Passkey statt Passwort?! Wie haltet Ihr das Online mit dem Zugang/Schutz?!

dieweltistrund

dieweltistrund

ww-robinie
Registriert
31. März 2014
Beiträge
1.625
Alter
59
Ort
Eifel
Hallo Kollegen,

im DLF kam Heute im Verbrauchertip dieser Beitrag https://www.deutschlandfunk.de/passkey-statt-passwort-dlf-f2f91581-100.html zum Thema Passwörter versus Passkey. Hatte davon so noch nichts gehört und frage mich ob ich umsteigen kann/soll und ob es besser ist jetzt umzusteigen? Wenn ich das richtge verstehe, ist es so wie beim Online Banking mit SecureGo +, Bestsign oder liege ich da falsch?!

Wie handhabt Ihr das denn? Benutzt jemand Passkey und wie sind die Erfahrungen?

Gruß
Jörg
 
KaiX0

KaiX0

ww-robinie
Registriert
2. November 2021
Beiträge
1.938
Ort
Stubben bei Bad Oldesloe
Ich überlege das gerade. Bisher nutze ich Passphrases, etwa

IchfindedasWoodworkerForumrichtiggut
wird zu
1fdWFrg#
Das ist aber zu kurz, daher verdoppeln
IfdWFrg#IfdWFrg#

Um brute-force Angriffe abzuwehren, sind Passwortlänge und die Größe des Zeichensatzes (Groß-/Kleinschreibung, Sonderzeichen, Ziffern) wichtig.
Und natürlich muss je account eine eigenes PW verwendet werden.
Zudem setze ich, wo immer mgl., 2FA Authentifizierung ein (i.d.R. ist dann das Smartphone der 2 Faktor).

PW Manager haben da natürlich Vorteile. ABER: verlierst Du den Zugriff auf den PW- Manager, ist alles! futsch...
 

inselino

ww-robinie
Registriert
15. Januar 2017
Beiträge
903
Hm finde den Beitrag etwas nichtssagend. Mir ist nicht klar, was jetzt passkey genau ist.

Das herausgestellte Merkmal eines öffentlichen und eines privaten Schlüssels ist ja ein alter Hut, gab es bei RSA schon vor ich weiß nciht wie vielen Jahren.
Jetzt habe ich mal geschaut und wie vermutet ist das von einer Interessensgruppe (FIDO Allianz) entwickelt worden. Das heißt eine Website müsste das implementieren um es nutzen zu können. Dann ist es natürlich super. Aktuell geht das z.B. bei Google Diensten, Apple und anderen großen aber sicherlich nicht im Woodworker Forum. Dementsprechend wird man nicht um passwörter herum kommen.

KaiX0 schrieb:
IchfindedasWoodworkerForumrichtiggut
wird zu
1fdWFrg#
Das ist aber zu kurz, daher verdoppeln
IfdWFrg#IfdWFrg#
Zum Vergrößern anklicken....

Das ist eigentlich der falsche Weg. Nimm einfach den ersten Satz und du hast das aller sicherste passwort aus den von dir genannten.
 
KaiX0

KaiX0

ww-robinie
Registriert
2. November 2021
Beiträge
1.938
Ort
Stubben bei Bad Oldesloe
inselino schrieb:
Hm finde den Beitrag etwas nichtssagend. Mir ist nicht klar, was jetzt passkey genau ist.

Das herausgestellte Merkmal eines öffentlichen und eines privaten Schlüssels ist ja ein alter Hut, gab es bei RSA schon vor ich weiß nciht wie vielen Jahren.
Jetzt habe ich mal geschaut und wie vermutet ist das von einer Interessensgruppe (FIDO Allianz) entwickelt worden. Das heißt eine Website müsste das implementieren um es nutzen zu können. Dann ist es natürlich super. Aktuell geht das z.B. bei Google Diensten, Apple und anderen großen aber sicherlich nicht im Woodworker Forum. Dementsprechend wird man nicht um passwörter herum kommen.



Das ist eigentlich der falsche Weg. Nimm einfach den ersten Satz und du hast das aller sicherste passwort aus den von dir genannten.
Zum Vergrößern anklicken....
Kennst Du diese admins, die aus unerfindlichen - und manchmal auch technischen Gründen - die Passwortlänge begrenzen?
 
dieweltistrund

dieweltistrund

ww-robinie
Registriert
31. März 2014
Beiträge
1.625
Alter
59
Ort
Eifel
Hallo Tom, hallo Kollegen,

die Methode Satzphrase kenne ich.

Habe mal etwas gesucht und das hier bei Microsoft gefunden:
https://support.microsoft.com/de-de...-windows-301c8944-5ea2-452b-9886-97e4d2ef4422

Der Betrag ist wohl für win11 und hat wohl die 2 Wege Schlüssel/Verteilung auf Desktop und Smartphone/tablet.

