Apple, Google und Microsoft werden nächstes Jahr die FIDO-Passkey-Technologie implementieren.

Am 5. Mai war der Weltpassworttag, aber es sieht so aus, als ob wir uns der Zeit nähern, in der Passwörter der Vergangenheit angehören.

Die Technologiegiganten Apple, Google und Microsoft haben eine Zusammenarbeit angekündigt, um die passwortlose Anmeldetechnologie auf Mobil-, Desktop- und Browserplattformen zu bringen. Tatsächlich bedeutet dies, dass die passwortlose Authentifizierung in naher Zukunft auf allen wichtigen Plattformen erscheinen wird, die von Unternehmen kontrolliert werden: in den mobilen Betriebssystemen Android und iOS; in Chrome-, Edge- und Safari-Browsern; und auf Windows- und macOS-Desktopsystemen.

Kurt Knight, Senior Director of Platform Products Marketing bei Apple:

Wir gestalten Produkte nicht nur intuitiv und funktional, sondern auch privat und sicher.

Die Zusammenarbeit mit Branchenführern, um neue, sicherere Anmeldemethoden zu entwickeln, die eine bessere Sicherheit bieten und Passwort-Schwachstellen beseitigen, ist eine der obersten Prioritäten in unserem Engagement für die Entwicklung von Produkten, die maximale Sicherheit und ein transparentes Benutzererlebnis bieten.

Der passwortlose Anmeldeprozess ermöglicht es Benutzern, ihre Telefone als primäres Authentifizierungsgerät für Apps, Websites und digitale Dienste auszuwählen. Das Entsperren des Telefons mit einer beliebigen verfügbaren Methode – PIN, Muster oder Fingerabdruck – reicht aus, um auf den Webdienst zuzugreifen, ohne dass ein Passwort eingegeben werden muss. Dies wird durch die Verwendung eines einzigartigen kryptografischen Tokens namens Zugangsschlüssel ermöglicht, der vom Smartphone und der Website verwendet wird.

Benutzer profitieren von Benutzerfreundlichkeit und erhöhter Sicherheit mit einer vom physischen Gerät abhängigen Anmeldemethode. Wenn Sie kein Passwort benötigen, müssen Sie sich keine Anmeldedaten für verschiedene Dienste merken oder die Sicherheit gefährden, indem Sie dasselbe Passwort für mehrere Websites verwenden. Darüber hinaus macht es ein passwortloses System für Hacker viel schwieriger, sich aus der Ferne in die Daten zu hacken, da für die Anmeldung der Zugriff auf ein physisches Gerät erforderlich ist. Infolgedessen werden Phishing-Angriffe, bei denen Benutzer auf eine gefälschte Website umgeleitet werden, um das Passwort abzufangen, viel schwieriger zu organisieren sein.

Vasu Jakkal, Microsoft VP of Security, hob den Grad der Interoperabilität zwischen den Plattformen hervor:

Mit Zugriffsschlüsseln auf Ihrem Mobilgerät können Sie sich auf fast jedem Gerät bei einer App oder einem Dienst anmelden, unabhängig von der Plattform oder dem Browser, auf dem das Gerät ausgeführt wird. Benutzer können sich beispielsweise mit einem Passwort auf einem Apple-Gerät beim Google Chrome-Browser anmelden, der unter Microsoft Windows ausgeführt wird.

Für die plattformübergreifende Funktionalität wird der FIDO-Standard verwendet, der die Kryptografie mit öffentlichen Schlüsseln für die passwortlose Authentifizierung und die Multi-Faktor-Authentifizierung in verschiedenen Kontexten verwendet. Das Smartphone des Benutzers kann einen eindeutigen FIDO-konformen Passkey speichern und ihn nur dann an eine Website oder einen Dienst zur Authentifizierung weitergeben, wenn das Smartphone entsperrt ist. Laut Google können die Passkeys auch einfach aus einem Cloud-Backup auf ein neues Gerät synchronisiert werden, falls das Telefon verloren geht.

Viele beliebte Anwendungen unterstützen bereits die FIDO-Authentifizierung, aber für die erstmalige Anmeldung ist ein Passwort erforderlich. Dies bedeutet, dass Benutzer weiterhin anfällig für Phishing-Angriffe sind, die darauf abzielen, Passwörter abzufangen oder zu stehlen. Die neue Implementierung eliminiert die Notwendigkeit für die ursprüngliche Passwortanforderung.

Sampat Srinivas, Director of Product Management for Secure Authentication bei Google und Präsident der FIDO Alliance, sagte:

Die erweiterte Unterstützung für FIDO wird es Sites ermöglichen, zum ersten Mal passwortlose End-to-End-Arbeiten mit Phishing-Schutz zu implementieren. Dies umfasst sowohl die erste Anmeldung als auch wiederholte Anmeldungen. Wenn die Passkey-Unterstützung in den Jahren 2022 und 2023 branchenweit verfügbar wird, werden wir endlich eine Internetplattform für eine wirklich passwortlose Zukunft haben.

Apple, Google und Microsoft sagen, dass das neue Anmeldeerlebnis 2023 plattformübergreifend verfügbar sein wird. Eine detaillierte Roadmap wurde jedoch nicht veröffentlicht. Der Weg, Passwörter aufzugeben, wird seit vielen Jahren eingeschlagen, aber erst jetzt gibt es Anzeichen dafür, dass dies endlich geschehen könnte.