwarden gelandet.
Bei diesen Programmen ist es kein Problem die Shared Secrets (z.B. "JF4CAGP2HOXPMUW7" ) zu exportieren genauso wie bei (reinen) Passwortmanagern die Passwörter exportiert werden können.
Was passiert denn, wenn Du 2FA aus- und wieder einschaltest? Wird dann kein neuer QR-Code generiert? Es muss ja eine Möglichkeit geben 2FA zu erneuern, da ja auch Handys kaputtgehen oder gestohlen werden. Manche Anbieter haben für den Fall Einmal-Codes, die sie bei der 2FA-Einrichtung anzeigen.
@poiuz fragt: "Was passiert denn, wenn Du 2FA aus- und wieder einschaltest? Wird dann kein neuer QR-Code generiert?"
Das ist die Lösung für ein 2. Gerät! Ich kann mein eingeschaltetes 2FA mit meinem 1. Gerät deaktivieren. Wenn ich es dann wieder aktiviere, kann ich mir den Secret Code und den QR-Code sichern oder gleich auf einem 2. Gerät aktivieren.
Bei kaputtem oder verlorenem Handy gibt es bei Teamviewer die Zero Knowledge account recovery:
*ttps://www.teamviewer.com/en/global/support/knowledge-base/teamviewer-classic/security/general-information/zero-knowledge-account-recovery/
Das ist ein sehr laaaaaanger String, mit dem man seinen Account ohne Helpdesk/Support zurückgewinnen kann – auch ohne 2FA.
Wenn MFA ausgeschaltet wird, wird üblicherweise der alte QR-Code (das alte Secret) invalidiert. Ich habe bei manchen Anbietern aber auch schon die Erfahrung gemacht, dass sich das Secret dadurch nicht ändert, sondern einfach immer wieder das gleiche statische Secret genommen wird.
Je Dienst ein sicheres 16Zeichen Kennwort via KeepassXC …
Dazu eine Kopie in Apples Schlüsselbund, der auf alle Geräte automatisch synct.
Das ist in meiner Praxis ausreichend sicher, und bleibt komfortabel.
Ich plädiere für einheitliche Passwort Standards bei Login Anbietern.
Solange Service A dieses Sonderzeichen nicht erlaubt. Service B die Länge von Passwörtern einschränkt. Apple am IPhone Sonderzeichen plötzlich aus der Tastatur entfernt, manche nicht wirklich das komplett eingegebene Passwort intern verwenden, sondern ab einer gewissen Länge cutten.
Solange ist es zu einfach die Schuld immer bei den Anwendern zu suchen.
Somit ist es schwierig eine generelle Passwort Systematik zu finden, die für mehrere Anbieter funktioniert. Somit ist es schwierig sich diese zu merken. Man muss sich dann auf einen Passworttresor verlassen, den man aber eigentlich auf allen Geräten erreichen muss. Das ist wohl die größte Gefahr in der aktuellen Zeit. Mit einem Schlag sind alle Passwörter geleakt.
Die Alternativen sind ja meist gleichzeitig der zweite Faktor (Face, oder Fingerprint) die sollte man nicht auch als Erstfaktor nehmen… außerdem ist hier immer das Problem, was wenn das Gerät (Handy weg ist) mein alt-smartphone bekommt keine Updates – ist also auch kein Notfallersatz.
Ich hatte einen Yubikey, dessen Firmware von einem Tag auf den andere gesperrt wurde (weil es irgendeine Vulnerabilität gab, die aber nur physisch ausgenutzt werden kann). Blöd nur, weil diese die Firmware nicht updaten können. Zum einen 100€ einfach weg – zum anderen kommt man nicht mehr ins Service. Den Stick kann man dann entsorgen.
SingleSignOn Provider.. wo ist der Unterschied zu bei jedem Service das gleiche Passwort?
