Implementieren von Hauptschlüsseln

Siehe auch "Einführung in Die Tastenkombinationen"

In diesem Thema wird beschrieben, wie Passkey-Anmeldungen in Online-, Unternehmens- und Regierungsanwendungen und für Zahlungen implementiert werden. Sie können Passkeys (anstelle von Kennwörtern) implementieren, um Ihre Websites und Apps mit benutzerfreundlichen und kryptografisch sicheren Anmeldungen bereitzustellen – alle mit Freundlichkeit der öffentlichen WebAuthn-API.

Verbraucherdienstanbieter, Unternehmen und Regierungen auf der ganzen Welt wechseln von der Formularauthentifizierung (z. B. Kennwörter und SMS-OTPs) zu passkeybasierten Anmeldungen. Jede Organisation verfügt über eigene unterschiedliche Anwendungsfälle und geschäftliche Anforderungen.

Funktionsweise von Passkeys

Passkeys verwenden standardmäßige Kryptografietechniken für öffentliche Schlüssel. Wenn sich ein Benutzer bei einem Onlinedienst registriert, erstellt das Clientgerät des Benutzers ein neues Kryptografieschlüsselpaar, das an die Webdienstdomäne gebunden ist. Das Gerät behält den privaten Schlüssel bei und registriert den öffentlichen Schlüssel beim Onlinedienst. Diese kryptografischen Schlüsselpaare, die als Passkeys bezeichnet werden, sind eindeutig und an die Onlinedienstdomäne gebunden.

Die Funktionsweise der Authentifizierung besteht darin, dass das Gerät des Benutzers den Besitz des privaten Schlüssels nachweisen muss, indem es eine Herausforderung darstellt, dass die Anmeldung abgeschlossen werden kann. Dies geschieht, nachdem der Benutzer die Anmeldung lokal auf ihrem Gerät genehmigt hat, über einen schnellen und einfachen Eintrag einer biometrischen Daten (z. B. fingerabdruck), einer lokalen PIN oder per Toucheingabe eines FIDO-Sicherheitsschlüssels. Die Anmeldung erfolgt über eine Abfrageantwort vom Gerät des Benutzers und dem Onlinedienst. Der Dienst wird den privaten Schlüssel nicht sehen oder jemals speichern.

So registrieren Sie einen Kennungsschlüssel bei einem Onlinedienst:

• Der Benutzer wird aufgefordert, einen Kennungsschlüssel zu erstellen.
• Der Benutzer überprüft die Schlüsselerstellung über eine lokale Authentifizierungsmethode (z. B. Biometrie).
• Das Gerät des Benutzers erstellt ein neues öffentliches/privates Schlüsselpaar (ein Passkey), das für das lokale Gerät, den Onlinedienst und das Konto des Benutzers eindeutig ist.
• Der öffentliche Schlüssel (und nur das) wird an den Onlinedienst gesendet und dem Konto des Benutzers zugeordnet.

So melden Sie sich anschließend mit einem Kennungsschlüssel an:

• Der Benutzer wird aufgefordert, sich mit einem Kennungsschlüssel anzumelden.
• Der Benutzer überprüft den Anmeldeschlüssel mit Passkey über eine lokale Authentifizierungsmethode (z. B. Biometrie).
• Das Gerät verwendet den Kontobezeichner des Benutzers (bereitgestellt vom Dienst), um den richtigen Schlüssel auszuwählen und die Abfrage des Diensts zu signieren.
• Das Clientgerät sendet die signierte Abfrage an den Dienst zurück, wodurch sie mit dem gespeicherten öffentlichen Schlüssel überprüft und der Benutzer angemeldet wird.

Implementieren von Passkeys für Verbraucher, Unternehmen, Behörden oder Zahlungen

Dieser Abschnitt richtet sich an Sie, wenn Sie die Implementierung von Passkeys in Betracht ziehen.

Wenn Sie mit FIDO noch nicht vertraut sind, empfehlen wir Ihnen, zuerst die Übersicht über die Benutzerauthentifizierungsspezifikationen zu überprüfen. Anschließend können Sie auf die neuesten Versionen der FIDO Alliance-Benutzerauthentifizierungsspezifikationen unter Download-Authentifizierungsspezifikationen zugreifen.

Die FIDO Certified Showcase hebt FIDO Alliance Mitglieder und ihre FIDO Certified Lösungen hervor. Es ist eine großartige Ressource, wenn Sie FIDO bereitstellen möchten.

Die FIDO Enterprise Deployment Working Group (EDWG) hat eine Reihe von Whitepapers entwickelt, die Führungskräften und Praktikern Anleitungen bieten, die Passkeys in Betracht ziehen – die Skalierung von KMU auf große Unternehmen. Informationen zu den wichtigsten Entscheidungspunkten finden Sie unter Enterprise.

Wenn Ihr Feld in den Bereichen Bürgerdienste oder Mitarbeiteranträge von Behörden liegt, lesen Sie "Regierung".

Weitere Informationen zu Zahlungsszenarien, die ideal für Passkeys sind, finden Sie unter "Zahlungen".

Nächste Schritte

Lesen Sie als Nächstes Entwurfsrichtlinien für Kennungen.

Weitere Informationen

• Einführung in Passkeys
• WebAuthn-APIs für die kennwortlose Authentifizierung unter Windows
• Passkeys.dev
• Erste Schritte auf Ihrer kennwortlosen Reise auf der FIDO Alliance-Website