Passkeys: PayPal verabschiedet sich von Passwörtern

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.946
Dass Passwörter ihre Schwächen haben, liegt in erster Linie an den Nutzern. Insbesondere an deren Bequemlichkeit. Simple Kennwörter werden bei zahlreichen Diensten verwendet und ermöglichen es Kriminellen, mit wenig Aufwand zahlreiche Accounts zu übernehmen. “123456” oder “Passwort”, bzw. “Kennwort” sind keinesfalls sichere Zeichenfolgen und sollten nicht verwendet werden. Allerdings scheint dies zahlreichen Nutzern völlig egal zu sein und so findet man auch im Jahr 2022 noch solch fahrlässigen Passwörter in der freien Wildbahn.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Guter Move. Prinzipiell
 
Auf jeden Fall besser als die Kontrolle an die US Konzerne abzugeben. PayPal passt von der Vertrauenswürdigkeit ja voll auf die Liste.

1234... sind Wegwurfpasswörter für Dienste mit Zwangsregistrierung.
 
Bedeutet das, dasss ich dann ein "sicheres" mobiles Abhörgerät (Smartphone) für PyPal brauche?
 
Nein, ein Aluhut mit 5m Antenne reicht
 
Ja der Aluhut mit Passwörtern in der Klaut:

US Großkonzerne mit Zwang zur Kooperation würden dich natürlich nie bei all deinen zukünftigen Aktivitäten ausspionieren. Herrlich wie Snowden einfach weggewischt wird.
Ein einziges kompromittiertes Gerät reicht dann um zentral auf alles Zugriff zu bekommen.
 
Sind nicht die Offensichlichsten Passwörter , die schwierigisten?

Wie : Hackmich, Ich, Paypal , 123456. Leckmich, Wasweisich,du,Hund.

Ist doch so schwer , wie den Misteriösen *Any key /Beliebige taste * zu finden. Ich weiß heute noch nicht, wo diese Taste ist *hust* .



:d
press-any-key-any-key.gif
 
Wird dann auch alternativ ein Yubikey funktionieren? Das Smartphone als "Key" ist bei gut gewähltem Passwort ein klarer Rückschritt, kein Fortschritt.

Das Thema Banking und Smartphones triggert mich eh schon lange.

Smartphone gerootet: Bööööööööse, unsicher, schlimm! Ist auch egal, dass das auf dem aktuellsten Patchlevel ist, spielt keine Rolle.
Smartphone kein root, Sicherheitsstand 2016: Super sicher! Da freut sich die Bank App, klatscht virtuellen Beifall und erlaubt obendrauf noch 2FA auf dem gleichen Gerät, für maximale Sicherheit.
Mitunter sind ja sogar extra Optionen eingebaut, um die 2FA Codes in die Bankapp zu kopieren...

Ich werds nie verstehen ... zumal die Bank Apps auch mit root laufen, es ist einfach nur etwas mehr nerviger Aufwand nötig.

EDIT:

@Botcruscher:
Ist die Cloudnutzung Zwang oder kann ich meine Keys auch lokal verwalten/verteilen? Ich kanns mir schon denken, leider.
 
Zuletzt bearbeitet:
Heise hat da sicher Antworten drauf. Das Problem bei Verlust oder Defekt des Gerätes bleibt ja und dann ist auf jeden Fall ein Masterpasswort notwendig. Für mich ist die Bindung an das Gerät ein Designfehler. Einmal Zugriff und alles steht offen. Ein Passwort für jeden Anbieter bietet da bei wesentlich weniger technischen Aufwand schon mehr Schutz. Am Ende gibt es tolle Zertifikate mit dem unsichersten Endgerät überhaupt.
 
Die Leute, die sich so etwas ausdenken, sind sicher die, die ihre Passwörter im Browser gespeichert haben.
Da kann man die Passwörter auch gleich auf einen Zettel schreiben und den am Bildschirm anheften!

Ich habe übrigens eine Sonderedition meiner Tastatur:
ANY_DSCN0366.jpg
 
Die Leute, die sich so etwas ausdenken, sind sicher die, die ihre Passwörter im Browser gespeichert haben.
Da kann man die Passwörter auch gleich auf einen Zettel schreiben und den am Bildschirm anheften!