Auch schön wäre, wenn endlich auch mal bei allen Diensten ankommen würde, dass ein erzwungener Passwortwechsel alle x Wochen/Monate nicht der Sicherheit dient. Das führt eher zu weniger Sicherheit, da die Leute dann anfangen im Passwort hochzuzählen.
stimmt genau
richtig
Eine Zahl am Ende des Passworts hochzählen, das fängt Specops zum Beispiel im auf dem Client installierten Agent während der Eingabe des neuen Passworts ab.
Ich sprach hier von Onlinediensten, die auch durchaus von Privatleuten benutzt werden. Da ist nix mit Agent auf Endgerät oder sowas.
In Summe halte ich das alles für Mist! Benutzername + Passwort muss reichen!
Bei nicht IT Anwendern führt alles mit 2FA nur zu mehr und mehr Unverständnis und verlorene Tokens, gewechselte Smartphones, nicht (mehr) vorhandenen QR Code Ausdrucke usw. usf. sind an der Tagesordnung.
Zudem ständig immer wieder irgendetwas neues kommt und jeder wieder irgendetwas irgendwie anders macht. Die ganzen Nutzer sind einfach komplett überfordert – und das ist der größte Feind der Sicherheit.
Es kommt auch immer wieder vor, das 2FA umgangen wird. Wenn dann aber was passiert sind die Nutzer endgültig die Dummen. 2FA ist nichts anderes als das Herausstehlen von Diensteanbietern aus der Verantwortung und Haftung.
Weg damit!
Für Passkey braucht man dann aber 4-5 Geräte.
1. FIDO2-Stick #1
2. FIDO2-Stick #2 (als Notfalllösung Falls #1 ausfällt)
3. Smartphone als Anmeldegerät oder als zweiten Faktor
4. PC als Controller für die FIDO2-Sticks und als Backupspeicher für den Software-Passkey im Smartphone
5. Cloudspeicher als Backup für den Software-Passkey
Man braucht 2 Stück FIDO2 Sticks für jeweils ab ca 30 Euro aufwärts, und man muss beide FIDO2-Sticks an jedem Konto anmelden, falls man einen dieser FIDO2-Sticks mal verlieren sollte oder falls er defekt ist, dann dient der andere FIDO2-Stick als Notfalllösung.
Falls der Passkey im Smartphone als Anmeldegherät gespeichert ist und man dieses verliert, dann hat man ein Problem, falls man keinen Backup dieses PassKeys auf einem zweiten Gerät oder in der Cloud hat.
Falls man einen Cloud-Backup benutzt, wer garantiert einem dann den Zugang zur Cloud?
Das ist ein weiterer Unsicherheitsfaktor.
Steckt jemand einen FIDO2-Stick bei jeder Anmeldung bei einem Onlinekonto in sein Smartphone?
Für Passkey auf einer Smartcard braucht man auch einen NFC-Scanner, der nicht in allen Smartphones vorhanden ist.
Durch Passkeys steigt also die Gefahr, dass man sich selber nichtmehr einloggen kann, man hat unnötige höhere Ausgaben für die Hardware-Schlüssel und man braucht immer ein zweites Gerät als Notfallösung und als zweiten Faktor und als Backup für den Software-Passkey.
Bei einem Passwort hat man diese Nachteile nicht.
Ich kenne einige Personen, die haben gar keinen PC, sondern nur ihr einziges Smartphone.
Die werden bestimmt keine FIDO2-Sticks kaufen und die werden keinen Backup ihres Passkeys auf ihrem nicht vorhandenem PC speichern.
siehe BSI-Info zu Passkeys:
*ttps://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
Eine alternative Lösung wäre eine Datenbank mit allen IRIS aller Menschen ab Geburt und dann ein IRIS-Scan via Smartphone-Kamera bei einem Login.
Als zweiten Faktor kann man ja ein geheimes Passwort nehmen…
Also besser gleich beim normalen Passwort bleiben bis zum Nachweis, dass diese Passwörter massenhaft geknackt werden durch KI-Rechenzentren, was bisher nicht der Fall ist.
tut mir leid, das klingt für mich wie eine intelektuelle Bankrotterklärung.
