Beiträge von chri-s

Zitat von Torc

chri-s Was du nicht verstehst, wenn der private Passkey nicht restlos (auf allen Geräten, Manager und Cloud) entfernt ist, bekommst du keinen neuen Passkey. Und das ist das, was ich die gesamte Zeit schreibe. Lösche den privaten Passkey. Will man nicht, daher dein Problem.

Dank deiner Manager geschieht dies ja auch nicht.

lol, ich verkneife mir mal was ich darüber denke.

Das war hier meine letzte Antwort, Abo ebenfalls beendet.

Auch das ist komplett falsch, am Thema vorbei und ergibt keinen Sinn.

Man bekommt die Möglichkeit einen neuen Passkey anzulegen, immer dann, wenn congstars Server den Passwort-Reset erkennen und anschließend das feature flag setzen. Ich hatte monatelang mehrere Passkeys ohne jemals lokal etwas löschen zu müssen, aber das war, wie gesagt, nie Thema.

Das Vorhandensein eines lokal gespeicherten Passkeys hat weder Einfluss auf die Gültigkeit dessen (was nur über congstars öffentlichen Schlüssel geregelt wird), noch auf die Fähigkeit, neue Passkeys anlegen zu können.

Zitat von zedtea

Das heißt doch, auch wenn hier von mehreren Passwortmanagern die Rede ist, dass sich bis zu einem von congstar gesetzten technischen Limit, mehrere Passkeys einrichten lassen sollten.

Ja, stimmt. Die Dokumentation ist nach wie vor falsch und wird scheinbar nicht aktualisiert.

Hier im Thema wurde von congstar erwähnt, dass nur 1 Passkey möglich sein sollte:

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden.

Ich hatte seit Monaten 3 funktionierende Passkeys und konnte alle ohne Probleme nutzen, aber dieser „Fehler“ wurde wohl nach dem 10. März behoben, und jetzt funktioniert nur noch einer davon; die anderen wurden ungültig.

Meine Aussage war ungenau:

Zitat

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es in der Dokumentation beschrieben ist.

Ich hätte schreiben sollen:

Zitat

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es hier im Thema vom congstar-support beschrieben wurde.

Die Dokumentation ist also in diesem Punkt fehlerhaft. Auch ich hätte mir hier das Gegenteil gewünscht, dass weiterhin mehrere Passkeys funktionieren. Die Dokumentation erklärt ja auf schöne Weise, warum das sinnvoll ist und in manchen Fällen nötig sein kann. Dass hier einfach ohne Erklärung wichtige Funktionen wegfallen, die zuvor schon anders dokumentiert wurden, ist ziemlich enttäuschend.

Ich gehe davon aus, dass es in der ersten Implementierung möglich war, mehrere Passkeys haben zu können (bei mir hat es ja monatelang funktioniert), weil sich jemand Gedanken dazu gemacht hat und es folgerichtig auch so dokumentiert wurde.

Bei der Behebung des Hauptproblems (mangelnde Löschung des öffentlichen Schlüssels nach Passwort-Reset) wurde das scheinbar rückgängig gemacht.

Zitat von Torc

Danke für die Bestätigung, das wurde ja bereits bestritten.

Statt mal zu Versuchen was ich schrieb, naja, jetzt kommt die Rückmeldung genau so.

Nach wie vor verstehst du überhaupt nicht, worum es hier ging.

Dass der lokale Passkey-Eintrag im Passwort-Manager gelöscht werden kann, ist klar; das hat auch niemand jemals bestritten.

Es hat nur absolut nichts damit zu tun, was hier besprochen wurde. Du führst also weiterhin irgendwie ein Gespräch mit dir selbst, das am Thema vorbeigeht.

Wie von Kenan erwähnt, geht es hier nur um den bei Congstar im System hinterlegten öffentlichen Schlüssel und nicht um die lokal gespeicherte Komponente.

Das müsstest du doch eigentlich mittlerweile verstehen können, da von congstar mehrmals bestätigt wurde, dass diese Komponente nur durch einen Passwort-Reset gelöscht werden kann und unabhängig von der lokalen Komponente ist.

Also noch mal ganz vereinfacht:

Der private Schlüssel des Passkeys besteht lokal und hat keinen Einfluss auf den öffentlichen Schlüssel auf congstars Servern.

