Windows 11: Verwendung von Passkeys soll noch einfacher werden

[DrWindows]

Windows 11: Verwendung von Passkeys soll noch einfacher werden
von Kevin Kozuszek

Es mag mitten in den aktuellen Bemühungen um Künstliche Intelligenz bei Microsoft mittlerweile stärker untergegangen sein, aber auch andere Initiativen werden von den Redmondern noch weiter verfolgt. Eine altbekannte davon hat mit der passwortlosen Zukunft jetzt ein Upgrade erhalten, denn Microsoft kündigt für Windows 11 drei neue Funktionen an, die die Verwendung von Passkeys noch einfacher machen sollen.

In den nächsten Monaten soll die Benutzeroberfläche von Windows Hello überarbeitet werden, damit auch die Einrichtung von Passkeys übersichtlicher wird. Steuert man im Browser eine Website an, die Passkeys unterstützt, wird Windows 11 selbstständig einen Hinweis geben, wie man weiter verfahren kann. Microsoft arbeitet außerdem daran, dass Passkeys auch synchronisiert und auf anderen Windows-Geräten verwendet werden können.

Zuletzt sollen auch Drittanbieter einfacher an Windows Hello über ein neues Plugin-Modell andocken können. Hierfür arbeitet Microsoft eng mit Unternehmen wie 1Password und Bitwarden zusammen. Die neuen Funktionen sollen in den nächsten Monaten zunächst an Windows Insider verteilt und hier weiter getestet werden.

+ alles anzeigen - weniger anzeigen

Hinweis: Der Artikel wird möglicherweise nicht vollständig angezeigt, eingebettete Medien sind in dieser Vorschau beispielsweise nicht zu sehen.

Artikel im Blog lesen

 

[reklov2708]

Eingerichtet im Microsoft-Konto unter "Sicherheit" > "Verwalten, wie ich mich anmelde". Funktioniert, in Verbindung mit Apple Passkey auf dem Mac und auch mit PIN auf dem Windows-PC.

 

[ntoskrnl]

Ich sehe Passkeys sehr problematisch.
Ich möchte nicht all meine Accounts an einen Anbieter/Account binden. Ohne Möglichkeit des Datenexports.

Wer die benutzt sollte zumindest wissen worauf er sich einläßt.

Firstyear's blog-a-log

Firstyear's blog

fy.blackhats.net.au

 

[H3llNuN]

Ich sehe Passkeys sehr problematisch.
Ich möchte nicht all meine Accounts an einen Anbieter/Account binden. Ohne Möglichkeit des Datenexports.

Wer die benutzt sollte zumindest wissen worauf er sich einläßt.

Ich nutze auch Passkeys, jedoch in meiner eigenen Bitwarden/Vaultwarden Wallet. Die liegt bei mir Zuhause auf nem RasPi. An Microsoft, Google & co. muss man sich hierfür nicht binden.

 

[PexWeg]

Ich sehe Passkeys sehr problematisch.

Ich auch:

Die Sicherheit leidet, denn jede andere Art als gute Passwörter sind sicherheitstechnisch schlechter
(solange es noch keine sinnvolle Gedankenleserei gibt).

PIN ... schlechter wie Passwort, gerade letztes mal im Hotel gesehen: PIN war 123456, also keine
wirkliche Verbesserung und meist weniger komplex wie gute Passwörter.
Biometrie (Fingerabdruck, Gesichtserkennung) noch schlechter noch dazu wenn man bedenkt dass in vielen Staaten
der Welt inzwischen nur Passwort (im Gehirn) rechtlich geschützt ist (und geschützt werden kann) und mit Biometrie zwangsweises entsperren Usus wurde (bei Toten sowieso schon länger).

