 Und wir haben uns dafür ein paar Bereiche angeschaut, die wir mit euch durchgehen wollen heute Morgen. Schauen wir da einmal drüber, wo wir das machen? Wir? Noch näher um Himmels willen. Ich werde dieses Mikrofon essen. Mein Name ist Simon Kraft. Ich bin Senior Product Owner für WordPress und bin zusammen mit Angela Kalle hier. Moritz hat uns im Prinzip schon vorgestellt, deswegen überspringen wir diese Folie einfach dankenswetterweise und sparen uns eine Minute. So, das ist was wir für heute geplant haben. Wir wollen einmal kurz gucken, was es mit diesem SSL für die Nerds unter euch ja, TLS, alles fein auf sich hat, warum wir das haben wollen. Was bei Passwörtern eigentlich kaputt ist und was wir besser machen können. Was wir besser machen können dürfte zwei Faktor-Autortifizierung sein. Deshalb ist das nicht ganz zufällig der zweite, der dritte Punkt. Wir werfen einen Blick in die Zukunft der vielleicht passwortlose Autortifizierung mit Passkeys und haben zum Schluss als kleinen Rausschmeißer noch ein paar Logos aufgeschrieben. Die haben teilweise mit der Login Security ehrlicherweise nicht so viel zu tun. Ich werde sie aber so oft gefragt, dass ich sie hier erwähnen muss. Deswegen sind sie hier mit drin. Lassen wir zum Schluss. Lass uns direkt loslegen mit SSL. Wir schreiben das Jahr 2023. Ich habe schon wieder nicht nachgeschaut, seit wann es Let's Encrypt gibt. Ich glaube, es sind sechs, sieben Jahre irgendwie sowas in der Prä- Lange. Seit vielen, vielen Jahren haben wir kostenlose SSL-Zertifikate. Bei den meisten Hosting-Anbietern werden wir das inklusiv haben. Wenn ihr noch keine SSL für eure Seite benutzt, es wird Zeit noch mehr dran. Guckt, das wird schlechter. Soll ich das jetzt mal schnell machen? So, die Idee hinter diesen SSL-Zertifikaten ist, dass wir den Transportweg verschlüsseln können. Also den zwischen eurem Server und dem Browser eurer Besucherin und Besucher. Wie gesagt, in aller meisten Fällen ist das kostenfrei und sollte sich relativ einfach einrichten lassen. Kein Hetzenhexenwerk am Ende des Tages. Für Sicherheit ist das ein essenzieller Punkt. Die Geschichte, die ich dazu gerne erzähle, ist die von Sascha Lobo. Der Mann mit dem roten... Der Mann mit dem roten Iroh, wenn ich noch lauter bin, brauche ich bald kein Mikro mehr. Der Mann mit dem roten Iroh, der in der Wurde von Werbung rumgesteupert ist früher, der viel im Spiegel schreibt und ein relativ populäres... Es liegt nicht an mir. Und ein relativ populäres Block geschrieben hat, lange Zeit, und das überlocht tut. Der war 2013 auf der Republikan und hat sich über das Wehen an der Republikan, das nicht mit einem Passport gesichert war, auf seiner WordPress-Seite eingelockt. Was dann passiert ist, im Prinzip wird die Login-Information unverschlüsselt an den Server betragen. Und Leute, die in diesem WLAN zuhören, ganz einfach gesagt, können die mitschneiden. Und so wurde Sascha Lobos Block gehackt, 2013. Mit SSL wäre das nicht passiert. Das ist die Lehre daraus. Auch für Performance ist das ganz, ganz nett. Das gehört nicht zu unserem Vortrag, aber wenn ihr irgendwie HTP2 benutzen wollt, ist das de facto nur über SSL möglich. Also das eine ganz dringende Empfehlung. Passwörter. Wir alle kennen sie. Wir alle haben sie. In meinem Passportmanager stecken ungefähr 700 von den Dingern drin. Ich weiß nicht, wie das bei euch aussieht, bei einigen sicherlich noch mehr. Bei anderen sind es vielleicht nur 3. Das wäre ein Problem. Weil Tatsache ist, Tatsache ist 39,7% der Benutzterinnen verwenden ihre Passwörter mehrfach. Das ist aus dem größeren Datensatz 1,4 Milliarden E-Mail-Passwort-Pare. Das ist eine ganze Menge. Und wenn ihr mal, keine Ahnung, Hand aufs Herz, wer von euch verwendet mindestens einen Passwort an mindestens mehr als einer Stelle? Ja, okay, okay. Bisschen mehr als die Hälfte der Leute, würde ich sagen. Das passt. Das ist nicht so weit weg von dem, das wir haben. 