Passkeys verwalten

Danke, aber es scheint so, als ob immer noch nicht verstanden wird, worum es hier überhaupt geht. Wie kann das sein? Bisher hat nur Steffi eine für das Thema relevante Antwort gegeben. Ich versuche es unten noch mal, aber langsam habe ich das Gefühl, als wäre dieses Thema unwiderrufflich verflucht.

***

Zitat von Christian

So gab es etwa am 27.01. drei Anmeldeversuche mit deiner Kundennummer, aber keinen mit Passkey.

Das ist nicht böse gemeint, aber das hat in keinster Art und Weise etwas mit dem Thema zu tun. Im Laufe des Januars habe ich habe mich dutzende Male eingeloggt, sowohl mit Kundenummer, Benutzername, Rufnummer, SMS-Code als auch mit mehreren Passkeys. Es geht aber nicht um meine Anmeldungen, die alle erfolgreich waren (inklusive Anmeldungen über Passkey), sondern um die zuvor genannten Probleme. Ich habe mich soeben nochmal mit beiden Passkeys (in privaten Fenstern) angemeldet, nur damit dieser Punkt abgehakt ist.

1Password: Feb 9, 2026 at 15:53:46

iCloud Keychain: Feb 9, 2026 at 15:54:40

***

Worum es hier geht:

Zitat von Steffi

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

***

Ganz von vorne…

Zitat vom BSI:

Zitat

… Bevor sich ein Nutzer oder eine Nutzerin mittels Passkey auf einer Webseite sicher anmelden kann, muss man diesen zunächst registrieren. Hierzu erzeugt der Authentikator u. a. ein neues Schlüsselpaar, also einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der private Schlüssel wird sicher verwahrt, wohingegen der öffentliche Schlüssel der Webseite zur Verfügung gestellt wird.

… Möchte man sich nach erfolgter Registrierung mittels Passkey anmelden, sendet die Webseite eine Nachricht an den Client…

… Die Webseite prüft schließlich anhand des bei der Registrierung hinterlegten öffentlichen Schlüssels, ob die Signatur korrekt ist. Ist das der Fall, ist die Authentifizierung erfolgreich abgeschlossen.

Es geht hier ausschließlich um den öffentlichen Schlüssel, der in congstars Datenbank hinterlegt ist.

Nach dem Anlegen von Passkeys hat man bei praktisch allen anderen Webseiten die Möglichkeit, diese zu verwalten, d.h., man kann weitere hinzufügen oder bestehende löschen. Wie das normalerweise aussieht, kann man in Antwort #25 sehen. Hier noch mal das Beispiel von PayPal.

Problem #1

Bei congstar gibt es, im Gegensatz zu anderen Webseiten, keine Möglichkeit, Passkeys transparent zu verwalten (neue hinzufügen, bereits registrierte löschen). congstars „Lösung“ war es, den Prozess der Löschung des bei congstar hinterlegten öffentlichen Schlüssels des Passkeys unsinnigerweise an eine Zurücksetzung des Passworts zu koppeln.

Problem #2

Die Zurücksetzung des Passworts löscht allerdings nicht, wie von congstar behauptet, den öffentlichen Schlüssel des Passkeys, der in congstars Datenbank gespeichert ist. Bereits angelegte Passkeys bleiben gültig. Privater und öffentlicher Schlüssel passen weiterhin zueinander.

Dass das ein Sicherheitsrisiko ist, sollte klar sein.

Problem #3

Hierfür sollte ich vielleicht ein neues Thema eröffnen, aber im Prozess der Zurücksetzung des Passworts habe ich bemerkt, dass es bei diesem Prozess ein weiteres Problem gibt. Über die Variante mit SMS-Code kann man das Passwort erfolgreich zurücksetzen. (Link: https://www.congstar.de/login/passwort-vergessen-sms/)

EIne Zurücksetzung des Passworts über die Variante per E-Mail funktioniert allerdings nicht.

