ein paar Gedanken dazu (Achtung, etwas länger) ...
die Sticks haben erstmal nix mit Passkeys zu tun! Geht nicht drum, Passkeys zu erzeugen und die dann auf die Sticks zu "kopieren"!
Diese Sticks sind ja nix Neues. Ganz grob (!) gesagt ist die Idee bei allem was mit sicherer Authentifizierung zu tun hat ja immer daß man ein Schlüsselpaar erzeugt wo ein Teil lokal bei Dir bleibt und ein öffentlicher Teil nach außen geht. Mit dem öffentlichen Teil kann man jetzt eine Art Rätsel erstellen das nur derjenige mit dem privaten Schlüssel lösen und die Antwort zurückschicken kann. Und noch sicherer ist es wenn dieser Schlüssel so erzeugt werden daß er fest mit einem sicheren Hardwarechip "verbandelt" ist, so daß der private Schlüssel gar nicht in ner zugänglichen Datei landet oder so, sondern nur IN diesem Chip lebt und nur da angewendet werden kann. Solche Chips sind eben in diesen FIDO2-Sticks und funktionieren deshalb erstmal unabhängig von Endgeräten, Betriebssystemen, usw. immer sicher. Der jeweilige Server für den ein Account abgesichert werden soll "spricht" mit dem Stick, auf dem Stick wird der passende private Schlüssel abgelegt, auf dem Server der öffentliche Teil und nur wer den Stick besitzt (der im Idealfall noch zusätzlich mit ner PIN oder Fingerabdruck geschützt ist) kann diesen Zugang nutzen.
Das ist natürlich etwas mühsam und weil ja viele unserer Geräte (Rechner, Handys, etc.) inzwischen eh alle schon so einen Sicherheitschip integriert haben, kam die Idee auf, diese gleiche Idee wie oben ohne diese externen Keys nutzbar zu machen. Das ist dann die Grundidee der Passkeys. Statt ein Passwort zu nehmen oder eben so nen USB-Stick erzeugt man jetzt ein Schlüsselpaar auf einem Endgerät. Das wäre dann auch die allersicherste Variante: pro Gerät pro Onlineaccount ein eigenes Schlüsselpaar, das dann eben nur auf diesem einen Gerät funktioniert. Klauen/Kopieren bringt nix, weil der geklaute Schlüssel auf anderen Geräten nicht funktionieren würde.
Wie gesagt, das wäre die allersicherste Variante. Ist aber natürlich sehr mühsam, weil man für jeden Online-Account auf jedem eigenen Gerät dann erstmal so ein Schlüsselpaar erzeugen müsste.
Deshalb gibt es dann verschiedene Stufen, wo die Keys jetzt eben nicht mehr nur pro Gerät funktionieren, sondern z.B. an sowas wie ne AppleID gekoppelt sind und dadurch über mehrere Geräte hinweg genutzt werden können. Wie das genau funktioniert, da hätte ich auch sehr gerne mal einen gründlicheren Artikel. Das ist auf jeden Fall nicht mehr ganz so sicher wie die obere Methode. Aber halt immer noch viel sicherer als ein Passwort das abgehört, geknackt, geklaut, etc. werden kann.
Wichtig sind glaub erstmal ein paar Dinge:
- es gibt nicht "den EINEN Passkey" sondern auch da verschiedene Stufen mit unterschiedlicher Sicherheit und unterschiedlichem Komfort
- für Online-Accounts gibt es nicht nur die Möglichkeit, EINEN Passkey bzw. Schlüsselpaar allgemein zu erzeugen. Man kann und sollte mehrere parallel haben. Also z.B. für bequemes Arbeiten auf den täglich genutzten Geräten jeweils Passkeys, damit der Login-Vorgang möglichst einfach, schnell und trotzdem sicher geht. Parallel dazu dann z.B. ein FIDO2-Stick als Backup-Lösung für den Safe und/oder Schlüsselbund, usw. (wie gesagt da werden dann nicht die Passkeys "draufkopiert" sondern der muß parallel auf der jeweiligen Seite zusätzlich eingerichtet werden!).