47,3% von 600.000 Blar-Benutzterinnen wurden über geliegte Zugangsdaten informiert. Ein knappes Viertel von denen hat diese Information einfach ignoriert und nichts getan. Auch das ist ein Problem. Das ist noch ein größer Problem, wenn ihr die Passwörter mehrfach verwendet. Weil dann ist ein League bei einem Dienst ein Problem bei gleich mehreren. Und 16% der Accounts, die in einem Databreach erschienen sind, konnten über Credential Tweaking in unter 1.000 Versuchen erraten werden. Das ist so etwas wie, oh, ich passe meinen Passwort an mit im einfachsten Fall dem Service-Namen, wo ich mich anmelde, habe vielleicht ein Jahreszahl dabei, solche Sachen. Also anpassen daran, hilft bei solchen Credential Tweaking-Versuchen. Das heißt auch so, auch so kleine Ideen wie, oh ja, ich habe ein sicheres Passwort und schreibe ein Strich-Amazon hinten dran und ein Strich WordPress.com oder so. Ist nicht so ganz die feine Englische. Wir haben drei sehr lustige Suchbegriffe zum Thema Passwörter bei Google gefunden. Die drei häufigsten. Das erste ist, wie sicher ist mein Passwort? Und Angela hat ein bisschen Sorge, dass Leute ihr Passwort auch gleich noch mit bei Google eingehen, um das rauszufinden. Wo finde ich meine Passwörter? Wahrscheinlich auf dem Zettel im Geldpoint, keine Ahnung. Und wie funktioniert ein Passwortmanager? Sehr unterstützenswerte Suche. Wer von euch benutzt einen Passwortmanager, um die paar, okay, guten Morgen. Das sind fast alle. Sabrina noch nicht, Sabrina berieden nachher noch mal. Das ist tatsächlich eine... Sehr gerne. Das ist tatsächlich eine sehr spannende Geschichte. Ein Stück Software zu haben, das sich um eure Passwörter kümmert. Fast alle meine WordPress-Passwörter für irgendeine WordPress-Seite sind 100 Zeichen lang. Das ist einfach nicht generiert. Brauch ich ein 100 Zeichen langes Passwort? Wahrscheinlich nicht. Tut's mir weh? Nein, ich hab's einfach. Passwortmanager kümmert sich drum. Dafür hab ich ein sicheres Passwort zum Loggen. Das haut hin. So, warum ist dein Passwort schlecht? Und vielleicht, wenn eure Passwörter alle in Passwortmanagern liegen, ist das nicht ganz so der Fall. Die meisten Passwörter sind zu kurz, zu einfach oder zu oft verwenden? Ich hab mich nicht mal bewegt, Leute. Das ist das genaue Gegenteil davon. Es sind schwer zu erstellen, schlecht zu merken und schwierig einzutippen. Daher geht's mit dem Passwortmanager. Neben den Passwortmanagern haben wir Multifaktor-Autentifizierung. Dazu sagt Anschlo gleich noch mehr. Passwortlose-Autentifizierung als zusätzliche Optionen, die uns da helfen und das Ganze sicherer machen können und in der Zukunft noch sicherer machen werden. Starke Passwörter haben eine minimale Länge und vielleicht auch eine... sicher auch eine minimale Komplexität. Das ist okay, wenn ihr euch da selbst irgendwie an die eigene Nase fasst und zusammenreißen wollt. Das ist nicht so okay, wenn ihr eine Seite habt mit mehreren Anwenderinnen und Anwändern, bei denen ihr keine Kontrolle darüber habt, was die für Passwörter eingeben. Dann ist es sinnvoll, eine Passwort-Policy zu haben und die einforzen zu können, festlegen zu können. Auf meinem