Ich habe übrigens eine Sonderedition meiner Tastatur:
ANY_DSCN0366.jpg


Ich liebe die Tastatur.

So nice.
Fänd noch ne taste gut , wo man klicken kann : Computer was soll ich tun?.

hahahahahah
 
Also müsste ich dann immer mein Smartphone dabei haben wenn ich was per Paypal bezahlen möchte?

So langsam nervt mich immer und überall der Smartphone zwang.
 
...

US Großkonzerne mit Zwang zur Kooperation würden dich natürlich nie bei all deinen zukünftigen Aktivitäten ausspionieren. Herrlich wie Snowden einfach weggewischt wird.
Ein einziges kompromittiertes Gerät reicht dann um zentral auf alles Zugriff zu bekommen.

Du hast im Prinzip recht. Allerdings ist das Problem ja nicht neu.
Bei Passwort-Managern hast du auch den SinglePointOfFailure. Oft ist 2FA sogar mit im PW-Manager geregelt. Sprich ist dein Geraet kompromitiert, dann kann das schnell zum GAU fuehren.

Wird dann auch alternativ ein Yubikey funktionieren? Das Smartphone als "Key" ist bei gut gewähltem Passwort ein klarer Rückschritt, kein Fortschritt.

Das Thema Banking und Smartphones triggert mich eh schon lange.

Smartphone gerootet: Bööööööööse, unsicher, schlimm! Ist auch egal, dass das auf dem aktuellsten Patchlevel ist, spielt keine Rolle.
Smartphone kein root, Sicherheitsstand 2016: Super sicher! Da freut sich die Bank App, klatscht virtuellen Beifall und erlaubt obendrauf noch 2FA auf dem gleichen Gerät, für maximale Sicherheit.
Mitunter sind ja sogar extra Optionen eingebaut, um die 2FA Codes in die Bankapp zu kopieren...

Ich werds nie verstehen ... zumal die Bank Apps auch mit root laufen, es ist einfach nur etwas mehr nerviger Aufwand nötig.

Man bekommt da schon mal den Eindruck, dass die Prioritaeten nicht unbedingt auf Sicherheit liegen.


Passwoerter haben eigentlich voellig zu unrecht einen schlechten Ruf. Man muss sich nur mal angucken wo die Probleme mit Passwoertern auftreten:
1. Die Anbieter werden gehackt und die Datenbanken mit Passwoertern geklaut/kopiert.
Haette der Anbieter die Passwoerter richtig gespeichert gaeb es jetzt kein Problem.
Ein vernuenftiger Hashalgorithmus (Argon2 z.B.) mit Salt&Pepper und die Daten sind fuer den Hacker nicht zu gebrauchen

2. Unsichere Uebertragung
Fehlende Verschluesslung sollte eigenltich mittlerweile kein grosses Problem mehr sein. Ist aber auch die Verantwortung der Anbieter.

3. BruteForce mit geklauten Passwortkombis oder schwachen Passwoertern
Hier helfen oft schon Versuche/Zeit Beschraenkungen. (Pro IP und Nutzer)
Laesst sich zwar mit Botnetzen zumindest pro IP umgehen, ist aber aufwendiger.
Zudem waeren Botnetze durch vernuenftige Gesetze (Updatepflicht fuer Hersteller z.B.) vermeidbarer.

4. Der Nutzer faengt sich nen Trojaner/Virus ein.
In dem Fall ist die staerke des PWs egal. Der Virus kann auch starke Passwoerter mitlesen. Oder auch FIDO-Certs kopieren.

Alles in allem ist das Problem mit Passwoerter vor allem ein Problem mit schlechter Umsetzung bei den Anbietern. Nicht schwache Passwoerter.
 
Natürlich hat ein Passwortmanger auch ein Problem. Der Sitzt aber hinter dem Zugang zum BS. Apple und Google haben schon Acczwang. MS arbeitet da hart dran und der Store soll auch durchgedrückt werden. Die Klaut als Sicherheitsmerkmal kommt da doch gerade recht. Da lässt sich als Beifang noch das gesamte Nutzungsprofil abgreifen.

Ironischerweise wurde der Zwang zur totalen Überwachung doch schon von den Nutzern akzeptiert. Ohne Acc bei einem US Konzern geht nicht mehr viel. Mobilfunk geht nur mit Offenlegung der Personalien. Die Zukunft sieht man in China. Dank C19 auch hier ganz kurz greifbar.
 
