Was ist ein Passkey und was bedeutet das für Ihre Verbraucher-App?

Passwörter sind seit langem ein Problem. Es ist bekannt, dass viele von uns standardmäßig vorhersehbare, schwache Passwörter verwenden, und selbst wenn dies nicht der Fall ist, wird es zu einer Herausforderung, sich komplexe Passwörter zu merken.

Die beunruhigende Tatsache ist, dass selbst sichere Passwörter mit komplizierten Kombinationen nicht immun sind Phishing und Betrug. Passwort-Manager waren die vorübergehende Lösung, aber sie haben ihre Mängel und Schwachstellen.

Aber der Horizont bringt etwas Vielversprechendes: Nach fast zehn Jahren der Entwicklung werden Passkeys unsere digitale Sicherheit revolutionieren. Hier erfahren Sie, was sie sind, wie sie die digitale Authentifizierungslandschaft verändern werden und was dies für Ihre Verbraucher-App bedeutet.

Understanding Passkeys

Anstelle der herkömmlichen Kombination aus Benutzername und Passwort bietet ein Passkey eine sicherere und mühelosere Methode, sich bei Online-Plattformen anzumelden. Das Schöne an Passkeys liegt in ihrer Abhängigkeit von der Public-Key-Kryptographie. Ohne zu tief in die technischen Details einzutauchen – jedes Mal, wenn Sie sich anmelden, erhält Ihr Gerät eindeutige Anmeldeinformationen.

Dieser Prozess minimiert das Risiko, dass Hacker an Ihre Daten gelangen. Dieser Durchbruch ist das Ergebnis der Bemühungen der FIDO-Allianz, ein Konsortium aus Technologiegiganten wie Apple, Google, Microsoft und vielen anderen, das den dringenden Bedarf an einer sichereren Authentifizierungsmethode erkannt hat.

How Do Passkeys Work?

Passkeys fallen unter das Dach der Webauthentifizierung (WebAuthn). Dieses System nutzt die Public-Key-Kryptographie, eine bewährte Methode, die von verschiedenen sicheren Messaging- und Zahlungsplattformen verwendet wird.

Hier ist eine kurze Aufschlüsselung:

1. Öffentliche und private Schlüssel: Bei der Kontoerstellung werden zwei Schlüssel generiert. Der öffentliche Schlüssel, der auf den Servern des Dienstes gespeichert ist, muss nicht vertraulich sein. Im Gegensatz dazu bleibt der private Schlüssel auf Ihrem Gerät geschützt.
2. Authentifizierungsprozess: Beim Anmelden verwendet der Dienst Ihren öffentlichen Schlüssel, um Ihr Gerät herauszufordern. Der private Schlüssel auf Ihrem Gerät meistert diese Herausforderung, ohne sensible Details preiszugeben. Dies gewährleistet eine sichere, hackersichere Authentifizierung.

Für Nutzer bleibt dieser Vorgang weitgehend unsichtbar. Eine einfache Aufforderung des Geräts oder Browsers zur Eingabe einer PIN oder einer biometrischen Verifizierung wie FaceID oder TouchID ist alles, was Ihnen begegnet.

Passkeys verfügen über eine zusätzliche Ebene, die diese Schlüssel zwischen den Cloud-Diensten der jeweiligen großen Technologieunternehmen (Apple, Google, Microsoft) synchronisiert. Diese wichtige Ebene füllt die Lücke im Benutzererlebnis und ermöglicht einen nahtlosen Wechsel zwischen Geräten ohne erneute Registrierung von Schlüsseln, was als erhebliche Lücke im Vergleich zur allgemeinen Einführung von FIDO2 angesehen wird.

Da Passkeys per Definition mehrere Faktoren umfassen, erfüllen sie die Definition von Multi-Faktor-Authentifizierung (MFA), insbesondere Folgendes erfüllen:

• Besitzfaktor (etwas, das Sie haben) – Der Benutzer besitzt das Gerät, das den privaten Schlüssel enthält
• Inhärenzfaktor oder Wissensfaktor – Die biometrischen Daten des Benutzers (FaceID, Touch ID, Fingerabdruck) oder der Geräte-PIN-Code

Diese Eigenschaften machen Passkeys zu einem gültigen einzigen Authentifizierungsfaktor für Anmeldeszenarien oder ergänzen andere Faktoren in Step-up-Authentifizierungsszenarien. Schau dir das an Hauptschlüssel-Demo für eine reale Umsetzung.

Device Compatibility

Derzeit ist die plattformübergreifende Funktionalität für Passkeys noch in Arbeit. Die iOS- und macOS-Geräte von Apple unterstützen Passkeys, ebenso wie die Android-Geräte von Google. Auch Microsoft erweitert seine Unterstützung für Passkeys, und es stehen bedeutende Aktualisierungen an.

Hier ist ein aktuelles Liste der unterstützten Geräte.

What can you do to start implementing passkeys?

Die Implementierung von Passkeys kann unkompliziert sein, vorausgesetzt, Sie verfügen über die erforderliche Infrastruktur. Ein wichtiger Bestandteil Ihrer Architektur ist ein WebAuthn-Back-End-Dienst oder -Server, der die Back-End-API-Endpunkte bereitstellt, um den gesamten Lebenszyklus der Passkey-Verwaltung zu verwalten.

Sobald ein WebAuthn-Dienst eingerichtet ist, ist Zugriff auf die clientseitigen SDKs und Bibliotheken erforderlich, um die clientseitigen Registrierungs- und Verifizierungszeremonien durchzuführen. Die gute Nachricht ist, dass es mittlerweile viele allgemein verfügbare clientseitige Bibliotheken gibt, die den Prozess vereinfachen können. Authsignal stellt beispielsweise Folgendes bereit: Folgende SDKs finden Sie hier:

• Javascript SDK für Passkeys
• React Native SDK für Passkeys
• iOS SDK für Passkeys
• Android SDK für Passkeys

Es ist wichtig zu beachten, dass die technische Integration nur ein Teil einer umfassenderen Implementierung ist. Benutzererfahrung und Sicherheitsaspekte sollten gut verstanden werden. Der Überlegungen zur Passkey-Implementierung werden in einem Blogbeitrag ausführlich erläutert.

Passkeys, the future is now.

Wir befinden uns jetzt an der spannenden Schnittstelle der schnellen Reife der Passkeys-Technologie. Moderne Browser und Geräte, insbesondere im Apple- und Android-Ökosystem, unterstützen Passkeys weitgehend, und gängige Verbraucher-Apps veröffentlichen jetzt Passkey-Funktionen (z. B. Kayak, TikTok). Schließlich wurde die technische Integration durch sofort einsatzbereite Passkey-Lösungen wie Authsignal vereinfacht, die alle Komponenten wie einen Back-End-WebAuthn-Dienst und Client-SDKs bieten.

Es sollte keine größeren Ausreden oder Hindernisse dafür geben, dass Ihre Anwendung Passkeys als wichtigen Bestandteil Ihrer Interaktion mit Ihren Kunden einsetzt und ihnen ein nahtloses Benutzererlebnis, aber, was noch wichtiger ist, ein äußerst sicheres Erlebnis bietet.