Biometrie mit Logins verknüpfen? Besser bei normalen Passwörtern bleiben?
Noch nie was von password leaks gehört? Himmel Herrgott
und amazon oder apple auf passkeys only, und die passkeys sind nicht mehr verfügbar, aus welchen gründen auch immer, heisst account für immer weg. tolles system nicht?
ein passwort ist für viele,. vor allem ältere menschen noch irgendwie greifbar, passkeys aber nicht. denn das ist ja im prinzip nichts anderes als public / private key authentifizierung. nur halt marketing technisch etwas aufbereitet.
..und wie oben beschrieben, wenn Dein Fido2 Key wegen vulnerabler Firmware gesperrt wird, dann trifft es eventuell gleichzeitig beide FIDO Keys. Wenn diese etwa gleichzeitig beim gleiche Hersteller gekauft wurden. Beim Kauf weiß man auch gar nicht, welche Firmware der Key haben wird. Steht ja nicht dabei. Mir ist es passiert da hatte ich beide Key's schon 1 Jahr, da nimmt den auch keiner mehr zurück.
Korrekt. Passkeys können Passkeys bleiben.
Den Bedarf das zu nutzen haben ja nur die grossen Cloud und OS Hersteller, die meinen der Nutzer ist in homogenen Umgebungen.
Wenn dann der Cloud Account von der KI unberechtigter Weise für immer gesperrt wird, dann ist es sicher ganz lustig, wenn alles nur noch passkeys only ist und somit keine account recovery mehr möglich ist.
ich finde es auch mittlerweile von vielen services wie amazon oder anderen richtig penetrant permanent den user auf passkeys umstellen zu wollen.
Passkeys, wann immer es geht nutzen; meine Empfehlung sind Device Bound auf 2 Yubikeys (Bist Du Hypervorsichtig, nimm nen 3ten; 2+3 als Backup; Nr.1 Immer am Mann/Frau
TROTZDEM muss das ensprechende Kennwort lang etc. sein; IMHO gibt es noch keinen FIDO2/Webauth ONLY Login,
Warum auf Yubikey? Was machst du, wenn dein Mac/Windows Rechner abnippelt oder der TPM kaputt ist? Wenn das Smartphone defekt, leer, gestohlen oder Remote gewipped wurde?
Man sollte beim Thema Passwortstrategie schon etwas Hirnschmalz und Zeit investieren und eine für sich gangbare Alternative zum bestehenden Schmarrn schaffen.
und natürlich; Sensibles gehört nicht in die Cloud!
Meine Empfehlung nie Yubikeys kaufen, deren Firmware kann man nicht updaten. Da bin ich einmal drauf reingefallen – nie wieder.
Ich benutze Passkeys wo es geht, aber nur mit dem Handy (also keine physikalishen Keys). Das funktioniert da gut, wo man einen physikalisch Laptop/PC mit Bluetooth Verbindung zum Handy hat.
Arbeitet man jedoch auf einem Remote Desktop / VDI, funktioniert das meist nicht mehr.
Bei mir funktionieren Passkeys gut über den Edge Browser, über Firefox jedoch nicht.
D.h. ich bin froh, wenn ich noch eine alternative Login Methode haben. Allerdings wird der Zugriff dadurch natäürlich wieder unsicherer.
Ich wäge das immer nach dem wie-kritisch-ist-das-Schema ab. Adminzugänge haben immer sehr lange Passwörter(30 Zeichen aufwärts) und wenn möglich einen zweiten Faktor. Passkeys, wenn es Sinn macht und die technische Unterstützung gegeben ist. Unseren Vaultwarden habe ich zum Beispiel so konfiguriert, dass der User immer sein Master Passwort und den Code aus der Authenticator App eingeben muss. Die Funktion dem Gerät für 30 Tage zu trauen(und somit die 2FA auzusetzen) wurde auch entfernt. Unser kleiner Firmenchat ist jedoch relativ unkritisch und da belasse ich es bei gescheiten Passwörtern mit moderater Länge und Komplexität(wird ja eh ge-cached).