PayPal... nutzt das noch jemand? Vor allem seit deren letzten Stunt?
 
2FA gibts bei Paypal ja jetzt schon.
Man muß dazu bei Paypal eine Telefonnummer hinterlegen.
Nach Eingabe des Passwortes bekommt man eine SMS aufs Telefon in der eine Nummer drin steht.
Die muß man dann eingeben.
Ist das Telefon ein Festnetztelefon, das keine SMS empfangen kann, dann bekommt man einen Anruf und eine Computerstimme spricht einem die Nummer vor.
Am Besten, man nimmt für den Empfang der SMS ein uraltes Handy ohne jegliche Smartfunktion.

Was die Passwörter angeht:
Schwache Passwörter kann man auch verhindern.
Die meisten Zugangssysteme haben eine konfigurierbare Passwortkomplexitität.
Z.B. Mindestzahl an Stellen, ob zwingend Kleinbuchstabe, Großbuchstabe, Ziffer oder Sonderzeichen im Passwort enthalten sein müssen, etc.
Auch kann man die Dauer des Passwortes begrenzen und bei Erneuerung des Passwortes prüfen, ob das eine Ähnlichkeit mit dem alten Passwort hat.

Ich habe häufiger mit größeren Konzernen zu tun und da ist es so, das Passwörter mindestens 8 Stellen haben müssen und von den 4 Merkmalen Kleinbuchstabe, Großbuchstabe, Ziffer, Sonderzeichen mindestens 3 genutzt werden müssen. Und die Dauer des Passwortes ist auf 3 Monate begrenzt, dann muß man ein neues Passwort vergeben. Dieses wird abgeprüft und darf keine Ähnlichkeit mit den bisherigen 10 Passwörtern haben. Dadurch wird verhindert, das der Benutzer z.B. nur eine Stelle ändert.
Und es findet auch Check gegen ein Wörterbuch statt. Dadurch werden auch solche unsicheren Passwörter wie z.. "P@sswort1" unterbunden, die die Merkmalsanforderungen eigentlich erfüllen.

Es liegt nur am Willen der Firmen, so etwas auch umzusetzen.
Die meisten Systeme haben die Voraussetzungen, man muß sie nur konfigurieren und scharf schalten!

Selbst Windows kann das schon seit Ewigkeiten.
Da muß man nur per Gruppenrichtlinie die Passwortkomplexitität scharf schalten.
Dann gilt:
- Passwörter dürfen nicht den Wert samAccountName (Kontoname) oder den gesamten displayName (vollständiger Name) des Benutzers enthalten. Bei beiden Überprüfungen wird die Groß-/Kleinschreibung nicht beachtet.
- mindestens X Stellen (8 Stellen ist die Standardeinstellung, kann man ändern)
- mindestens 3 der folgenden 5 Anforderungen erfüllen:
  • Großbuchstaben in europäischen Sprachen (A bis Z, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
  • Kleinbuchstaben in europäischen Sprachen (a bis z, scharf-s, mit diakritischen Zeichen, griechischen und kyrillischen Buchstaben)
  • Basis 10 Ziffern (0 bis 9)
  • Nicht alphanumerische Zeichen (Sonderzeichen): (~!@#$%^&*_-+='|\(){}[]:;"' <>,.? /) Währungssymbole wie Euro oder Britisches Pfund werden für diese Richtlinieneinstellung nicht als Sonderzeichen gezählt.
  • Jedes Unicode-Zeichen, das als alphabetisches Zeichen kategorisiert ist, aber nicht groß- oder kleingeschrieben ist. Diese Gruppe enthält Unicode-Zeichen aus asiatischen Sprachen.
Zusätzlich wird von Microsoft für systemkritische Accounts (z.B. Administratoren) empfohlen, in die Passwörter ALT-Zeichen im Bereich von 0128 bis 0159 einzubauen.
Damit werden Brute-Force Angriffe nahezu unmöglich. Selbst die weltweit schnellsten Großrecher würden Jahrtausende brauchen, das Passwort zu knacken.