Bei meinem Acount bei der Krankenkasse bekomme ich beim login eine SMS mit einem 6 zahligen Code, das klappt gut, aber das brauche ich 1-2 mal im Monat also nicht praktikabel für die täglichen Sachen.

Kann man diesen PM (meint wohl Passwortmanager, oder?) nicht über ein 2-3 Wege Zugang so absichern, das man immer selber dran kommt?

Fragen über Fragen...

Gruß
Jörg
 
dieweltistrund

dieweltistrund

ww-robinie
Registriert
31. März 2014
Beiträge
1.625
Alter
59
Ort
Eifel
KaiX0

KaiX0

ww-robinie
Registriert
2. November 2021
Beiträge
1.938
Ort
Stubben bei Bad Oldesloe
Grundsätzlich bleibt zu sagen: 2 Faktor ist, wenn immer möglich, Pflicht! Meine Nachbarin erhielt im Dezember die automatische Nachricht, sie hätte ihr Passwort bei GMX geändert. Ein sofortiger Loginversuch schlug fehl, erwartungsgmäss. Die Passwort-Zurücksetzen Funktion schlug auch fehl, da der Hacker sofort eben diese GMX eMail Adresse als Notfalladresse hinterlegt hat. Warum das überhaupt geht (es technisch ein Kinderspiel, das zu unterbinden) müssen die Profis von GMX mal erklären.
Naja, und soll ich jetzt etwas zum Support von GMX schreiben? Der existiert schlicht nicht, es gibt keinen Kanal, auf dem ein so schwerwiegendes Problem gemeldet werden kann.
Im Ergebnis ist Ihr eMail-Konto gekapert und wer weiß, wozu es nun missbraucht wird. Ich habe ihr natürlich zu einer Strafanzeige und einer schriftlichen Anzeige bei GMX geraten.

Hätte sie die 2FA genutzt, hätte sie den PW- Wechsel z. B. auf dem Smartphone bestätigen müssen ->es wäre nix passiert!
 
willyy

willyy

ww-robinie
Registriert
19. Oktober 2020
Beiträge
2.222
Ort
Pfaffenhofen (Ilm)
Wenn es die Haupt-email Adrese erwischt, was jemand gekapert hat, dann wird es echt böse. Ich hatte ganz früher mal auf mehreren Accounts dasselbe Passwort. Das ist ganz übel und mittlerweile absolut ein no go.
Bin damals noch glimpflich rausgekommen. Mittlerweile habe ich ein paar DIN A 4 Seiten mit Passwörtern voll. Auch zu 30+ Online Shops merke ich mir kein Passphrasen mehr.
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.
 
KaiX0

KaiX0

ww-robinie
Registriert
2. November 2021
Beiträge
1.938
Ort
Stubben bei Bad Oldesloe
willyy schrieb:
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.
Zum Vergrößern anklicken....
Meinst Du das Risiko des Verlustes? Ja, das ist auch mein Punkt. Allerdings kann man ja Kopien auf USB-Sticks im physikalischen Tresor, im Backup, in der gut gesicherten Cloud etc. vorhalten.
Das entschlüsseln/hacken sollte, solange niemand mit einem Quantencomputer daher kommt, allerdings praktisch unmöglich und damit sicher sein.
 

Flyer01

ww-esche
Registriert
10. Februar 2013
Beiträge
403
willyy schrieb:
Wenn es die Haupt-email Adrese erwischt, was jemand gekapert hat, dann wird es echt böse. Ich hatte ganz früher mal auf mehreren Accounts dasselbe Passwort. Das ist ganz übel und mittlerweile absolut ein no go.
Bin damals noch glimpflich rausgekommen. Mittlerweile habe ich ein paar DIN A 4 Seiten mit Passwörtern voll. Auch zu 30+ Online Shops merke ich mir kein Passphrasen mehr.
Und verschlüsselten Passwort Tresoren (Passwort Manager) auf der Festplatte traue ich auch nicht.
Zum Vergrößern anklicken....
Ich sehe kein Problem darin, ein Passwort für mehrere Accounts zu nutzen, wenn dieses denn praktisch unknackbar ist.
Aber zu deiner Blättersammlung: in unserem Unternehmen wurde von der IT Keepass "angeordnet" und das funktioniert hervorragend.

