Der Microsoft Password Manager im Edge Browser erhält ab dem Edge 142, der gerade veröffentlicht wurde, eine neue Funktion. Denn er kann jetzt Passkeys speichern und auch über mehrere Geräte synchronisieren. Andere Geräte, wie Android oder iOS, sollen bald folgen.
Passkeys basieren auf dem Standard Fast Identity Online 2 (FIDO2). Man benötigt einen privaten Key (PIN), Fingerabdruck oder Gesichtserkennung mit dem man sich dann überall anmelden kann. Und genau diese Anmeldung speichert der Edge dann. Meldet man sich mit dem Microsoft Konto auf einem anderen Gerät an, werden die gespeicherten Passkeys gleich „mitziehen“.
Erfolgt eine Synchronisierung, wird ganz einfach die Microsoft Password Manager-PIN verlangt. „Die erstellten Passkeys werden in verschlüsseltem Format sicher in der Cloud gespeichert und zusätzlich durch eine Microsoft Password Manager PIN geschützt. Zum Entsperren von Passkeys auf einem neuen Gerät haben Sie maximal 10 Versuche, die richtige PIN einzugeben.“
Voraussetzung ist, wie oben schon geschrieben der Edge 142, Windows 10 und ein Microsoft Konto. Wer also kein Microsoft-Konto benutzt, wird diese Funktion auch nicht nutzen können. Aber da gibt es ja genügend andere Passwort-Manager. Diejenigen, die diese Third-Party Manager nicht nutzen, ist es eine gute Gelegenheit, die Passwörter sicher zu verwalten, ohne zusätzliche Software.
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 25H2 26200, oder 24H2 26100. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 auch ohne TPM und Secure Boot installieren.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Edge als Passwortmanager nutzen?
Edge ist doch aus Sicherheitssicht löchrig wie ein schweizer Käse.
Da kann man seine Zugangsdaten auch gleich irgendwo veröffentlichen.
Falls das jemandem noch nicht bewusst sein sollte:
Passkeys eliminieren zwar einen grossen Teil der klassischen Phishing-Methoden, haben aber andere Schwachstellen, denn die (ich sage mal) Naivität mancher Zeitgenossen ist grenzenlos.
Wenn ein Angreifer sein potenzielles Opfer auf einer Website dazu verleiten kann (und genau das wird passieren), den Passkey zu Authentifizierung zu benutzen, wird das Opfer genau das tun.
Ein weiterer Punkt sind sog. Downgrade-Attacken für 2FA. Viele Web-Services bieten verschiedene 2FA-Methoden an. Da helfen auf Passkeys nichts.
Und der dritte und für mich entscheidende Grund, Passkeys nicht zu benutzen, ist, dass unabhängig davon, ob es ein Software- oder Hardware-Passkey ist, bekommt ein Angreifer, der im Besitz meines Passkeys ist, Zugriff auf mein komplettes Leben. Taschendiebstahl bekommt so eine vollkommen neue Bedeutung.
Passkeys bündeln den Single-Point-of-Failure einzelner Services an genau einer Stelle, nämlich dem Passkey selbst. Wenn der kompromittiert wird oder verloren geht, hat man verloren. Man erhöht folglich das Risiko, seine digitale und im schlimmsten Fall auch seine analoge Existenz an Verbrecher zu verlieren.
So ist es.
Best Practice ist es:
1. starke Passwörter zu verwenden (absolutes Minimum 8 Stellen, besser 12-14 Stellen und Groß-Kleinschreibung, Ziffern und Sonderzeichen zu verwenden)
2. Für ausnahmslos jeden Account ein anderes Passwort und idealerweise auch einen anderen Benutzernamen zu verwenden
Wird da ein Account gehackt, sind alle anderen Accounts weiterhin sicher.
Das ist absolut faktisch falsch.
Ein Passkey den du bei z.B. deinem Microsoft, Google, PayPal, Amazon Konto oder dergleichen erstellt hast, funktioniert folglich nur für die Authentifizierung des jeweiligen Passkeys, beim jeweiligen Anbieter.
Also der Microsoft Passkey funktioniert auch nur bei Microsoft. Er funktioniert nicht bei irgendeiner Phishing Seite, auch nicht bei einer kompromittierten Seite die den Login zwischenhängt.
Bei Google habe ich soweit ich sehe gar keine Möglichkeit, der Passkey ist Hardwarebound und funktioniert auch nur bei ihren eigenen Diensten, du kannst den Passkey bei keiner Fake Seite benutzen, weil der Passkey so nicht funktioniert.
In einfachen worten erklärt. Ein Passkey ist wie ein einmaliger Schlüssel, den kein fälscher der Welt (außer mit einem Quantencomputer) kopieren kann. Dieser funktioniert nur bei einem Schloss, welches kein fälscher der Welt (außer mit einem Quantencomputer) kopieren kann. Du kannst den Schlüssel also in kein falsches Schloss reinstecken, da er nur in ein ganz spezielles passt.
Das einzige was geschehen könnte, wäre eine kompromittierung des eigentlichen Dienstes (Microsoft, Google und co. werden gehacked).
Sobald du auf einer Fake Seite versuchst dich mit deinem Passkey anzumelden, verweigert es der Passkey selbst.
Was immer noch gehen kann, kommt aber auf den jeweiligen Dienst an, das MFA Session Cookie (Access Token) zu stehlen, durch einen zwischenhängenden Dienst, aber Hardwarebound Access Tokens funktionieren nur auf der Hardware von der er gestohlen wurde.
Als Microsoft Tenant Administrator kann man dies für einige Dienste erzwingen.
Soweit ich mitbekommen habe ist es bei Google standard.
Wie es bei anderen Diensten/Betreibern aussieht, k.a. aber ein Access Token zu stehlen hat nichts mit dem Passkey an sich zu tun und der kann nach wie vor nicht gestohlen, entwendet, oder zweckentfremdet werden. Das ist technisch nicht möglich auch nicht über einen Exploit, oder der gleichen. Man soll niemals nie sagen und vielleicht wird irgendwann ein Exploit rauskommen, aber bis dahin ist es der Defacto Absolut sicherste Standard.
Er hat auch Nachteile, wie z.B. wenn du gar kein Passwort mehr hast und nur ein Smartphone für deinen Google Account mit Passkey – was machst du wenn du dein Handy verlierst und keinen Backup Code oder dergleichen erstellt hast?
Aber bitte schreibt keinen Unsinn über die Sicherheit, es gibt keinen Internettreffer über eine Lücke, oder einen validen Angriff auf Passkeys direkt.
Nur Angriffe auf den Passkey Registrierungsprozess ( doh! Wenn ich auf einer Fake Website einen Passkey erstelle, und nur der Angreifer den Passkey erhält, oder eine kompromittierte Browser Extension benutze)
Angriffe die die Passkey Option ausblenden durch einen Fake Login –> user benutzt z.b. Passwort (der Passkey hätte gewarnt das dies nicht die offizielle Login Seite ist und hätte abgebrochen)
Bluetooth Angriff, bei dem der Passkey auf ein anderes Gerät umgeleitet wird (also wer so ein High Value Target ist, das ein Hacker es so sehr auf dich abgesehen hat, der brauch eh einen Hacking Boddyguard)
Es gibt noch weitere CVE’s die aber alle ähnlich Absurd sind, das sie auf 99.999% der Menschen nicht zutreffen.