- weder Passkey noch sonst irgendwas wird vermutlich jemals ALLE Usertypen und Anforderungen in Sachen Sicherheit, Komfort, usw. abdecken können. Du sprichst einerseits mehrfach von der "Oma", andererseits aber von Deinen Anforderungen mit verschiedenen Plattformen und Zugängen und fremden Geräten usw. Legitim, klar, aber das ist doch nicht der gleiche Fall? Deine Anforderungen gehen doch über die Bedürfnisse des Normalusers und erst recht der "Oma" sehr weit hinaus. Von daher muß man auch jeden Fall einzeln und genau betrachten.
- Das ganze Thema ist ja noch in der Entwicklung. Ein "wenn das nicht jetzt alle Bedürfnisse und alle Anwendungsfälle umfassend abdeckt kann das ja nix taugen" wäre einfach dem was diese Technik potentiell leisten kann recht unfähr gegenüber. Ja, da muß noch viel passieren. Und ja, da ist noch nicht alles perfekt. Aber auch jetzt schon können Passkeys gegenüber andere Methoden mehr Sicherheit und/oder mehr Komfort bringen (z.B. auf den meistgenutzten Geräten als Ersatz für Passwort plus 2FA-Authentifizierung).
- Klar können Passkeys die man teilen/syncen kann auch "geklaut" werden. Aber eben höchstens von Dir direkt wie bei nem Hausschlüssel oder so und nicht auf Serverseite, beim Einloggen selbst, durch Brutforce erraten, durch Phishing "erbeutet", usw. Da muß man dann eben schauen welchen Kompromiss aus Sicherheit und Komfort man für sich selbst und/oder für unterschiedliche Accounts braucht.
- Noch werden einem ja nirgends Passkeys "aufgezwungen". Sie sind höchstens eine zusätzliche Option. Bis sich das ändert wird es noch sehr lange dauern (auf IT-Zeiträume gerechnet).
So, erstmal Schluß für heute Sicher nicht alle Fragen beantwortet (was ich sicher auch nicht könnte), aber vielleicht ein paar Gedanken ins Spiel gebracht.
Diese Sticks sind ja nix Neues. Ganz grob (!) gesagt ist die Idee bei allem was mit sicherer Authentifizierung zu tun hat ja immer daß man ein Schlüsselpaar erzeugt wo ein Teil lokal bei Dir bleibt und ein öffentlicher Teil nach außen geht. Mit dem öffentlichen Teil kann man jetzt eine Art Rätsel erstellen das nur derjenige mit dem privaten Schlüssel lösen und die Antwort zurückschicken kann. Und noch sicherer ist es wenn dieser Schlüssel so erzeugt werden daß er fest mit einem sicheren Hardwarechip "verbandelt" ist, so daß der private Schlüssel gar nicht in ner zugänglichen Datei landet oder so, sondern nur IN diesem Chip lebt und nur da angewendet werden kann. Solche Chips sind eben in diesen FIDO2-Sticks und funktionieren deshalb erstmal unabhängig von Endgeräten, Betriebssystemen, usw. immer sicher. Der jeweilige Server für den ein Account abgesichert werden soll "spricht" mit dem Stick, auf dem Stick wird der passende private Schlüssel abgelegt, auf dem Server der öffentliche Teil und nur wer den Stick besitzt (der im Idealfall noch zusätzlich mit ner PIN oder Fingerabdruck geschützt ist) kann diesen Zugang nutzen.
Das ist natürlich etwas mühsam und weil ja viele unserer Geräte (Rechner, Handys, etc.) inzwischen eh alle schon so einen Sicherheitschip integriert haben, kam die Idee auf, diese gleiche Idee wie oben ohne diese externen Keys nutzbar zu machen. Das ist dann die Grundidee der Passkeys. Statt ein Passwort zu nehmen oder eben so nen USB-Stick erzeugt man jetzt ein Schlüsselpaar auf einem Endgerät. Das wäre dann auch die allersicherste Variante: pro Gerät pro Onlineaccount ein eigenes Schlüsselpaar, das dann eben nur auf diesem einen Gerät funktioniert. Klauen/Kopieren bringt nix, weil der geklaute Schlüssel auf anderen Geräten nicht funktionieren würde.
