Passkeys: Android-API Credential Manager vereinheitlicht Authentifizierung

Die Jetpack-API Credential Manager vereinheitlicht die Anmeldung in Apps oder Webseiten mit Passkeys und anderen Authentifizierungs-Methoden.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen

(Bild: Tero Vesalainen/Shutterstock.com)

Lesezeit: 2 Min.

Google hat für den 1. November 2023 das öffentliche Release der API zum Credential Manager angekündigt, der den Authentifizierungsprozess zum Anmelden in Apps und Websites vereinheitlicht.

Der Credential Manager ist Bestandteil von Android 14. Er ermöglicht die Anmeldung über Passkeys, die Google im breiten Rahmen als Ersatz des Passworts vorantreibt, und anderen Authentifizierungsverfahren wie eben Passwörter oder föderierte Identität.

Der Credential Manager soll die Authentifizierung sowohl aus User- als auch Developer-Sicht vereinfachen, indem er eine einheitliche Schnittstelle fĂĽr den Authentifizierungsprozess bietet.

Die Demo-App Shrine integriert die Anmeldung mit Passkeys ĂĽber den Credential Manager.

(Bild: Google)

Google veröffentlicht nun den Credential Manager unter Android Jetpack, einer Sammlung von Libraries, die von den Plattform-APIs des mobilen Betriebssystems entkoppelt sind. Die Credential-Manager-API arbeitet grundsätzlich mit Android ab Version 4.4 (API Level 19) zusammen. Das Zusammenspiel mit Passkeys funktioniert allerdings erst ab Android 9 (API Level 28).

Nicht nur der Blogbeitrag zur Veröffentlichung der Jetpack-API bezeichnet Passkeys als Zukunft der Online-Authentifizierung, Google hat die Anmeldung für seine Online-Dienste auch Anfang Oktober auf Passkeys umgestellt. Andere Unternehmen wie Apple und Microsoft treiben den Einsatz als Passwortersatz ebenfalls voran.

Passkeys setzen auf asymmetrische Kryptografie und verwenden ein Challenge-Response-Verfahren: Der Server sendet einem Client eine Zeichenkette als Challenge. Der Client verarbeitet diese mit einem privaten Schlüssel und schickt die Response, die der Server schließlich anhand des öffentlichen Schlüssels überprüft, um die Anmeldung zu genehmigen.

Auch wenn die öffentliche Jetpack-API erst zum 1. November offiziell verfügbar ist, nutzen einige Apps unter Android bereits den Credential Manager, darunter WhatsApp und Uber.

Ein Tutorial zeigt den Einsatz von Passkeys im Zusammenspiel mit dem Credential Manager. Ein Migrations-Leitfaden soll beim Umstieg von FIDO2 auf den Credential Manager helfen. Google hat zudem auf seiner Developer-Site einige UX-Richtlinien im Umgang mit Passkeys veröffentlicht.

(rme)