Link: https://www.congstar.de/login/passwort-vergessen-email/

Kundennummer und Nachname stimmen, trotzdem gibt es diese Fehlermeldung.

Und nicht, dass das falsch verstanden wird: Nein, ich will mein Passwort nicht nochmal zurücksetzen. Das habe ich beim Testen bereits mehrmals gemacht (per SMS-Variante). Problem #3 weist nur auf ein im Prozess gefundenes weiteres Problem hin (Fehler in der E-Mail-Variante), welches zum ersten Mal in Beitrag #11 erwähnt wurde und bisher unbeantwortet ist.

Zitat von Torc

chri-s

Du hast dich bisher nicht mit dem Passkey eingeloggt.

Dude, lass es doch einfach sein. Du hast absolut keine Ahnung wovon du redest. Ich bitte dich jetzt zum zweiten Mal, deine Zeit in andere Bereiche zu investieren, denn keiner deiner bisherigen Beiträge ist auch nur ansatzweise relevant. Du hast das Thema zu Beginn schon auf die falsche Spur gebracht und machst es weiterhin. Ist es so schwer für dich zu verstehen, dass du es nicht verstehst?

Musst du meine Zeit weiterhin verschwenden, indem ich noch ein Video aufnehme, in welchem ich DIR persönlich meinen Login über Passkey beweise, auch wenn es in diesem Thema NIEMALS um Schwierigkeiten beim Einloggen mit Passkeys ging?

Hast du nichts Besseres zu tun, als dich in Dinge einzumischen, die dich nicht betreffen?

Ich habe mich mehr als 15 Mal mit beiden meiner Passkeys eingeloggt.

Zitat von Torc

Und das ist eindeutig.

Nee, aber das angehängte Video ist es.

Danke Tatiana.

Ja, das im Profil hinterlegte Kundenkonto ist korrekt.

Aber bitte nichts an meinem Kundenkonto ändern oder zurücksetzen.

Ich möchte weder mein Passwort zurücksetzen, noch Passkeys löschen.

Die genannten Punkte sind nur als Vorschlag (Problem #1) und Fehlerberichte (Problem #2 und #3) zu verstehen.

Ich wollte also nur darauf aufmerksam machen, dass die von congstar beschriebenen Prozesse nicht funktional sind:

• Passkeys bleiben trotz Passwort-Zurücksetzung in congstars Datenbank (Problem #2), zumindest als ich das vor 2-3 Wochen getestet habe.
• Zurücksetzung des Passworts über die Variante per E-Mail funktioniert nicht (Problem #3), da die Zuordnung von Nachname und Kundennummer nicht klappt (Fehlermeldung: „Die eingegebene Kundennummer und der Nachname passen nicht zusammen.“)

Zitat von Kenan

Magst du auch noch einmal das Passwort zurücksetzen und schauen, ob die Fehlermeldung weiterhin angezeigt wird? Teile hier bitte die genaue Uhrzeit mit, an der du es getestet hast.

Hallo Kenan.

Falls hier der Reset über die E-Mail-Variante mit Kundennummer und Nachname gemeint ist:

• Versuch über https://www.congstar.de/login/passwort-vergessen-email/
• 10.03.2026 um 16:16:31
• Nicht erfolgreich

Ein paar Versuche davor, bei denen ich nicht die genaue Zeit notiert habe, waren ebenfalls ohne Erfolg. Der Versuch um 16:16:31 war der letzte.

***

Ich habe dann anschließend um 16:28:35 (10.03.2026) mein Passwort über die Variante mit SMS + Rufnummer + Kundennummer zurückgesetzt über:

https://www.congstar.de/login/passwort-vergessen-sms/

Das war erfolgreich.

Kurz darauf habe ich erneut den Login mit Passkeys getestet.

Ich habe bisher 2 Passkeys gespeichert, einen in iCloud Keychain, einen in 1Password.

Beide Passkeys funktionieren weiterhin erfolgreich für den Login.

