Info
Unser Anmeldedienst bietet auch die Anmeldung via WebAuthn/FIDO2 an. Damit können FIDO2 kompatible Sicherheitsschlüssel oder die virtuellen (Software) Schlüssel aka. "Passkeys" genutzt werden. Passkeys (bzw. FIDO2-Schlüssel) sind besonders resistent gegen den Passwortdiebstahl ("Phishing") und dennoch oft komfortabler als (lange und komplizierte) Passwörter. Das Sicherheitsniveau dieser Methode ist vergleich mit der einer 2-Faktor Anmeldung, da für eine Anmeldung sowohl der (physische oder digitale) Schlüssel als auch der zweite Schutzmechanismus (etwa PIN, Biometrie) benötigt wird.
Hinweise zur Nutzung von Passkeys
Grundlagen
Um einen Passkey zu nutzen, benötigt man entweder einen physischen Sicherheitsschlüssel z.B. einen Yubikey oder SoloKey oder einen Softwareprovider, der die kryptografischen Schlüssel erzeugt, verwaltet und sicher aufbewahrt. Als Softwareprovider kommt z.B. ein Passwort-Manager wie KeePassXC (lokal), Browser (Chrome) oder ins Betriebssystem integrierte Lösungen zum Einsatz.
Microsoft Windows
Die in Windows 10 & 11 integrierten Passkeys setzen die Verwendung von Windows Hello bzw. Windows Hello for Business voraus, die digitalen Schlüssel werden durch die hinterlegte PIN bzw. biometrischen Merkmale geschützt. Nutzer von Offline-Konten oder von Geräten die die Anforderungen an Windows Hello / Hello for Business nicht erfüllen können die integrierten Passkeys nicht nutzen und müssen einen gesonderten Provider (z.B. KeePassXC) oder physischen Schlüssel nutzen.
→ Alternativ kann der Passkey beispielsweise auch von einem Smartphone verwaltet werden - zum Login wird dann ein QR-Code eingesetzt und setzt eine Bluetooth Verbindung voraus
Apple macOS & iOS/iPadOS
Auf Apple Geräten werden Passkeys nativ nur bei der Verwendung des iCloud-Schlüsselbundes nativ angeboten - ohne benötigt man einen eigenen Softwareprovider (z.B. KeePassXC [macOS] bzw. KeePassium [iOS/iPadOS]) oder physischen Schlüssel.
→ Alternativ kann der Passkey beispielsweise auch von einem Smartphone verwaltet werden - zum Login wird dann ein QR-Code eingesetzt und setzt eine Bluetooth Verbindung voraus
Android
Auf Android Smartphones mit Google Services stehen Passkeys nativ über den Google Passwortmanager zur Verfügung, Smartphones ohne Google Services stehen ggf. auch die Dienste des jeweiligen Herstellers zur Verfügung. Alternativ kann auf eine dedizierte App als Softwareprovider zurückgegriffen werden. Die Android Ports der KeePassXC-Datenbank haben derzeit allerdings noch keine funktionierende Implementierung, arbeiten aber daran - eine mögliche kommerzielle Alternative ist derzeit z.B. Bitwarden. Zusätzlich stehen auch hier physische Schlüssel als Option zur Verfügung.
Linux
Linux bietet derzeit auf keiner stabilen Distribution fest integrierte Software-Passkeys an, stattdessen wird hier entweder ein Software-Provider wie KeePassXC oder ein physischer (FIDO2) Sicherheitsschlüssel benötigt. Mehr zum aktuellen Stand der nativen Plattform-Unterstützung z.B. im 'linux-credentials' Projekt: https://github.com/linux-credentials
