Vorsicht dabei: Ich hatte schon das Problem, dass Authentifikatoren nach einer gewissen Zeit nicht mehr akzeptiert wurden. Weiß nicht, ob es an Updates, an Uhrzeitverlusten oder an expliziten Zeitlimits des Anbieters lag, aber ein zweites Reserve-Gerät in der Schublade ist gegebenenfalls gar nichts wert.
Hmm, auch "brain.exe" geht kaputt. Demenz, Tod, oder sonst was. Auch das Hirn "läuft" auf ner "Maschine" bzw einem "Gerät". Aber back to topic: Gibt´s da ne Lösung?
Ich kann keinen konkreten Support für Microsoft geben, aber ganz allgemein gibt es bei Passkeys zwei Möglichkeiten:
Entweder es gibt keinen alternativen Weg oder das System ist unsicher.
In dem Moment, wo ein (Wiederherstellungs-)Log-In ohne Passkey möglich ist, gehen die Sicherheitsvorteile dieses Verfahrens größtenteils verloren, denn der Angreifer kann einfach die weniger sichere Alternative nutzen. Geradezu bescheuert ist in diesem Rahmen die gängige Praxis, den regulären Zugriff mit mehreren komplexen Abfragen inkl. Biometrie und 2FA abzusichern, aber ein Reset über eine beliege Mail-Adresse zu ermöglichen. In so einem Szenario entfällt durch Passkey nur noch die Gefahr einer direkten Passwort-Ausspähung, da ein Beobachter eben nicht bei der Eingabe des (nicht mehr genutzten) z.B. Microsoft-Passworts, sonder der des Mailaccounts zuschauen muss. Aber das ist keine deutliche Verbesserung und ließe sich genauso über einen Passwort-Manager realisieren.
Prinzipiell nicht, das blöde ist aber der menschliche Faktor.
Natürlich ist es genauso praktisch unmöglich, ein PW zu einem Hash aus dem nichts zu erraten wie inen private Key zu erraten. Nur sind Leute was das angeht ziemlich blöd wenn man ihnen oft frei überlässt welches Passwort sie wählen.
Jemand, der die Hashdatei frei verfügbar hat und nicht auf irgendwelche Anzahl Versuche pro zeit limitiert ist kann mit schnellen GPUs heutzutage zig Millionen PWs in kurzer Zeit durchprobieren. Zum erraten starker langer Passwörter oder Privatekeys viel zu wenig aber um die häufigsten 10.000 PWs sowie alle Wörterbücher der Menschheit und Kombinationen daraus schnell mal durchzutesten mehr als genug.
Neben der Passwort-Datenbank bräuchte der Angreifer in deinem Beispiel auch noch den kompletten Hash-Algorithmus sowie die Salt- und die Pepper-Strategie. Insbesondere letztere wird nicht nur nicht zusammen mit den Passwörtern gespeichert, sondern am besten gar nicht, sondern nur in den Log-In-Algorithmus eingebettet. Und wenn der gekapert wird, sind die Daten ohnehin zugänglich.
Aber selbst wenn Angreifer all das haben, wären damit nur die 0815-Rainbow-Tables in übersichtlicher Zeit abarbeitbar. Gegen generierte Passwörter hilft es gar nicht und gegen die, bei wichtigeren Accounts, mittlerweile doch recht weit verbreiteten Sonderzeichen- und Variationsstrategien auch nur bedingt. Rechenbeispiel: Man kann zwar für einen Großteil der User relativ leicht einen in Frage kommenden, aktiven Wortschatz von vielleicht 1.000-2.000 Vokabeln abgrenzen. Aber wenn man dann noch verschiedene Kurzschreibweisen und gängige Buchstabenersatzmöglichkeiten dazunimmt, hat man trotzdem schnell 100.000 Möglichkeiten, bei einem aus nur drei Bestandteilen gebildeten Passwort also 1.000.000.000.000.000 Wort-Basiselemente; zwei-drei Ziffern an zehn denkbaren Stellen hängen mindestens einen weiteren Block Nullen an und ein weiterer kommt mit möglichen Sonderzeichen.
Das ist dann zwar weiterhin nur eine Trilliarde naheliegender Möglichkeiten, aber eine 5090 mit 1.000 MH/s (in sehr einfachen Algorithmen, in härteren eher ein Zehntel) wäre damit trotzdem einige Jahrtausende beschäftigt. Klar: 100.000 RTX 5090 könnten die statistische Hälfte der Kommunikationsmöglichkeiten in unter einem Quartal abarbeiten, weswegen man bei el Dictatores Atomwaffenprogramm vielleicht noch eine vierte Silbe integrieren sollte. Aber ein Krimineller, in dessen geklauten Datensatz pro Million registrierter Accounts vermutlich 900.000 Fake-/Einweg-Anmeldungen und 50.000 kommerziell nicht verwertbare enthalten sind, hat weder diese Hardware noch
pro Account soviel Zeit.
