Das Auth-layer ist da: Passkeys
Ein Passkey ist eine Anmeldung ohne Passwörter. Passkeys sind durch Sicherheitsfunktionen wie Fingerabdruck oder Gesichtserkennung sicherer und einfacher zu verwenden als 2-Faktor-Authentifizierungsmethoden (2FA).
https://twitter.com/tobi/status/1604846815060250626?s=20
Wenn einer der Gründer von Shopify der Meinung ist, dass es etwas zu sehen gibt, könnte es vielleicht eine gute Idee sein, einen Blick darauf zu werfen. Tobi Lutke sollte doch wissen, was wohl so demnächst wichtig wird im Bereich Identity Management. Und siehe da: rechtzeitig zum Start von Google Analytics 4 stellt Google gemeinsam mit den beiden Browser-Konkurrenten Apple Safari und Microsoft Edge auf das neue Auth-Verfahren Passkey um.
Hier https://youtu.be/SWocv4BhCNg kann man sehen, wie das aus Nutzerperspektive funktioniert.
Was ist Passkey?
A passkey is a new way to sign in that works completely without passwords. By using the security capabilities of your devices like Touch ID and Face ID, passkeys are way more secure and are easier to use than both passwords and all current 2-factor authentication (2FA) methods.
Wie funktioniert Passkey?
Die FIDO-Protokolle verwenden standardmäßige Verschlüsselungstechniken für öffentliche Schlüssel, um eine stärkere Authentifizierung zu ermöglichen. Bei der Registrierung bei einem Online-Dienst erstellt das Client-Gerät des Benutzers (Browser, Telefon, Desktop) ein neues Schlüsselpaar. Es behält den privaten Schlüssel und registriert den öffentlichen Schlüssel bei dem Online-Dienst. Die Authentifizierung erfolgt, indem das Client-Gerät dem Dienst den Besitz des privaten Schlüssels durch Unterzeichnung einer Anfrage nachweist. Die privaten Schlüssel des Kunden können erst verwendet werden, nachdem sie vom Benutzer lokal auf dem Gerät freigeschaltet wurden. Die lokale Entsperrung erfolgt durch eine benutzerfreundliche und sichere Aktion, wie z. B. das Streichen mit dem Finger, die Eingabe einer PIN, das Sprechen in ein Mikrofon, das Einsetzen eines Zweitfaktors oder das Drücken einer Taste.
Die FIDO-Protokolle sind von Grund auf so konzipiert, dass sie die Privatsphäre der Nutzer schützen. Die Protokolle stellen keine Informationen zur Verfügung, die von unterschiedlichen Online-Diensten verwendet werden können. Damit wird es erstmal deutlich schwieriger einen Nutzer entlang der Customer Journey zu verfolgen. Biometrische Informationen verlassen, wenn sie verwendet werden, niemals das Gerät des Benutzers.
Der WebAuth-Standard ermöglicht es Webentwicklern mit Hilfe eines WebAuthn-kompatiblen Webbrowsers auf einen Authentikator zuzugreifen und sicheren und einfachen seine Dienste zu nutzen.
Was steckt hinter Passkeys?
Passkeys sind eine gemeinsame Initiative der FIDO-Allianz und des W3C. Die schlagen ja immer mal etwas vor. Aber, dass die drei Browser/Device-Giganten Apple, Google und Microsoft sich jetzt gemeinsam auf dieses Authentisierungsverfahren einigen, ist schon einigermaßen wichtig. Die drei wollen nach eigenen Angaben die Verbraucherfreundlichkeit der Unternehmenssicherheitsstandards FIDO (Fast IDentity Online) und WebAuthn zusammenbringen. Passkeys machen die bewährte Web-API WebAuthn in Verbraucherszenarien wie E-Commerce, Banking und Social Media sowie in Prosumer-Fällen wie SaaS nutzbar.
Mit FIDO2 und WebAuthn haben sich viele Unternehmen zusammengeschlossen, um eine Lösung für das Problem der gemeinsamen Passwörter zu finden. FIDO2 befasst sich mit allen Problemen, die bei der herkömmlichen Authentifizierung auftreten: Sicherheit, Bequemlichkeit, Datenschutz, Skalierbarkeit.
Sicherheit: Die kryptografischen Anmeldedaten von FIDO2 sind auf jeder Website eindeutig. Biometrische Daten oder andere Geheimnisse wie Passwörter verlassen nie das Gerät des Benutzers und werden nie auf einem Server gespeichert. Dieses Sicherheitsmodell eliminiert die Risiken von Phishing, allen Formen des Passwortdiebstahls und Replay-Angriffen.
Bequemlichkeit: Die Benutzer melden sich mit bequemen Methoden wie Fingerabdrucklesern, Kameras, FIDO-Sicherheitsschlüsseln oder ihrem persönlichen Mobilgerät an.
Datenschutz: Da FIDO-Schlüssel für jede Website eindeutig sind, können sie nicht dazu verwendet werden, Sie auf verschiedenen Websites zu verfolgen.
Skalierbarkeit: Webseiten (also Anbieter von Diensten) können FIDO2 über einen einfachen API-Aufruf in allen unterstützten Browsern und Plattformen auf Milliarden von Geräten aktivieren, die Verbraucher täglich nutzen.
Und damit hätten wir auch die wichtigsten Antworten auf die Fragen "Warum dies? Warum jetzt?": User Tracking scheint mit diesem Authentisierungsverfahren nicht möglich, es ist also kein Third-Party-Cookie unter anderem Namen.