Die FIDO Alliance hat neue Spezifikationen für den sicheren Austausch von Anmeldedaten veröffentlicht. Diese Spezifikationen ermöglichen es Nutzern, Passkeys und andere Anmeldedaten sicher zwischen verschiedenen Anbietern zu übertragen. Die neuen Spezifikationen zielen darauf ab, die Einführung von Passkeys zu beschleunigen und die Benutzerfreundlichkeit zu verbessern, indem sie eine offene Umgebung schaffen und die Wahlfreiheit des Nutzers fördern.
Die Spezifikationen werden derzeit von der FIDO Alliance geprüft und können noch geändert werden, bevor sie zur Implementierung freigegeben werden. Die Spezifikationen, bekannt als Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF), definieren ein Standardformat für die Übertragung von Anmeldeinformationen, einschließlich Passwörter, Passkeys und mehr, zwischen verschiedenen Anbietern. Sprich: Ihr seid nicht auf ewige Zeiten an einen Anbieter gekettet, sondern könnt Passkeys auch locker von A nach B mitnehmen, die Synchronisation wird ja bereits unterstützt. Anbieter, wie 1Password, Apple, Bitwarden, Dashlane, Enpass, Google, Microsoft, NordPass, Okta und Samsung, werden das Ganze dann später unterstützen, was es einfacher machen wird, den Passwortmanager zu wechseln. Derzeit ist es zwar problemlos möglich, die „alten“ Passwort-Geschichten umzuziehen, bei Passkeys sieht das ja noch anders aus.
Hintergrundwissen Passkeys:
Einrichtung: Zuerst richtet der Nutzer einen Passkey für sein Konto ein. Dies geschieht normalerweise in den Sicherheitseinstellungen der Webseite oder App. Dabei wird das Gerät (z. B. Smartphone, Laptop) mit dem Konto verbunden.
Anmeldung: Wenn die Person sich später einloggen möchte, wählt sie einfach ihr Konto aus. Anstatt ein Passwort einzugeben, bestätigt sie ihre Identität mit etwas, das sie besitzt, wie zum Beispiel einem Fingerabdruck, einem Gesichtsscan oder einem PIN-Code auf ihrem Gerät.
Sicherheit: Der Passkey besteht aus einem Paar von kryptografischen Schlüsseln – einem privaten Schlüssel, der sicher auf dem Gerät gespeichert ist, und einem öffentlichen Schlüssel, der mit dem Online-Dienst geteilt wird. Der private Schlüssel verlässt das Gerät nie..
Verifizierung: Wenn sich die Person anmeldet, sendet der Online-Dienst eine Herausforderung (Challenge) an ihr Gerät. Das Gerät verwendet den privaten Schlüssel, um diese Herausforderung zu beantworten, und sendet die Antwort zurück. Der Dienst überprüft die Antwort mit dem öffentlichen Schlüssel und gewährt Zugang, wenn alles korrekt ist.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.