WordPress-Block müssen Passwörter mindestens 20 Zeichen lang sein und ein Teil von Goethe's Faust enthalten, keine Ahnung. Irgendwie sowas. Sinnvoll ist außerdem ein Check gegen bekannte Passwörter, die eine Plattform, die es dafür gibt, die relativ bekannt ist, ist Heverbin Pawned. Die ist in einigen Passwortmanagers integriert. Man kann ansonsten auch auf der Webseite heverbinpawned.com das Ganze einmal testen und schauen, ob die eigene Adresse das eigene Passwort in irgendwelchen Leaks drin ist und ist eine feine Sache. Wir haben eine kleine Passwortempfehlung. Pluggin-Empfehlung an der Stelle. Das ist Passwords Evolved. Ein kleines, aber feines Plugin, das sich um einige dieser Dinge kümmert. Es erlaubt euch, dass Sätzen von Passwort-Polices in WordPress speichert Passwörter. Das haben wir nicht erwähnt. Nicht mehr als MD5-Fashes, weil das ist nicht so ganz toll. Und Checkt auch gegen Heverbin Pawned. Das heißt, da kann man dann auch sagen, ich erlaube nur Passwörter, die nicht irgendwo geliegt wurden. Passwort 1, 2, 3 ist damit raus. Wahrscheinlich. Dann setze ich mich jetzt und lass Angelo weiterreden über die 2-Faktor-Authentifizierung. Okay, wunderbar. So, Simon hat uns gerade erklärt, wieso die... Also, welche Probleme wir mit Passwörtern haben. Könnte mich gut hören. Okay, wunderbar. Welche Probleme wir mit Passwörtern haben und was für eine Lösung im Prinzip die Branche ist, dass die Branche nicht so gut ist, dass die Branche nicht so gut ist. Also, welche Lösungen im Prinzip die Branche eben entwickelt hat. Das ist die 2-Faktor-Authentifizierung. Ich reiß das Thema nur kurz an, weil ich möchte heute den Fokus auf Passkeys legen. Das heißt, wir sprechen einmal kurz über den Nutzen der 2-Faktor-Authentifizierung. Vielleicht mal vorab, wer von euch nutzt denn eine 2-Faktor-Authentifizierung? Bitte mal Hände heben. Okay, wunderbar. Dann gehen wir nochmal ganz kurz in die Definition von 2-Faktor, Multi-Faktor, wie unterscheiden die 2 sich. Genau, dann besprechen wir eben die gängigsten 2-Faktor-Methoden. Was gibt es denn da eigentlich alles? Was kann man da einstellen und wie sicher ist das alles? Zunächst mal hinsichtlich der Accountübernahme oder der Schutzwirkung der 2-Faktor-Authentifizierung. Laut einer Analyse von Microsoft wurden 99,9% der Accountübernahmeversuche durch eine Multi-Faktor-Authentifizierung verhindert. Das bedeutet, von 1.000 Versuchen hat es ein Angriff geschafft, eine Instanz zu kompromittieren. Es ist ein beeindruckender Wert. Denn hätte man keinen zweiten Faktor, hätte man nur eine 1-Faktor-Authentifizierung und das Passwort ist eben ein Authentifizierungsfaktor, dann hätten alle 1.000 Angriffe geglückt. Die 2-Faktor-Authentifizierung ist im Prinzip genau eine Authentifizierung, die 2-Faktoren benötigt. Also das Passwort und eventuell irgendein 2. Faktor ein weiteres Passwort oder so etwas wie ein Einmalpasswort. Darauf gehe ich gleich noch ein. Und eine Multi-Faktor-Authentifizierung ist nichts anderes als ein Login, welches mehr als eine eine Authentifizierungsfaktor benötigt. Also mindestens 2. Genau, Passwort als einzige Authentifizierungsfaktor ist äußerst gefährlich, denn das ist das Einzige, was eine Angreiferin davon trennt, in euren Account einzubrechen. Zusätzliche Faktoren schützen generell, also das ist eine generelle Aussage. Es gibt also ein bisschen die Diskussionen hinsichtlich, na ja, aber wenn man E-Mail als 2. Faktor nutzt, das ist ja dann gar nicht so sicher. Aber ein 2. Faktor zu haben oder mehr als 1 Faktor zu haben ist