Apple, Google und Microsoft wollen das Passwort mit dem „Passkey“-Standard killen

Der erste Donnerstag im Mai ist offenbar der „World Password Day“, und das wird gefeiert Apfel, Googleund Microsoft starten ein “gemeinsame Anstrengung„um das Passwort zu killen. Die großen OS-Anbieter wollen „die Unterstützung für einen gemeinsamen passwortlosen Anmeldestandard erweitern, der von der FIDO Alliance und dem World Wide Web Consortium erstellt wurde.“

Der Standard wird entweder als „Multi-Device-FIDO-Credential“ oder einfach als „Passkey“ bezeichnet. Anstelle einer langen Zeichenfolge würde dieses neue Schema die App oder Website, bei der Sie sich anmelden, dazu veranlassen, eine Anfrage zur Authentifizierung an Ihr Telefon zu senden. Von dort aus müssen Sie das Telefon entsperren, sich mit einer Art PIN oder Biometrie authentifizieren, und dann sind Sie auf dem Weg. Dies klingt nach einem vertrauten System für jeden, der eine telefonbasierte Zwei-Faktor-Authentifizierung eingerichtet hat, aber dies ist eher ein Ersatz für das Passwort als ein zusätzlicher Faktor.

Für die Benutzerinteraktion wurde eine Grafik bereitgestellt:

FIDO-Allianz

Einige Push-2FA-Systeme funktionieren über das Internet, aber dieses neue FIDO-Schema funktioniert über Bluetooth. Wie das Whitepaper erklärt: „Bluetooth erfordert physische Nähe, was bedeutet, dass wir jetzt eine Phishing-resistente Möglichkeit haben, das Telefon des Benutzers während der Authentifizierung zu nutzen.“ Bluetooth hat einen schrecklichen Ruf für Kompatibilität, und ich bin mir nicht sicher, ob „Sicherheit“ jemals ein echtes Problem war, aber die FIDO-Allianz stellt fest, dass Bluetooth nur „zur Überprüfung der physischen Nähe“ dient und dass der eigentliche Anmeldevorgang „nicht so ist hängen von den Bluetooth-Sicherheitseigenschaften ab.” Das bedeutet natürlich, dass beide Geräte Bluetooth an Bord benötigen, was für die meisten Smartphones und Laptops selbstverständlich ist, aber für ältere Desktop-PCs eine schwierige Frage sein könnte.

Ähnlich wie ein Passwort-Manager Ihre Anmeldungen unter einem einzigen Passwort vereinheitlichen kann, können Ihre Passkeys von einigen großen Plattforminhabern wie Apple oder Google gesichert werden. Auf diese Weise können Sie Ihre Anmeldeinformationen problemlos auf ein neues Gerät übertragen, verhindern, dass Sie sie verlieren, und das Synchronisieren von Passkeys auf mehreren Geräten vereinfachen. Wenn Sie Ihr Gerät verlieren, können Sie Ihre Konten trotzdem wiederherstellen, indem Sie sich (ähm – mit einem Passwort?) Bei Ihrem großen Plattforminhaberkonto anmelden. Es kann auch eine gute Idee sein, mehr als ein Gerät als Authentifikator einzurichten.

Unternehmen versuchen seit Jahren, „passwortlos“ zu werden, aber der Weg dorthin war schwierig. Google hat eine ganze Zeitleiste in seinem Blogbeitrag ab 2008. Passwörter funktionieren gut, wenn sie lang, zufällig, geheim und einzigartig sind, aber das menschliche Element von Passwörtern ist immer ein Problem. Wir sind nicht gut darin, uns lange, willkürliche Zeichenfolgen zu merken. Es ist verlockend, Passwörter aufzuschreiben oder wiederzuverwenden, und Phishing-Schemata versuchen, Sie dazu zu bringen, Ihr Passwort an Dritte weiterzugeben. Wenn es zu einer Sicherheitsverletzung kommt, können Benutzername und Passwortpaare einfach weitergegeben werden, und es gibt riesige Datenbanken mit kompromittierten Anmeldeinformationen.

Im FIDO-Blogbeitrag heißt es: „Diese neuen Funktionen werden voraussichtlich im Laufe des kommenden Jahres auf allen Plattformen von Apple, Google und Microsoft verfügbar sein.“ Apple, das den ganzen „Passkey“-Trend begonnen zu haben scheint, hat bereits ein System, das in iOS 15 und macOS Monterey läuft, aber es ist nicht kompatibel mit anderen Plattformen noch. Die Passkey-Unterstützung von Google hat dies bereits getan gesichtet worden in Play Services auf Android, daher sollte es auch von älteren Android-Geräten schnell unterstützt werden, sobald es fertig ist.

Angebotsbild von FIDO Alliance

Leave a Reply

Your email address will not be published.