Künstliche Intelligenz
So ermöglichen Passkeys passwortlose Authentifizierung
Passwörter gelten nach wie vor als eine der größten Schwachstellen in der IT-Sicherheit: Es werden zu einfache gewählt, sie werden mehrfach verwendet oder vergessen. Während die Suche nach Alternativen schon lange läuft, haben sich Passkeys inzwischen als praxisnahe Lösung etabliert. Viele große Anbieter wie Google, Amazon, Nintendo, CVS Health oder Intuit unterstützen Passkey-basierte Logins bereits heute.
Im Unterschied zu klassischen Logins ersetzt bei Passkeys ein kryptografisches Schlüsselpaar das Passwort. Der private Schlüssel bleibt sicher auf dem Gerät der Nutzerin oder des Nutzers, etwa auf dem Smartphone oder Laptop, während der öffentliche Schlüssel mit dem Dienst geteilt wird. Die Anmeldung erfolgt dann zum Beispiel durch einen Fingerabdruck, die Gesichtserkennung oder die Gerätesperre – ganz ohne Eingabe eines Passworts. Passkeys lassen sich in bestehende Webanwendungen integrieren und bieten einige Vorteile – etwa in puncto Sicherheit und Nutzererlebnis –, doch ihre Einführung birgt auch Herausforderungen.
- Passkeys bieten eine sichere und benutzerfreundliche Möglichkeit zur Authentifizierung: Sie nutzen kryptografische Schlüsselpaare anstelle von Passwörtern, was Phishing und andere Angriffe erschwert.
- Für Passkeys nach dem FIDO2-Standard – einer Weiterentwicklung früherer FIDO-Standards – kommen die Web Authentication API (WebAuthn) und das Client to Authenticator Protocol 2 (CTAP 2) zum Einsatz.
- Developer können zwischen synchronisierten Passkeys, die sich für den Alltag anbieten und das Verwenden auf mehreren Geräten erlauben, und gerätegebundenen Passkeys für erhöhten Schutz wählen.
Martina Kraus beschäftigt sich schon seit frühen Jahren mit der Webentwicklung. Das Umsetzen großer Softwarelösungen in Node.js und Angular hat sie schon immer begeistert. Als selbstständige Softwareentwicklerin arbeitet sie vornehmlich mit Angular mit Schwerpunkt auf Sicherheit in Webanwendungen.
Dieser Artikel wirft einen fundierten praxisorientierten Blick auf Passkeys sowie auf die dahinterliegende Technologie und zeigt auf, wie moderne Standards wie das Client to Authenticator Protocol 2 (CTAP2) und die Web Authentication API (WebAuthn) zusammenspielen, um sichere und auch benutzerfreundliche Authentifizierungsprozesse zu ermöglichen. Dabei werden auch die unterschiedlichen Arten von Passkeys im Detail behandelt – von synchronisierten Passkeys, die sich über mehrere Geräte hinweg nutzen lassen, bis hin zu gerätegebundenen Varianten, die ausschließlich lokal gespeichert bleiben.
Das war die Leseprobe unseres heise-Plus-Artikels „So ermöglichen Passkeys passwortlose Authentifizierung“.
Mit einem heise-Plus-Abo können Sie den ganzen Artikel lesen.