almessadi.
Zur Übersicht

Passkeys reduzieren Phishing besser als es Passwörter je könnten_

WebAuthn und Passkeys verbessern die Anmelde-Sicherheit, da sie wiederverwendbare, gemeinsame Geheimnisse durch ursprungsgebundene Public-Key-Anmeldeinformationen ersetzen.

Veröffentlicht25. August 2024
Lesezeit5 min read
Tags
#Sicherheit#Authentifizierung#WebAuthn#Architektur

Passwörter scheitern aus Gründen, die mittlerweile strukturell und nicht zufällig sind.

Selbst ein gut gehashtes Passwort bleibt ein gemeinsames Geheimnis. Wenn der Benutzer es auf der falschen Seite eingibt, gewinnt der Angreifer, bevor Ihr Backend die Gelegenheit erhält zu beweisen, wie sorgfältig es Anmeldeinformationen speichert.

Passkeys sind wichtig, weil sie dieses Modell ändern.

Warum WebAuthn anders ist

Mit WebAuthn nehmen der Browser und der Authentifizierer an einem Public-Key-Fluss teil. Der Server speichert einen öffentlichen Schlüssel. Das Benutzergerät hält den privaten Schlüssel. Die Anmeldeinformationen sind auch an die Herkunft der vertrauenden Partei gebunden, was Phishing erheblich erschwert.

Das bedeutet, dass eine überzeugende gefälschte Domain den Benutzer nicht einfach dazu bringen kann, ein wiederverwendbares Geheimnis preiszugeben, so wie es bei einem Passwortfluss der Fall sein kann.

Wie die Registrierung aussieht

Auf einem hohen Niveau:

  1. der Server sendet eine Herausforderung
  2. der Browser bittet den Authentifizierer, eine Anmeldeinformation zu erstellen
  3. der Authentifizierer gibt Material des öffentlichen Schlüssels und Attestierungsdaten zurück
  4. der Server speichert die Metadaten der Anmeldeinformation

Bei der Anmeldung sendet der Server eine frische Herausforderung und überprüft die signierte Antwort.

Was Teams noch entwerfen müssen

Passkeys sind nicht "Sicherheit gelöst." Teams müssen weiterhin:

  • Kontowiederherstellung
  • Erwartungen an mehrere Geräte
  • gutes UX-Management für Anmeldeinformationen
  • Rückfallpfade, die die ursprüngliche Schwäche nicht leise wieder einführen

Dieser letzte Punkt ist der Bereich, in dem viele Implementierungen scheitern. Ein starker Passkey-Fluss mit einem schwachen Rückfall-Email-Reset-Fluss hat immer noch ein schwaches Kontosystem.

Bessere Produktpositionierung

Die beste Formulierung ist nicht "Passwörter sind morgen tot." Es ist:

Passkeys sind der vielversprechendste Mainstream-Weg weg von phishingsanfälligen Login-Flüssen mit gemeinsamen Geheimnissen.

Das ist bereits ein großer Wandel.

Weiterführende Literatur

Verwandte Artikel.

Weiterlesen mit eng verwandten Artikeln zu Software Engineering, Architektur und Implementierungs-Trade-offs.

WebAuthn verbessert die Authentifizierung. JWTs beschreiben nur die Sitzungsgestaltung.

WebAuthn und JWTs werden oft fälschlicherweise verglichen. WebAuthn sichert, wie ein Benutzer seine Identität nachweist, während JWTs eine Möglichkeit sind, den Sitzungsstatus danach zu übertragen.

18. Feb. 2025

HttpOnly-Cookies vs. `localStorage` für die Sicherheit von Browsersitzungen

Token in `localStorage` sind einfach zu implementieren, aber auch leichter für XSS angreifbar. HttpOnly-Cookies reduzieren diese Gefährdung, erfordern jedoch weiterhin ein gutes CSRF- und Sitzungsdesign.

12. Jan. 2025