Und der für mich entscheidende Nachteil:

Wer Zugriff auf Gerät/Account* erlangt, kann auf alle passkey-gesicherten Web-Dienste zugreifen -> auf Nutzerseite potentiell hackbar

Passwörter adé? Wie sicher sind Passkeys? – Datenschutz – Unter dem Radar

blogs.tu-berlin.de

Und nur so zum Nachdenken über das gesamte Thema der Sicherheit von biometrischem Zugang statt Passwörtern:

Polizei entsperrt iPhones mit Fingern von Toten

Um die Verschlüsselung des iPhones zu umgehen, nutzen Polizisten in den USA die Fingerabdrücke von Verstorbenen, um via Touch ID Zugriff auf das Smartphone zu erhalten.

www.basicthinking.de

 

[Kevin Kozuszek]

Ich nutze auch Passkeys, jedoch in meiner eigenen Bitwarden/Vaultwarden Wallet. Die liegt bei mir Zuhause auf nem RasPi. An Microsoft, Google & co. muss man sich hierfür nicht binden.

Generell könnte man hierfür sogar auf KeePass setzen, wenn man das richtige Derivat nimmt. KeePassXC hat zum Beispiel mit Version 2.7.7 im März die Unterstützung hinzugefügt.

KeePassXC 2.7.7 released – KeePassXC

KeePassXC Password Manager

keepassxc.org

 

[PexWeg]

Ich bin ja auch schon gespannt wann nette Webseiten das ganze System dann mal ausnützen und die Cryptochallenges dann an die Geräte massenhaft schicken und somit DDOS Attacken auf den Clients
loslassen (denn nur die haben ja die privaten Keys gespeichert bei dem Verfahren und müssen ja kontaktiert werden).

Da lob ich mir oneway Username/Password Logins wo die Webseite nicht zurückreden kann.

Gibt ja auch schon ein nettes Paper dazu, zur FIDO2 Sicherheit:

https://www.ndss-symposium.org/wp-content/uploads/2024-327-paper.pdf

 

[IngoBingo]

PIN ... schlechter wie Passwort, gerade letztes mal im Hotel gesehen: PIN war 123456, also keine

Die Sicherheit einer PIN kommt normalerweise dadurch, dass man sie nur wenige Male probieren kann. In z.B. drei Versuchen eine sechsstellige PIN zu raten ist schon nicht einfach.

Zudem ist eine PIN bei PC oder Smartphone an das Gerät gebunden. Schaut dir jemand dein sicheres Passwort ab, kann er das mit diesem Konto auf beliebigen Geräten nutzen. Die PIN hilft ohne das Gerät wenig.

meist weniger komplex wie gute Passwörter.

Aber wie viele Leute setzen denn komplexe Passwörter?
Sie müssen lang sein, keine Inhalte aus Wörterbüchern haben, nicht mit dir in Verbindung gebracht werden können. Und dann noch ein eigenes Passwort für jeden Dienst. Und selbst dann könnten sie noch geklaut werden.

Biometrie (Fingerabdruck, Gesichtserkennung) noch schlechter noch dazu wenn man bedenkt dass in vielen Staaten
der Welt inzwischen nur Passwort (im Gehirn) rechtlich geschützt ist (und geschützt werden kann) und mit Biometrie zwangsweises entsperren Usus wurde (bei Toten sowieso schon länger).

Und in wieder anderen Staaten müssen auch Passwörter herausgegeben werden. Hatte GB das Gesetz mittlerweile wieder abgeschafft? Dort saßen schon Leute in Erzwingungshaft deswegen.

Und der für mich entscheidende Nachteil:

Wenn jemand mein Gerät klaut, muss er es zuerst mal entsperren können. Nur dann kommt er an eventuelle Passkeys. Solange man die Passkey-Funktion des jeweiligen OS nutzt, sollten die Passkeys durch das jeweilige Secure Element abgesichert sein (z.B. das TPM bei Windows).

Das ist alles nicht perfekt, aber allemal sicherer als die meisten Passwörter, die sich Leute regulär merken können.

