9
2FA und Passkey zusammen sinnvoll?
Hallo,
da ich in der Zeitschrift c´t 24.24 eine Menge über Sicherheit am PC und Gefahren von Zugriff auf Kontodaten gelesen habe, frage ich mich gerade, ob es ggf. Sinn macht, für Webseiten wie z.B. Amazon, Ebay, Paypal.... etc. eine 2FA zu nutzen PLUS zusätzlich Passkeys?
Wie macht Ihr das, bzw. was wäre Eure Empfehlung?
Grüße von
Yan
da ich in der Zeitschrift c´t 24.24 eine Menge über Sicherheit am PC und Gefahren von Zugriff auf Kontodaten gelesen habe, frage ich mich gerade, ob es ggf. Sinn macht, für Webseiten wie z.B. Amazon, Ebay, Paypal.... etc. eine 2FA zu nutzen PLUS zusätzlich Passkeys?
Wie macht Ihr das, bzw. was wäre Eure Empfehlung?
Grüße von
Yan
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670762
Url: https://administrator.de/forum/2fa-und-passkey-zusammen-sinnvoll-670762.html
Ausgedruckt am: 23.02.2025 um 01:02 Uhr
9 Kommentare
Neuester Kommentar
Passkey ist in der Regel die 2. FA - meist Fingerabdruck ...
Hallo Yan,
wichtig zu verstehen, ein Account kann mehrere Authentifizierungsverfahren nutzen. Hat man z.B. Zugang mittels E-Mail plus Kennwort und zusätzlich über einen Passkey. Könnte ein Angreifer, der E-Mail und Kennwort erlangt, sich anmelden und deinen Passkey löschen, oder sich selbst einen zusätzlichen erstellen. Somit ist die Accountsicherheit nur so stark wie das schwächste Anmeldeverfahren.
Darum sollte man, wenn man das Passkeyverfahren nutzt (ist im Übrigen kein 2FA) alle zusätzlichen Anmeldemöglichkeiten beim jeweiligen Account entfernen. Mindestens jedoch einen Notfallzugriff für den Fall des Schlüsselverlustes einrichten. Hier kann man das klassische E-Mail/Passwort in Kombination mit einem 2FA verwenden, oder einfach einen weiteren Passkey anlegen.
Ich nutze wo es möglich ist Passkeys, die in meinem Passwortmanager verwahrt werden. Ansonsten aktiviere ich 2FA überall da, wo es angeboten wird. Jeder Account hat mindestens sein eigenes Kennwort und meist sogar eigene E-Mailadresse über einen Alias.
Gruß pantox
wichtig zu verstehen, ein Account kann mehrere Authentifizierungsverfahren nutzen. Hat man z.B. Zugang mittels E-Mail plus Kennwort und zusätzlich über einen Passkey. Könnte ein Angreifer, der E-Mail und Kennwort erlangt, sich anmelden und deinen Passkey löschen, oder sich selbst einen zusätzlichen erstellen. Somit ist die Accountsicherheit nur so stark wie das schwächste Anmeldeverfahren.
Darum sollte man, wenn man das Passkeyverfahren nutzt (ist im Übrigen kein 2FA) alle zusätzlichen Anmeldemöglichkeiten beim jeweiligen Account entfernen. Mindestens jedoch einen Notfallzugriff für den Fall des Schlüsselverlustes einrichten. Hier kann man das klassische E-Mail/Passwort in Kombination mit einem 2FA verwenden, oder einfach einen weiteren Passkey anlegen.
Ich nutze wo es möglich ist Passkeys, die in meinem Passwortmanager verwahrt werden. Ansonsten aktiviere ich 2FA überall da, wo es angeboten wird. Jeder Account hat mindestens sein eigenes Kennwort und meist sogar eigene E-Mailadresse über einen Alias.
Gruß pantox
Hallo,
https://docs.olat.uzh.ch/de/manual_user/login_registration/Passkey/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Infor ...