Die öffentlichen Schlüssel, die in congstar's Datenbank hinterlegt sind, bleiben bestehen, auch nach dem erfolgreichen Zurücksetzen des Passworts.

Zitat von Kenan

Nach unserem aktuellen Stand wird beim Passwort zurücksetzen der Eintrag bei uns im System gelöscht.

… Wird der Login dennoch in deinem Fall durchgeführt?

Ja, die Passkeys funktionieren weiterhin zum Einloggen.

Mehr als 4 Versuche in privaten Fenstern waren alle erfolgreich.

***

Ich habe mich anschließend um 16:50:18 noch mal (ohne Passkey) mit Benutzername, (neuem) Passwort und SMS-Code eingeloggt.

Daraufhin kam dann, ähnlich wie zuvor schon vermerkt, die Option, einen neuen Passkey zu speichern.

Das System erkennt also, dass ein Passwort-Reset durchgeführt wurde, auch wenn die bereits vorhandenen Passkeys nicht ungültig werden.

Ich habe jetzt also 3 funktionierende Passkeys.

Das ist in Ordnung, mehr ist hier definitiv besser, aber es sollte ja theoretisch trotzdem möglich sein, die Gültigkeit der öffentlichen Schlüssel bei congstar im System zu widerrufen, vor allem bei Geräteverlust.

Danke.

Zitat von Kenan

Nach dem Zurücksetzen des Passworts kann man sich nicht mehr mit dem lokal gespeicherten privaten Passkey einloggen. Der Eintrag dazu bei uns wird, wie bisher, gelöscht

Danke Kenan , aber "wie bisher" stimmt absolut nicht. Ich denke, es sollte klar sein, dass ich mir vor 3 Monaten nicht die Zeit genommen hätte, mich hier anzumelden und alles im Detail zu dokumentieren, inklusive Videos und Screenhots, wenn es bisher funktioniert hätte.

Ich konnte mich letztes Mal (vor ein paar Wochen) noch mit allen 3 Passkeys einloggen, die 2 „alten“ wurden nicht ungültig.

Aber seitdem, also in der Zeit nach dem 10. März, scheint dieser Fehler behoben worden zu sein.

Ein neuer Test eben zeigte, dass nur noch der zuletzt erstellte Passkey gültig ist (also Nummer 3); die 2 älteren ergaben eine Fehlermeldung, die jetzt zum ersten Mal auftauchte.

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es in der Dokumentation beschrieben ist.

Der andere in diesen Thema erwähnte Fehler (Passwort-Reset über die E-Mail-Variante mit Kundennummer und Nachname) ist weiterhin ungelöst; ich habe es eben auch noch mal probiert.

Zitat von Torc

Danke für die Bestätigung, das wurde ja bereits bestritten.

Statt mal zu Versuchen was ich schrieb, naja, jetzt kommt die Rückmeldung genau so.

Nach wie vor verstehst du überhaupt nicht, worum es hier ging.

Dass der lokale Passkey-Eintrag im Passwort-Manager gelöscht werden kann, ist klar; das hat auch niemand jemals bestritten.

Es hat nur absolut nichts damit zu tun, was hier besprochen wurde. Du führst also weiterhin irgendwie ein Gespräch mit dir selbst, das am Thema vorbeigeht.

Wie von Kenan erwähnt, geht es hier nur um den bei Congstar im System hinterlegten öffentlichen Schlüssel und nicht um die lokal gespeicherte Komponente.

Das müsstest du doch eigentlich mittlerweile verstehen können, da von congstar mehrmals bestätigt wurde, dass diese Komponente nur durch einen Passwort-Reset gelöscht werden kann und unabhängig von der lokalen Komponente ist.

Also noch mal ganz vereinfacht:

Der private Schlüssel des Passkeys besteht lokal und hat keinen Einfluss auf den öffentlichen Schlüssel auf congstars Servern.

