Passkeys verwalten

    Zitat von Flosse08

    auf dem Server bei congstar wird nach den Versuchen der Passkey noch vorhanden sein (öffentlicher Schlüssel).

    Ganz genau. Und nur darum geht es hier ja, den serverseitigen Teil des Passkeys, der, anders als bei anderen Diensten, nicht visuell verwaltet/gelöscht werden kann, und um die Tatsache, dass congstars dokumentierter Umweg über password-reset auch nicht funktioniert.

    Zitat von harob

    Dann geht auch kein PK Login mehr, weil mein PK ja weg ist. Da muss ich Nix versuchen

    Genau. Ich habe es probiert, und es hat natürlich keinen Unterschied gemacht. Das war vorher klar, aber ich wollte noch etwas anderes testen. Lokale Löschung in Apple Passwords und 1Password kann man übrigens rückgängig machen für ca. 30 Tage.

    Zitat von Torc

    Ebenso sollte dadurch auch dann der öffentliche Teil gelöscht werden

    Wird er aber nicht, was der ganze Punkt dieses threads ist, wie schon mehrmals erwähnt.

    Zitat von Torc

    Nachteil bei iCloud, das der PK auf mehreren Geräten "gespeichert" wird und so auch "wiederkehren" kann, trotz Löschung

    Das ist ein großer Vorteil von iCloud Keychain und 1Password, hat aber immer noch nichts mit dem Thema zu tun, da es hier nur um die fehlerhafte, serverseitige Komponente bei congstar geht, die nicht davon abhängig ist, was man in einem Passwortspeicher macht.

    Du scheinst eine Synchronisation über die Server von Firmen wie Apple oder 1Password mit den Servern von congstar gleichzusetzen; nur so kann ich mir erklären, wie du zu so einer Aussage kommen kannst, dass es hier ein „Wiederkehren“ des Passkeys gibt „trotz Löschung“, als ob das für die Server von congstar oder diese Diskussion hier von Relevanz wäre.

    → Man synchronisiert den „Schlüssel“ auf mehreren Geräten über Server von Apple/1Password und kann die Passkeys dadurch geräteunabhängig nutzen. Das „Schloss“, in das die Passkeys passen, liegt auf congstars Servern und muss unabhängig davon verwaltet werden.

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von chri-s (28. Januar 2026 um 09:36)

    Was wir schonmal sagen können:

    Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden.

    Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

    Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

    Danke, Steffi!

    Zitat von Steffi

    Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden

    Schade, denn genau wie auf der Infoseite von congstar beschrieben, gibt es gute Gründe, mehrere anzulegen.

    Aktuell habe ich 2 Passkeys, die beide funktionieren, auch nach mehrmaligem „Passwort vergessen“.

    Ich wurde danach (beim klassischen Login) dann gefragt, ob ich weitere anlegen möchte, habe aber nach 2 Passkeys selbst abgebrochen.

    Der Grund, warum ich 2 Passkeys bevorzuge, ist, dass ich sowohl iCloud Keychain als auch 1Password für Passkeys nutze, um Selbstausperrung maximal zu verhindern.

    Zitat von Steffi

    Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht

    Das habe ich mehrere Male durchlaufen, und keiner meiner Passkeys wurde ungültig. Ich kann mich nach wie vor mit allen erstellten Passkeys einloggen, genau so, wie ich es auch möchte.

    Zitat von Steffi

    Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung

    Es wäre schön, wenn sich hier nicht die Info auf der Seite ändert, sondern das System darauf angepasst wird.

    → Mehrere Passkeys sind sinnvoll und sollten verbleiben (weniger theoretischer Lock-in), so wie es alle anderen Dienste auch machen.


    Screenshots davon, wie das bei Amazon, Discord, Dropbox, eBay, Google, Klarna, Link (Stripe) und PayPal aussieht:

    Hallo chri-s ,

    sobald es etwas Neues gibt, geben wir Bescheid 👍

    Wenn es keine weiteren noch unbekannten Infos gibt, hab etwas Geduld.

    Diese Woche wird es nicht mehr gelöst werden können.

    Ich habe deinen Wunsch auch nochmal durchgegeben 🙂

    Gruß Ben

    Hallo Ben, danke!

    Kein Problem und keine Eile. Die Infos im vorigen Kommentar sind ja eher genereller Natur, z.B. was meine Hoffnung angeht, dass die Möglichkeit bestehen bleibt, mehrere gültige Passkeys zu haben, statt dass, wie von Steffi erwähnt, die Dokumentation auf der Infoseite von congstar einfach angepasst wird. (Die Autorin der Seite ist ja korrekt in der Beschreibung der Nützlichkeit mehrerer Passkeys.)

    Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von chri-s (29. Januar 2026 um 18:59)

    Ich möchte noch einen Gedankengang hinzufügen. Denn meiner Ansicht nach hat Torc vielleicht gar nicht so unrecht, wenn es vielleicht auch anders gemeint sein könnte.

    Denn klar ist, dass es keine direkte Kommunikation zwischen Passwortmanagern und den jeweiligen Diensten im Hintergrund gibt, dennoch findet beim Versuch sich einzuloggen Kommunikation zwischen Smartphone/PC und dem entsprechenden Dienst statt. Es wird mitgeteilt, wer man ist (digitale Signatur) und der öffentliche Schlüssel wird übermittelt und mit dem eigenem abgeglichen. Passt das, wird ein Ok übermittelt und man wird reingelassen - das mal vereinfacht gesagt. Da ist der zweite Sicherheitsfaktor quasi ohne eigenes agieren integriert.

    Wird nun beim Dienst angefragt, nachdem man den eigenen Passkey gelöscht hat, kann diese Kommunikation nicht stattfinden. Der dienst wüsste also auch gar nicht mit wem er es zu tun hat und könnte den öffentlichen Schlüssel für den Abgleich nicht herausrücken. Folglich kann der Dienst nur anbieten einen neuen Passkey einzurichten.

    Das könnte durchaus so gewollt sein, allerdings muss das der Server das auch anbieten und anscheinend macht er das bei congstar nur nach dem zurücksetzen des Passworts (oder auch nicht) 😉

    Zitat von zedtea

    Wird nun beim Dienst angefragt, nachdem man den eigenen Passkey gelöscht hat, kann diese Kommunikation nicht stattfinden. Der dienst wüsste also auch gar nicht mit wem er es zu tun hat und könnte den öffentlichen Schlüssel für den Abgleich nicht herausrücken. Folglich kann der Dienst nur anbieten einen neuen Passkey einzurichten

    Wenn es nur um das Anbieten/Erstellen eines neuen Schlüssels geht, könnte man das theoretisch so machen, ist aber bei congstar nicht der Fall. Ich habe alle Passkeys (lokal) aus meinen Ablageorten gelöscht und für 1Password auch die native Autofill-Integration (iOS) sowie die Browser-Extension (macOS) unterbrochen. Man bekommt die Meldung, einen Passkey einzurichten, nur, nachdem man den Weg über „Passwort vergessen“ geht.

    Das gilt sowohl für die Situation, in der die lokalen Passkeys vorher gelöscht wurden, als auch für die, in der die lokalen Passkeys vorhanden sind und mit dem „Schloss“ auf Serverseite bei congstar kommunizieren können. Ich hätte also auch mehr als 2 Passkeys anlegen können.

    Generell halte ich hier nur eine Verwaltungsoption, wie auf anderen Seiten, für wirklich sinnvoll und transparent. Eine lokale Nichtverfügbarkeit des Passkeys sollte zumindest nicht darüber entscheiden, was man letztlich machen kann oder angeboten bekommt. Wenn man einen Browser oder ein Gerät verwendet, das nicht in das lokale Passkey-System eingebunden ist, würde man ja immer wieder eine Aufforderung bekommen, neue Passkeys anzulegen oder zu ersetzen, auch wenn man das gar nicht möchte. Den Blick ausgehend von der Serverseite zu behalten, also dass die Aufforderung nur kommt, wenn man aktuell keine „Schlösser“ bei congstar hinterlegt hat, halte ich für besser. Auch das ersetzt natürlich nicht eine einfache Seite zum Löschen und Hinzufügen, wie bei anderen Diensten.

    Zitat von zedtea

    Wird nun beim Dienst angefragt, nachdem man den eigenen Passkey gelöscht hat, kann diese Kommunikation nicht stattfinden. Der dienst wüsste also auch gar nicht mit wem er es zu tun hat und könnte den öffentlichen Schlüssel für den Abgleich nicht herausrücken. Folglich kann der Dienst nur anbieten einen neuen Passkey einzurichten.

    Es steht nur das Passwort mit 2FA anmelden zur Verfügung wenn man den privaten Passkey auf seinem Gerät löscht. Der Server kann dabei nicht fest stellen ob der Passkey auf dem Gerät gelöscht wurde da bei dieser Funktion gar nicht die Challange an das Gerät geschickt wird wenn man sich mit Passwort anmeldet.

    Passwort zurücksetzen deshalb um den öffentlichen Passkey bei congstar zu löschen oder aktuell den flag zu setzen für neuen Passkey (da keine andere Verwaltung in der App existiert) und wieder die Möglichkeit zu haben einen neuen Passkey (privat und öffentlich) zu erstellen.