generell immer sicherer ein Faktor zu haben. Da unterscheiden wir aber trotzdem so ein bisschen bei den Arten der Faktoren, also Faktorarten und Faktor bzw. Authentifizierungsmethoden dahingehend und die unterscheiden sich auch so ein bisschen hinsichtlich der Schutzwirkung. Wir haben grundsätzlich diese 4 unterschiedlichen Arten, also Besitz, Wissen, Inherenz und Verhalten. Besitz sind Dinge, die ihr eben tatsächlich besitzt, beispielsweise euer Smartphone, eure E-Mail-Adresse, eine Smartcard, eine Postkarte habe ich vorhin erfahren, wenn man z.B. seine Location bestätigen will, wenn man einen Google Locations-Eintrag tätigt oder auch sowas wie USB-Sticks, also sowas wie Ubikis, oder falls ihr das schon gehört habt, Fido Universal Seconds Faktor Sticks, die man benutzen kann. Wissen sind Dinge, die ihr wisst, also Passwörter, Pins, Passwörter, Inherenz, das ist das, was euch ausmacht, eure Biometrie, also euer Gesicht bzw. euer Gesicht, euer Fingerabdruck, vielleicht irgendwann eure DNA, also man weiß nicht, wohin die Reise geht, aber im Prinzip alles, was euch ausmacht, was Biometrie ist, das ist Inherenz. Und dann haben wir noch Verhaltensfaktoren und Verhaltensfaktoren sind wo meldet ihr euch beispielsweise bei eurem Dienst an oder welche Geräte nutzt ihr dafür, euer Smartphone, euer Computer. Es gab auch mal sowas wie naja, man könnte ja das Förverhalten der jeweiligen Personen erstmal analysieren, um herauszufinden, ob es sich tatsächlich um diese Person handelt und sie basierend auf ihrem Verhalten eben zu authentifizieren. Und bei den Methoden, also da unterscheiden wir im Prinzip, kennt ihr sicherlich alle ja, eben ein Einmalpasswort, ob Zeit basiert oder nicht, es gibt doch sowas wie permanente Einmalpasswörter oder Backup Codes, die man dann entweder per E-Mail, SMS, Telefonanruf zugesendet bekommt. Also Zeit, also zeitbasierte Einmalpasswörter, auch über Apps auf euren Geräten, bei denen ihr dann eben irgendwie so ein QR Code einscanned und euren Sicherheitsschlüssel dann dieses Shared Secret auf das Gerät übertragt und euch dann eben so ein Einmalpasswort ein Zeitbasiertes angezeigt wird. Es gibt sowas wie Anmelde Links, also E-Mails, die tatsächlich ein Link haben, auf den ihr dann draufklickt und dann werdet ihr angemeldet. Und natürlich auch sowas wie, hatte ich eben angesprochen, tatsächlich Hardware Keys, die ihr an eurem PC an eurem Laptop anschließen müsst, die dann für euch eine Authentifizierung ausführen. Diese unterschiedlichen Methoden beziehungsweise auch die Faktoren unterscheiden sich hinsichtlich der Schutzwirkung. Wenn ihr irgendwo ein Passwort, ein Einmalpasswort, ein Pin oder irgendetwas anderes eintragen müsst, ihr habt ja so ein Feld und ihr müsst da irgendwas eintragen. Zum Beispiel, wie ist der Geburtsname eurer Mutter? Dann ist das natürlich etwas, was von dem Angreifer auch abgefangen werden kann, das bedeutet, dass dieser Faktor nicht so sicher ist, wie beispielsweise ein Faktor, der komplett auf diese Eingabe verzichtet und eben über sowas funktioniert, wie Public Key Authentication. Beispielsweise Fido University Second Factors, Ubikies, die sowas anbieten oder auch Passkeys. Einige Services bieten sowas an, wie Fallback Faktoren, also falls ihr mal tatsächlich euer Smartphone verliert oder eben euren Authenticator irgendwie verlieren solltet und ihr keinen Zugriff mehr habt, dann könnt ihr ein Fallback Faktor eintragen, wie beispielsweise die E-Mail Adresse. Genau, hier gilt es einmal darauf hinzuweisen, zumindest, dass es so