Frage an die Nutzer von Passkeys oder anderen universell verwendbaren Einmal-Passwort-Generatoren: Was passiert, wenn der Generator kompromittiert wird, also z.B. der physische Dongle oder das Handy verlorengeht? Gibt es eine einfache Möglichkeit, (a) die von diesem Generator erzeugten Keys auf allen damit verbundenen Services für ungültig zu erklären, und (b) gleichzeitig mit einem Backup- Gerät selbst den Zugriff zu behalten?
Falls nicht, wäre der Verlust des Generators ja sozusagen ein doppelter Super-GAU. Oder sehe ich das falsch?
Edit: Ich sehe, beides ist in zeitgleich erstellten Kommentaren schon mehr oder weniger beantwortet worden: Es scheint in der Praxis weder (a) noch (b) zu geben. Damit ist das Thema für mich wohl vom Tisch.
Meiner Erfahrung nach lassen sich 2Fa Zugänge meist sehr schnell für ein neues Gerät einrichten bzw. auf ein neues Gerät umstellen. Manchmal muss man dazu den zweiten Faktor einmal kurz deaktivieren und dann wieder mit dem neuen Gerät einrichten. Manche bieten schon bei der Anmeldemaske die Option den zweiten Faktor zurückzusetzen. Dies ist mittlerweile ein automatischer Prozess, der zuverlässig funktioniert.
Bei Passkeys kommt es darauf an, ob virtuell(z.B. in Bitwarden gepeichert) oder physisch(z.B. Yubikey). Physische Keys sollte man immer doppelt haben und auch beide eingerichtet sein. Im Idealfall hast du auch mehrere Authentifizierungsmethoden eingerichtet(z.B. Passkey, Authenticator App, E-Mail) und kannst dann immer auf eine Option zurückgreifen, falls du den Zugriff auf eine der Authentifizierungsmethoden verlierst.
Danke.
Wenn ich Dich richtig verstanden habe, funktioniert das aber nur, wenn ich das Original-Gerät noch habe, oder? Was ja nicht der Fall ist, wenn es verloren, kaputt oder gestohlen ist.
Wenn ich mehrere Authentifizierungsmöglichkeiten einrichte, erzeuge ich damit auch mehrere Angriffsmöglichkeiten. Das scheint mir daher eine eher fragwürdige Strategie zu sein.
"Wenn ich Dich richtig verstanden habe, funktioniert das aber nur, wenn ich das Original-Gerät noch habe, oder? Was ja nicht der Fall ist, wenn es verloren, kaputt oder gestohlen ist."
Nein, bei so ziemlich allen Seiten bei den ich das vor ein paar Monaten gemacht habe, da ich meine Authenticator App gewechselt hatte, konnte ich während der Abfrage des App Codes auf einen Link klicken, der irgendwas wie "Ich habe keinen Zugriff auf das Gerät" hieß und dann wurde mir ein Link per Mail gesendet mit dem ich den zweiten Faktor deaktivieren konnte.
Zum zweiten Punkt verstehe ich deine Logik nicht. Du willst einen single point of failure? Ja, dann berschwer dich nicht, wenn der kompromittiert ist oder gestohlen wird. Ansonsten gilt auch bei der Authentifizierung: Backup haben ist besser als brauchen. My2Cents
Ok, danke. Mir fehlt da zugegeben die Erfahrung (deshalb stelle ich so dumme Fragen…), da mir abgesehen von den erwähnten Banken noch kein Dienst, den ich nutze, eine echte 2-Faktor-Authentisierung überhaupt angeboten hat…
Zum zweiten Punkt; Wenn ich ein (relativ) sicheres Zugangs-Verfahren einrichte und dann als Backup ein weniger sicheres, was nutzt mir dann das sicherere Verfahren?
Im konkreten Fall: Wenn ich lediglich Zugriff auf Deine (in der Regel unverschlüsselte) Email brauche, um die 2-Faktor-Authentisierung zu umgehen — wozu dann überhaupt der Aufwand? Das ist doch irgendwie Blödsinn. Oder was verstehe ich nicht?