 

[PexWeg]

Und in wieder anderen Staaten müssen auch Passwörter herausgegeben werden. Hatte GB das Gesetz mittlerweile wieder abgeschafft? Dort saßen schon Leute in Erzwingungshaft deswegen.

Wenn jemand mein Gerät klaut, muss er es zuerst mal entsperren können. Nur dann kommt er an eventuelle Passkeys.

Es kommt immer darauf an was man schützen will oder muss.

Vielleicht ist Passkeys für die vielen unwichtigeren Systeme eine gute Lösung, die man eigentlich nicht wirklich
zwingend braucht.

Beispiel 1: Ein Böser entführt Dich, er kann nur hoffen, dass Du ihm das Passwort gibst, zu Fingerabdruck oder
Gesichtsscan kommt er aber auf leichteste Weise (inklusive dem Entsperrgerät).

Beispiel 2: Ein guter (in manchen Staaten böser) Cop nimmt Dich fest, er kann nur hoffen, dass Du ihm das Passwort gibst, zu Fingerabdruck oder Gesichtsscan kommt er aber auf leichteste Weise (inklusive Entsperrgerät).

Beispiel 3: Ein böser Cop erschiesst Dich bei einer Verkehrskontrolle. Nimmt dann Deinen Finger und entsperrt
das Smartphone um "Beweise" zu sichern.

Beispiel 4: Nach einer gemütlichen Runde macht ein Kollege von Dir ein Foto und Du entsperrst ihm leicht angetrunken versehentlich das Handy. Soll ja mit Gesichtserkennung ab und zu vorkommen, willst Du dann
dass er Zugang zu allen Deinen Diensten hat?

Alle 3 vorderen Fälle haben sich so real schon zugetragen und in den USA wird das inzwischen oft angewendet.
Fall 4 passiert fast jedem manchmal.

Und dann hat er auf alle Systeme die mit Passkeys verwaltet werden Zugriff und braucht Dich nicht mehr!

Bei Passwortpreisgabe nur auf das eine System, also z.B. auf Deinen Computer. Für
das nächste System muss er wieder das nächste Passwort von Dir rauskriegen. Vielleicht hat
Dich die Polizei bis dahin schon befreit oder der Anwalt schon wieder aus der Erzwingungshaft herausgeholt.

Mit Passwort lebst Du wahrscheinlich länger, wenn es darauf ankommt. Und wenn man es richtig macht gibt es
keine digitalen Spuren, die hackbar wären (solange es noch keine funktionierenden Gedankenleser gibt).
Aufschreiben ist verboten, sich ein System zurechtzulegen wie man sichere Passwörter macht ausdrücklich
erwünscht und trainierbar (auch über viele Systeme hinweg, ohne dasselbe Passwort zu verwenden).

Komfortabel ist es natürlich nicht, aber es zeigt sich eben immer mehr, dass Sicherheit und Komfortabilität konträr sind.

Gegen Phishing hilft schon ein guter Hausverstand und Sensibilisierungen. Gegen Onlinebetrug
meist schon die Verwendung einer Kreditkarte (ausser bei Fahrlässigkeit). Die meisten Passwortrichtlinien
erzwingen inzwischen heute schon recht gute Passwörter.

Und in meiner Firma ist auch das Passwort nach 3 Fehlerversuchen gesperrt, bei mehreren verschiedenen
Systemen.

Nur so als Randgeschichte:

Die Räuber lassen sich das auch ganz gerne entsperren.

Mexikaner kaufen Fake-Handys, die sie Räubern aushändigen können

Damit sie nicht ihr richtiges Smartphone übergeben müssen, decken sich Bewohner von Mexiko-Stadt mit gefälschten Handys ein.

futurezone.at

 

[IngoBingo]

Beispiel 1: Ein Böser entführt Dich

Immer diese an den Haaren herbeigezogenen Beispiele! Natürlich leben wir alle im mexikanischen Slum und es besteht täglich die Gefahr, entführt zu werden. Entweder von der Mafia oder korrupten Polizisten. Wenn einem denn nicht vorher das Handy geraubt wird.