ist, dass wenn ihr vorher eine Public Key Authentication hattet und ihr dann als Fallback Faktor irgendwie eure E-Mail Adresse verwendet oder ein Einmalpasswort, falls ihr das als Fallback Faktor unsicherer ist und gefischt werden kann. Wir haben auch eine Plugin Empfehlung und zwar to factor das könnt ihr als WordPress Plugin installieren das implementiert schon viele der Arten und Methoden, die ich ja angesprochen habe und könnt, falls ihr das noch nicht habt eben für euch oder auch für eure Kunden, BenutzerInnen also KundInnen, BenutzerInnen den zweiten Faktor anbieten. Und jetzt sprechen wir weiter zu Passkeys also das Thema, was ich hier gerne einmal unterstreichen möchte und zwar sind Passkeys zusammengefasst ein Fido Authentifizierungsstandard für die Passwortlose Authentifizierung das heißt so was wie ein Passwort welches ihr dann eure Passwortmanager schreibt welches ihr vorher irgendwie generieren müsst und euch da Gedanken drüber machen müsst irgendwie naja, ist das vielleicht sicher genug falls es nicht generiert das braucht ihr dann nicht mehr hinsichtlich Passkeys im Mai 2023 also da stecken viele große Unternehmen dahinter um diese Authentifizierungsstandards zu etablieren und zu entwickeln und im Mai 2023 hat Google auf ihrem Blog ganz beeindruckend geschrieben Passkeys auf das Ende der Passwort ich rede nicht über die Software ich rede über den Authentifizierungsstandard genau aber ich werde da gleich näher drauf eingehen und werde ein bisschen was zu Passkeys erzählen also was das genauer ist und wofür man das nutzen kann erst mal möchte ich euch ein bisschen was für Fido Allianz erzählen weiß jeder was die Fido Allianz ist und was sie machen? einmal bitte Hände heben wer weiß das? Fido Allianz also Fido heißt Fast Identity Online und das ist eine Allianz ein Zusammenschluss vieler auch großer Tech-Unternehmen die über 250 Mitglieder insgesamt die Entwicklung, Verwendung und Einhaltung von Authentifizierungsstandards fördern und die übermäßige Abhängigkeit von Passwörtern wie wir festgestellt haben auch von schlechten Passwörtern oder durchgesickerten Passwörtern reduzieren wollen also das ist die festgeschriebene Allianz-Mission und da sind eben so Mitglieder dabei, ihr seht schon auf den Folien wie Apple, Google, Meta Microsoft, also relativ große das BSE ist mit dabei glücklicherweise Mozilla, Rattat und Sony und viele viele viele weitere auch nochmal kurz zusammengefasst Passkeys ist ein Authentifizierungsstandard der Fido Allianz für die passwordlose Authentifizierung das heißt, ihr habt kein Passwort ihr geht auf eine Seite ihr habt euren Authenticator das ist beispielsweise euer Smartphone oder euer MacBook oder irgendein Gerät welches eben Passkeys unterstützt und das kümmert sich darum für euch einen ausreichend sicheren Schlüssel zu erstellen beziehungsweise 2 Schlüssel zu erstellen es ist ein privates Schlüssel der auf dem Gerät gespeichert wird und ein öffentlicher Schlüssel der auf dem Webserver gespeichert wird und diese für euch abzuspeichern und zu verwalten das bedeutet aber auch, dass sich die Anmelde also dass das Anmelden so ein bisschen ändert glücklicherweise zum Positiven also man muss nicht mehr irgendwie ein Passwortmanager suchen es gibt ja glücklicherweise Passwortmanager die übernehmen den Großteil der Arbeit in dem sich schon das passende Passwort oder die passenden Credentials anzeigen die man eben für eine Plattform nutzen kann bei Passkeys auch also dadurch, dass das Gerät weiß welche Passwörter, welche Passkeys existieren für