Passkeys


Lasst uns über Passkeys sprechen. Die Firmen, denen ich am wenigsten vertraue, wollen am vehementesten, dass ich passkeys nutze. Deswegen habe ich das bis jetzt nicht gemacht.

Wenn die so dringend wollen, dass ich es nutze, dass sie sogar dark pattern nutzen und mich dazu zu bringen, es einzurichten, dann muss es massiv mehr Vorteile für die als für mich haben.

Spinne ich? Ist das im Grunde eine gute Sache? Oder hab ich recht? Und kann mir jemand #passkeys mal für Dumme erklären?

Als Antwort auf Michael Keukert

IMHO sind Passkeys schon sinnvoll - die Domain wird geprüft (sollte jedenfalls) also ist MITM nicht gut machbar oder sowas wie phishing mit einer ähnlichen Domain, es ist mit public key Kryptographie implementiert und daher gibt es kein Problem mit unsicheren Passwörtern, und es ist dabei trotzdem noch sinnvoll für den Benutzer machbar.

Ich denke es gibt hier mehrere Effekte: Erstens können "die Großen" das halt schneller einbauen (mehr Leute etc.), zweitens ist "Passwörter wurden geklaut" oder sowas halt auch immer ein Image-Schaden, und sowas kann mit Passkeys nicht passieren (selbst wenn die public keys geklaut werden ist das harmlos), und drittens wird es vermutlich auch Support-Kosten verringern weil es einfach einen Passwort-Manager o.Ä. erfordert, also kann man sein Passwort jedenfalls nicht einfach vergessen.

Eine Kritik ist vielleicht, dass es wohl die meisten Leute per Google/Apple Browser oder Handy-Integration nutzen werden, aber das ist letztlich an irgendeine Verschlüsselung gebunden, und sollte trotzdem relativ sicher sein. Ich persönlich habe eine Vaultwarden Instanz und nutze die Bitwarden App bzw. Browser-Plugin, das ist für mich ein annehmbarer trade-off. Es geht natürlich auch mit Hardware-Token, dann muss man nur der Hardware vertrauen.

Theoretisch könnte glaube ich (bin mir mit dem ganzen verschiedenen Standards gerade nicht sicher) allerdings auch die Webseite (oder so) eine bestimmte Implementierung verlangen (a la "ich nehme nur Apple Passkeys an"), aber praktisch hab ich das noch (?) nicht gesehen.