Bei Passwortpreisgabe nur auf das eine System, also z.B. auf Deinen Computer.

Worauf die ganzen wichtigen Daten gespeichert sind. Oder halt bei den Jüngeren halt auf dem Handy.

Du brauchst nicht mehr mehrere Passwörter. Nur das fürs Handy. Damit kannst du dir Zugriff auf alle anderen Konten verschaffen, die nur mit einem Passwort gesichert sind. "Passwort vergessen" und schon hast du die Mail oder SMS oder was auch immer auf dem Handy zum Zurücksetzen.

Aufschreiben ist verboten, sich ein System zurechtzulegen wie man sichere Passwörter macht ausdrücklich
erwünscht und trainierbar (auch über viele Systeme hinweg, ohne dasselbe Passwort zu verwenden).

Und damit bist du in der Praxis halt auf verlorenem Posten. Das klappt schon bei Profis kaum. Welcher Normalnutzer soll sowas verwenden?

Komfortabel ist es natürlich nicht, aber es zeigt sich eben immer mehr, dass Sicherheit und Komfortabilität konträr sind.

Deswegen sind Passkeys ja auch nicht die perfekte Methode, die Sicherheit und Bequemlichkeit auf ein optimales Level bringt. Sie sind aber für die große Masse sicherer und bequemer als Passwörter.

Das ist immer wieder das Problem: manche fordern, dass etwas Neues immer absolut perfekt sein muss. Muss es nicht. Es muss nur besser als das sein, was aktuell Stand der Dinge ist. Das sieht aktuell für Passkeys ziemlich gut aus.

 

[PexWeg]

Du brauchst nicht mehr mehrere Passwörter. Nur das fürs Handy. Damit kannst du dir Zugriff auf alle anderen Konten verschaffen, die nur mit einem Passwort gesichert sind. "Passwort vergessen" und schon hast du die Mail oder SMS oder was auch immer auf dem Handy zum Zurücksetzen.

Nein, weil der Username ist ja auch ein Teil der Sicherheit.

The Importance of Creating a Unique Username for Digital Banking Security

Tips and Tricks for safeguarding your financial information by utilizing a secure username.

www.firstcomcu.org

Also wenn man es sicher mag, meldet man bei den verschiedenen Webseiten einen Usernamen an, der nicht der direkten Mailadresse des Handys entspricht, die als Nachricht am Handy reinkommen. Und schon ist das nix mehr mit direktem zurücksetzen.

Also als Beispiel eine Mailadresse von der eigenen Domain nehmen (die Hoster bieten da alle
eigentlich Mailadressen und eigenes Webmail an, diese Mailadressen gibt man dann auch niemanden weiter).

Genauso wie man für verschiedene System nicht das gleiche Passwort verwenden soll, sollte man nicht
überall den gleichen Usernamen verwenden.

Und Autofillspeicherung in Webanmeldeformularen sollte man genau deswegen auch nicht aktivieren, sodass eben Username und Passwort immer Deine Secrets bleiben.

Und gute und sichere Passwörter kann man sich auch in ein Textfile oder Ziparchiv schreiben und das dann wirklich sicher verschlüsseln und dann an den verschiedenen Rechnern ablegen. Also sozusagen ein selbst gemachter
Passwortmanager, der keine Softwareapp ist und dann ist das mit dem merken schon auch leichter geworden,
weil dann braucht man auch nur mehr das Masterpasswort. Und die Textdatei findet auch keiner so leicht
im Datenwust und die hat auch keine Internetverbindung.

2 Faktor Auth (oder MFA) ist dann natürlich noch besser, aber gerade das ist eben Passkeys nicht (und damit wieder
ein Rückschritt).

