Die Behauptungen basieren auf den von mir verlinkten Daten.

Ergo gibt es auch Webmaster, die eben weniger verbreitete Browser
absichtlich nicht unterstützen und dem User explizit sagen: "Geht nur
mit xyz"

Jörg Lorenz schrub
Ob sie stimmen, kann man anhand des Links halt überprüfen, und damit ist
die Frage nach dem warum beantwortet.


Bye Jörg

Vielfalt der Mittel sehe ich noch nicht zwingend als hohe
Komplexität, sondern das kann sogar der Robustheit dienen,
denn wenn eins ausfällt, habe ich noch diverse andere.

Was mir jedoch nicht behagt, das ist die Komplexität einzelner
Verfahren oder Geräte. Ein Passwort ist bloß ein Stück Text
und damit eine simple Sache. Eine TAN per SMS ist auch noch
vergleichsweise simpel.

Eine Authenticator-App, die fix an ein konkretes Smartphone
gebunden ist, da wird es plötzlich komplex.

Passkeys sind auch vergleichsweise komplex. Das sind proprietär
gespeicherte Schlüssel. Da soll ich als Nutzer nicht leicht
rankommen können, damit ich sie nicht aus Versehen einem Hacker
aushändige. Nur blöd, dass zugleich auch für mich selbst nun
unbequem wird, mich gegen Ausfälle zu schützen.
Ist mir doch egal. Wenn ein Dienst gehackt wird, ist er gebrochen,
und ob danach mein Passwort von dort in einer Liste im Darknet steht,
ist doch völlig wumpe. Mit dem Passwort kann man nichts anfangen.
Was auch immer danach schiefgeht, die Verantwortung liegt allein
beim Dienstbetreiber, egal ob Passwörter oder Passkeys.
Meine Anforderung ist schlicht, dass ich verschiedene "Datenbanken"
pflege für meine digitalen Identitäten. Ein guter Passwort-Manager
erlaubt ja eine Vielzahl unterschiedlicher Vaults, jeweils einzeln
abgesichert. Benötige ich sowohl privat als auch beruflich.

Werden alle gängigen Passkeys-Implementierungen ebenfalls eine
Aufteilung anbieten? Oder wird es eher wie im Webbrowser sein,
wo es die "eine" Passwort-Datenbank gibt, wo wild gemischt alles
drin steht? (Ja, im Browser kann man sich mehrere Profile
anlegen, aber dann wird's echt ein Riesenaufwand.)
Mit jedem weiteren Faktor, mit dem eine digitale Identität
verbarrikadiert wird, steigt das Risiko, dass einer der Faktoren
gerade nicht zugänglich ist (FIDO2-Stick zu Hause vergessen) oder
ausfällt (z.B. Smartphone geht kaputt oder schlicht Akku leer),
und dann bleibt meine digitale Identität verschlossen. Vor allem
vor mir selbst. :-(

In der Realität schießen sich dadurch die Leute erheblich öfter
einfach bloß selbst in den Fuß, als dass es tatsächlich einen
bösen Hacker abgehalten hätte.
Bis vor kurzem nicht, das wird gerade nach und nach umgesetzt,
und Passkeys selbst zu verwalten, das tut richtig weh, das ist
eine schmerzhafte Angelegenheit.

Mit Passkeys habe ich zudem nun den Zwang, dass es Plug-ins für
Browser geben muss, schließlich muss der Passkey aus dem Vault
in den Browser kommen. Was für ein Horror. :-( Ich verwende bei
Passwörtern keine Plug-ins. Wenn ich mal eins brauche, was ja
so oft gar nicht der Fall ist, tippe ich das ab oder mache
auch mal bequem Cut & Paste (jaja, böses Risiko).

Die extrem große Mehrheit wird Passkeys nicht selbst verwalten,
dafür sind die Hürden einfach zu groß, und wie soll das auch
auf Smartphones funktionieren, wo Plug-ins bei den meisten
Browsern gar nicht möglich sind?

Man wird sich zwangsweise oft in die Hände von Google, Apple & Co.
begeben müssen, man wird praktisch gar keine andere Wahl haben.
Ja, daran ändert sich nichts, Passkeys machen mich abhängig,
und zwar ohne Not, denn Passwörter funktionieren und sind
bereits überall da. Warum sollte ich auf Passkeys umsteigen,
die mir keine Vorteile bringen, sondern nur Nachteile?
Das ändert doch nichts daran, dass bei der Verwendung eines
FIDO2-Sticks als Backup man diesen aktuell halten muss, also
muss ich ihn doch in meinen Alltag einbinden und dabei haben.

Passkeys steigert die Zahl der Logins ja extrem, man wird den
FIDO2-Stick ständig aktualisieren müssen. Jeder Login ist eine
komplett eigenständige Identität, das ist das zentrale Konzept
von Passkeys.

Das war bisher bei den FIDO2-Sticks anders, dort wollte man
ähnlich SSH-Keys nicht zwingend überall eigene SSH-Keys haben,
sondern man hat im Alltag oft mit Sets gearbeitet, also eine
Identität für mehrere Zwecke. Deshalb brauchte man auch nicht
viele Speicherplätze.

