Nutzt schon jemand passkey?

  • KeyPassXC will wohl einen PassKey-Safe in sein Programm aufnehmen.

    Der Vorteil einen Passwordmanager zu nehmen liegt darin dass - sofern der Passwordmanager auf alle OS Platformen verfuegbar ist - damit platformunabhaengig ist. So wie ich es verstehe gibt es Support fuer Mac & Android. Windows haengt da wohl irgendwie schraeg drin. Linux wird bislang nicht direkt unterstuetzt. Und mit einem Passwordmanager auf Linux waere das sofort verfuegbar.

    :no_sad: ... Kein Backup - kein Mitleid ... :no_sad:
    Ich nutze raspiBackup um meine Raspberries
    regelmäßig und zuverlässig
    einmal pro Woche zu sichern

  • Ähm, evtl. hab ich dich missverstanden:

    KeePassXC ist für die Plattformen Windows (8/10/11), Linux, Mac, Android verfügbar. IOS weiß ich nicht, hab ich nicht, ein Blick auf die Seite sollte reichen.

    WENN die PassKey in den PM integrieren, würden (hoffentlich) die Schlüsseldaten (ebenfalls) im KeePassXC-Datenbankfile gespeichert und somit "aus der Cloud" raus. Wäre mir absolut recht.

    Frage ist dann, wie man das dann bedient: Es gibt ja Plugins für Chrome (Firefox weiß ich nicht), aber ich bin eher noch "old School" und kopiere Username/PW per Copy/Paste (Strg-C/V) in die entsprechenden Felder...

    Bin gespannt, bis die 2.8 kommt, bin ich bei PassKey erstmal "raus" :)

  • Ähm, evtl. hab ich dich missverstanden:

    Nein. KeepassXC ist unter den von Dir genannten Plattofmen verfuegbar und somit in meinen Augen perfekt fuer mich geeignet um passkey auf Linux zu nutzen.

    WENN die PassKey in den PM integrieren, würden (hoffentlich) die Schlüsseldaten (ebenfalls) im KeePassXC-Datenbankfile gespeichert und somit "aus der Cloud" raus. Wäre mir absolut recht.

    Stimmt. Damit liegt alles auf einem System und Du musst die Daten dann manuell auf andere System kopieren. Das sehe ich aber auch nicht als grosses Problem an.

    Frage ist dann, wie man das dann bedient:

    Da bin ich ganz bei Dir :)

    Bin gespannt, bis die 2.8 kommt, bin ich bei PassKey erstmal "raus" :)

    Ich auch. Vergiss aber nicht uns in diesem Thread zu Updaten ;)

    :no_sad: ... Kein Backup - kein Mitleid ... :no_sad:
    Ich nutze raspiBackup um meine Raspberries
    regelmäßig und zuverlässig
    einmal pro Woche zu sichern

  • Ich nutze tatsächlich KeePassXC "parallel" unter Windos 10 / Linux (Ubuntu/Debian) und Android (Motorola).

    Die Password-DB liegt auf meinem (hausinternen, nicht von extern erreichbarer) Synology-NAS, per SMB erreichbar.

    Natürlich mit entsprechenden Backups :)

    Einziger "Stress" ist die Synchronisation mit Android... das mach ich aber eher selten, da ich die Zugangsdaten dort eher selten brauche.

    Da helfe ich mir ggf. mit einem USB-Stick, den ich an das Mobile anstecke, geht immer noch am einfachsten...

  • Der Hoster hat den Key und die Seite, die den Key anfordert. Ob der Key verschlüsselt ist ode4r nicht ist egal, den den Schlüssel hat die Seite, die aufgerufen wird. Wer hinter dem Account steht, sieht der Hoster spätestens dann, wenn auf die Seite eingeleggt wurde.

    Weißt Du was ich meine? ;)

    Die Antwort von Google ist dann übrigens in etwa so: "Wir bedauern diesen Vorfall zutiefst, aber die Daten der betroffenen User waren zu jedem Zeitpunkt sicher. Ausenstehende (Hacker) hatten keine Zugriff darauf."