Was genau meinst du also mit Passkeys?
Gruss,
Peter
Zitat von @Yan2021:
ob es ggf. Sinn macht, für Webseiten wie z.B. Amazon, Ebay, Paypal.... etc. eine 2FA zu nutzen PLUS zusätzlich Passkeys?
https://de.wikipedia.org/wiki/FIDO2#Passkeyob es ggf. Sinn macht, für Webseiten wie z.B. Amazon, Ebay, Paypal.... etc. eine 2FA zu nutzen PLUS zusätzlich Passkeys?
https://docs.olat.uzh.ch/de/manual_user/login_registration/Passkey/
https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Infor ...
Was genau meinst du also mit Passkeys?
Gruss,
Peter
Ich glaube du verstehst Passkey falsch. 2FA + Passkey würde die Sicherheit des Kontos eher absenken, da du dann mehrere versch. Authentifizierungen hast, was im Umkehrschluss auch mehrere potentielle Exploits bedeuten würde.
1
Moin,
das Problem was ich als Programmierer von Webseiten mit Anmeldung habe ist, dass man bei Passkey schlicht nicht rausbekommen kann was am Client passiert ist. Ich bekomme nur die Info von z.B. Windows Hello, "Passkey OK". Aber ob das nun mit Gesichtserkennung, Fingerabdruck, Kennwort oder Pin erfolgt ist erfahren ist nicht. Ich kann auch keine Vorgaben machen und damit die Sicherheit nicht beurteilen.
Mit einer APP am Handy bekommt man mehr Infos.
Stefan
das Problem was ich als Programmierer von Webseiten mit Anmeldung habe ist, dass man bei Passkey schlicht nicht rausbekommen kann was am Client passiert ist. Ich bekomme nur die Info von z.B. Windows Hello, "Passkey OK". Aber ob das nun mit Gesichtserkennung, Fingerabdruck, Kennwort oder Pin erfolgt ist erfahren ist nicht. Ich kann auch keine Vorgaben machen und damit die Sicherheit nicht beurteilen.
Mit einer APP am Handy bekommt man mehr Infos.
Stefan
Hallo,
ich habe eben nochmal z.B. bei Amazon geschaut.
Dort hatte ich schon vor einiger Zeit die Zwei-Schritt-Verifizierung (2SV) über mein Handy genutzt. Dabei erhalte ich eine SMS aufs Handy und muss dann einen 6-stelligen Code zur Anmeldung im Web eingeben.
Ich weiß nicht, ob "2SV" nun das Gleiche ist, wie "2FA", aber nehme es mal an.
Auf der Amazon-Seite "Anmeldung & Sicherheit" kann ich diese Zwei-Schritt-Verifizierung auch verwalten.
Aber genau dort steht auch "Passkey einrichten". Und daher dachte ich, dass es auch möglich (und ggf. sicherer) sei, wenn ich Beides dort einrichte.
Wenn ich mal auf "Passkey einrichten" klicke, steht dort folgendes:
Verwende Passkeys mit 2-Schritte-Verifizierung
Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.
Das ist m.E. etwas wirr ausgedrückt. Aber wenn ich Euch richtig verstanden habe, wäre es Unsinn, beide Verfahren zu nutzen... richtig?
Welche Methode würdet Ihr denn bevorzugen von diesen Beiden, die Amazon anbietet?
Grüße von
Yan
ich habe eben nochmal z.B. bei Amazon geschaut.
Dort hatte ich schon vor einiger Zeit die Zwei-Schritt-Verifizierung (2SV) über mein Handy genutzt. Dabei erhalte ich eine SMS aufs Handy und muss dann einen 6-stelligen Code zur Anmeldung im Web eingeben.
Ich weiß nicht, ob "2SV" nun das Gleiche ist, wie "2FA", aber nehme es mal an.
Auf der Amazon-Seite "Anmeldung & Sicherheit" kann ich diese Zwei-Schritt-Verifizierung auch verwalten.