welchen Service wird euch im Prinzip auch direkt werden euch die Zugangsdaten diese Credentials direkt angezeigt beim Anmelden beim Registrieren ist es so dass ihr einmal eurer Displaysperre aufheben müsst und über das Betriebssystem und dem Browser eben diese Passkey Registrierung abschließen müsst das zeige ich euch aber alles gleich in einer Demo und beim Anmelden ändert sich, dass ihr im Prinzip kein Passwort eingeben müsst oder euch da überhaupt Gedanken dazu machen müsst und auch kein Passwort irgendwie gekriptet zum Server übertragen wird, sondern das ist ein bisschen anders der Server erstellt eine Challenge, also der Server hat ein Publique gespeichert, erstellt eine Challenge sendet diese Challenge an den Authenticator euer Smartphone oder euer Gerät das löst diese kryptografische Aufgabe sendet das Ergebnis an den Web-Server zurück und zeigt ihm, beweist ihm so mit, dass man im Besitz des privaten Schlüssel ist und im Besitz der Credentials um sich eben auf diesem Service anzumelden also wie bei SSH, beispielsweise genau, Passkeys sind per Design, also bei Design als Multifaktor-Authentifizierung ausgelegt also ihr braucht jetzt zwei Faktoren ein Gerät, mit dem wir euch authentifizieren also auf dem eure Schlüssel gespeichert sind und als zweites natürlich irgendwie ein weiteren Faktor, wie zum Beispiel ein Wissensfaktor, um die Displaysperre aufzuheben eine Pin- oder ein Muster irgendwie sowas oder viel viel sicherer eben ein Inherenzfaktor wie euren Fingerabdruck oder eben euer Gesicht im besten Fall dementsprechend, also weil es durch meine Publique Authentication handelt es ist sehr resistent es hat ein paar UX Improvements weil man sich eben nicht mehr um Passport-Generierung und so kümmern muss, also es führt zu einer schnelleren Registrierung und Anmeldung an einem Service und löst auch einige, viele Probleme die ich schon angesprochen habe, hinsichtlich Passwörtern also man muss sich nicht merken man muss sich keine Sorgen um Stärke und so weiter zu machen und löst eines der wichtigsten Probleme, die wir in der Vergangenheit hatten und zwar das Passwörter von Anbietern ihr habt es sicherlich schon gehört im Klartext in Datenbanken abgespeichert werden das funktioniert mit Passkeys nicht mehr, weil die Datenbank die eure Publikies abspeichert selbst wenn die gelegt wird kann niemand mit diesem Publiki irgendetwas anfangen dieser Publiki, die den nur dazu zu verifizieren dass ihr privaten Schlüssel besitzt und dass ihr die Personen seid die dazu authentifiziert sind autorisiert sind, auf diese Webseite zuzugreifen die Verfügbarkeit wird immer besser also beziehungsweise mit wird immer besser das hört sich vielleicht so ein bisschen negativ behaftet an es ist schon in fast allen Browsern und Betriebssystemen verfügbar ihr findet das auf macOS ihr findet das auf Windows Linux wahrscheinlich auch und muss man sich selbst installieren und selbst verwalten wie selbst so üblich bei Linux ist aber auch bei Android-Geräten also die Demo, die ich gleich auf fast habe die ich euch gleich zeigen werde ist mit meinem Android-Gerät aufgenommen worden und auch mit den Browsern ist es so, dass die Kompatibilität sich immer weiter verbreitet also alle gängigen Browser unterstützen heutzutage Passkeys es gibt auch erste Plugins so dass man Passkeys testen kann ihr könnt also eins heißt WP Web Authent das könnt ihr installieren und dann könnt ihr euch für jeden User im Prinzip einen Authenticator einrichten und könnt mit diesem Authenticator Passkeys mal austesten genau es