Zum Hauptinhalt springen

Passkeys (WebAuthn)

Passkey bietet eine sicherere und benutzerfreundlichere Alternative zu herkömmlichen Passwörtern. Durch die Verwendung von Public-Key-Kryptographie verbessert Passkey die Sicherheit, indem es das Gerät des Benutzers, die Dienstdomäne und die Benutzer-ID verknüpft und so Phishing- und Passwortangriffe effektiv entgegenwirkt. Kompatibel mit verschiedenen Geräten oder Browsern und ermöglicht es Benutzern, Biometrie und Hardware-Sicherheitsfunktionen für eine bequeme Authentifizierung zu nutzen. WebAuthn bietet die API, um Websites die Implementierung von Passkeys zu ermöglichen.

Logto unterstützt jetzt Passkey (Webauthn) für Multi-Faktor-Authentifizierung (MFA). Die Passkey-Anmeldefunktion kommt bald. Bitte bleib für Updates dran.

Konzepte

Kunden kennen immer Passkeys eher als WebAuthn, also was ist die Beziehung zwischen ihnen und wie verwendet man sie? Lass uns diese Konzepte erkunden:

  • Passkeys: Ein Passkey ist ein FIDO-basiertes, phishing-resistentes Anmeldeinformation, das Passwörter ersetzt. Es nutzt asymmetrische Public-Key-Kryptographie für erhöhte Sicherheit. Es kann Hardware-Token oder Sicherheitsschlüssel sein, wie USB- oder Bluetooth-Geräte. Da "Passkeys" die Authentifizierungsmethode ist, die den Benutzern angezeigt wird, sollte es innerhalb deines Produktclients verwendet werden.
  • WebAuthn: Es ist eine JavaScript-API, die von der W3C und der FIDO-Allianz entwickelt wurde und Webanwendungen die Authentifizierung mit FIDO2-Standards ermöglicht. Passkeys ist eine der Authentifizierungsmethoden, die WebAuthn unterstützt. In der Logto-Konsole bezeichnen wir diese Integration professionell als "WebAuthn".

WebAuthn bietet verschiedene Authentifikatoren, aus denen Benutzer wählen können, verfügbar in zwei Typen für lokale und Cloud-Nutzung:

  • Plattform-Authentifikator (Interner Authentifikator): Es ist an ein einzelnes und spezifisches Gerätebetriebssystem gebunden, wie ein Computer, Laptop, Telefon oder Tablet, mit dem sich der Benutzer anmeldet. Es funktioniert ausschließlich auf dem Gerät zur Autorisierung mit Methoden wie Biometrie oder einem Gerätepasscode, sodass es eine schnelle Möglichkeit zur Authentifizierung ist. Z. B. iCloud-Schlüsselbund, verifiziert durch Touch ID, Face ID oder Gerätepasscode auf macOS oder iOS; Windows Hello, verifiziert durch Gesichtserkennung, Fingerabdruck oder freundliche PIN.
  • Roaming-Authentifikator (Externer Authentifikator, Plattformübergreifender Authentifikator): Es ist ein separates, tragbares Gerät oder eine Softwareanwendung, wie ein Hardware-Sicherheitsschlüssel oder ein Smartphone. Es sollte das Gerät über USB verbinden oder NFC oder Bluetooth eingeschaltet lassen. Der Roaming-Authentifikator ist nicht auf ein einzelnes Gerät oder einen Browser beschränkt und bietet größere Flexibilität.

Um tiefer in die Prinzipien und Prozesse von WebAuthn einzutauchen, kannst du auf unsere Blogbeiträge verweisen: WebAuthn und Passkeys 101 und Dinge, die du wissen solltest, bevor du WebAuthn integrierst.

Beachte die Einschränkungen

Es ist wichtig, sich einiger Einschränkungen bei der Implementierung von WebAuthn bewusst zu sein:

  1. Plattform- und Browser-Einschränkung: Es ist wichtig zu beachten, dass Logto derzeit keine WebAuthn-Unterstützung für native Anwendungen bietet. Darüber hinaus hängt die Verfügbarkeit von WebAuthn-Authentifikatoren von den Fähigkeiten des Browsers und des Geräts ab (Liste überprüfen). Daher ist WebAuthn nicht immer die einzige Option zur Implementierung von Multi-Faktor-Authentifizierung (MFA), andernfalls kannst du steuern, welche Browser und Geräte auf dein Produkt zugreifen können.
  2. Domänen-Einschränkung: Das Ändern der Domäne kann die Benutzerverifizierung über ihre bestehenden WebAuthn-Konten behindern. Passkeys sind an die spezifische Domäne der aktuellen Webseite gebunden und können nicht über verschiedene Domänen hinweg verwendet werden.
  3. Geräte-Einschränkung: Der Verlust des Geräts kann zu einem Verlust des Zugangs zu ihren Konten führen, insbesondere für diejenigen, die sich auf "Dieses Gerät" Plattform-Authentifikatoren verlassen. Um den Authentifizierungszugang zu verbessern, ist es ratsam, den Benutzern mehr als einen Authentifizierungsfaktor bereitzustellen.

Authentifizierungsabläufe

Die Passkeys-Spezifikation erfordert, dass Benutzer aktiv auf die Schaltfläche auf der aktuellen Seite klicken, um die Authentifizierungskomponente zu starten. Das bedeutet, dass Benutzer sowohl im Einrichtungs- als auch im Verifizierungsablauf zur Landingpage weitergeleitet werden sollten, um WebAuthn zu starten.

  • Passkey-Einrichtungsabläufe
WebAuthn-Einrichtungsablauf
  • Passkey-Verifizierungsabläufe
WebAuthn-Verifizierungsablauf

Dinge, die du wissen solltest, bevor du WebAuthn integrierst

 WebAuthn und Passkey 101