Passend zum World-Password-Day geben die Unternehmen bekannt, sich vom klassischen Authentifizierungs-Verfahren mit Passwort und Nutzernamen verabschieden zu wollen. Apple, Google und Microsoft verfolgen hierfür den Einsatz der passwortlosen Unterstützung des Sign-in-Standards der Fido-Alliance.

Wie Google in seiner Ankündigung erklärt, wird der Konzern die Fido-Technologie in Chrome, ChromeOS und Android implementieren. Auch Apple und Microsoft wollen ihre Plattformen dafür fit machen. Google und Microsoft sind seit langer Zeit Mitglied der Fido-Alliance und nutzen deren Authentifizierungs-Technologie teilweise schon in ihren Produkten.

So kam Fido 2 schon in Windows Hello, in Windows 10 und in Android-Versionen 7 und neuer seit 2019 zum Einsatz. Apple trat der Fido-Alliance derweil erst 2020 bei und hatte Fido 2 mit iOS 14 und iPadOS 14 in Face- und Touch-ID integriert.

Mithilfe des Fido-Supports werde man „die Anmeldung über Geräte, Websites und Anwendungen hinweg vereinfachen“ – es werde kein einziges Passwort erforderlich sein. Die Funktionen sollen im Laufe des nächsten Jahres bereitgestellt werden.

Laut der Fido-Alliance werde Anmeldestandard schon von „Milliarden von Geräten und allen modernen Webbrowsern unterstützt“. Die bisherige Implementierung erfordere jedoch, dass sich die Nutzer:innen auf jeder Website oder App mit jedem Gerät einmalig registrieren müssen, bevor sie die passwortlose Funktionalität nutzen können. Der Standard werde nun aber um zwei neue Funktionen erweitert:

1. Nutzer:innen können auf mehreren – auch auf neuen Geräten – automatisch auf die Fido-Zugangsdaten (Passkeys) zugreifen, ohne sich für jeden Account neu anmelden zu müssen.
2. Nutzer:innen können die Fido-Authentifizierung auf ihrem Mobilgerät verwenden, um sich bei einer App oder Website auf einem ihrer Geräte in der Nähe anzumelden – unabhängig vom verwendeten Betriebssystem oder Browser.

Die Anmeldung auf einer Website oder in einer App auf eurem Smartphone erfolgt künftig einfach über das Entsperren des Smartphones. Anstelle des Passworts wird auf eurem Smartphone ein Fido-Berechtigungsnachweis – ein sogenannter Passkey – abgelegt. Dieser dient dann zum Entsperren eurer Online-Konten. Durch den Passkey soll die Sicherheit eurer Konten erhöht werden, da er auf einer kryptografisch gesicherten Challenge-Response-Transaktion zwischen Authenticator und Dienst basiert. Diese sei nicht für Phishing anfällig. Daher wird Fido 2 als noch sicherer als andere Zwei-Faktor-Authentifizierungs-Verfahren wie SMS oder App-basierte Lösungen betrachtet.

Wenn ihr euch bei einer Website auf eurem Computer anmelden wollt, ist ebenso das Smartphone erforderlich. Auf dem Smartphone erhaltet ihr eine Aufforderung, es zur Anmeldung zu entsperren. Anschließend sei eine erneute Bestätigung per Smartphone nicht mehr notwendig. Falls ihr das Smartphone verlieren solltet, bleiben die Passcodes sicher, so die Ankündigung. Denn sie werden auf einem neuen Gerät via Cloud-Sicherung synchronisiert.

Wie Andreas Proschofsky vom Standard von Andreas Türk,  Google-Produktmanager im Bereich Identity, Privacy und Security im Google-Safety-Engineering-Center (GSEC) in München, in Erfahrung bringen konnte, planen die drei Plattformanbieter den gemeinsamen Standard vorzuantreiben und schnell in ihre Software zu integrieren. Der Austausch der Passkeys werde im ersten Schritt nur innerhalb der jeweiligen Ökosysteme automatisch vonstatten gehen. Das bedeutet: Unter iOS erstellte Passkeys sollen nahtlos auch am Mac nutzbar sein, nicht aber bei Android, Windows oder Chrome.

Laut Türk finden derzeit aber Gespräche statt, um die Einschränkungen aufzuheben, sodass eine plattformübergreifende Synchronisierung erfolgen kann. Für den Übergang soll der Passkey-Tausch von einer Plattform auf die andere manuell via Bluetooth ermöglicht werden.