Passkeys verwalten

    Hallo chri-s,

    die Entwickler*innen der App haben sich deine Loginversuche etwas genauer angesehen. So gab es etwa am 27.01. drei Anmeldeversuche mit deiner Kundennummer, aber keinen mit Passkey.

    Der Verdacht geht daher in die Richtung, dass du unter Umständen unbewusst einen Passwortmanager verwendest, der automatisch versucht, dich mit der Kundennummer anzumelden. Bitte prüfe, ob dies evtl möglich sein kann.

    Beobachte bitte noch einmal genau, was du tust wenn du dich einloggst und gib uns bitte ein Rückmeldung dazu.

    Gruß Christian

    Danke, aber es scheint so, als ob immer noch nicht verstanden wird, worum es hier überhaupt geht. Wie kann das sein? Bisher hat nur Steffi eine für das Thema relevante Antwort gegeben. Ich versuche es unten noch mal, aber langsam habe ich das Gefühl, als wäre dieses Thema unwiderrufflich verflucht.

    ***

    Zitat von Christian

    So gab es etwa am 27.01. drei Anmeldeversuche mit deiner Kundennummer, aber keinen mit Passkey.

    Das ist nicht böse gemeint, aber das hat in keinster Art und Weise etwas mit dem Thema zu tun. Im Laufe des Januars habe ich habe mich dutzende Male eingeloggt, sowohl mit Kundenummer, Benutzername, Rufnummer, SMS-Code als auch mit mehreren Passkeys. Es geht aber nicht um meine Anmeldungen, die alle erfolgreich waren (inklusive Anmeldungen über Passkey), sondern um die zuvor genannten Probleme. Ich habe mich soeben nochmal mit beiden Passkeys (in privaten Fenstern) angemeldet, nur damit dieser Punkt abgehakt ist.

    1Password: Feb 9, 2026 at 15:53:46

    iCloud Keychain: Feb 9, 2026 at 15:54:40

    ***

    Worum es hier geht:

    Zitat von Steffi

    Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

    Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

    ***

    Ganz von vorne…

    Zitat vom BSI:

    Zitat

    … Bevor sich ein Nutzer oder eine Nutzerin mittels Passkey auf einer Webseite sicher anmelden kann, muss man diesen zunächst registrieren. Hierzu erzeugt der Authentikator u. a. ein neues Schlüsselpaar, also einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der private Schlüssel wird sicher verwahrt, wohingegen der öffentliche Schlüssel der Webseite zur Verfügung gestellt wird.

    … Möchte man sich nach erfolgter Registrierung mittels Passkey anmelden, sendet die Webseite eine Nachricht an den Client…

    … Die Webseite prüft schließlich anhand des bei der Registrierung hinterlegten öffentlichen Schlüssels, ob die Signatur korrekt ist. Ist das der Fall, ist die Authentifizierung erfolgreich abgeschlossen.

    Es geht hier ausschließlich um den öffentlichen Schlüssel, der in congstars Datenbank hinterlegt ist.

    Nach dem Anlegen von Passkeys hat man bei praktisch allen anderen Webseiten die Möglichkeit, diese zu verwalten, d.h., man kann weitere hinzufügen oder bestehende löschen. Wie das normalerweise aussieht, kann man in Antwort #25 sehen. Hier noch mal das Beispiel von PayPal.

    Problem #1

    Bei congstar gibt es, im Gegensatz zu anderen Webseiten, keine Möglichkeit, Passkeys transparent zu verwalten (neue hinzufügen, bereits registrierte löschen). congstars „Lösung“ war es, den Prozess der Löschung des bei congstar hinterlegten öffentlichen Schlüssels des Passkeys unsinnigerweise an eine Zurücksetzung des Passworts zu koppeln.

    Problem #2

    Die Zurücksetzung des Passworts löscht allerdings nicht, wie von congstar behauptet, den öffentlichen Schlüssel des Passkeys, der in congstars Datenbank gespeichert ist. Bereits angelegte Passkeys bleiben gültig. Privater und öffentlicher Schlüssel passen weiterhin zueinander.

    Dass das ein Sicherheitsrisiko ist, sollte klar sein.

    Problem #3

    Hierfür sollte ich vielleicht ein neues Thema eröffnen, aber im Prozess der Zurücksetzung des Passworts habe ich bemerkt, dass es bei diesem Prozess ein weiteres Problem gibt. Über die Variante mit SMS-Code kann man das Passwort erfolgreich zurücksetzen. (Link: https://www.congstar.de/login/passwort-vergessen-sms/)

    EIne Zurücksetzung des Passworts über die Variante per E-Mail funktioniert allerdings nicht.

    Link: https://www.congstar.de/login/passwort-vergessen-email/

    Kundennummer und Nachname stimmen, trotzdem gibt es diese Fehlermeldung.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von chri-s (9. Februar 2026 um 16:07)

    Und nicht, dass das falsch verstanden wird: Nein, ich will mein Passwort nicht nochmal zurücksetzen. Das habe ich beim Testen bereits mehrmals gemacht (per SMS-Variante). Problem #3 weist nur auf ein im Prozess gefundenes weiteres Problem hin (Fehler in der E-Mail-Variante), welches zum ersten Mal in Beitrag #11 erwähnt wurde und bisher unbeantwortet ist.

    Zitat von Torc

    chri-s

    Du hast dich bisher nicht mit dem Passkey eingeloggt.

    Dude, lass es doch einfach sein. Du hast absolut keine Ahnung wovon du redest. Ich bitte dich jetzt zum zweiten Mal, deine Zeit in andere Bereiche zu investieren, denn keiner deiner bisherigen Beiträge ist auch nur ansatzweise relevant. Du hast das Thema zu Beginn schon auf die falsche Spur gebracht und machst es weiterhin. Ist es so schwer für dich zu verstehen, dass du es nicht verstehst?

    Musst du meine Zeit weiterhin verschwenden, indem ich noch ein Video aufnehme, in welchem ich DIR persönlich meinen Login über Passkey beweise, auch wenn es in diesem Thema NIEMALS um Schwierigkeiten beim Einloggen mit Passkeys ging?

    Hast du nichts Besseres zu tun, als dich in Dinge einzumischen, die dich nicht betreffen?

    Ich habe mich mehr als 15 Mal mit beiden meiner Passkeys eingeloggt.

    Zitat von Torc

    Und das ist eindeutig.

    Nee, aber das angehängte Video ist es.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von chri-s (9. Februar 2026 um 19:20)

    chri-s Vielen Dank! Ich gebe deine Beschreibung mit dem Bildmaterial nochmal so an unsere Entwickler*innen weiter :)

    Und zur Sicherheit: Es geht um das hier in deinem Profil hinterlegte Kundenkonto, korrekt?