Nein das siehst du genau richtig, eine 2FA die du einfach so per mail abschalten kannst, führt das Ganze Ad absurdum… und ist gelinde gesagt Verarsche!
Du bekommst aber im Allgemeinen ein Notfallkey den du dir dringend archivieren solltest, und der sicherstellt, das du noch Zugriff bekommst sollte dein Gerät kaputt gehen, verloren gehen…
und das ist die einzig safe Methode! Nur wer den Sicherheitskey hat kann Änderungen am 2FA vornehmen, ansonsten bleibst du ausgesperrt. Alles andere ist Verarsche die man halt eingeführt hat weil die Masse es nicht blickt.
Alenfalls eine persönliche Identifizierung per Ausweis wäre noch akzepatbel…
Ja, da sprichst du leider ein Grundsätzliches Problem an, bei denen viele Anbieter anscheinend den Weg des geringsten Wiederstand gewählt haben. Wie Luzifer angesprochen hat, gibt es auch Dienste, welche dir nur einen Recovery Code geben und du NUR damit das MFA abschalten kannst. Dann gibt es die Zwischenlösung, bei der du eine Liste von Einmal-Codes erhälts(quasi wie eine TAN-Liste) um temporär Zugriff auf dein Konto zu bekommen. Es ist also ein wilder Flickenteppich und am Ende steht immer die Frage zwischen Komfort und Sicherheit.
Eine Frage war das eigtl. noch nie – Sicherheit ist nunmal mit Komfort (und hier eher im Sinne von Bequemlichkeit) NICHT kompatibel! 🤷♂️
P.S.: Ich bin gerade etwas für das Thema sensibilisiert, weil ich vor kurzem tatsächlich die Situation hatte, dass während eines längeren Auslands-Aufenthalts mein Handy kaputt ging — aber zum Glück noch notdürftig benutzbar blieb. Damit konnte ich dann den Zoo von Banking-Apps auf dem neuen Gerät wieder einrichten. Sonst hätte ich ein ernsteres Problem gehabt.
(Nur bei einer Bank ging das nicht; dort wurde ein Einmal-Passwort per Post verschickt. Was umgekehrt natürlich wieder positiv gewesen wäre, wenn das Handy nicht defekt, sondern gestohlen oder gehackt worden wäre.)
Zitat:
"Ersatztechnologien"
—
und auch bezüglich des von mir oben verlinkten BSI-Ratgebers "passkeys-anmelden-ohne-passwort":
Kann mir jemand Beispiele nennen, wo man sich mit Passkey *ohne* zusätzliches Passwort einloggen kann?
Meiner Meinung und Erfahrung nach sind die Passkeys lediglich ein zweiter Faktor zusätzlich zum Passwort und normalerweise auch zusätzlich zu einer email-Adresse, die man zumindest bei der Erstregistrierung mal benutzt hat und die man dann auch wieder benutzen muss, falls mal eine Anmeldung nicht funktioniert.
Anmeldungen nur mit Passkey ohne Passwort und ohne Email-Adresse sind mir unbekannt.
Nehmen wir an, ich möchte mich in einem Forum anmelden und habe nur den FIDO2-Hardware-Passkey und möchte keine email-Adresse angeben und auch kein Passwort eintippen.
Wie funktioniert das?
Seht ihr, das geht nicht. Weder bei privaten noch bei staatlichen Anbietern. Nirgendwo.
Diese angebliche "Ersatztechnologie" existiert also gar nicht und ist daher auch keine Option.
Der MSFT Authenticator schafft(e) das mühelos zumindest vor ca. 2 Jahren völlig alleine und ohne irgendeine Rückfrage beim Einrichten. Auch wenn man am Smartphone eine nur lokale biometrische Bestätigung einrichten konnte aber nicht musste.
Besonders fatal war aber zumindest damals wenn man/MSFT den Authenticator warum auch immer wieder für das MSOnline Konto deaktivierte.
