Passkeys ziehen in Google Chrome ein
Im Oktober hat Google bekannt gegeben, dass die Unterstützung von Passkeys in der experimentellen Version Chrome Canary verfügbar ist. Nun ist die Passkey-Unterstützung auch in Chrome Stable M108 verfügbar – also der „normalen“ Version. Mit der neuesten Version von Chrome aktiviere man Passkeys unter Windows 11, macOS und Android. Unter Android werden Passkeys über den Google Password Manager oder einen anderen Passwortmanager, der Passkeys unterstützt, synchronisiert. Auf einem Desktop-Gerät können Nutzer auch einen Passkey von ihrem mobilen Gerät in der Nähe verwenden. Da Passkeys auf Industriestandards basieren, können Nutzer entweder ein Android- oder iOS-Gerät verwenden.
Ein Passkey verlässt euer mobiles Gerät nicht, wenn ihr euch auf diese Weise anmeldet. Es wird nur ein sicher generierter Code mit der Website ausgetauscht, sodass im Gegensatz zu einem Passwort nichts nach außen dringen kann. Um Nutzern die Kontrolle über ihre Passkeys zu geben, werden sie ab Chrome M108 in der Lage sein, ihre Passkeys von Chrome aus unter Windows und macOS zu verwalten:
Wer bislang nichts von diesen Passkeys hörte:
Passkeys wurden entwickelt, damit Benutzer sich ohne Passwörter bei Websites und Apps anmelden können und das Benutzererlebnis bequemer und sicherer wird. Passkeys sind eine standardbasierte Technologie, die im Gegensatz zu Passwörtern Phishing-sicher und immer robust ist. Sie wurden so entwickelt, dass es keine Shared Secrets mehr gibt. Sie vereinfachen die Accountregistrierung für Apps und Websites und sind einfach zu verwenden.
Passkeys basieren auf dem Standard „WebAuthentication“ (oder „WebAuthn“), bei dem die Verschlüsselung mit öffentlichen Schlüsseln erfolgt. Während der Accountregistrierung erstellt das Betriebssystem ein eindeutiges verschlüsseltes Schlüsselpaar, das mit einem Account für die App oder Website verknüpft wird. Diese Schlüssel werden vom Gerät sicher und eindeutig für jeden Account generiert.
Einer dieser Schlüssel ist öffentlich und wird auf dem Server gespeichert. Dieser öffentliche Schlüssel ist nicht geheim. Der andere Schlüssel ist privat und wird für die eigentliche Anmeldung benötigt. Der Server erfährt nie, wie der private Schlüssel lautet. Es wird kein Shared Secret übertragen, und der Server muss den öffentlichen Schlüssel nicht schützen. Dadurch sind Passkeys sehr sichere und einfach zu verwendende Anmeldedaten, die gut vor Phishing geschützt sind. Und die Plattformanbieter haben in der FIDO Alliance zusammengearbeitet, um sicherzustellen, dass Passkey-Implementierungen plattformübergreifend kompatibel sind und auf so vielen Geräten wie möglich funktionieren.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Interessant. Hör ich zum ersten Mal. Und wer bietet solche Dienste an? Und welcher – ausser Google – Passwordmanager kann mit Passkey umgehen?
Liest du nicht bei uns? Also hab schon x mal drüber geschrieben 🙂 Über kurz oder lang alle, momentan schon 1PW.
Die Illusion der Fido Alliance 😉 Gut es funktioniert wirklich nicht schlecht im „Berufsumfeld“ aber bei meinen täglichen Seiten und Diensten ist es schon eine Ausnahme wenn es 2fac gibt.
Wenn man dann schon so mit Passkeys hantiert könnte man auch endlich mal Email PGP nutzen ;P
Puff, aus der Traum mit Windows 10 und Chrome:
Wenn du Passkeys verwalten möchtest, verwende eine neuere Version von Windows
Diese Passkeys sind in Windows Hello auf diesem Computer gespeichert. Sie sind nicht in deinem Google-Konto gespeichert.
Gnhihihihihihihii…
kein weiterer Kommentar… ♂️
Hab damit gestern abend schonmal rumgespielt auf passkeys.io
Ist schon eine feine Sache das ganze.
Funktioniert auf dem Pixel 6 mit Android 13 reibungslos. Und sogar ohne den zwang, den Chrome Browser dann auch wirklich nutzen zu müssen.
Einmal im Betriebssystem hinterlegt, funktionierte es auch mit Firefox Mobile.
Verstehe ich das richtig, wenn man sich ein neues Handy holt, dann nur mit seinem Google Konto anmelden muss und die Passkeys dann mitgenommen werden?
Danke für den Abschnitt „Wer bislang nichts von diesen Passkeys hörte“:
Ich hab zwar schon mehrmals davon gelesen, aber bin noch unsicher bei dem Thema.
2 Fragen:
+ Was passiert, wenn mein iPhone geklaut wird? Verliere ich dann nicht nur mein Handy, sondern auch sämtliche Zugänge? Normal würde ich mir neues iPhone kaufen, mit den Passwörtern anmelden, diese natürlich ändern. Aber so verliere ich doch alles? Oder habe ich ein Denkfehler?
+ Wie mache ich das bei Linux? Wenn ich mich jetzt bei Linux irgendwo anmelden will, das kann doch sicher kein Passkeys?
Es klingt super interessant, aber ich fühle mich irgendwie noch unsicher bei dem Thema, ob ich es richtig verstanden habe.
Nutze die gleiche Kombo iPhone/Linux. Apple wird Paaskeys auch unterstützen, diese werden sehr wahrscheinlich in iCloud gespeichert unter Deiner AID, jetzt wo iCloud E2E Verschlüsselung bekommt eine feine und sichere Sache. Beim iPhone Wechsel/ Verlust bleibt alles über iCloud/AID erhalten. Bei Linux kann man nur hoffen, hab noch keine Infos. Bei mir unter PeppermintOS/ Debian 11.5, Stand heute, bietet Chromium in der Version 108.0.5359.94 noch keine Passkeys Unterstützung.
Mich stört als alter PGP-Veteran, dass ich nichts handfestes bekommen kann. Ich habe das Verfahren auf Geräte-Auth umgestellt, der private Schlüssel bleibt dann lokal…? Keine Möglichkeit, private Schlüssel zu exportieren. Es hängt weiter alles am Zugang zum Google-Konto.
Ich hätte gerne selber Schlüssel in der Hand, die ich selbst sichern kann.
Ich bin gerade nicht 100% sicher was ist, wenn plötzlich das Smartphone stirbt.
Ich werde Passkeys meiden solange man gezwungen wird diese in irgendeiner Cloud (Google, MS, Apple) abzuspeichern. Ich möchte die Schlüssel selbst lokal verwalten, exportieren, etc.