Aber genau dort steht auch "Passkey einrichten". Und daher dachte ich, dass es auch möglich (und ggf. sicherer) sei, wenn ich Beides dort einrichte.
Wenn ich mal auf "Passkey einrichten" klicke, steht dort folgendes:
Verwende Passkeys mit 2-Schritte-Verifizierung
Wenn du die 2-Schritt-Verifizierung aktiviert hast und einen Hauptschlüssel statt eines Passworts für die Anmeldung benutzt hast, musst du nach der Anmeldung mit dem Hauptschlüssel noch einen Einmalcode verifizieren.
Das ist m.E. etwas wirr ausgedrückt. Aber wenn ich Euch richtig verstanden habe, wäre es Unsinn, beide Verfahren zu nutzen... richtig?
Welche Methode würdet Ihr denn bevorzugen von diesen Beiden, die Amazon anbietet?
Grüße von
Yan
...kurze Ergänzung für @StefanKittel:
Danke Dir für die weitere Erläuterung.
Leider habe ich das nicht wirklich verstanden, was Du geschrieben hast
Was genau willst Du damit sagen?
Grüße von
Yan
Danke Dir für die weitere Erläuterung.
Leider habe ich das nicht wirklich verstanden, was Du geschrieben hast
Was genau willst Du damit sagen?
Grüße von
Yan
Zitat von @Yan2021:
Danke Dir für die weitere Erläuterung.
Leider habe ich das nicht wirklich verstanden, was Du geschrieben hast
Was genau willst Du damit sagen?
Danke Dir für die weitere Erläuterung.
Leider habe ich das nicht wirklich verstanden, was Du geschrieben hast
Was genau willst Du damit sagen?
Für den Benutzer ist Passkey prima.
Mein Problem als Server-/Dienste-Anbieter ist, dass ich mich auf die Schnittstelle, z.B. Windows-Hello verlassen muss.
Die Idee ist ja, dass auf dem PC ein Schlüssel für den Zugriff gespeichert wird.
Damit nicht jeder Hans und Freanz diesen Schlüssel verwenden kann, ist dieser z.B. mit einem Fingerabdruck verbunden. Das wäre prima. Aber der Benutzer kann einfach auf "Mit Pin anmelden" klicken, gibt den PIN ein und meldet sich an.
Ich am Server bekomme keine Information, und kann auch keine Vorgaben machen, auf welcher Basis Windows den Zugriff erlaubt hat. Also kann ich die Sicherheit nicht beurteilen.
Dazu kommen Anbieter die passkey falsch implementiert hatten.
Bei Sony kommt ich mich vor 1 Jahre nur am Handy oder am PC mit passkey anmelden. Das eine lösche den anderen Zugang.
Technisch ist Passkey quasi ein Token im Cookie. Aber der wird im TPM oder einem anderen gesicherten Bereich gespeichert wo der Benutzer oder Schadsoftware nicht rankommen.
Stefan
1
Zur Info:
Ich habe Passkeys jetzt für Amazon, Google und Ebay eingerichtet.
Paypal zickt leider, da es da offenbar nur mit dem Chrome-Browser und einem sog. Brave-Browser geht.#
Ich nutze jedoch Firefox und will das auch so beibehalten... dann halt eben Paypal wie gehabt mit sicherem Kennwort.
Ist aber echt bescheuert, dass Paypal hier Browser vorgibt!!
Grüße von
Yan
Ich habe Passkeys jetzt für Amazon, Google und Ebay eingerichtet.
Paypal zickt leider, da es da offenbar nur mit dem Chrome-Browser und einem sog. Brave-Browser geht.#
Ich nutze jedoch Firefox und will das auch so beibehalten... dann halt eben Paypal wie gehabt mit sicherem Kennwort.
Ist aber echt bescheuert, dass Paypal hier Browser vorgibt!!
Grüße von
Yan