Um den privaten Schlüssel „ungültig“ zu machen, muss der öffentliche Schlüssel bei congstar gelöscht werden.

Das geht nur, wenn man das Passwort bei congstar zurücksetzt, da es hier, im Gegensatz zu anderen Diensten, keine Verwaltungsoptionen dazu gibt.

Ein Löschen des privaten Schlüssels lokal im Passwort-Manager hat keinen Einfluss auf den öffentlichen Schlüssel auf congstars Servern, wie von congstar selbst beschrieben, inklusive in dem Verlauf dieses Themas.

Ich kann also nur hoffen, dass niemand, der deine falschen Beiträge hier liest, glaubt, man könnte sich mit der lokalen Löschung des Passkeys zufriedengeben. Deine Beiträge stellen meiner Meinung nach ein Sicherheitsrisiko da und deswegen antworte ich überhaupt noch darauf.

Zitat von Kenan

Nach dem Zurücksetzen des Passworts kann man sich nicht mehr mit dem lokal gespeicherten privaten Passkey einloggen. Der Eintrag dazu bei uns wird, wie bisher, gelöscht

Danke Kenan , aber "wie bisher" stimmt absolut nicht. Ich denke, es sollte klar sein, dass ich mir vor 3 Monaten nicht die Zeit genommen hätte, mich hier anzumelden und alles im Detail zu dokumentieren, inklusive Videos und Screenhots, wenn es bisher funktioniert hätte.

Ich konnte mich letztes Mal (vor ein paar Wochen) noch mit allen 3 Passkeys einloggen, die 2 „alten“ wurden nicht ungültig.

Aber seitdem, also in der Zeit nach dem 10. März, scheint dieser Fehler behoben worden zu sein.

Ein neuer Test eben zeigte, dass nur noch der zuletzt erstellte Passkey gültig ist (also Nummer 3); die 2 älteren ergaben eine Fehlermeldung, die jetzt zum ersten Mal auftauchte.

Ich kann also bestätigen, dass es jetzt so funktioniert, wie es in der Dokumentation beschrieben ist.

Der andere in diesen Thema erwähnte Fehler (Passwort-Reset über die E-Mail-Variante mit Kundennummer und Nachname) ist weiterhin ungelöst; ich habe es eben auch noch mal probiert.

Zitat von Kenan

Magst du auch noch einmal das Passwort zurücksetzen und schauen, ob die Fehlermeldung weiterhin angezeigt wird? Teile hier bitte die genaue Uhrzeit mit, an der du es getestet hast.

Hallo Kenan.

Falls hier der Reset über die E-Mail-Variante mit Kundennummer und Nachname gemeint ist:

• Versuch über https://www.congstar.de/login/passwort-vergessen-email/
• 10.03.2026 um 16:16:31
• Nicht erfolgreich

Ein paar Versuche davor, bei denen ich nicht die genaue Zeit notiert habe, waren ebenfalls ohne Erfolg. Der Versuch um 16:16:31 war der letzte.

***

Ich habe dann anschließend um 16:28:35 (10.03.2026) mein Passwort über die Variante mit SMS + Rufnummer + Kundennummer zurückgesetzt über:

https://www.congstar.de/login/passwort-vergessen-sms/

Das war erfolgreich.

Kurz darauf habe ich erneut den Login mit Passkeys getestet.

Ich habe bisher 2 Passkeys gespeichert, einen in iCloud Keychain, einen in 1Password.

Beide Passkeys funktionieren weiterhin erfolgreich für den Login.

Die öffentlichen Schlüssel, die in congstar's Datenbank hinterlegt sind, bleiben bestehen, auch nach dem erfolgreichen Zurücksetzen des Passworts.

Zitat von Kenan

Nach unserem aktuellen Stand wird beim Passwort zurücksetzen der Eintrag bei uns im System gelöscht.

… Wird der Login dennoch in deinem Fall durchgeführt?

Ja, die Passkeys funktionieren weiterhin zum Einloggen.

Mehr als 4 Versuche in privaten Fenstern waren alle erfolgreich.

***

Ich habe mich anschließend um 16:50:18 noch mal (ohne Passkey) mit Benutzername, (neuem) Passwort und SMS-Code eingeloggt.