    Und nebenbei wenn der Anmeldeversuch mit Passkey fehl schlägt muss der Server davon ausgehen dass sich jemand falsches versucht anzumelden und muss den Anmeldevorgang abbrechen und nicht ein neues Passkey erstellen anbieten.

    Zitat von Flosse08

    Der Server kann dabei nicht fest stellen ob der Passkey auf dem Gerät gelöscht wurde da bei dieser Funktion gar nicht die Challange an das Gerät geschickt wird wenn man sich mit Passwort anmeldet.

    Und nebenbei wenn der Anmeldeversuch mit Passkey fehl schlägt muss der Server davon ausgehen dass sich jemand falsches versucht anzumelden und muss den Anmeldevorgang abbrechen und nicht ein neues Passkey erstellen anbieten

    Danke dafür; in meinen bisherigen Kommentaren zur Sinnlosigkeit lokaler Änderungen (privater Schlüssel) habe ich nicht einmal weit genug gedacht.

    Zitat von Flosse08

    Und nebenbei wenn der Anmeldeversuch mit Passkey fehl schlägt muss der Server davon ausgehen dass sich jemand falsches versucht anzumelden und muss den Anmeldevorgang abbrechen und nicht ein neues Passkey erstellen anbieten.

    Steht für mich im Widerspruch zur Aussage:

    Zitat von Flosse08

    Der Server kann dabei nicht fest stellen ob der Passkey auf dem Gerät gelöscht wurde da bei dieser Funktion gar nicht die Challange an das Gerät geschickt wird wenn man sich mit Passwort anmeldet.

    Wird nichts ausgelöst (Challenge), da ja kein Passkey vorhanden auf dem Gerät, wie soll der Server davon ausgehen, dass jemand Falsches versucht sich anzumelden?

    Das würde keinen Sinn ergeben. Ohne gespeicherten Passkey kann keine digitale Signatur übermittelt werden, die den Server wiederum veranlasst den entsprechenden öffentlichen Schlüssel zu übermitteln.

    Trotzdem, das erneute Einrichten sollte vom Server zugänglich gemacht werden, wenn nicht automatisiert nach klassischem Passwort/Nutzername Login bei dem der bisherige öffentliche Schlüssel überschrieben wird oder als „Karteileiche“ liegen bleibt, dann eben angestoßen durch zurücksetzen des Passworts <- wo es gerade zu knirschen scheint.

    Ein Management zur einfachen Verwaltung (auch mehrerer Passkeys) wie hier geschrieben und gewünscht, wäre schon sinnvoll. Nicht ohne Grund haben die meisten Anbieter das implementiert.

    Zitat von zedtea

    Steht für mich im Widerspruch zur Aussage:

    Das sind zwei von einander getrennte Login Verfahren.

    Es ist der Nutzer / das Gerät welche das Passkey Login Verfahren initiieren. In dem der Benutzer aus seinem Authentikator den Passkey auswählt (Gerät schlägt den richtigen Passkey anhand der Domain vor - man könnte auch einen falschen Passkey im Authentikator zur Domain speichern). Wenn der Passkey auf dem Gerät gelöscht wurde dann schlägt das Gerät kein Passkey Login Verfahren vor da kein passender Passkey zur Domain vorhanden. Dann findet das einfache Passwort mit 2FA Login Verfahren statt. Der Server hat keinen Zugriff auf das Gerät und kann nicht nach Passkeys suchen. Es ist immer der Nutzer / das Gerät welche das Passkey Login Verfahren initiieren.

    Zitat von Flosse08

    Das sind zwei von einander getrennte Login Verfahren.

    Ich denke, man konnte meinen Kommentaren hier entnehmen, dass ich den Unterschied zwischen PW mit 2FA und PK kenne. Folglich auch weiß, dass es sich dabei um verschiedene Verfahren handelt und eben wie diese funktionieren.

    Dennoch kann kein Anmeldeversuch abgebrochen werden, der mangels ausgelöster Challenge gar nicht erst stattfindet. Das war der eigentliche Kontext meiner Aussage zu deinem Kommentar.

    Auch wenn wir in der Sache etwas aneinander vorbeigeredet haben, komme ich zum gleichen Entschluss. Die Implementierung von Passkeys bei congstar hat hier und da noch ein paar Ecken und Kanten.

    Aber die Vorschläge wurden ja übermittelt. Bleibt nur zu wünschen, dass neben einem Management gleichzeitig auch offiziell die Möglichkeit kommt, mehrere Passkeys zu erstellen.

    Gruß zedtea