Wie gesagt, das wäre die allersicherste Variante. Ist aber natürlich sehr mühsam, weil man für jeden Online-Account auf jedem eigenen Gerät dann erstmal so ein Schlüsselpaar erzeugen müsste.
Deshalb gibt es dann verschiedene Stufen, wo die Keys jetzt eben nicht mehr nur pro Gerät funktionieren, sondern z.B. an sowas wie ne AppleID gekoppelt sind und dadurch über mehrere Geräte hinweg genutzt werden können. Wie das genau funktioniert, da hätte ich auch sehr gerne mal einen gründlicheren Artikel. Das ist auf jeden Fall nicht mehr ganz so sicher wie die obere Methode. Aber halt immer noch viel sicherer als ein Passwort das abgehört, geknackt, geklaut, etc. werden kann.
Wichtig sind glaub erstmal ein paar Dinge:
- es gibt nicht "den EINEN Passkey" sondern auch da verschiedene Stufen mit unterschiedlicher Sicherheit und unterschiedlichem Komfort
- für Online-Accounts gibt es nicht nur die Möglichkeit, EINEN Passkey bzw. Schlüsselpaar allgemein zu erzeugen. Man kann und sollte mehrere parallel haben. Also z.B. für bequemes Arbeiten auf den täglich genutzten Geräten jeweils Passkeys, damit der Login-Vorgang möglichst einfach, schnell und trotzdem sicher geht. Parallel dazu dann z.B. ein FIDO2-Stick als Backup-Lösung für den Safe und/oder Schlüsselbund, usw. (wie gesagt da werden dann nicht die Passkeys "draufkopiert" sondern der muß parallel auf der jeweiligen Seite zusätzlich eingerichtet werden!).
- weder Passkey noch sonst irgendwas wird vermutlich jemals ALLE Usertypen und Anforderungen in Sachen Sicherheit, Komfort, usw. abdecken können. Du sprichst einerseits mehrfach von der "Oma", andererseits aber von Deinen Anforderungen mit verschiedenen Plattformen und Zugängen und fremden Geräten usw. Legitim, klar, aber das ist doch nicht der gleiche Fall? Deine Anforderungen gehen doch über die Bedürfnisse des Normalusers und erst recht der "Oma" sehr weit hinaus. Von daher muß man auch jeden Fall einzeln und genau betrachten.
- Das ganze Thema ist ja noch in der Entwicklung. Ein "wenn das nicht jetzt alle Bedürfnisse und alle Anwendungsfälle umfassend abdeckt kann das ja nix taugen" wäre einfach dem was diese Technik potentiell leisten kann recht unfähr gegenüber. Ja, da muß noch viel passieren. Und ja, da ist noch nicht alles perfekt. Aber auch jetzt schon können Passkeys gegenüber andere Methoden mehr Sicherheit und/oder mehr Komfort bringen (z.B. auf den meistgenutzten Geräten als Ersatz für Passwort plus 2FA-Authentifizierung).
- Klar können Passkeys die man teilen/syncen kann auch "geklaut" werden. Aber eben höchstens von Dir direkt wie bei nem Hausschlüssel oder so und nicht auf Serverseite, beim Einloggen selbst, durch Brutforce erraten, durch Phishing "erbeutet", usw. Da muß man dann eben schauen welchen Kompromiss aus Sicherheit und Komfort man für sich selbst und/oder für unterschiedliche Accounts braucht.
- Noch werden einem ja nirgends Passkeys "aufgezwungen". Sie sind höchstens eine zusätzliche Option. Bis sich das ändert wird es noch sehr lange dauern (auf IT-Zeiträume gerechnet).
So, erstmal Schluß für heute Sicher nicht alle Fragen beantwortet (was ich sicher auch nicht könnte), aber vielleicht ein paar Gedanken ins Spiel gebracht.