 

[IngoBingo]

Du gibst Tipps, die Leute, die jeden Tag mit IT-Sicherheit zu tun haben, möglicherweise manchmal beherzigen würden.

Das ist aber weit ab von der Realität der Masse der normalen Nutzer.

Passkeys sollen die Sicherheit für Otto und Lisa Normalnutzende verbessern. Die all diese tollen Tipps kaum verstehen und mit Sicherheit nicht umsetzen werden.

 

[Blonder Hans]

Da hilft nur der DNA Code oder die Stuhlprobe.
Das knackt kein Bösewicht so schnell.

Sorry, musste mal sein.

 

[PexWeg]

Mag sein:

Aber jetzt mal Anwendungsfall für einen Normalverbraucher für Passkeys:

Ich möchte mich z.B. bei meinem Amazon Account anmelden.

Kleine Anleitung von Amazon dazu:

Verwenden eines Passkey auf mehreren Geräten - Amazon-Kundenservice

Erfahre, wie du Passkeys auf mehreren Geräten verwenden kannst.

www.amazon.de

Manchmal mach ich das am Smartphone, manchmal am Tablet, manchmal bei den Rechnern meiner Kinder,
manchmal am Firmen PC oder am Firmen PC meines Kollegen oder am eigenen PC. Alles natürlich verschiedene
Konten (Windows/Google/Apple).

Wenn ich dort bei jedem Gerät die Ersteinrichtung für Passkeys machen müsste, wär das bei weitem
viel unkomfortabler wie Username/Passwort. Und ich müsste mich danach wahrscheinlich auch noch darum kümmern, die Keys auf den Geräten dort wieder los zu werden, wenn man es genauer nimmt.

Und die Synchronisierung zwischen den verschiedenen Systemen (iOS/Windows/Android) wird nie funktionieren oder wenn doch unsicher sein (weil wenn die Betriebssysteme die Security Keys herummoven können, kann das dann jede Maleware auch und das Plugin API wird dann auch jede Maleware ansteuern können).

Und letzter Satz dann noch bei Amazon:

Wichtig: Füge nur auf eigenen Geräten Passkeys hinzu.

Also voll Userfreundlich!

 

[IngoBingo]

Also soll man keine Passkeys einführen, weil sie nicht für jeden Menschen in jeder einzelnen Situation immer generell besser geeignet sind?

Wenn die Leute, die Amazon nur auf einem oder zwei Geräten nutzen und wo möglicherweise diese Geräte auch noch aus dem gleichen Ökosystem stammen, jetzt auf Passkeys setzen, ist doch schon einiges erreicht.

Ich hab hier bisher auch wenig auf Passkeys umgestellt, da hier mindestens sechs verschiedene Betriebssystem-Familien und zwei Dutzend Geräte wechselweise im Einsatz sind und sie für mich daher aktuell noch nicht gut nutzbar sind. Aber das heißt doch nicht, dass das Konzept nichts taugen würde!? Es ist halt für mich persönlich aktuell noch nicht die Lösung aller Probleme.

Aber ich wäre froh, wenn ich an vielen Stellen die Passwörter abschaffen könnte!

 

[mirovb]

Ich nutze auch Passkeys, jedoch in meiner eigenen Bitwarden/Vaultwarden Wallet. Die liegt bei mir Zuhause auf nem RasPi. An Microsoft, Google & co. muss man sich hierfür nicht binden.

Das ich richtig. Ich nutze Bitwarden/Vaultwarden auch Self-Hosted auf der Diskstation, und natürlich Zugriff auf die Datenbanken systemübergreifend auf Windows und Android.

