Passkeys werden sich zwischen Anbietern übertragen lassen
von caschy | 6 Kommentare
Die FIDO Alliance hat neue Spezifikationen für den sicheren Austausch von Anmeldedaten veröffentlicht. Diese Spezifikationen ermöglichen es Nutzern, Passkeys und andere Anmeldedaten sicher zwischen verschiedenen Anbietern zu übertragen. Die neuen Spezifikationen zielen darauf ab, die Einführung von Passkeys zu beschleunigen und die Benutzerfreundlichkeit zu verbessern, indem sie eine offene Umgebung schaffen und die Wahlfreiheit des Nutzers fördern.
Die Spezifikationen werden derzeit von der FIDO Alliance geprüft und können noch geändert werden, bevor sie zur Implementierung freigegeben werden. Die Spezifikationen, bekannt als Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF), definieren ein Standardformat für die Übertragung von Anmeldeinformationen, einschließlich Passwörter, Passkeys und mehr, zwischen verschiedenen Anbietern. Sprich: Ihr seid nicht auf ewige Zeiten an einen Anbieter gekettet, sondern könnt Passkeys auch locker von A nach B mitnehmen, die Synchronisation wird ja bereits unterstützt. Anbieter, wie 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta und Samsung, werden das Ganze dann später unterstützen, was es einfacher machen wird, den Passwortmanager zu wechseln. Derzeit ist es zwar problemlos möglich, die „alten“ Passwort-Geschichten umzuziehen, bei Passkeys sieht das ja noch anders aus.
Hintergrundwissen Passkeys:
Einrichtung: Zuerst richtet der Nutzer einen Passkey für sein Konto ein. Dies geschieht normalerweise in den Sicherheitseinstellungen der Webseite oder App. Dabei wird das Gerät (z. B. Smartphone, Laptop) mit dem Konto verbunden.
Anmeldung: Wenn die Person sich später einloggen möchte, wählt sie einfach ihr Konto aus. Anstatt ein Passwort einzugeben, bestätigt sie ihre Identität mit etwas, das sie besitzt, wie zum Beispiel einem Fingerabdruck, einem Gesichtsscan oder einem PIN-Code auf ihrem Gerät.
Sicherheit: Der Passkey besteht aus einem Paar von kryptografischen Schlüsseln – einem privaten Schlüssel, der sicher auf dem Gerät gespeichert ist, und einem öffentlichen Schlüssel, der mit dem Online-Dienst geteilt wird. Der private Schlüssel verlässt das Gerät nie..
Verifizierung: Wenn sich die Person anmeldet, sendet der Online-Dienst eine Herausforderung (Challenge) an ihr Gerät. Das Gerät verwendet den privaten Schlüssel, um diese Herausforderung zu beantworten, und sendet die Antwort zurück. Der Dienst überprüft die Antwort mit dem öffentlichen Schlüssel und gewährt Zugang, wenn alles korrekt ist.
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
- Erhalte ein kostenloses "Redmi Pad Pro [6+128GB]", welches nach dem Kauf über die Aktionswebseite unter...
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Ich verstehe den Hype um Passkeys nicht so wirklich. Es mag eine wirklich sichere Authentifizierungsvariante sein, die Nachteile überwiegen aber jedenfalls für mich. Wenn ich z.B. die Anmeldung für den Dienst XCY per Passkey konfiguriert habe und das dazugehörige Gerät nicht verfügbar habe, sei es weil ich das Smartphone zuhause vergessen habe oder es defekt ist, dann wird es in der Regel richtig kompliziert. Im Extremfall habe ich mich dauerhaft ausgesperrt.
Ist ja kein explizites Problem von Passkeys. das Problem hast du z.B. bei TOTP ja ebenso.
Und ja, im Extremfall hast du dich ausgesperrt. Bei beiden Dingen. Deswegen: Backup.
So viel Kompetenz eines zu machen würde ich hier von jedem User auch erwarten.
Wer das aus Faulheit nicht macht ist schon auch zum großen Teil selbst Schuld.
die idee hinter passkeys war mal richtig geil. leider wird jetzt alles verDAUt und am ende wundert sich jeder wieder über gehackte accounts. wobei das ja schon immer an schlechten plattformen oder dummen usern lag und nichts mit dem konzept passwort ansich zu tun hat.
ehrlich, was soll das? schlimm genug, dass provider wie microsoft, google und apple die gleichen keys geräteübergreifend verwenden. es war mal aus guten gründen angedacht, dass jedes endgerät einen eigenen key erhält. dabei spricht nichts dagegen, sich über ein anderes gerät mit gültigem key einzuloggen aber bereits damit is es unmöglich, auf der zielseite einzelne geräte/sessions gezielt auszusperren bzw. den access zu überwachen. und nun sollen die keys sogar plattformübergreifend geteilt werden? nein! auch hier sollte es zwingend erforderlich sein, für den neuen client einen neuen key zu generieren. wieder mal ein thema wo zu viele leute nicht nachdenken.
beispiel: in meinem 1password account ist genau 1 passkey für meinen google account gespeichert. damit kann ich mich auf jedem endgerät einloggen. weder 1password noch google kann mir sagen welche geräte wann auf meinen account damit zugegriffen haben (außer „zuletzt verwendet“. ehrlich, was soll das? und wenn ich den key dann zu bitwarden migriere, wirds noch unübersichtlicher. was für ein bullshit… totgeburt bevor es die masse überhaupt benutzen will.
Ja, leider. Aber wenn Passkeys wie ursprünglich vorgesehen umgesetzt worden wären, hätten die großen Anbieter gar keine Möglichkeit als Identity Provider aufzutreten und den Kunden einen Anbieterwechsel unbequem zu machen …
Auch das ist kein Problem von Google oder Apple. Auch Bitwarden lässt nur einen Passkey pro Seite zu und synct den über mehrere Geräte.
So will das auch der 0815-User.
Wenn du das nicht willst kannst du ja auch eindach weiter z.B. deinen YubiKey nutzen. da wird nichts gesynct oder exportiert.
Mir leuchtet das ganze Konzept nicht ein, und ich will auf gar keinen Fall, daß ich von irgendwelchen „sicheren Devices“ abhängig bin. Wenn es schnell gehen muß und ich kein Smartphone dabeihabe, muß ein Passwort reichen.