1Password: Android-App mit vollem Passkeys-Support
von caschy | 9 Kommentare
Die Verbreitung von Passkeys nimmt kontinuierlich zu, immer mehr Dienste setzen zusätzlich, später vermutlich ausschließlich, auf diese Authentifizierungs-Methode. Nach der Betaphase ist nun auch 1Password für Android so weit, um eure Passkeys zu verwalten. Nutzer von Smartphones oder Tablets, die Android 14 oder eine neuere Version verwenden, können nun direkt auf die Passkeys von 1Password zugreifen. Bereits im September letzten Jahres machte das Unternehmen Passkeys für Geräte mit iOS 17 und iPadOS 17 sowie für Browser wie Chrome und Safari verfügbar.
Google arbeitet an einer neuen API, die es 1Password ermöglichen wird, Passkeys auf Websites über Chrome für Android zu erstellen und zu verwenden. 1Password ist bereit und unterstützt diese APIs, sobald sie verfügbar sind, sodass Nutzer mehr Möglichkeiten zum Speichern und Anmelden mit Passkeys haben.
Passkeys arbeiten im Grundsatz wie besonders starke Passwörter. Stark vereinfacht sieht das so aus (etwas länger hier):
1. Generierung: Ein Passkey wird automatisch von einem System oder einer App generiert im Zusammenspiel mit einer App / einem Dienst, quasi ein asymmetrisches kryptografisches Schlüsselpaar.
2. Speicherung: Dieser Passkey wird sicher in einem Passwort-Manager oder dem entsprechenden System gespeichert. Die authentifizierende App / Dienst verfügt über den öffentlichen Schlüssel.
3. Verwendung: Wenn Anwender auf den geschützten Dienst zugreifen möchten, wird der Passkey automatisch, nach Freigabe durch den Anwender, eingegeben.
4. Authentifizierung: Der Dienst prüft, ob der eingegebene Passkey mit dem gespeicherten Schlüssel übereinstimmt. Ist das der Fall, erhalten Anwender Zugang.
Man sollte sicherstellen, dass die Passkeys vielleicht auch auf anderen Geräten vorhanden und gesichert sind. Kommt das einzige Passkeys-Gerät weg und man hat keine andere Möglichkeit des Einloggens, dann war es das mit dem Account.
Update 6. März: Passkey-Beschreibung angepasst.
| # | Vorschau | Produkt | Preis | |
|---|---|---|---|---|
| 1 |
|
Apple iPhone 15 Silikon Case mit MagSafe – Zypresse |
57,00 EUR |
Bei Amazon ansehen |
| 2 |
|
Apple iPhone 15 Clear Case mit MagSafe |
47,99 EUR |
Bei Amazon ansehen |
| 3 |
|
Apple iPhone 15 Feingewebe Case mit MagSafe – Schwarz |
53,92 EUR |
Bei Amazon ansehen |
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Seid ihr euch sicher, das Konzept Passkey richtig erklärt zu haben? Wo ist da der Vorteil von einem normalen Passwortmanager? Oder ist es doch eher so, dass bei Passkeys nicht das Passwort ausgetauscht wird, sondern nur die Berechtigung geprüft wird.
Öhm,… selbstverständlich ist das richtig erklärt.
1. Schritt: Registrierung
Bei der Anmeldung auf einer Website/App wird ein eindeutiges Schlüsselpaar auf Deinem Gerät generiert und der öffentliche Schlüssel an die Website bzw die App gesendet.
2. Schritt: Anmeldung
Statt eines Passworts bestätigst Du Deine Identität auf deinem Gerät mit Fingerabdruck, Gesichtsscan oder Geräte-Entsperrmethode.
3. Synchronisierung & Sicherheit:
Passkeys werden sicher auf Deinem Gerät gespeichert und mit z.B. dem iCloud-Schlüsselbund oder einem Passwortmanager wie Bitwarden synchronisiert. Sie bieten so mehr Sicherheit als Passwörter.
Meiner einer zum Beispiel benutzt das mit Bitwarden. 🙂 Klappt prima!
Die zweite Frage sagt mir allerdings, dass Du den Artikel nicht (oder nicht ganz) bis zum Schluss gelesen hast. 😉
Nein, in dem Artikel ist es falsch erklärt. Vielleicht solltest du es nochmal lesen. Bei Passkeys handelt es sich nicht wie im Artikel dargestellt um längere komplexe Passwörter. Sondern es sind immer zwei Schlüssel notwendig. Der eine ist der Website bekannte während der andere auf dem Gerät (bzw. aus meiner Sicht besser im Passwort-Manager) verbleibt. Nur wenn beide Schlüssel zueinander passen, gelingt der Login.
Das ist hier ein wenig falsch/ stark vereinfacht erklärt. Passkeys basieren im Grunde auf der alt-bewährten asymmetrischen Verschlüsselung.