Daraufhin kam dann, ähnlich wie zuvor schon vermerkt, die Option, einen neuen Passkey zu speichern.

Das System erkennt also, dass ein Passwort-Reset durchgeführt wurde, auch wenn die bereits vorhandenen Passkeys nicht ungültig werden.

Ich habe jetzt also 3 funktionierende Passkeys.

Das ist in Ordnung, mehr ist hier definitiv besser, aber es sollte ja theoretisch trotzdem möglich sein, die Gültigkeit der öffentlichen Schlüssel bei congstar im System zu widerrufen, vor allem bei Geräteverlust.

Danke.

Zitat von harob

Auf der Website wird das Raute-Zeichen (oder Neudeutsch: Hash) (#) als valides Zeichen zugelassen. In der App wird es bei Eingabe sofort als ungültig getaggt. Gleiches gilt für eckige Klammern []

Genau, Raute war bei mir auch das Problem.

Zitat von zedtea

für mich persönlich ist es schwer nachvollziehbar, dass sich so ein gravierender Fehler einschleichen und halten konnte

Ich wollte es im anderen Thema eigentlich erwähnen, aber da dort die Hauptprobleme nicht richtig verstanden wurden, habe ich gelassen und dann vergessen ein neues Thema zu öffnen.

Die Probleme mit den Passkeys und mit dem Passwort-Reset über Kundennummer, Nachname und E-Mail sind seit 5 Wochen nicht gelöst, was auch für mich unverständlich ist. Das sind ziemlich grobe Fehler, die eigentlich innerhalb von ein paar Tagen hätten behoben werden sollen.

Zitat von Sharra

Es wird behauptet, das Passwort wäre geändert worden. Es kommt eine Bestätigungsmail auf die hinterlegte E-Mail Adresse, dass das Passwort geändert sei, aber es ist kein Login möglich

Hast du die Änderung des Passwortes über die Webseite durchgeführt?

Falls ja, kann ich hierzu noch etwas möglicherweise Relevantes sagen.

Bei der Änderung über die Webseite werden Passwörter akzeptiert, die „illegal“ sind, also von der App eigentlich abgelehnt würden, wenn man es über die App machen würde. Das habe ich ebenfalls im Prozess vor 2 Monaten bemerkt, als ich über die Bugs bzgl. Passkeys und dem Zurücksetzen des Passwortes über die Variante mit Kundennummer, Nachname und E-Mail geschrieben habe.

Die Passwortanfoderungen gelten also, wurden aber nur selektiv forciert, was zu „falschen“ Passwörtern führt:

Muss 12 bis 32 Zeichen lang sein.
Muss Zeichen aus mindestens 3 der 4 folgenden Zeichengruppen enthalten:
Großbuchstaben (A-Z)
Kleinbuchstaben (a-z)
Sonderzeichen: ! @ . : - _ " § $ % & / ( ) = ? ` ´
Ziffern (0-9)

Danke Tatiana.

Ja, das im Profil hinterlegte Kundenkonto ist korrekt.

Aber bitte nichts an meinem Kundenkonto ändern oder zurücksetzen.

Ich möchte weder mein Passwort zurücksetzen, noch Passkeys löschen.

Die genannten Punkte sind nur als Vorschlag (Problem #1) und Fehlerberichte (Problem #2 und #3) zu verstehen.

Ich wollte also nur darauf aufmerksam machen, dass die von congstar beschriebenen Prozesse nicht funktional sind:

• Passkeys bleiben trotz Passwort-Zurücksetzung in congstars Datenbank (Problem #2), zumindest als ich das vor 2-3 Wochen getestet habe.
• Zurücksetzung des Passworts über die Variante per E-Mail funktioniert nicht (Problem #3), da die Zuordnung von Nachname und Kundennummer nicht klappt (Fehlermeldung: „Die eingegebene Kundennummer und der Nachname passen nicht zusammen.“)

Zitat von Torc

chri-s

Du hast dich bisher nicht mit dem Passkey eingeloggt.

Dude, lass es doch einfach sein. Du hast absolut keine Ahnung wovon du redest. Ich bitte dich jetzt zum zweiten Mal, deine Zeit in andere Bereiche zu investieren, denn keiner deiner bisherigen Beiträge ist auch nur ansatzweise relevant. Du hast das Thema zu Beginn schon auf die falsche Spur gebracht und machst es weiterhin. Ist es so schwer für dich zu verstehen, dass du es nicht verstehst?