Wie gesagt, mit einem FIDO2-Stick allein wird man eh nicht weit
kommen, denn auch die neuen Kapazitäten werden nicht weit reichen.
Na ja, technisch wären sie ja schon austauschbar, aber ist halt
die Frage, ob Anbieter zwecks Kundenbindung nicht frech einen
Export aus vorgeschobenen Sicherheitsheitgründen verweigern.
Das wird in der Praxis unrealistisch sein. Passkeys sind ein
"Massenprodukt", also jeder Mensch wird davon schnell hunderte
oder tausende ansammeln. FIDO2-Stick wird man im Alltag kaum
noch aktuell halten können. FIDO2-Sticks erfordern ja jetzt
schon Leidensfähigkeit, doch als Backup-Medium für Passkeys
grenzt es eher am Masochismus.
Bei Passwort-Managern ist das ein gängiges Feature und für viele
Arbeitnehmer im technischen Bereich ist das eine Grundvoraussetzung.
Wenn Passkeys das nicht leisten, sind sie im Firmenumfeld schon
gleich zu Beginn ein totes Pferd.

Ich bin gespannt. Bisher sind es ja nur Vermutungen, wie die
Implementierungen aussehen werden. Möglich ist ja vieles.
Das stimmt, und statt Passwörter zu verfluchen, wäre Passkeys
vielleicht mehr geholfen, sie nicht als Ablösung zu vermarkten,
sondern als zusätzliches Feature. Und dann sehen wir mal, wie
sie umgesetzt werden.

Bisher ist die User Experience mit Passkeys eher bescheiden,
das ist noch nichts für normale User, sondern nur für Nerds.

Mal schauen, wie es sich entwickelt und ob Google und Apple
Machtspielchen treiben. Wie das bei Apple ist, weiß ich nicht,
aber Google-Accounts nutzen viele Leute wie Wegwerf-Accounts.
Das ginge dann nicht mehr ohne weiteres, wenn man seine digitale
Identität an einen festen Account bindet. Das könnte den Leuten
nicht gefallen.
Die normalen User kommen aktuell mit ihren Passwörtern recht
gut klar, auch wenn die Marketing-Abteilungen von Sicherheits-
Firmen uns ständig was anderes einreden wollen. Erfolgreiche
Angriffe auf Passwörter sind heutzutage eher selten, das ist
auch oft gar nicht mehr das Ziel der Hacker.

Die meisten Leute verwenden im übrigen nicht mal einen
Passwort-Manager. So leicht werden die nicht auf Passkeys
umsteigen, das ist ihnen viel zu technisch, außer man zwingt
sie dazu, aber da würde ich vorsichtig sein, denn es gibt
noch genug Umgebungen, wo an Passwörtern kein Weg vorbei
führt, weil dort nicht mit Smartphones und anderen Gadgets
gespielt werden darf.

Sollten Passkeys mir irgendwann in Zukunft auch Vorteile bieten,
werde ich überlegen, ob sie die Nachteile kompensieren können.
Momentan bin ich mit Passwörtern in allen Belangen besser dran.

Grüße, Andreas

Das ist wohl in den meisten Fällen so. Ich wüsste von Christian gerne,
wie *er* damit umgeht. Ganz konkret, ohne Sprechblasen.

Die gesellschaftliche Diskussion über ein Leben ohne Smartphone hat erst
angefangen. Als Beispiel kann hier dienen, dass die SBB den
Ticketverkauf komplett digitalisieren will und jetzt auf breitesten
Widerstand trifft. Auch andere staatliche Dienstleistungen
sollten/müssen ohne Smartphone erreichbar sein.

Und das soll schlimm sein? Ich habe kein Smartphone. Und WhatsApp
würde ich schon aus Datenschutzgründen nicht verwenden.

In einer früheren Firma, in der man das Smartphone auch privat
verwenden konnte, war die App sogar deshalb verboten.
Dann sortiert man die aus. Ich komme ganz hervorragend mit denen aus,
die mit Mail umgehen können.

Stephan

Das ist doch aber ein Vorteil!
Hier nicht - genügend bessere Alternativen existieren.

.... und tschüss

Franklin

Das Posting von Stephan Seitz hat mich motiviert hier auch noch klar zu
stellen, dass ich WhatsApp seit Jahren nicht mehr verwende. iMsg reicht
völlig und für wirklich Wichtiges bevorzuge ich gerichtsverwertbare
Kommunikationswege. E-Mail funktioniert auf allen Systemen. Auch solchen
Kinderkram wie TikTok, Instagram oder Facebook benutze ich nicht.

Über X brauchen wir gar nicht erst zu diskutieren. Als der Psychopath
Musk einzog, habe ich noch ca. 2 Monate zugeschaut und dann das Konto
gelöscht.

Gruss, Jörg

Das:
https://www.whatsapp.com/download?lang=de_DE
hast du also noch nicht mitbekommren, oder?