Das bedeutet, der Client (OS, Browser, Passwortmanager) erstellt ein Schlüssel-Paar, ein Teil davon darf öffentlich gemacht werden (Public-Key) und ein Teil muss privat bleiben (Private-Key). Der Public-Key wird an den Server gesendet und der private Schlüssel bleibt beim User. Will man sich anmelden, erstellt der Server mit dem Public-Key eine Challenge und sendet diese an den Client, der sich anmelden möchte. Diese Challenge lässt sich nur mit dem Private-Key lösen und somit auch beweisen, dass der Client im Besitz dessen ist.
Den Private-Key sichert man einfach zusätzlich ab, beispielsweise durch einen Gesichtsscanner, etc.
Der Vorteil darin liegt, dass Nutzer keine Passwörter mehr selbst erstellen und dann eben nicht mehr „123456“ oder „Passwort“ nutzen können und man gezwungen ist eine Art Passwortmanager zu nutzen. Sei es durch die Integration in ein Betriebssystem, den Browser oder eben einen Passwortmanager
Also Zertifikatsanmeldung mit selbsterstellten Zertifikaten ohne CA – das ist jetzt auch nicht wirklich neu.
Ja, es wurde korrekt erklärt.
1. Schritt: Registrierung
Bei der Anmeldung auf einer Website/App wird ein eindeutiges Schlüsselpaar auf Deinem Gerät generiert und der öffentliche Schlüssel an die Website/App gesendet.
2. Schritt: Anmeldung
Statt eines Passworts bestätigst Du Deine Identität mit Fingerabdruck, Gesichtsscan oder einer anderen Geräte-Entsperrmethode.
3. Schritt: Synchronisierung & Sicherheit
Passkeys werden sicher auf Deinem Gerät gespeichert und mit iCloud-Schlüsselbund oder einem Passwortmanager (wie z.B. Bitwarden) synchronisiert und bieten so mehr Sicherheit als Passwörter.
Die zweite Frage könnte darauf zurückzuführen sein, dass Du den Artikel nicht bis zum Schluss gelesen haben könntest. 😉
Also so wie ich das verstehe, ist der Vorteil bei Passkey eben, der, dass niemals ein Passwort zweimal übertragen wird. Am Anfang bekommt der Empfänger den öffentlichen Schlüssel und kann damit Passwortchallenges erstellen. Diese werden vom Sender beantwortet. Also so wie „was ist die Antwort auf Frage 300“ und der Sender kennt eben die Antwort auf Frage 300 beim nächsten Mal fragt der Empfänger aber nach der Frage 201 usw. Also, selbst wenn die Antwort durch eine „Man in the Middle“ Attacke oder durch Phishing abgefangen wird, hilft es ihm nicht, da das Passwort, welches er erhält, nur für diesen einen Loginvorgang gültig ist. Im Endeffekt verlässt aber der private Teil des Passkeys niemals den Computer und ist idealerweise in einem entsprechenden System geschützt, dass Manipulation verhindert.
Ich lasse mich da aber auch gerne korrigieren. Aber so macht die Verwendung von Passkeys für mich Sinn. Nur dass man sich „komplexen Zeichenketten nicht selbst merken müssen“ ist ja kein Unterschied zu einem herkömmlichen Passwortmanager und bei der „Man in the Middle“ Attacke oder Phishing ist ja egal wie lang oder kompliziert das Passwort ist.
@Carsten
>>3. Verwendung: Wenn Anwender auf den geschützten Dienst zugreifen möchten, wird der Passkey automatisch eingegeben oder Nutzer kopieren und fügen ihn ein.
Das ist falsch. Ein Passkey ist kein Passwort.
Es werden Aufgaben („Challanges“) und öffentliche Schlüssel ausgetauscht, aber keine Passkeys. Der Passkey verlässt niemals das Gerät, weshalb er auch nicht ausgespäht oder gephisht werden kann.
Fiona hat es in ihrem Beitrag richtig erkannt:
>> Im Endeffekt verlässt aber der private Teil des Passkeys niemals den Computer und ist idealerweise in einem entsprechenden System geschützt, dass Manipulation verhindert.
>> „komplexen Zeichenketten nicht selbst merken müssen“ ist ja kein Unterschied zu einem herkömmlichen Passwortmanager und bei der „Man in the Middle“ Attacke oder Phishing ist ja egal wie lang oder kompliziert das Passwort ist.
Ich würde gern verstehen, warum Passkeys-Support anscheinend erst mit Android möglich ist. Das schränkt die Verwendung unter Android ganz schön ein. Ich jedenfalls habe mehrere Geräte mit unterschiedlichen Android-Versionen und will meinen Passwort-Manager auf allen Geräten synchronisiert haben. Nicht nur, um ihm flexibel überall nutzen zu können, sondern auch um mehrere Backups zu haben, wenn ein Gerät mal ausfallen sollte. Wenn ich Passkeys aber nun auf einigen Geraten nicht nutzen kann, weil noch kein brandaktuelles Android drauf läuft, dann kann ich den Einsatz vergessen.
Oder bin ich da falsch informiert?