Musst du meine Zeit weiterhin verschwenden, indem ich noch ein Video aufnehme, in welchem ich DIR persönlich meinen Login über Passkey beweise, auch wenn es in diesem Thema NIEMALS um Schwierigkeiten beim Einloggen mit Passkeys ging?

Hast du nichts Besseres zu tun, als dich in Dinge einzumischen, die dich nicht betreffen?

Ich habe mich mehr als 15 Mal mit beiden meiner Passkeys eingeloggt.

Zitat von Torc

Und das ist eindeutig.

Nee, aber das angehängte Video ist es.

Und nicht, dass das falsch verstanden wird: Nein, ich will mein Passwort nicht nochmal zurücksetzen. Das habe ich beim Testen bereits mehrmals gemacht (per SMS-Variante). Problem #3 weist nur auf ein im Prozess gefundenes weiteres Problem hin (Fehler in der E-Mail-Variante), welches zum ersten Mal in Beitrag #11 erwähnt wurde und bisher unbeantwortet ist.

Danke, aber es scheint so, als ob immer noch nicht verstanden wird, worum es hier überhaupt geht. Wie kann das sein? Bisher hat nur Steffi eine für das Thema relevante Antwort gegeben. Ich versuche es unten noch mal, aber langsam habe ich das Gefühl, als wäre dieses Thema unwiderrufflich verflucht.

***

Zitat von Christian

So gab es etwa am 27.01. drei Anmeldeversuche mit deiner Kundennummer, aber keinen mit Passkey.

Das ist nicht böse gemeint, aber das hat in keinster Art und Weise etwas mit dem Thema zu tun. Im Laufe des Januars habe ich habe mich dutzende Male eingeloggt, sowohl mit Kundenummer, Benutzername, Rufnummer, SMS-Code als auch mit mehreren Passkeys. Es geht aber nicht um meine Anmeldungen, die alle erfolgreich waren (inklusive Anmeldungen über Passkey), sondern um die zuvor genannten Probleme. Ich habe mich soeben nochmal mit beiden Passkeys (in privaten Fenstern) angemeldet, nur damit dieser Punkt abgehakt ist.

1Password: Feb 9, 2026 at 15:53:46

iCloud Keychain: Feb 9, 2026 at 15:54:40

***

Worum es hier geht:

Zitat von Steffi

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

***

Ganz von vorne…

Zitat vom BSI:

Zitat

… Bevor sich ein Nutzer oder eine Nutzerin mittels Passkey auf einer Webseite sicher anmelden kann, muss man diesen zunächst registrieren. Hierzu erzeugt der Authentikator u. a. ein neues Schlüsselpaar, also einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der private Schlüssel wird sicher verwahrt, wohingegen der öffentliche Schlüssel der Webseite zur Verfügung gestellt wird.

… Möchte man sich nach erfolgter Registrierung mittels Passkey anmelden, sendet die Webseite eine Nachricht an den Client…

… Die Webseite prüft schließlich anhand des bei der Registrierung hinterlegten öffentlichen Schlüssels, ob die Signatur korrekt ist. Ist das der Fall, ist die Authentifizierung erfolgreich abgeschlossen.

Es geht hier ausschließlich um den öffentlichen Schlüssel, der in congstars Datenbank hinterlegt ist.

Nach dem Anlegen von Passkeys hat man bei praktisch allen anderen Webseiten die Möglichkeit, diese zu verwalten, d.h., man kann weitere hinzufügen oder bestehende löschen. Wie das normalerweise aussieht, kann man in Antwort #25 sehen. Hier noch mal das Beispiel von PayPal.

Problem #1

Bei congstar gibt es, im Gegensatz zu anderen Webseiten, keine Möglichkeit, Passkeys transparent zu verwalten (neue hinzufügen, bereits registrierte löschen). congstars „Lösung“ war es, den Prozess der Löschung des bei congstar hinterlegten öffentlichen Schlüssels des Passkeys unsinnigerweise an eine Zurücksetzung des Passworts zu koppeln.

