Passkeys, einfach und sicher?

Passkeys sollen den Login einfacher und sicherer machen, doch ist das tatsächlich so?

Um dies praktisch auszuprobieren, habe ich mir vor einigen Wochen zwei FIDO2 Keys bei token2.com bestellt. Die Lieferung über herkömmlichen Postversand kam nach zwei Wochen bei mir an, wer es eilig hat, kann auch UPS Express als Versandart wählen, was derzeit mit 19,-- Euro zu Buche schlägt.

Erste Tests

Der erste Test über FIDO2/Passkeys Demo verlief einwandfrei, hier bekommt man einen ersten Eindruck, wie es funktioniert.

Besser finde ich passkey.org, hier können zwei (oder mehr) Keys hinterlegt werden, so wie man es in der Praxis auch machen sollte. Geht ein Stick kaputt oder verloren, ist man nicht ausgesperrt.

Die Registrierung ist schnell erledigt:

1.) Usernamen eingeben
2.) PIN des Keys eintippen
3.) Key berühren
4.) Auslesen von Hersteller und Modell des Keys erlauben oder überspringen

Nach diesem Muster läuft die Registrierung auf den meisten Seiten ab. Ich habe beide Sticks registriert, so sieht es dann aus:

Amazon

Nachdem die Tests leicht von der Hand gingen, wagen wir uns jetzt auf eine "echte" Seite. Bei Amazon können unter Mein Konto - Anmeldung und Sicherheit mehrere Keys hinterlegt werden.

Nach Klick auf Einrichten im obigen Screenshot kommen die üblichen Abfragen zur Registrierung eines neuen Passkeys, so wie unter "Erste Tests" zu sehen, der Ablauf ist simpel und fast immer gleich.

Jetzt melde ich mich kurz ab und versuche einen Login mit dem neu registrierten Passkey. Hmm, bei der Anmeldung muss zunächst der Username eingetippt werden, erst danach kommt der Button um sich mit dem Passkey anzumelden.

Das funktioniert einfach und schnell, allerdings hatte ich den Key noch im USB-Port stecken. Ansonsten müsste ich jetzt meinen Key irgendwo aus einer Schublade kramen, beim PC einstecken, drauf tippen, wieder raus und zurück in die Schublade. In der Zeit hätte ich wahrscheinlich 3x mein Passwort eingegeben.

Der einzige Vorteil, der FIDO-Stick würde auf einer Phishing Webseite nicht funktionieren und mich so vor einem potentiellen Diebstahl meines Passworts schützen.

Binance

Binance hat offensichtlich nachgebessert, bei meinem letzten Versuch vor zwei Wochen konnte ich nur einen Passkey hinterlegen, jetzt sind mehrere Keys möglich. Zusätzlich besteht die Option, für wichtige Aktionen nur noch Passkeys zu erlauben.

Etwas suspekt, bei einer Auszahlung kommt die Meldung, es müssen mindestens zwei 2FA Methoden aktiviert sein.

Authenticator und E-Mail geht, FIDO-Stick und E-Mail geht nicht. Warum weiß wohl nur Hr. Binance oder dies wird zukünftig nachgebessert.

Ebay

Ebay sollte eigentlich funktionieren, so steht es zumindest auf einigen Seiten. Nach einigen Recherchen fand ich jedoch diese Info vom 04.03.2024:

Aktuell ist die Anmeldung über den Passkey tatsächlich nur für iOS verfügbar.

Also... zur Zeit Pustekuchen oder eben iOS.

Internet Identity

ICP alias internetcomputer.org bietet über die Internet Identity Zugang zu dessen Ökosystem. Erstellung einer ID und Login sind sehr gut gelöst, mehrere Keys können hinterlegt werden und als letzte Rückfallebene ist ein Recovery über eine Recovery Phrase möglich.

Wie im Screenshot zu sehen, habe ich es hier etwas übertrieben und sogar eine Bitbox als Passkey eingetragen, da muss ich wohl etwas aufräumen.

Verwaltung / Tools

Vor dem Kauf machte ich mir Gedanken, wie ich die gespeicherten Passkeys verwalten kann. Die einfachste Methode ist, dies direkt im Browser zu machen. Die Adresse dazu sollte normalerweise chrome://settings/securityKeys sein, im Vivaldi Browser ist es vivaldi://settings/securityKeys.

Hier können die gespeicherten Keys angezeigt und ggf. gelöscht werden.

Mehr Infos bekommt man über die Software des Herstellers, bei Token2 z.B. mit dem FIDO2.1 Manager.

Fazit

An sich eine gute Sache, aber...

• auf vielen Seiten gibt es noch keine Möglichkeit Passkeys zu nutzen.
• Umsetzung lässt teilweise zu wünschen übrig, so wird z.B. zusätzlich ein Authenticator-App verlangt oder der Login ist ebenso oder sogar noch aufwändiger als mit Passwort.
• Login mit Passwort kann nicht deaktiviert werden, d.h. der Gewinn an Sicherheit liegt dann primär im Schutz vor gefälschten Webseiten.

Es war ein interessanter Ausflug, bei gut umgesetzten Websites ist das Einloggen eine wahre Freude, kein Puzzlestück zum Ausrichten und auch keine App, die extra gestartet werden muss. Dennoch ich habe leichte Zweifel, ob sich die Geschichte durchsetzen wird. Wir werden sehen...