Und ja, Bitwarden unterstützt grundsätzlich Passkeys. Das Problem ist hier jedoch, das man Android Geräte ab Version 14 haben muss, da es sonst nicht mit der Passkey Sync bei 3rd Party PW Managern klappt. Also nur die neueren Geräte, was ich persönlich wirklich "Sch....." finde. Mit Firefox Mobile oder Google Chrome klappt es auf unseren Android 13 Mobile nämlich nicht, im Zusammenspiel mit Bitwarden. Entweder Speicherung im TPM Chip, also hardwaregebunden an ein Gerät, oder im Google Chrome Passwort Manager. Mehr geht da nicht.

"Komischerweise" funktioniert es mit dem Google Passwort Manager problemlos wohl ab Version 9 oder 10. .
Wir möchten jedoch nicht unsere ganzen Passwörter Online stellen, und uns an einen einzigen Anbieter knebeln.
Aber deren "Drang" geht genau in diese Richtung.

Wir bekommen noch bis Ende 2025 Sicherheitspatches für unsere Android Geräte, warum sollte ich diese also austauschen?! Deswegen nutzen wir weiterhin Passwörter inklusive 2FA, das klappt nämlich weiterhin überall und einwandfrei.

Passkeys sind nicht immer und überall das Nonplusultra, wie in unseren Fällen. Es gibt offensichtliche Nachteile, wenn man diese Privat verwalten will.

 

[PexWeg]

Also soll man keine Passkeys einführen, weil sie nicht für jeden Menschen in jeder einzelnen Situation immer generell besser geeignet sind?

Das Problem ist: Passkeys sind eine "Lösung", die für fast keinen Menschen geeignet sind.

Denn wenn man das nur auf eigenen Geräten machen darf/soll dann scheidet schon das Einloggen über FirmenPC
auf der Arbeit auf die Webseite aus. Denn dieses Firmengerät gehört Dir nie. Auch wirst Du selten auf FirmenPCs Dich über Dein Smartphone einloggen können, weil da ist inzwisches jegliches firmenfremde Device gesperrt
(über USB und Bluetooth z.B. fast immer). Das bedeutet Du kannst nicht mal Dein Smartphone als
Authenticator benutzen.
Da kannst Du froh sein wenn laden des Smartphones in der Firma noch geht.

Und Firmen sehen es auch gar nicht gerne, wenn dann die privaten Passkeys auf ihren Systemen herumliegen
und noch mitgesichert oder synchronisiert werden müssen.

Und damit müssen alle Webseitenbetreiber für diese Situation dann auch noch die Umgehungslösung mit
Username und Passwort weiter anbieten (auch fürs Zurücksetzen der Passkeys im übrigen meist).
Die Sicherheit reisst aber am schwächsten Glied, d.h. sicherheitstechnisch hat man dann gar nichts gewonnen.

Webseitenbetreiben sollen anständige MFA anbieten, dann kann man auch sicher arbeiten und hat die
genannten Probleme nicht. Wers dann weniger sicher mag verwendet dann halt weiterhin Username/Passwort
alleine (plus Passwortmanager), dann ist es für den User genauso komfortabel hat aber die genannten Probleme
nicht.

Ich will niemanden Passkeys ausreden, aber man sollte sich schon wirklich vorher (wie bei jeder neuen Technologie)
überlegen ob es im Endeffekt dann wirklich soviel Mehrwert bringt oder nur ein moderner Marketinghype ist mit vielen
anderen Nachteilen.

 

[IngoBingo]

Denn wenn man das nur auf eigenen Geräten machen darf/soll dann scheidet schon das Einloggen über FirmenPC
auf der Arbeit auf die Webseite aus.

Das scheidet in vielen Firmen ja schon an sich wegen entsprechender Policies aus.

Ich glaube, dass ein paar kB Passkeys auf lokalen Clients jetzt kein Problem für die Backup-Strategien von Firmen sein werden. Zudem kenne ich kaum eine Firma, die überhaupt Client-Systeme sichert.

