Only in German available.
Published on: Nov. 22, 2023
Author: Thomas Federer
Das Paradox: Einfacher, schneller und dennoch sicherer.
Passkey ist eine Authentifizierungs-Methode, welche ohne Passwörter auskommt. Es wurde von World Wide Web Consortium (W3C) und der FIDO Alliance vorgeschlagen. Der Begriff Passkeys wurde im Frühling 2022 durch Google und Apple populär, als diese die Implementation in ihren Systemen bekannt gaben.
Passkeys sind somit neu und wohl vielen noch nicht begegnet. In unserer vierteiligen Blog-Serie schauen wir uns Passkeys genauer an:
Passwortlose Authentifizierung ist eine Methode zur Überprüfung der Identität eines Benutzers, die ohne die Eingabe eines Passworts auskommt. Es gibt mehrere Gründe, warum passwortlose Authentifizierung in vielen Situationen bevorzugt werden kann:
Der Vorschlag für Passkeys kommt von der FIDO Allicance. Die FIDO (Fast Identity Online) Alliance wurde im Juli 2012 als Zusammenschluss von führenden Tech-Unternehmen mit einem gemeinsamen Ziel gegründet: die Schwächen herkömmlicher Authentifizierungsmethoden zu beseitigen.
Zu den Schwächen von Passwörtern gehören:
Die Arbeit der FIDO Allicance blieb wohl den meisten normalen Benutzer verborgen, bis im Frühling 2022 Google und Apple die Integration von Passkeys in ihren Systemen bekannt gaben. Dennoch sind Passkeys den meisten Benutzern bis jetzt wohl noch nie begegnet.
Das Ziel von FIDO war es die Authentifizierung nicht nur sicherer zu machen, sondern auch einfach für den Benutzer. Für die Verwendung von Passkeys braucht man ein Browser, welcher Passkeys unterstütz. Natürlich muss auch die Webapplikation dafür vorbereite sein.
Die aktuellen Standard-Browser von Microsoft, Google und Apple unterstützen alle Passkeys. Bei Firefox ist dieses Feature in der Entwicklung.
Hat man sich bei einer Webapplikation mit Passkeys registriert ist der Login sehr einfach. Wir haben drei Beispiele vorbereitet, welche den Einsatz von Passkeys zeigen. Es ist erstaunlich, wie einfach der Login funktioniert. Der Benutzer muss weder seinen Benutzernamen noch sein Passwort eingeben. Er muss zum Beispiel nur sein Finger-Abdruck scannen, sein Gesicht zeigen (FaceID) oder sein Pattern zum Entsperren seines Gerätes (Android) eingeben.
Bei Passkeys wird ein Private- und ein Public-Key generiert. Der Private-Key wird sicher auf dem jeweiligen Gerät gespeichert und kann nicht einfach extrahiert werden. Der Public-Key wird auf dem Server gespeichert. Der Public-Key, wie sein Name sagt, ist öffentlich. Er erhält keine geheimen Informationen und ist ohne den dazugehörigen Private-Key eigentlich nutzlos.
Dieses Beispiel trifft wohl auf die meisten Benutzer zu. Sie haben bei einem Dienst nur ein Konto. Hier loggen wir uns mit dem Benutzer "Alice" ein.
Bei diesem Beispiel gibt es mehrere Konten für den Dienst. Der Benutzer muss auswählen, als welcher Benutzer er sich einloggen möchte.
Es gibt zwei Benutzer "Alice" und "Bob". Wir wählen Bob für den Login aus.
Dieses Beispiel zeigt, wie man sich auf einem fremden Gerät mit Passkey einloggen kann. Sprich der Passkey ist nicht bereits auf dem Gerät gespeichert, sondern auf meinem Smartphone, welches ich bei mir habe.
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Folgende Blog-Beiträge könnten Sie interessieren:
A password with 8 characters with numbers, upper and lower case letters and symbols can be cracked in under one hour.
Source: Hive Systems
X
Haben Sie Fragen zur Integration und Sicherheit von Passkeys?
Contact us without obligation:
Kathrin Müller is looking forward to hearing from you and will be happy to organize a meeting according to your needs.
nanio GmbH (Codepurple)
Moosweg 24
5606 Dintikon