wollte ich euch eigentlich eine Frage stellen aber ich komme direkt zum Punkt wer von euch macht sich Sorgen wenn ihr das hört dass eure Biometriedaten an den Webserver kommuniziert werden könnten vorher die Folie liest eine Person das sind wir nicht ganz bei den 67% ja also tatsächlich werden die Biometriedaten nicht dazu verwendet also sie werden nicht an dem Webserver gesendet die sind nur dafür da damit ihr euch bei eurem lokalen Gerät authentifizieren könnt und diese Biometriedaten sind für alle authentifizieren könnt und diese Passkeys die dort gespeichert sind überhaupt nutzen könnt genau hinsichtlich Passkeys gibt es noch so vielleicht ein paar Dinge die man erwähnen könnte also bei einem Passwort ist es so das kann man ja irgendwo hinsynchronisieren und auch weitergeben bei Passkeys ist es auch so also es gibt im Prinzip die großen Betriebssystemhersteller bieten sowas an wie den Google Password Manager also wenn ihr jetzt ein Passkey auf eurem Android Smartphone erstellt dann könnt ihr das in die Google Cloud synchronisieren und genau könnt ihr es dann im Prinzip auf alle Geräte verteilen auf alle Android Geräte das ganze gibt es auch für iOS mit der iCloud Keychain und es gibt eben ein freier Password Manager wie OnePassword die das anbieten dass ihr dort eben Passkeys erstellt und sie über mehrere Geräte hinweg das Systeme hinweg synchronisieren könnt abgesehen von der Synchronisierung kann man diese Passkeys auch mit Freunden und Familie teilen also da gibt es auch schon entsprechende Logik den einzelnen Password Manager so dass man sagen kann, gut ich möchte die Credentials an einen Freund oder einen Kunden wie auch immer übertragen also nicht übertragen sondern mit den teilen und das kann man da an der Stelle auch passend machen um zu wissen welche Webseiten überhaupt Passkeys unterstützen gibt es von OnePassword eine Seite Passkeys.Directory da findet ihr einmal welche Passkeys also welche Dienste und Services beziehungsweise Webseiten Passkeys supporten und könnt auch für Dienste und Webseiten abstimmen also ganz oben ist zum Beispiel Steam bei der Abstimmung also Leute wünschen sich gerne für Steam Passkeysupport würde allen Game & Game so guter kommen aber auch so Apps wie beispielsweise Signal Passkeys ist weit also beziehungsweise wird nach und nach implementiert es gibt jetzt beispielsweise in der Unterstützungsliste gibt es eben die ganz großen die sagen, gut wir setzen unsere Authentifizierung jetzt auch bieten auch Passkeys an beispielsweise Apple, Google Microsoft und Meta also Passkeys gibt es jetzt auch schon für WhatsApp, kann man auch schon mal austesten dann gibt es eben Github PayPal, ich habe mir noch ein paar Beispiele Adobe WhatsApp, habe ich schon genannt Bitwarden, OnePassword und auch Nintendo und OnlyFans kümmert sich auch um die Sicherheit ihrer User genau, hier habe ich eine kleine Demo mitgebracht, bevor wir los starten ganz kurz, also ich werde mich das einmal ich nicht, aber ihr werdet gleich sehen wie ich mich registriere die Bildschirm wird ganz kurz schwarz das bedeutet nichts anderes als es wird diese Displaysperre angezeigt und bei der Aufnahme war es so dass die Displaysperre einfach genau also zur Sicherheit ist wahrscheinlich ausgeblendet wurde, danach melde ich mich von der Plattform ab und melde mich neu an und feuerfrei genau, hier seht ihr kein Passwortfeld mehr wer doch gar nicht mehr benötigt wir sehen gleich den also das Zusammenspiel von Browser und Betriebssystem um so ein Passkey zu erstellen der versprochene