Passkeys - Funktionsweise und Sicherheitsaspekte

Hallo Community,

folgende Frage zum Thema Passkeys bei der Benutzung am PC.
Die sollen ja nach Möglichkeit Passwörter ablösen.

Folgendes verstehe ich dabei nicht …

a) Passkeys werden lokal irgendwo auf Betriebssystem-Ebene gespeichert. Wenn ich das OS neu aufsetze – dann sind die Dinger weg.
Wie generiert man dann einen neuen?

Bei einer Passwort-Anmeldung lasse ich mir einfach ein neues generieren.
Gleiches dann auch beim Passkey?

Ich klicke auf „Passkey verloren“ und es wird ein neuer erstellt?
Woher weiß dann aber die Seite, dass ich der bin, der ich bin?

b) Wie wird so ein Passkey überhaupt generiert, wenn ich mich nicht vorher einlogge?
Ich registriere mich irgendwo und dann wird einer erstellt?

c) Was ist mit Leuten, die sich ständig von anderen Geräten aus auf ihre Mail-Konten oder was auch immer, einloggen?
Wie können die ohne Passkey nachweisen, dass sie sind, wer sie sind? (Abgesehen von Passkeys auf Sticks oder dergleichen)

Hast du dir schon hierzu die Support Dokumente von Apple durchgelesen? Zum Beispiel:

Informationen zur Sicherheit von Passkeys

Anmeldung mit Passkeys auf dem iPhone

Dort steht u.a.:

Dein iPhone speichert den Passkey im iCloud-Schlüsselbund. Dadurch ist er auf anderen Geräten verfügbar, auf denen du mit deiner Apple-ID angemeldet bist.

D.h. die Keys sind nicht weg, wenn du dein Handy neu aufsetzt (das war ja eine deiner Fragen).

D.h., die Keys liegen in der Cloud, und das ist auch ein Kritikpunkt an dem ganzen Konzept, denn nicht jedeR möchte nicht, dass seine Keys in der Cloud liegen.

1 „Gefällt mir“

Sorry, dann war ich weiter oben nicht hinreichend genau.
Ich spreche vom PC, nicht vom Smartphone.

Habe das oben nochmal korrigiert.

Bei Microsoft/Google/Apple sind entsprechende Kontos notwendig bei dem das Ganze in der cloud gespeichert wird. Wenn du das nicht möchtest gibt es (zunehmend) Alternativen wie passwortmanager mit passkey Unterstützung - da musst du dann selber für Backups sorgen.

Du wirst dich mit dem passkey einloggen müssen - also entweder per Smartphone den QR code scannen und einloggen oder einen unterstützen passwortmanager verwenden.

1 „Gefällt mir“

Weil man zum Beispiel damit die Kontrolle über seine Logins verliert bzw. es (Paranoia on) Geheimdiensten oder sonstigen staatlichen Behörden oder auch den bösen Hackern zu einfach macht auf alle Accounts zuzugreifen?

Apple:

Passkeys werden mit dem iCloud-Schlüsselbund auf allen Geräten eines Benutzers synchronisiert.

Der iCloud-Schlüsselbund ist Ende-zu-Ende mit starken kryptografischen Schlüsseln verschlüsselt, die Apple nicht bekannt sind. Die Schlüssel unterliegen außerdem einem Rate-Limiting, damit Brute-Force-Angriffe auch aus privilegierten Positionen im Cloud-Backend verhindert werden, und können wiederhergestellt werden, selbst wenn der Benutzer alle seine Geräte verliert.

Wie beschrieben … Smartphones sind nicht so ganz Teil meiner Frage, mir geht es wirklich um den PC als Arbeitsgerät.

Nochmal eine Frage zur Kontoerstellung: Wird dann BEI der Kontoerstellung der Schlüssel erzeugt?
Wie weiß dann aber das Benutzerkonto, wenn ich mich das nächste Mal von einem fremdem Gerät einlogge, dass ich ich bin?
Wenn doch der Passkey in der Cloud und nicht lokal gespeichert ist.

(Sorry für die doofe Frage … aber da hab ich gerade eine Verständnislücke …)

Strenggenommen sind es mehrere Schlüssel da asynchrone Kryptografie, aber prinzipiell ist das so ja.

Der passkey identifiziert auch deinen account, der passkey ersetzt damit sowohl die eingabe des accountnamen/email/whatever als auch eines passworts.

Von einem unbekannten Gerät auch?

Da muss doch erst überprüft werden, ob ich auch ich bin o.O

1 „Gefällt mir“

Deswegen gibts ja noch mit der biometrischen Abfrage/PIN einen 2 Faktor.