Folgen Sie ZDNET: Fügen Sie uns als bevorzugte Quelle hinzu auf Google.
Die wichtigsten Erkenntnisse von ZDNET
- Microsoft löst sein Versprechen ein, die Passkey-Synchronisierung zu unterstützen.
- Der Rollout beginnt mit der Verfügbarkeit auf Edge für Windows.
- Eine ganzheitlichere und branchenführendere Strategie scheint in Arbeit zu sein
Unabhängig davon, ob Sie Websites oder Anwendungen (von Cybersicherheitsexperten gemeinsam als „vertrauende Parteien“ bezeichnet) verwenden, die eine Anmeldung erfordern, werden Sie irgendwann aufgefordert, Ihr Passwort zugunsten eines passwortlosen Hauptschlüssels zu entfernen.
Unter der Leitung der Multi-Vendor-FIDO-Allianz gibt es den Passkey-Standard – der als nicht phishbarer Anmeldedatentyp gilt – seit fünf Jahren. Die weltweite Umstellung auf Passkeys wurde jedoch durch die Unausgereiftheit einiger unterstützender Technologien in heutigen Betriebssystemen und Geräten sowie in den verschiedenen Identitätsmanagementsystemen, die von vertrauenden Parteien verwendet werden, behindert.
Außerdem: Ich habe das Passwort meines Microsoft-Kontos durch einen Passkey ersetzt – und das sollten Sie auch tun
Der Rollout beginnt mit Edge unter Windows 11
Die Rate der Passkey-Einführung dürfte jedoch steigen, da eines der Hindernisse – das Fehlen einer allgemein verfügbaren, von Microsoft angebotenen Möglichkeit zur Synchronisierung von Passkeys zwischen Windows-Geräten und Installationen seines Edge-Webbrowsers – beseitigt wird. Der schrittweise Rollout von Microsoft begann letzte Woche.
Laut Microsoft hat die erste Phase des Rollouts mit der Möglichkeit begonnen, Passkeys über Installationen von Edge Version 142 (oder höher) hinweg zu synchronisieren, die auf Windows 10-Geräten und höher ausgeführt werden.
Außerdem: 10 Schlüssel-Überlebenstipps: Bereiten Sie sich jetzt auf Ihre passwortlose Zukunft vor
„Wir streben das Ende des Kalenderjahres für (Verfügbarkeit auf Edge auf) iOS an“, sagte ein Microsoft-Sprecher gegenüber ZDNET. Diese Verfügbarkeit „wird später (von Edge) auf Android und MacOS folgen.“ Das Unternehmen hat noch keinen Zeitplan für die Unterstützung durch Edge unter Linux angeboten.
Bisher konnten Windows-Benutzer Passkeys für Apps und Websites erstellen, die diese unterstützten. Allerdings waren diese Passkeys kryptografisch an eine einzigartige hardwarebasierte Vertrauensbasis wie das Trusted Platform Module (TPM) gebunden, das in modernen Windows-fähigen Systemen zu finden ist. TPMs werden normalerweise in das Silizium integriert, das oberflächenmontiert auf der Hauptplatine eines Geräts montiert wird. Einmal erstellt, sind solche „gerätegebundenen“ Passkeys untrennbar mit dem einzigartigen hardwarebasierten Vertrauensstamm verbunden, der zu ihrer Erstellung verwendet wurde, und können nicht mit anderen Geräten synchronisiert werden, die durch einen separaten hardwarebasierten Vertrauensstamm gestützt werden.
Gerätegebundene vs. synchronisierbare Passkeys
Synchronisierbare Passkeys gelten als benutzerfreundlicher als ihre gerätegebundenen Gegenstücke. Wenn Benutzer ihre Passkeys auf ihren verschiedenen Geräten (Computer, Smartphones, Tablets, Spielekonsolen usw.) synchronisieren können, müssen sie nur einen Passkey pro vertrauender Seite erstellen und können diesen einzelnen Passkey als Anmeldeinformationen für diese vertrauende Seite von jedem ihrer Geräte aus wiederverwenden.
Bei gerätegebundenen Passkeys, wie sie bisher von Microsoft hauptsächlich unterstützt wurden, besteht jedoch ein erhöhter technischer Aufwand für Sie, indem Sie entweder mehrere Passkeys (einen pro Gerät) für jede vertrauende Seite erstellen oder einen einzelnen Passkey auf einem Roaming-Authentifikator speichern müssen – einem tragbaren, hardwarebasierten Vertrauensanker wie einem Yubico Yubikey oder einem Google Titan, der mit dem Gerät verbunden sein muss, von dem aus Sie sich gerade anmelden.
Außerdem: Ich tausche Passwörter aus einem Grund gegen Passkeys ein – und das ist nicht das, was Sie denken
Damit ein Passkey von diesen gerätegebundenen Einschränkungen befreit wird, muss er mithilfe eines portablen, softwarebasierten Root of Trust erstellt werden. Sobald ein Passkey auf diese Weise erstellt wurde, besteht der typische Ansatz darin, ihn über eine Cloud zu synchronisieren, die vom Anbieter der Anmeldeinformationsverwaltungslösung betrieben wird. Beispielsweise können Passkeys, deren Ursprung beim iCloud-Schlüsselbund von Apple liegt, über Apples iCloud mit anderen Apple-Geräten synchronisiert werden. Das Gleiche gilt für Passkeys, die mit dem Passwort-Manager im Chrome-Webbrowser von Google erstellt wurden. Sie werden über die Google-Cloud mit den anderen Chrome-Kopien des Nutzers auf anderen Geräten synchronisiert.