Dann reicht(e) ein beliebiger der übrigen Zweitfaktoren alleine zum SSO in die gesamte MSFT Welt aus. Nach dem Passwort wurde man auch dann nicht wieder gefragt.
Dadurch konnte sich ein Angreifer frei aussuchen ob er sich lieber alleine in das e-Mailkonto oder eine der Telefonnummer einklinken will. Sowas nenne ich Service.
Doch doch, das geht. Man braucht jetzt nämlich kein Passwort mehr, sondern eine gute alte PIN.
Kein Witz. Habe ich echt schon so gelesen. „Sie brauchen kein Passwort mehr, sondern melden sich einfach mit Ihrer fünfstelligen PIN an."
Warum eine fünfstellige PIN sicherer sein soll als ein zwanzigstelliges Passwort, wurde allerdings nicht verraten.
Es soll ja nach den Vorstellungen einiger grauer Eminenzen mittelfristig alles, einfach alles an die persönliche digitale ID geknüpft werden, mit biometrischen Merkmalen. Dann sind jegliche Passwörter/PINs usw. Geschichte. Mal sehen, wann/wie/ob das durchgesetzt wird.
GB: Kommentar gelöscht, da zu unsachlich
Das ist sicher, weil nach ein paar Fehlversuchen wird der Pin gesperrt. Das kennt man vom Geldautomaten, Karte einstecken, drei mal Pin falsch eingegeben, Karte wird eingezogen.
Ich meine mich zu entsinnen, dass die PIN das Passwort bzw Hash freigibt. Die PIN gilt nur auf dem Rechner und ist nur dort abgelegt, eine Passworteingabe natürlich überall.
Bei Faceunlock bin ich mir nicht sicher, ob das zumindest bei MS nicht munter in die Cloud wandert – und von dort in div. Profile zurück – weiß jemand mehr?
Amazon
Bei MS365 / Entra ID kann man sich schon lange ausschließlich mit einem FIDO2-Hardware-Key anmelden, auch ohne vorher einen Usernamen anzugeben. Mailadresse ist aber natürlich im Hintergrund auch weiter vorhanden.
Nutze
– kein Passkey: Viel zu kompliziert nicht redundant, s.a.o. Bolko (Danke) u.a.
– kein Passwortmanager: Wurde auch schon geknackt
beides besteht auch nur aus Nullen und Einsen.
Für jeden Zugang eigenes Passwort, z.Zt 12-16 div gemischte Zeichen (fast alle im Kopf, weil manche Anbieter, selbst Banken, es nicht hinbekommen); nur auf dem Offlinerechner zur Not verschlüsselt gespeichert. Wurde hier im Blog u. bei Kuketz ja schon ausführlich diskutiert.
Leider fehlt m.M. der Masse die richtige Anleitung od. sie sind zu faul od. zu ?
Hab's mal in KeePassXC mit Passkey versucht. Fürchterliche Erfahrung. Nicht mehr meine Welt.
Benutzername, Passwort, 2FA wo es angeboten wird und Passwortmanager, damit komme ich hervorragend zurecht und mehr brauche ich meiner Ansicht nach auch nicht.
ePerso und Ausweis App ist auch so eine Pest. Drei Geräte für eine Anmeldung, da kommt richtig Freude auf. :/
Master-PW (15-stellig mit Groß-, Kleinbuchstaben, Zahlen, Sonderzeichen) + Dienstanhang + Dienstanhang nach meinem Algo verschlüsselt. So brauche ich mir nur den Master + den Algo merken und habe trotzdem für jeden Dienst ein eigenes, ausreichend sicheres PW. Wo möglich dann noch 2FA, und gut ist. Das PW liegt auch nirgends auf dem Rechner, wo es im Ernstfall abgezogen werden könnte.