Und damit müssen alle Webseitenbetreiber für diese Situation dann auch noch die Umgehungslösung mit
Username und Passwort weiter anbieten (auch fürs Zurücksetzen der Passkeys im übrigen meist).
Die Sicherheit reisst aber am schwächsten Glied, d.h. sicherheitstechnisch hat man dann gar nichts gewonnen.

Also lassen wir alles so wie es ist und freuen uns, dass ganz einfach per Phishing weiter unsichere Passwörter geklaut werden können?
Nur weil die Alternative nicht von jedem genutzt werden kann oder die Betreiber von Webseiten Mehraufwand haben könnten? Und weil man möglicherweise trotzdem an den Account kommen könnte, da man ja den Passkey bei Verlust auch umgehen können muss?

Mit der Ansicht gibt es aber nie einen Fortschritt.

Webseitenbetreiben sollen anständige MFA anbieten

Wofür man natürlich keinerlei "Umgehungslösung" braucht zum eventuellen Zurücksetzen... ach nee, braucht man ja auch. Dann müsste deine Argumentation ja sein, dass MFA auch umgangen werden könnte und somit auch nichts gewonnen wäre.

Dafür, dass du angeblich niemandem Passkeys ausreden willst, machst du das aber irgendwie schon sehr deutlich.

 

[PexWeg]

Es geht mir hier nicht um das FIDO2 Verfahren, das die Grundlage von Passkeys ist.
Ich wollte nur aufzeigen, dass diese neue Methode der Vereinfachung für den User zusammen mit
Passkeys, das Problem ist:

1.) Weg von der Speicherung der Passkeys auf einem abgesicherten Device (In TPM Hardware oder
speziellem Stick) hin zu Speicherung normal am PC und Synchronisierung über die Cloud, mit neuem API.
Das kann dann jeder Maleware Hersteller oder vermeintliche Passwortmanager Anbieter auch und ist
damit schon unsicher geworden (siehe Hackings bei verschiedenen Passwortmanager Herstellern, aber
auch gerade die Probleme mit Drivern von Antivirenherstellern, aber auch Admins in der Firma/Cloudbetreiber erlangen dann Zugriff auf private Keys). Der Grund ist nur Vereinfachung für den User.

2.) Enstperrung des Authenticators über Biometrie, die wie wir wissen auch immer wieder leicht gehackt wird
(und zwar viel leichter als wenn der Authenticator über ein sicheres Password geschützt wäre, aber das
ist dann ja wieder zu Userunfreundlich).

3.) Ergeben sich durch ein neues Verfahren wieder neue Angriffsvektoren, z.B. könnte ich mir vorstellen, dass
durch die physische Speicherung der Keys jetzt einfach eine Malware über das API oder das OS die
Speicher mit sinnlosen Keys zumüllt, bis das System nicht mehr funktioniert. Das hatten wir bei Passwörtern z.B.
noch nicht weil die werden am Client nicht physisch gespeichert.

4.) Gegen das Hauptproblem des Session ID klauens hilft diese Methode genauso Null.

Passkeys: Their Impact & Their Vulnerabilities

Passkeys are the future of passwordless authentication, and with them, security posture stands a chance at optimization. But it's still susceptible to compromise.

spycloud.com

Die Webseitenbetreiber sollten einfach selber eine gute Passwortpolicy erzwingen und nicht unendlich Versuche
des Einloggens mit falschen PW erlauben (sondern dann tätig werden müssen den Verursacher ausforschen zu lassen) und zusätzlich TOPT bereitstellen, dann wäre das Problem mit
vorhandenen Mitteln des Einloggens schon ein Nullproblem geworden.

Und die großen Hersteller sich darauf stürzen wie man Session Key Hijacking in Zukunft verhindern kann.

 

[Webwatcher]

Als Info

Passkeys sicher importieren und exportieren

Bislang ist das Kopieren von Passkeys von einem Password-Manager zu umständlich – und vor allem unsicher. Das ändert die FIDO Alliance jetzt.

www.heise.de