Statt Passwörter: Passkeys in eigenen Anwendungen nutzen

Passkeys sind eine schlanke und sichere Alternative zu Passwörtern. Eine Authentifizierung per Passkey lässt sich einfach in eigenen Anwendungen implementieren.

Artikel verschenken
In Pocket speichern vorlesen Druckansicht 18 Kommentare lesen
Lesezeit: 11 Min.
Inhaltsverzeichnis

Bislang war beim Thema Authentifizierung immer nur ein Trend zu vermerken: Passwörter mussten immer länger und komplexer und überdies häufig noch mit einem zweiten Faktor kombiniert werden, um den gestiegenen Sicherheitsanforderungen Genüge zu tun. Umso erstaunlicher hat es angemutet, als Apple, Google und andere Firmen in den letzten Jahren das Thema Passkeys forciert haben, das die Abschaffung von Passwörtern in der täglichen Arbeit zum Ziel hat. Anders als 2FA-Lösungen soll ein Passkey nicht nur die Sicherheit eines Anmeldevorgangs erhöhen, sondern gleichzeitig auch die Eingabe eines Passworts überflüssig machen. Möglich macht das die geschickte Verwendung von Kryptografie.

Passkeys sind aus dem FIDO-Standard abgeleitet, einem Verfahren der FIDO-Allianz. Die Abkürzung steht für Fast Identify Online und wurde 2012 von verschiedenen großen Unternehmen ins Leben gerufen. Das Ziel war von Anfang an, sichere und leicht anwendbare Authentifizierungslösungen zu entwickeln und bereitzustellen. Aus der Weiterentwicklung FIDO2 ging der Standard WebAuthn hervor, die technische Grundlage für Passkeys. Mit WebAuthn lassen sich Benutzer mit asymmetrischer Kryptografie authentifizieren. Das Prinzip ist simpel und entspricht einem Challenge-Response-Verfahren.

Mehr zu Passwörter und Passwortsicherheit

Doch obwohl Passkeys zahlreiche Vorteile bieten, stehen Unternehmen und Diensteanbieter vor einigen Herausforderungen bei der Implementierung. Dazu gehört die Notwendigkeit, die bestehenden Systeme regelmäßig zu aktualisieren, Nutzer und Mitarbeiterinnen zu schulen sowie die Kompatibilität über verschiedene Geräte und Betriebssysteme hinweg zu gewährleisten. Des Weiteren sind verlorene und gestohlene Geräte zu verwalten, um den Zugriff auf Benutzerkonten auch nach dem Defekt oder Verlust eines Gerätes sicherzustellen.

Das war die Leseprobe unseres heise-Plus-Artikels "Statt Passwörter: Passkeys in eigenen Anwendungen nutzen". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.