Apple, Google und Microsoft sind Mitglieder der FIDO Alliance und die drei größten weltweiten Befürworter von Passkeys (offiziell bekannt als FIDO2 Credentiial). Es gibt auch eine große Heimindustrie von Passwortverwaltungslösungen – darunter 1Password, BitWarden, Dashlane, LastPass und NordPass – von denen viele auch die Passkey-Synchronisierung über ihre unabhängig betriebenen Clouds unterstützen. Microsoft verlässt sich natürlich auf seine Cloud, um die Synchronisierung von Passkeys (sowie anderen Anmeldeinformationen wie Benutzer-IDs und Passwörtern) zu erleichtern.
Außerdem: Die besten Passwort-Manager: Von Experten getestet
„Anstatt an einem bestimmten TPM verankert zu sein, ist der private Schlüssel (verbunden mit dem Passkey) jetzt in einer sicheren, hardwaregestützten Cloud-Enklave geschützt und mit HSM-Schlüsseln (Hardware Security Module) verschlüsselt“, sagte der Microsoft-Sprecher gegenüber ZDNET. „Dadurch wird sichergestellt, dass Passkeys nicht nur im Ruhezustand und während der Synchronisierung, sondern auch während der Verwendung innerhalb der sicheren Enklave stark geschützt bleiben.“
Der ganzheitliche Ansatz von Microsoft
Was die Authentifikatoren von Passkey-Plattformen angeht, leistet Microsofts syncable Passkey-Strategie jedoch mehr als nur die Erweiterung der kostenlosen und integrierten Verfügbarkeit der syncable Passkey-Funktion auf den riesigen Fußabdruck bestehender Windows- und Edge-Benutzer. Es bringt auch die Idee eines Plattform-Authentifikators auf eine völlig neue Ebene für die Branche. Obwohl die vollständige Vision in kleinen Schritten umgesetzt wird – beginnend mit der Umstellung der Passwortunterstützung von Microsoft Authenticator auf Edge im Juli dieses Jahres – wird sie wichtige Funktionen umfassen, die in anderen Lösungen zur Anmeldeinformationsverwaltung (insbesondere den kostenlosen und integrierten) nicht zu finden sind.
Der bedeutendste und angenehm überraschende Aspekt dabei ist die ganzheitliche Sichtweise, dass die Erstellung und anschließende Verwendung von Passschlüsseln ein integrierter Dienst sein sollte, der anderen Anwendungen vom Betriebssystem angeboten wird. Nehmen wir an, Sie sind auf eine vertrauende Partei angewiesen, die ihre Funktionalität sowohl über eine Web-App als auch über eine native Windows-Anwendung anbietet. Nach dem Ansatz von Microsoft können sich sowohl Edge als auch die native Windows-Anwendung auf dieselben zugrunde liegenden Betriebssystemkomponenten verlassen, um Passkey-Registrierungs- und Authentifizierungsfunktionen bereitzustellen.
Außerdem: Microsoft Authenticator verwaltet Ihre Passwörter – oder die meisten Passkeys – nicht mehr
Angenommen, Sie erstellen über Ihren Edge-Browser einen synchronisierbaren Passkey für die Anmeldung bei LinkedIn. Nach der Erstellung steht derselbe Passkey auch der nativen Windows-Anwendung für LinkedIn zur Verfügung. Oder umgekehrt. Über die native Windows-Anwendung für LinkedIn sollten Sie in der Lage sein, einen Passkey zu registrieren, der anschließend für die Authentifizierung bei LinkedIn über Edge verfügbar ist.
Diese Funktion gilt nicht nur für native Windows-Anwendungen, die spezifisch für eine einzelne vertrauende Seite sind. Laut Microsoft sollen auch Nutzer anderer Browser wie Firefox Zugriff auf den vom Betriebssystem bereitgestellten Dienst haben. In einem solchen Fall könnte man Firefox verwenden, um LinkedIn.com zu besuchen und sich dort zu authentifizieren, und zwar mit demselben Passkey (für LinkedIn), der über Windows to Edge verfügbar ist, sowie über die native App von LinkedIn für Windows.
Laut Microsoft wird diese Funktion für Windows 11-Benutzer aktiviert, die die einmalige Einrichtung des Passwort-Managers in Edge durchgeführt haben (von Microsoft als „Microsoft Password Manager“ bezeichnet).
Außerdem: Was passiert wirklich während Ihrer „passwortlosen“ Passkey-Anmeldung?
Nur weil Microsoft jetzt seine umfassende synchronisierbare Passkey-Strategie zum Tragen bringt, heißt das nicht, dass die Unterstützung für die alten gerätegebundenen Passkeys abgeschafft wird.
„Immer wenn ein Benutzer innerhalb von Edge auf eine Passkey-Erstellung (Workflow) stößt, wird ihm ein ‚Auswahlbildschirm‘ angezeigt, auf dem Benutzer zwischen der Speicherung im Microsoft Password Manager (synchronisiert) oder der lokalen Speicherung (als gerätegebundener Passkey) über Windows Hello wählen können“, sagte der Microsoft-Sprecher gegenüber ZDNET. „Je nachdem, was Benutzer auswählen, werden die entsprechenden nächsten Schritte eingeleitet.“ Innerhalb von Windows besteht Windows Hello aus mehreren Komponenten, die Teil des größeren Windows-Sicherheitssubsystems sind.