    Wenn der Key verschlüsselt abgelegt ist kann der Hoster wie genau den Key nutzen ohne das Passwort für die Verschlüsselung zu kennen?

  • Wenn der Key verschlüsselt abgelegt ist kann der Hoster wie genau den Key nutzen ohne das Passwort für die Verschlüsselung zu kennen?

    Sofern die Anwendung zur Passwortverwaltung nicht direkt von Google stammt, sollte man etwas sicherer unterwegs sein. Sich nur auf eine Partei zu verlassen, ist keine weise Entscheidung.

    Nach meinem Kenntnisstand verschlüsseln die Passwort-Manager, bevor die Datensicherung in der Cloud gemacht wird.

  • Ich würde nicht nur auf die Passwortverwaltung schauen, sondern auch auf das Betriebssystem. Falls das von Google ist, wäre mir das auch zu unsicher. Und man muss hier auch immer noch im Hinterkopf behalten, dass die Tech-Giganten sich *vielleicht* noch zusammenreissen, aber die sind alle in den USA und da gibt's ja auch noch Behörden, die gerne wegen der ganzen bösen Terroristen auf alles Zugriff haben wollen und gegebenenfalls Druck auf die Firmen ausüben.

    “Unfortunately forty years of programming experience has taught me that there's an essentially infinite supply of mistakes to make … your mistakes just get smarter most of the time.” — Steve Holden

  • Hallo,

    nach meinem Verständnis hat ein Teile des Schlüssels doch gar nicht mit dem Betrieber der Webseite oder dem "Erfinder" des Dienstes zu tun, weil ein Teil des Schlüssels lokal im Sicherheitschip / TPM des Rechners / des Smartphone liegt.

    Auf meinem Lenovo T14S konnt ich unter Windows 11 kein Passkey für den Login bei Google anlegen. Lt. Meldung geht das nicht.

    Klar kann man jetzt spekulieren, ob der Hersteller von Hardware $FOO (z.B. Apple für iPhones) nicht doch irgendwie hinterum Zugriff auf im TPM gespeicherte Daten hat. Aber dann darf man IMHO auch die Sicherheit jeglicher Passwörter, die irgendwi irgendwo gespeichert sind, in Frage stellen.

    Gruß, noisefloor

  • D.h. nach einem Mainboardwechsel hat man ein großes Problem, sofern TPM verwendet wird. Das haben auch schon einige erfahren müssen, die ihre Festplatte unter Windows mit Bitlocker verschlüsselt haben. Nach einem Mainboard-Tausch kommt man nicht mehr an die Daten ran, sofern man den Master-Key nicht gesichert hat. Der ist dann auf dem alten Mainboard und wenn das Mainboard kaputt ist, hat man ein Problem.

  • Moin.

    Gute Frage - keine Ahnung, wie das läuft. Das Problem bestünde ja auch z.B., wenn man sein Smartphone verliert.

    Lt. C't wird bei den Smartphones ja alles in der Cloud gesichert. Man sollte bei dem neunen Phone sich mit der alten Kennung bei der Cloud( Apple, google usw.) anmelden. Dann soll sich alles wieder synchronisieren.

    Bin aber auch sehr skeptisch.

    73 de Bernd

    Ich habe KEINE Ahnung und davon GANZ VIEL!!
    Bei einer Lösung freue ich mich über ein ":thumbup:"
    Vielleicht trifft man sich in der RPi-Plauderecke.
    Linux ist zum Lernen da, je mehr man lernt um so besser versteht man es.

  • Login-Verfahren: BSI empfiehlt die Nutzung von Passkeys
    Eine aktuelle Verbraucherbefragung zum passwortlosen Authentisierungsverfahren Passkeys zeigt auf: positive Nutzerresonanz, Nachholbedarf bei der Bekanntheit
    www.bsi.bund.de

    Da Bitwarden mittlerweile auch die Unterstützung von Passkeys intergriert hat in der Browsererweiterung als auch in der mobilen App, werd ich es mal beginnen auszuprobieren.

Participate now!

Don’t have an account yet? Register yourself now and be a part of our community!