Problem #2

Die Zurücksetzung des Passworts löscht allerdings nicht, wie von congstar behauptet, den öffentlichen Schlüssel des Passkeys, der in congstars Datenbank gespeichert ist. Bereits angelegte Passkeys bleiben gültig. Privater und öffentlicher Schlüssel passen weiterhin zueinander.

Dass das ein Sicherheitsrisiko ist, sollte klar sein.

Problem #3

Hierfür sollte ich vielleicht ein neues Thema eröffnen, aber im Prozess der Zurücksetzung des Passworts habe ich bemerkt, dass es bei diesem Prozess ein weiteres Problem gibt. Über die Variante mit SMS-Code kann man das Passwort erfolgreich zurücksetzen. (Link: https://www.congstar.de/login/passwort-vergessen-sms/)

EIne Zurücksetzung des Passworts über die Variante per E-Mail funktioniert allerdings nicht.

Link: https://www.congstar.de/login/passwort-vergessen-email/

Kundennummer und Nachname stimmen, trotzdem gibt es diese Fehlermeldung.

Zitat von Patrick

Ich hoffe das hilft weiter.

Nein. Das Zitat geht leider auch am Thema vorbei. Es geht nach wie vor nicht um den privaten Schlüssel, sondern um den öffentlichen, der auf congstar's Servern liegt.

Wir waren doch schon weiter in diesem Thread, dank Steffi:

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden.

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht, aber nicht beim "Passwort ändern" Prozess. Und diese auch nur in unserer Datenbank, die auf dem gerät gespeicherten müssen selbst gelöscht bzw. geändert werden.

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung.

Der Prozess über „Passwort vergessen“ funktioniert nicht.

Der öffentliche Schlüssel bei congstar bleibt bestehen.

Ohne Verwaltungsoption bleiben also alle bereits erstellten Passkeys für immer gültig. Das ist, als würden alle je benutzten Passwörter für immer gelten.

Da iOS-Apps seit der Einführung von Apples eigenen Chips der M-Serie im Jahr 2020 standardmäßig ohne Modifizierung oder Portierung auch am Mac (macOS) genutzt werden können, wäre es schön, wenn congstar das nicht weiterhin unterbinden würde.

Alles, was dafür nötig ist, ist das Häkchen in App Store Connect bei “Make this app available on Mac” wieder zu setzen, also den Opt-out rückgängig zu machen.

iPhones werden häufig gestohlen. Der Mac zu Hause könnte demnach als gutes Backup zur Verwaltung und Einsicht in den Account fungieren, vor allem, weil jetzt das Kundencenter komplett abgeschaltet wurde (bis auf Rechnungen) und somit bei Neuversand einer SIM-Karte auch keine Einsicht mehr zum neuen PIN und PUK dieser SIM möglich ist. Dadurch wäre im Verlustfall ein Kontakt über die Hotline (natürlich schwierig ohne aktive SIM) oder Chat nötig, um die neue SIM-Karte überhaupt nutzen zu können, indem man den unbekannten neuen PIN mit dem neuen PUK zurücksetzt, den man zwingend über den Chat erhalten müsste.

Der Zwang zur App hat diese Probleme ja erst verursacht. Wenn man also nur noch die App nutzen soll, warum sollte man das nicht konsequent auch dort machen dürfen, wo es ebenso möglich ist?

Danke

Zitat von Flosse08

Der Server kann dabei nicht fest stellen ob der Passkey auf dem Gerät gelöscht wurde da bei dieser Funktion gar nicht die Challange an das Gerät geschickt wird wenn man sich mit Passwort anmeldet.

…

Und nebenbei wenn der Anmeldeversuch mit Passkey fehl schlägt muss der Server davon ausgehen dass sich jemand falsches versucht anzumelden und muss den Anmeldevorgang abbrechen und nicht ein neues Passkey erstellen anbieten

Danke dafür; in meinen bisherigen Kommentaren zur Sinnlosigkeit lokaler Änderungen (privater Schlüssel) habe ich nicht einmal weit genug gedacht.

