Follow

FIDO Alliance: Apple, Google und Microsoft wollen Passwörter abschaffen

Eine Welt ohne Passwörter ist heutzutage kaum vorstellbar. Doch genau daran arbeiten Apple, Google und Microsoft derzeit mit der FIDO Alliance.

basicthinking.de/blog/2022/05/

Moneyquote:

> Der „Passkey“ basiert laut Google „auf der Verschlüsselung mit öffentlichen Schlüsseln“. Geht ein Telefon mal verloren, könne der „Passkey“ aus der Cloud-Sicherung wieder hergestellt werden.

Bitte, was?!

@RyunoKi Hä, das ist doch dann so, wie wenn Passwörter in plain aufm Server gespeichert werden? Versteh ich da was falsch?

@MrKanister
Nicht unbedingt plain.

Mehr wie Private Key in der Cloud.

Habe mich aber auch nicht eingelesen.

Mich schrecken nur solche Meldungen auf (den Autor wohl eher nicht. Liegt vielleicht daran, dass es eher ein Marketing-Blog ist).

Wir haben ja aber ein paar Security-Menschen hier im Fedi. Die können das vielleicht aufdröseln.

@RyunoKi Ja gut, aber sobald man Zugriff auf einen private key in der Cloud bekommen hat, hat man Zugriff auf den jeweiligen Server...sobald man Zugriff auf ein plain gespeichertes Passwort hat, hat man Zugriff auf den jeweiligen Account...sobald man Zugriff auf diesen Passkey hat, hat man Zugriff auf den jeweiligen Account, oder nicht?

@MrKanister
Es ist ja nicht plain, sondern verschlüsselt.

Wenn die Datenbank abhanden kommt, muss immer noch Code ausgeführt werden, um an das eigentliche Passwort zu kommen.

Nur: Geheimdienste könnten die Firmen halt dazu zwingen, eben jene Accounts aufzusperren.

@RyunoKi Wie kann man einen verschlüsselten key wiederherstellen, wenn das Smartphone weg ist und in der Datenbank nichts zum entschlüsseln drin is? Ich glaub, ich hab nen Denkfehler irgendwo...

@MrKanister
Der private Key zum Entschlüsseln liegt „sicher“ in der Cloud (soweit ich es verstanden habe).

Nicht auf dem Smartphone (wo der Mensch sich drum sorgen müsste im Falle eines Verlusts).

@RyunoKi jaja, aber wenn der verschlüsselt in der Cloud liegt, braucht man was um den zu entschlüsseln und wo liegt das?

@RyunoKi Hm, also wenn man was ver- oder entschlüsseln möchte, braucht man ja nen Schlüssel...und wo ist der in diesem Fall, wenn das Smartphone weg ist und das kompromittierte System ihn auch nicht enthält, man den Key aber dennoch entschlüsseln können soll?

@MrKanister
Der Schlüssel ist *nicht* auf dem Smartphone in diesem Modell.

Sonst wäre eine Wiederherstellung aus der Cloud nicht möglich.

@MrKanister
In besagter Cloud, d.h. auf Servern von Apple, Microsoft oder Google.

@RyunoKi okay, wir drehen uns im Kreis xD Mal sehen, was sich draus ergibt

Sign in to participate in the conversation
Layer8 in Space

Welcome to the 8th Layer of Madness

Most topics are related to Linux, Anime, Music, Software and maaaany more