Um den privaten Schlüssel „ungültig“ zu machen, muss der öffentliche Schlüssel bei congstar gelöscht werden.

Das geht nur, wenn man das Passwort bei congstar zurücksetzt, da es hier, im Gegensatz zu anderen Diensten, keine Verwaltungsoptionen dazu gibt.

Ein Löschen des privaten Schlüssels lokal im Passwort-Manager hat keinen Einfluss auf den öffentlichen Schlüssel auf congstars Servern, wie von congstar selbst beschrieben, inklusive in dem Verlauf dieses Themas.

Ich kann also nur hoffen, dass niemand, der deine falschen Beiträge hier liest, glaubt, man könnte sich mit der lokalen Löschung des Passkeys zufriedengeben. Deine Beiträge stellen meiner Meinung nach ein Sicherheitsrisiko da und deswegen antworte ich überhaupt noch darauf.

Zitat von Torc

chri-s Was du nicht verstehst, wenn der private Passkey nicht restlos (auf allen Geräten, Manager und Cloud) entfernt ist, bekommst du keinen neuen Passkey. Und das ist das, was ich die gesamte Zeit schreibe. Lösche den privaten Passkey. Will man nicht, daher dein Problem.

Dank deiner Manager geschieht dies ja auch nicht.

lol, ich verkneife mir mal was ich darüber denke.

Das war hier meine letzte Antwort, Abo ebenfalls beendet.

Auch das ist komplett falsch, am Thema vorbei und ergibt keinen Sinn.

Man bekommt die Möglichkeit einen neuen Passkey anzulegen, immer dann, wenn congstars Server den Passwort-Reset erkennen und anschließend das feature flag setzen. Ich hatte monatelang mehrere Passkeys ohne jemals lokal etwas löschen zu müssen, aber das war, wie gesagt, nie Thema.

Das Vorhandensein eines lokal gespeicherten Passkeys hat weder Einfluss auf die Gültigkeit dessen (was nur über congstars öffentlichen Schlüssel geregelt wird), noch auf die Fähigkeit, neue Passkeys anlegen zu können.

Zitat von zedtea

Das heißt doch, auch wenn hier von mehreren Passwortmanagern die Rede ist, dass sich bis zu einem von congstar gesetzten technischen Limit, mehrere Passkeys einrichten lassen sollten.

Ja, stimmt. Die Dokumentation ist nach wie vor falsch und wird scheinbar nicht aktualisiert.

Hier im Thema wurde von congstar erwähnt, dass nur 1 Passkey möglich sein sollte:

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden.

Ich hatte seit Monaten 3 funktionierende Passkeys und konnte alle ohne Probleme nutzen, aber dieser „Fehler“ wurde wohl nach dem 10. März behoben, und jetzt funktioniert nur noch einer davon; die anderen wurden ungültig.

Meine Aussage war ungenau:

Zitat

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es in der Dokumentation beschrieben ist.

Ich hätte schreiben sollen:

Zitat

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es hier im Thema vom congstar-support beschrieben wurde.

Die Dokumentation ist also in diesem Punkt fehlerhaft. Auch ich hätte mir hier das Gegenteil gewünscht, dass weiterhin mehrere Passkeys funktionieren. Die Dokumentation erklärt ja auf schöne Weise, warum das sinnvoll ist und in manchen Fällen nötig sein kann. Dass hier einfach ohne Erklärung wichtige Funktionen wegfallen, die zuvor schon anders dokumentiert wurden, ist ziemlich enttäuschend.

Ich gehe davon aus, dass es in der ersten Implementierung möglich war, mehrere Passkeys haben zu können (bei mir hat es ja monatelang funktioniert), weil sich jemand Gedanken dazu gemacht hat und es folgerichtig auch so dokumentiert wurde.

Bei der Behebung des Hauptproblems (mangelnde Löschung des öffentlichen Schlüssels nach Passwort-Reset) wurde das scheinbar rückgängig gemacht.