schwarze Bildschirm genau, hier ganz kurz das Signout und so sieht dann so ein typisches Passkey-Loggin aus schwarze Bildschirm okay also ich möchte nur noch auf eine kleine Thematik ein ach so ist es irgendwas schief gegangen ich möchte noch auf eine Kleinigkeit eingehen und zwar naja, man denkt sich vielleicht ein Passkeys könnte ja was passiert wenn mein Gerät abhanden kommt und jemand mein Gerät irgendwie entsperren kann wie auch immer das geartet ist es ist so dass es ein gewisses Sicherheitsrisiko dahingehend gibt, dass eine andere Person mit sehr ähnlichen Gesichtsmerkmalen eure Geräte entsperren kann also bei Android liegt das beim Google Pixel 8 Pro ungefähr bei 1 zu 50.000 das ist eine unter 50.000 Personen könnte mit ihrem Gesicht euer Smartphone entsperren und hätte dann in diesem Moment auch Zugriff auf all eure Passkeys weil die Displaysperre ja dafür verwendet wird bei Apple ist die Situation ein bisschen besser da gibt es nicht mehr so viele Menschen die das entsperren können aber das ist etwas das würde ich gerne erwähnen, dass es eben auch passieren kann, dass Leute mit ähnlichen Gesichtsmerkmalen euer Gerät entsperren können oder eben Softwarefehler dazu führen können in der Displaysperre dass das Gerät entsperrt werden kann oder eben Hacking Angriffe auf diese Geräte besser werden beziehungsweise die die nötige Technologie aufgebaut wird diese besser werden und man diese Displaysperre irgendwann ausheben kann und genau, damit bin ich durch und wir gehen zu den Security-Nogos über jetzt kommt wieder das Knisterne Mikro wir machen noch einen kurzen Rausschmeißer, wie gesagt ich habe ein paar Security-Nogos mitgebracht wir verlassen jetzt zum einen die Hochtechnologie der Passkeys und zum anderen den Loggen-Bereich weitestgehend aber es sind ein paar Schöne dabei was davon ihr schon gemacht habt ich glaube es sind ein paar dabei oh die Folie fehlt, die ist schön egal nein, wir sind noch nicht fertig mein Favorit unter den Sachen, die auf dieser Folie draufstehen würden, wenn sie da wären sind Datenbank-Prefixes nicht machen tatsächlich das liest man gefühlt wenn man Google WordPress Security-Maßnahmen ist das in jedem zweiten Artikel mit drin dass man seinen Datenbank-Prefix der standardmäßig irgendwie das WP-Unterstrich ist oder wenn es automatisch generiert wurde 2 bis 4 Zeichen-Prefix ist dass man den ändern soll damit man nicht so leicht gehackt wird das hat damit überhaupt nichts zu tun das ist dafür gedacht, dass du mehrere WordPress in eine Datenbank installieren könntest was aus anderen Gründen jetzt nicht die tollste Idee ist ist aber definitiv kein Security-Ding ein anderer ganz gern genannter Punkt ist das Verstecken und da sind wir wieder beim Login das Verstecken der Login-Seite und die irgendwo anders hinzuschieben das reduziert da vielleicht irgendwie so ein Büschend in den Treffig drauf und hilft, dass da zwar da weniger Bots vorbeistolpern, aber am Ende des Tages nerfs vor allem und ist eher so eine Security-Geschichte als würde ich meine Haustür irgendwo im ersten Stock verstecken und immer mit ein Leiter hin klettern müssen damit die Einbrecher das nicht finden die finden irgendeinen Fenster am Ende des Tages also das macht die Seite nicht wirklich sicher es gab bestimmt noch was Drittes auf der Folie aber dadurch, dass sie fehlt, weiß ich es nicht mehr damit lassen wir es einfach dabei und gucken ob ihr Fragen habt und ich gehe fast davon aus und ich werde mit dem Knistern ein Mikrofon ins Publikum-Rennen wenn ihr welche habt Dankeschön