Master & Algo liegen notiert im Safe, falls ich mal unverhofft scheide (in dem Alter nichts Außergewöhnliches ;-P) oder Alzheimer mich trifft…
Da müsste schon jemand einbrechen, an der Smarthome-Alarmanlage und der doppelten biologischen Abwehr (2 Mastino-Napoletano-Rüden: 60 kg reine Muskeln, Sehnen und Beißkiefer ;-P) vorbeikommen und auch noch den Safe knacken – was doch sehr unwahrscheinlich ist.
Bisher in über 40 Jahren safe!
Nutze allerdings auch „Einmal-PW" wie 12345678 bei Diensten, wo ich einmal etwas brauche, zum Beispiel für einen Download und danach nie wieder im Leben, oder Foren-PW… die nicht wichtig sind ;-P Man muss halt immer auch auf die Prioritäten achten! Man braucht kein Ultra-PW für einen Kackdienst ;-P
********************************************
Das ist sicher, weil nach ein paar Fehlversuchen wird der Pin gesperrt. Das kennt man vom Geldautomaten, Karte einstecken, drei mal Pin falsch eingegeben, Karte wird eingezogen.
********************************************
Und PW kann man nicht nach 3 Fehlversuchen sperren? Sorry das ist kein Argument! Das ist nen Hirnschiß!
Dann kann aber auch jeder andere dein Passwort sperren wenn er deine Emailadresse oder Benutzernamen kennt und einfach drei mal ein falsches Passwort eingibt.
Paypal will mir Passkeys aufschwatzen.
Und auch REWE will mir Passkeys aufschwatzen. Dort: biometrischer Login statt E-Mail-Adresse/Passwort. Ist ja auch blöd, wenn man an der Kasse das Telefon entsperrt und merkt, dass man ausgeloggt wurde.
Ok, dann schauen wir uns das mal an… Erstmal wird mir auf meinem Samsung-Telefon nur angeboten, dass der Passkey mit einem Samsung-Konto gespeichert wird – habe ich nicht. Alternative Google – möchte ich auch nicht.
Ok, alternative Apps können aktiviert werden, Firefox (vermutlich Firefox-Konto, wieder Cloud) möchte ich auch nicht. KeePass2Android lässt sich aktivieren, funktioniert aber nicht (nicht implementiert?).
Na dann eben nicht.
Ich erinnere mich noch gut an die Worte „The world is hacked" von der 20C3 in Berlin.
Ich glaube, dass wir langfristig über Passwörter und Passkeys hinausdenken müssen. Die eigentliche Frage ist: Wie schaffen wir ein Internet, in dem Identität verlässlich überprüfbar ist, ohne dass jede Plattform ihr eigenes Süppchen kocht, ohne dass die User überfordert sind und so, dass das Ganze Sicher ist.
Für mich läuft es irgendwann auf ein zweigleisiges Modell hinaus:
Ein offenes Internet, in dem anonyme Nutzung weiterhin möglich bleibt. Und daneben ein zweites, geschlossenes Identitäts‑Internet. Technisch könnte das über eine Zertifikatskette laufen, die an den Perso gekoppelt ist und über eine Blockchain‑Struktur abgesichert wird.
Selbst wenn Zugangsdaten mal kompromittiert würden, könnte man seine Identität über die staatliche Signatur und die kryptografische Kette eindeutig belegen. Identitätsdiebstahl wäre damit deutlich schwerer, weil ein Angreifer nicht nur ein Passwort bräuchte, sondern die komplette Signaturkette fälschen müsste. Und man bräuchte noch dazu den echten Ausweis.
Natürlich gibt's auch Risiken. Es wäre ein zentraler Zugangspunkt, der dann wirklich wasserdicht sein muss. Und das Risiko, dass staatliche Repressionen einwirken, kann auch nicht ausgeschlossen werden. Um so wichtiger wäre es aber, dass ein offenes Internet parallel existiert.
Passkeys sind ein guter Zwischenschritt, aber sie lösen das Grundproblem nicht. Wir haben kein globales und wirklich sicheres Identitätssystem. Irgendwann werden wir eines brauchen. Es müsste halt nur richtig gut gemacht sein…