Zitat von zedtea

Wird nun beim Dienst angefragt, nachdem man den eigenen Passkey gelöscht hat, kann diese Kommunikation nicht stattfinden. Der dienst wüsste also auch gar nicht mit wem er es zu tun hat und könnte den öffentlichen Schlüssel für den Abgleich nicht herausrücken. Folglich kann der Dienst nur anbieten einen neuen Passkey einzurichten

Wenn es nur um das Anbieten/Erstellen eines neuen Schlüssels geht, könnte man das theoretisch so machen, ist aber bei congstar nicht der Fall. Ich habe alle Passkeys (lokal) aus meinen Ablageorten gelöscht und für 1Password auch die native Autofill-Integration (iOS) sowie die Browser-Extension (macOS) unterbrochen. Man bekommt die Meldung, einen Passkey einzurichten, nur, nachdem man den Weg über „Passwort vergessen“ geht.

Das gilt sowohl für die Situation, in der die lokalen Passkeys vorher gelöscht wurden, als auch für die, in der die lokalen Passkeys vorhanden sind und mit dem „Schloss“ auf Serverseite bei congstar kommunizieren können. Ich hätte also auch mehr als 2 Passkeys anlegen können.

Generell halte ich hier nur eine Verwaltungsoption, wie auf anderen Seiten, für wirklich sinnvoll und transparent. Eine lokale Nichtverfügbarkeit des Passkeys sollte zumindest nicht darüber entscheiden, was man letztlich machen kann oder angeboten bekommt. Wenn man einen Browser oder ein Gerät verwendet, das nicht in das lokale Passkey-System eingebunden ist, würde man ja immer wieder eine Aufforderung bekommen, neue Passkeys anzulegen oder zu ersetzen, auch wenn man das gar nicht möchte. Den Blick ausgehend von der Serverseite zu behalten, also dass die Aufforderung nur kommt, wenn man aktuell keine „Schlösser“ bei congstar hinterlegt hat, halte ich für besser. Auch das ersetzt natürlich nicht eine einfache Seite zum Löschen und Hinzufügen, wie bei anderen Diensten.

Auf iPads kann man generell keine Anrufe über eine eigene SIM-Karte tätigen.

Zitat von Ulesch

Das iPad kann Anrufe erst durchführen und empfangen, wenn das Anruf-Relay mit einem iPhone eingerichtet ist

Die Fehlermeldung ist korrekt.

Man muss die Umleitung über die SIM vom iPhone einrichten. Die SIM im iPad ist praktisch nur für Daten geeignet.

https://support.apple.com/de-de/guide/ipad/ipadf97892b2/ipados

https://www.o2online.de/ratgeber/hacks-tipps/mit-ipad-telefonieren/

EDIT: Sorry, ich habe die anderen Kommentare vor dem Abschicken nicht gesehen, da ich die Seite nicht neu geladen habe.

Hallo Ben, danke!

Kein Problem und keine Eile. Die Infos im vorigen Kommentar sind ja eher genereller Natur, z.B. was meine Hoffnung angeht, dass die Möglichkeit bestehen bleibt, mehrere gültige Passkeys zu haben, statt dass, wie von Steffi erwähnt, die Dokumentation auf der Infoseite von congstar einfach angepasst wird. (Die Autorin der Seite ist ja korrekt in der Beschreibung der Nützlichkeit mehrerer Passkeys.)

Danke, Steffi!

Zitat von Steffi

Es kann nur ein Passkey angelegt werden, die Info auf der Seite muss noch geändert werden

Schade, denn genau wie auf der Infoseite von congstar beschrieben, gibt es gute Gründe, mehrere anzulegen.

Aktuell habe ich 2 Passkeys, die beide funktionieren, auch nach mehrmaligem „Passwort vergessen“.

Ich wurde danach (beim klassischen Login) dann gefragt, ob ich weitere anlegen möchte, habe aber nach 2 Passkeys selbst abgebrochen.

Der Grund, warum ich 2 Passkeys bevorzuge, ist, dass ich sowohl iCloud Keychain als auch 1Password für Passkeys nutze, um Selbstausperrung maximal zu verhindern.

Zitat von Steffi

Die Passkey Daten werden nur beim Prozess "Passwort vergessen" gelöscht

Das habe ich mehrere Male durchlaufen, und keiner meiner Passkeys wurde ungültig. Ich kann mich nach wie vor mit allen erstellten Passkeys einloggen, genau so, wie ich es auch möchte.

Zitat von Steffi

Der Vorschlag der Passkey Verwaltung und alles Weitere ist in Klärung

Es wäre schön, wenn sich hier nicht die Info auf der Seite ändert, sondern das System darauf angepasst wird.