Per Gruppenrichtlinie kann man auch eine Kennwortchronik scharf schalten (letzte 0 - 24 Passwörter einstellbar).
Kontosperrrichtlinen kann man auch per Gruppenrichtlinie scharf schalten (1-999 falsche Passwörter, bevor Konto gesperrt wird, 0-99.999 Minuten Sperrdauer, bis Sperre wieder aufgehoben wird)
Bei aktiver Sperre kann man sich auch mit dem richtigen Passwort nicht anmelden. Man muß warten, bis die Sperrdauer abgelaufen ist.
 
Zuletzt bearbeitet:
Ich habe häufiger mit größeren Konzernen zu tun und da ist es so, das Passwörter mindestens 8 Stellen haben müssen und von den 4 Merkmalen Kleinbuchstabe, Großbuchstabe, Ziffer, Sonderzeichen mindestens 3 genutzt werden müssen. Und die Dauer des Passwortes ist auf 3 Monate begrenzt, dann muß man ein neues Passwort vergeben. Dieses wird abgeprüft und darf keine Ähnlichkeit mit den bisherigen 10 Passwörtern haben. Dadurch wird verhindert, das der Benutzer z.B. nur eine Stelle ändert.
Und es findet auch Check gegen ein Wörterbuch statt. Dadurch werden auch solche unsicheren Passwörter wie z.. "P@sswort1" unterbunden, die die Merkmalsanforderungen eigentlich erfüllen.
wie man bei 'useable security' versagt und dadurch opsec fails provoziert.

was macht michael maier, wenn er schon wieder sein scheiss passwort aendern muss? von zig regeln genervt wird? es am ende kaum zu merken ist?
genau, ein kleines post-it am monitor...

EDIT:
um auf aehnlichkeit mit alten passwoertern zu pruefen muessen die irgendwo im klartext verfuegbar sein. klingt nach einer schlechten idee, aber bei MS wundert mich nix.
 
Zuletzt bearbeitet:
Heise hat da sicher Antworten drauf. Das Problem bei Verlust oder Defekt des Gerätes bleibt ja und dann ist auf jeden Fall ein Masterpasswort notwendig. Für mich ist die Bindung an das Gerät ein Designfehler. Einmal Zugriff und alles steht offen. Ein Passwort für jeden Anbieter bietet da bei wesentlich weniger technischen Aufwand schon mehr Schutz. Am Ende gibt es tolle Zertifikate mit dem unsichersten Endgerät überhaupt.
Ich nutze atm 2FA für manche Dienste mittels OTP übers Smartphone. Masterpasswort gibts keines, wobei die App noch per Fingerabdruck "gesichert" ist.
Die Schlüssel sichere ich halt lokal bei mir nochmal (doppelt). Die Handhabung ist im Endeffekt auch keine andere, als bei SSH Keys.
Man _könnte_ die Leute ja darauf trainieren, ihre Schlüssel lokal zu sichern, indem die Apps sie dazu zwingt ein Backup zu machen. Man könnte es ja sogar lokal verschlüsseln (lassen) und in die Cloud packen, wenn der User das denn möchte. Das ist aber allen Anschein nach von Großfirmen nicht gewünscht. Der Designfehler "Bindung an das Gerät" ist ja leider gewünscht. :(

Man muss das Spiel einfach mal zu Ende spielen. Am Ende hat man ein potenziell unsicheres Gerät, sein Smartphone, welches den Login zu etlichen, mitunter sehr kritischen Bereichen absichern soll. Das ist eine schlicht weg sau dumme Idee. Mal ehrlich, würde das jemand für einen Desktoprechner vorschlagen, würde die komplette Fachwelt aufschreien. Smartphones sind scheinbar "die besseren" Computer, werden ja auch nachweislich viel besser gepflegt, gepatcht und abgesichert .... nicht.

Vielleicht bin ich aber auch nur zu blöd, die Vorteile eines sichererereren Smartphones als Universalschlüssel zu verstehen. 🤷‍♂️

Passat3233 schrieb:
2FA gibts bei Paypal ja jetzt schon.
Man muß dazu bei Paypal eine Telefonnummer hinterlegen.
Nein, muss man bei Paypal nicht. Man kann 2FA auch über OTP nutzen. Paypal ermöglicht das auch ohne Telefonnummer. :)

UnitedInternet zwingt einen zur Telefonnummer als Fallback, weshalb ich da schlicht weg kein 2FA nutze...
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh