iCloud sync - keiner weiß, wieviele Apple, AWS und Azure Admins Zugriff auf Deine Daten haben (Apple hat keine eigenen Serverfarmen, soweit ich weiß, und mietet bei Amazon und Microsoft) und dann Fingerabdruck, das blödeste "Sicherheits"Merkmal, was man nehmen kann: man hinterlässt es wirklich überall und kann es nicht mal ändern!
aber ganz toll:
wenn einer ein Handy klaut,
hat er gleich die ganze Cloud!
Kann er sich überall anmelden, denn das Handy hat ja alle Keys. Und den Fingerabdruck findet man überall, auf jeden Glas, ja, man kann sie sogar fotografieren.
Wenn der PayPal Server gehackt wird, was hilft mir dann ein passkey jetzt gleich nochma]? na nix, der Hacker ist ja schon drauf!
Und wenn Apple oder Google den Account sperren, ist wenigstens gleich alles weg, weil man sich nicht mehr anmelden kann! So muss das sein in der Schönen Neuen Welt.
Komfortabel kann es nicht sein, entweder braucht es unkomfortabel eine online Verbindung oder ich muss mit QR Codes oder Zahlencodes fummeln. Wenn das Key token Internet vending braucht, ist es nicht sicher genug (alles, was am Netz hängt, kann übers Netz gehackt werden). Ka und sonst hab ich kein Backup. Am Ende kann ich vielleicht gar nicht oder nicht gut die Gegenstelle prüfen, wie beim online Banking, wo die APPs die IBAN nicht mal vierstellig formatieren, obwohl die Banken das von allen Herstellern fordern, so muss ich dann IDS oder was auch immer prüfen, nicht mal ein Adressbuch haben die. Da die App vorher schon kontrollieren lässt, prüft kaum jemand alles nochmal in der wichtigen App - die totale verarsche. Und das ist hier ähnlich:
Warum sollte kein Phishing bei PayPal gehen? Hacker können doch die authentication forwarden und dann die Transaktionsdaten ändern, denn davon hängt der passkey ja nicht ab (im Gegensatz zum Banking, da hängt die Tan von den Zahlungsdaten ab, diese können also nicht geändert werden). Bei passkey kann der Angreifer das aber ändern. ganz toll. Totale verarsche.
Ja, warum bieten das nur 46 Stellen an?
Na offensichtlich weil es nichts taugt!
Denn es geht ja nicht um Sicherheit, sondern darum, die Schuld bei den Benutzern anzuladen, wie bei psd2. Das hätte man auch mit wenig Aufwand für die Benutzer sicherer machen können, aber das stand halt nicht im Pflichtenheft.
Das Posting wurde vom Benutzer editiert (05.08.2023 08:08).