→ Mehrere Passkeys sind sinnvoll und sollten verbleiben (weniger theoretischer Lock-in), so wie es alle anderen Dienste auch machen.

Screenshots davon, wie das bei Amazon, Discord, Dropbox, eBay, Google, Klarna, Link (Stripe) und PayPal aussieht:

Zitat von Torc

Ebenso sollte dadurch auch dann der öffentliche Teil gelöscht werden

Wird er aber nicht, was der ganze Punkt dieses threads ist, wie schon mehrmals erwähnt.

Zitat von Torc

Nachteil bei iCloud, das der PK auf mehreren Geräten "gespeichert" wird und so auch "wiederkehren" kann, trotz Löschung

Das ist ein großer Vorteil von iCloud Keychain und 1Password, hat aber immer noch nichts mit dem Thema zu tun, da es hier nur um die fehlerhafte, serverseitige Komponente bei congstar geht, die nicht davon abhängig ist, was man in einem Passwortspeicher macht.

Du scheinst eine Synchronisation über die Server von Firmen wie Apple oder 1Password mit den Servern von congstar gleichzusetzen; nur so kann ich mir erklären, wie du zu so einer Aussage kommen kannst, dass es hier ein „Wiederkehren“ des Passkeys gibt „trotz Löschung“, als ob das für die Server von congstar oder diese Diskussion hier von Relevanz wäre.

→ Man synchronisiert den „Schlüssel“ auf mehreren Geräten über Server von Apple/1Password und kann die Passkeys dadurch geräteunabhängig nutzen. Das „Schloss“, in das die Passkeys passen, liegt auf congstars Servern und muss unabhängig davon verwaltet werden.

Zitat von Flosse08

auf dem Server bei congstar wird nach den Versuchen der Passkey noch vorhanden sein (öffentlicher Schlüssel).

Ganz genau. Und nur darum geht es hier ja, den serverseitigen Teil des Passkeys, der, anders als bei anderen Diensten, nicht visuell verwaltet/gelöscht werden kann, und um die Tatsache, dass congstars dokumentierter Umweg über password-reset auch nicht funktioniert.

Zitat von harob

Dann geht auch kein PK Login mehr, weil mein PK ja weg ist. Da muss ich Nix versuchen

Genau. Ich habe es probiert, und es hat natürlich keinen Unterschied gemacht. Das war vorher klar, aber ich wollte noch etwas anderes testen. Lokale Löschung in Apple Passwords und 1Password kann man übrigens rückgängig machen für ca. 30 Tage.

Zitat von Torc

Passkeys werden primär auf dem Smartphone (oder Computer) im dortigen Passwortmanager (Apple-ID, Google-Konto oder Sicherheits-Chip) gespeichert und über die Cloud sicher synchronisiert. Sie liegen nicht beim App-Anbieter, sondern nutzen ein kryptografisches Paar aus privatem Schlüssel (auf dem Gerät) und öffentlichem Schlüssel (beim Dienst).

Das ist mir klar und praktisch, was ich oben geschrieben habe (Schlüssel und Schloss etc.), während du die ganze Zeit auf einem anderen Gleis fährst und denkst, man könnte mit einer Löschung des lokalen Passkeys die entfernte Komponente beeinflussen.

Man kann das iPhone auch in den See werfen, aber das ändert nichts am Schloss (dem öffentlichen Schlüssel auf dem Server bei congstar).

Aus diesem Grund haben alle Dienste normalerweise die Möglichkeit, Passkeys zu verwalten und zu löschen (serverseitig), was nichts mit deinem eigenen Gerät oder Passwortmanager zu tun hat, worauf du aber immer wieder zurückkommst.

Zitat von Torc

Aber egal, du solltest es ja nicht probieren. Ich warte auf den Versuch von harob

Wie ich im letzten Kommentar erwähnt habe, habe ich es noch einmal ausprobiert, und es klappt nicht, was ja auch Sinn macht, wenn man versteht, wie das funktioniert.

Falls meine Versuche dich nicht interessieren, würde ich mich freuen, wenn du ein neues Thema eröffnest, denn alles, was du bisher geschrieben hast, geht am eigentlichen Problem vorbei und zieht dieses Thema unnötig in die Länge.