Servus,

aktuell nutze ich einen Passwortmanager um meine ganzen Accounts und Geräte zu verwalten.

Nun gibt's ja schon etwas länger die PassKeys und immer mehr Anbieter unterstützen diese.

Wenn ich nun für meinen Google Account einen PassKey mit meinem neuen Smartphone erstelle, kann ich mich damit ja z. B. per Fingerabdruck authentifizieren.

Was passiert aber nun, wenn ich aus irgendwelchen Gründen auch immer (Finger ab, Smartphone weg etc.) keine Möglichkeit mehr habe, mich zu authentifizieren? Gibt's eine "Passkey lost?" Funktion?

Oder kann ich gar einen zweiten Passkey erstellen, der auf einem HW-Schlüssel liegt?

Und kann jemand einen bestimmten FIDO2 Key empfehlen?

Vielen Dank schonmal :)

Gruß
Counti

Soweit ich verstanden habe, hast du weiterhin auch ein Passwort. Anders kannst du Passkey nicht zum ersten Mal auf deinem Smartphone einrichten. Da musst du dich einmal ganz normal mit Benutzername & Passwort anmelden.

Daher ist mir auch nicht so klar, warum alle Passkey so toll finden. Es wird doch weiterhin Phishing-Seiten geben, die die Opfer zur Eingabe der Google/Microsoft/Apple-Zugangsdaten auffordern werden, womit sich der Angreifer dann selber einen Passkey generieren könnte.

Was ich auf die schnelle ergoogelt habe:
https://www.keepersecurity.com/de_DE/resources/glossary/what-is-a-passkey/
Wie funktioniert ein Passkey?

Zur Erstellung eines Passkeys müssen sich Benutzer wie gewohnt bei ihrem Konto anmelden und dann das Passkey-Verfahren in den Sicherheitseinstellungen der Webseite oder App aktivieren. Die Webseite/App wird den Benutzer dann auffordern, einen Passkey auf dem Gerät zu speichern. Der Browser oder das Betriebssystem wird dann eine biometrische Authentifizierung verlangen, um die Anfrage zu bestätigen. Dann ist der Passkey schon gespeichert.


Oder hier, ein Podcast von c't mit zwei Gesprächspartnern, die über Passkey sprechen:
https://youtu.be/qNbsEAIcitE?t=832

An diesem Zeitstempel geht es genau um die Frage: Was passiert, wenn man sein Handy verliert? Und die Antwort: Man loggt sich am neuen Handy mit den Google-Zugangsdaten (Benutzername + Passwort) ein. Man kann zwar bei Google auch den Login mit Passkey aktivieren, aber die altmodische Methode mit Benutzername + Passwort nicht deaktivieren. Und danach habe ich das Video nicht weiter geschaut, keine Ahnung ob sie auch auf Apple & MS eingehen ;)



EDIT:
Hab doch noch ein paar Minuten weitergeschaut. Der Podcast zeigt auch, wie zweifelhaft es mit Passkey ist, ebenfalls an diesem Zeitstempel. Selbst wenn du bei einem Passkey-Anbieter das Passwort deaktivierst - MS soll es wohl optional erlauben - dann kannst du wohl im Zweifel die Passwort/Passkey-Vergessen-Funktion nutzen. Aber was bedeutet das? Z.B. einen Code an eine alternative E-Mail-Adresse senden lassen? Dann brauchst du ja ein E-Mail-Konto welches nicht mit Passkey gesichert ist, sonst kommst du dort nicht rein. Also doch wieder mit einem Passwort hantieren. Oder eine TAN per SMS versenden? Das gilt ja auch nicht als sicher.

Ich weiß nicht so recht.......aber vielleicht fehlt es mir nur an zusätzlichem Hintergrundwissen?!

Danke für deine ausführliche Antwort :)

Du sprichst da einen interessanten Punkt an. Eine normale Recovery über E-Mail sollte da eigentlich nicht mehr möglich sein dürfen.

Vielleicht dann per Authentifikator App? Und im absoluten Notfall noch per Post (nur bei großen bzw. wichtigen Accounts wie E-Mail).

Grundvoraussetzung sollte aber wirklich sein, dass die Passwort-Authentifikation zwangsweise deaktiviert wird, sobald man einen PassKey registriert.

Ich werde das mal testen und als Backup einen YubiKey einsetzen, der dann sicher verstaut ist.