Nachtrag: Aktionen auf dem Smartphone mache ich nur noch per Fingerabdruck. Man muss nur vorher die Leimreste runterrubbeln :emoji_wink:
 

inselino

ww-robinie
Registriert
15. Januar 2017
Beiträge
903
Flyer01 schrieb:
ch sehe kein Problem darin, ein Passwort für mehrere Accounts zu nutzen, wenn dieses denn praktisch unknackbar ist.
Zum Vergrößern anklicken....
1. Es gibt keine Unknackbaren Passwörter. (Aber das ist nicht das Hauptproblem)
2. Wenn du das PW beim Holzwerkerforum und beim Online-Banking verwendest und der Server vom Holzwerkerforum wird gehackt und die Passwörter abgeschnorchelt, dann bringt dir das unknackbarste Passwort überhaupt nichts.
3. Kein Dienst ist so sicher, dass er nicht gehackt werden kann. Das liegt daran, dass diese Dienste alle durch Menschen betrieben werden und damit immer angreifbar sind.
 

Flyer01

ww-esche
Registriert
10. Februar 2013
Beiträge
403
Zu 2 und 3 stimme ich dir zu. Ein Grund mehr Keepass o. Ä. zu nutzen.
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.
 
KaiX0

KaiX0

ww-robinie
Registriert
2. November 2021
Beiträge
1.938
Ort
Stubben bei Bad Oldesloe
Flyer01 schrieb:
Zu 2 und 3 stimme ich dir zu. Ein Grund mehr Keepass o. Ä. zu nutzen.
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.
Zum Vergrößern anklicken....
1 stimmt insofern, als steigende Rechenleistung auch heute schon den Aufwand für das Knacken v. PW kontinuierlich sinken lässt. Nocjhh ist das eher theoretisch, aber wer weiß...
 

Pringles87

ww-robinie
Registriert
17. November 2019
Beiträge
894
Ort
Wug
inselino schrieb:
2. Wenn du das PW beim Holzwerkerforum und beim Online-Banking verwendest und der Server vom Holzwerkerforum wird gehackt und die Passwörter abgeschnorchelt, dann bringt dir das unknackbarste Passwort überhaupt nichts.
Zum Vergrößern anklicken....
Dann müsste es aber eine Verbindung vom Forum zum online-Banking geben. Klar ist das in anderen Fällen einfacher, z.b. wenn das PW bei seinen Mailanbietern, Onlineshops, etc. genutzt wird, denn da kommt man leichter auf eine Verbindung. Obwohl, da kann man dann auch wieder auf die Kontoinformationen kommen
 
VENEREA

VENEREA

ww-robinie
Registriert
27. Dezember 2005
Beiträge
963
Ort
Franken
Onlinebanking, Paypal, Krankenkasse, etc ist doch eh alles doppelt geschützt

Wenn du bei mir was holen willst, brauchst du meine Iban ( Nicht schwer raus zu bekommen)
Mein Passwort ( schon schwerer)
Mein Handy
Mein Gesicht zum entsperren
Mein Passwort vom Push-tan, bzw. meinem Authenticator.

Wird schwer werden :emoji_grin:

Gruß Sebastian
 

inselino

ww-robinie
Registriert
15. Januar 2017
Beiträge
903
Flyer01 schrieb:
Dass PW theoretisch alle knackbar sind ist doch klar. Aber einen Quantencomputer haben wohl die wenigsten Kriminellen daheim.
Zum Vergrößern anklicken....
Du denkst nach wie vor viel zu kurz. Passwort knacken umfasst nicht unbedingt Quantencomputing. Es heißt erstmal nur dein Passwort rausfinden.
das heißt ich kann
a) Mir Zugang zu einer Datenbank verschaffen wo dein Passwort drinsteht z.B. bei einer Internetseite mit weniger Sicherheitsvorkehrungen
b) Dein Passwort phishen ggf. mit Social Engineering
c) Mir Zugang zu einem deiner Systeme verschaffen und einen Keylogger nutzen
d) Bei dir einbrechen und nach aufgeschriebenen Passwörtern suchen

Das ist jetzt für den Phisher von Nebenan der einfach 10.000 gleiche Mails verschickt sicher nichts, der geht auf Masse statt Klasse. Aber schwierig ist das alles nicht.
Pringles87 schrieb:
Dann müsste es aber eine Verbindung vom Forum zum online-Banking geben.
Zum Vergrößern anklicken....
Auch die gibt es viel einfacher als du vermutlich denkst. Wie viele Leute speichern beim Online-Einkauf ihre Bank/Kreditkartendaten um den Bezahlvorgang abzukürzen? Und bei wie vielen dieser Dienste kannst du dich mit Mailadresse + Passwort anmelden?
Du siehst, ich muss nicht wissen wo du dein Konto hast.
Es reicht wenn ich alle Mail-Adressen + Passwort kombinationen die ich habe auf diversen Websites (Amazon, Maildienste etc.) durchprobiere.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Oben Unten