Amazon: Passkey-Unterstützung bald auch in der Android-App
von caschy | 12 Kommentare
Wir berichteten vor kurzem darüber, dass uns in den Einstellungen des Amazon-Kontos die Unterstützung für die Login-Methode mit einem Passkey aufgefallen ist, deutsche Nutzer können dies unter Mein Konto › Anmeldung & Sicherheit › Passkey das Ganze einrichten. Mittlerweile hat
Amazon das Ganze auch noch einmal offiziell kommuniziert. Das ist nicht ganz unwichtig, denn die Login-Methode mit einem Passkey wird noch nicht überall unterstützt, so das Unternehmen. Die Passkey-Unterstützung ist ab sofort für alle Amazon-Kunden, die den Browser verwenden, verfügbar und wird nach und nach in der iOS-Amazon-Shopping-App und bald auch in der Android-Amazon-Shopping-App eingeführt.
Nutzer mit mehreren Geräten können, wenn kein Sync des Passkeys möglich ist, mehrere Passkeys einrichten. Für jede Amazon-Domain muss ein eigener Passkey angelegt werden, so die entsprechende Hilfeseite. Bevor ihr das Ganze einrichtet, solltet ihr euch vielleicht noch unseren ersten Beitrag dazu durchlesen, denn trotz Passkeys wird man weiterhin den 2FA-Code eingeben müssen.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Wenn mal Passkey bei Amazon (und auch PayPal) mit meinen Google Pixel-Geräten überhaupt funktionieren würde. Kann nicht eingerichtet werden. Laut Reddit bin ich aber nicht alleine. Offensichtlich hinkt die Implementierung der Werbetrommel hinterher.
Ich konnte es in der PayPal App auf meinem Pixel 8 einrichten. Aber auch hier muss ich bei jedem Start noch den 2FA-Code eingeben. Eigentlich sollten die Passkeys ja so etwas überflüssig machen.
Finde ich auch nervig. Ich nutze Enpass und dort werden bei den Passkeys nicht automatisch die TOTPs in die Zwischenablage kopiert bei der Nutzung von passkeys. Sage rust es im Moment komfortabler Passwörter zu nutzen, da dort die TOTPs von Enpass automatisch in die Zwischenablage gelegt werden. Vielleicht sollte ich mal Enpass schreiben, ob man dieses Feature nicht implementieren könnte.
Passkeys sind ein Ersatz für Passwörter und nicht für MFA.
Unter iOS war das Einrichten kein Problem. In Chrome unter Fedora funktioniert es nicht, Amazon verlangt dann z.B. einen Yubikey, bzw. zeigt die Meldung „Wenn du einen Passkey hinzufügen möchtest, verwende ein anderes Cloud-Service-Konto (z. B.: Apple-ID oder Google-Konto). Jedes Cloud-Service-Konto kann nur einen Passkey für Amazon haben.“
Ohne Identitätsprovider scheint es dann nicht zu gehen, auch wieder doof.
Ich habe nirgends die Option für Passkeys. Hmm
Nutzt du Firefox? Die Passkey Unterstützung soll erst im November implementiert werden. Dementsprechend blendet Amazon die Option unter Firefox aus.
Ich auch nicht. Ist wohl noch nicht breit ausgerollt das ganze.
Passkey: Ich kapier’s nicht.
Woran hapert es denn?
Wenn ich das alles richtig verstanden habe, funktioniert es vereinfacht so:
Bei der Aktivierung eines Passkeys tauschen der Dienst und der PC/Handy öffentliche Schlüssel aus. Der Dienst speichert Deinen öffentlichen Schlüssel, Dein Handy den des Dienstes.
Wenn Du Dich nun bei dem Dienst anmeldest, tauschen Dein Gerät und der Dienst untereinander Nachrichten aus, die mit dem jeweiligen öffentlichen Schlüssel verschlüsselt sind und nur mit dem dazu gehörigen privaten Schlüssel entschlüsselt werden können.
Beim Anmelden sendet dein Handyverschlüsselt an den Dienst: „Wieviel ist 6×6“.
Nur der Dienst kann die Nachricht entschlüsseln und die Aufgabe ausrechnen.
Der Dienst antwortet: verschlüsselt „36“.
Nur Dein Handy kann die Antwort entschlüsseln und vergleichen ob die Antwort zur Frage passt.
Jetzt wissen beide Seiten dass sie es mit demjenigen zu tun haben, für den sich der andere ausgibt.
Bei der ganzen Prozedur, wird kein Kennwort ausgetauscht oder irgendwo gespeichtert. Auch verlassen die geheimen Schlüssel niemals dass Gerät.
Fast, allerdings ist eine wichtige Sache falsch mit entsprechenden Auswirkungen auf deine restliche Beschreibung: Es gibt nur ein Schlüsselpaar, nämlich deins als Benutzer. Die Authentifizierung des Servers ist auf tieferen Ebenen (TLS, HTTPS) bereits abgehakt.
Dementsprechend sendet auch der Server die Challenge „Wieviel ist 6×6“ und du als Benutzer antwortest signiert (nicht verschlüsselt) mit „36“. Da nur du alleine eine valide Signatur erstellen kannst, weiß der Server damit dass du du bist.