Allgemein
Wer unterstützt Passkeys?
Da Passkeys auf FIDO-Standards basieren, funktionieren sie unter Android und Chrome sowie in vielen anderen beliebten Systemen und Browsern wie Microsoft Windows, Microsoft Edge, macOS, iOS und Safari.
Unter Unterstützte Umgebungen finden Sie Informationen zum Supportstatus für Chrome und Android.
Funktionieren Passkeys auf Geräten, auf denen keine Displaysperre eingerichtet ist?
Das hängt von der Implementierung des Passwortmanagers ab und ob ein Anmeldedatenanbieter die Erstellung und Authentifizierung eines Passkeys ohne eine Herausforderung des Nutzerwissens zulässt. Anbieter können Nutzer auffordern, eine PIN oder eine biometrische Displaysperre einzurichten, bevor sie einen Passkey erstellen.
Wie können Passkeys, die auf einer Plattform (z. B. Android) registriert sind, für die Anmeldung auf anderen Plattformen (z. B. Web oder iOS) verwendet werden?
Ein auf Android registrierter Passkey kann beispielsweise für die Anmeldung auf anderen Plattformen verwendet werden, indem das Android-Smartphone mit einem anderen Gerät verbunden wird. Um eine Verbindung zwischen den beiden Geräten herzustellen, müssen Nutzer die Website, auf der sie sich anmelden möchten, auf einem Gerät öffnen, auf dem kein Passkey registriert ist, einen QR-Code scannen und dann die Anmeldung auf dem Gerät bestätigen, auf dem sie den Passkey erstellt haben (in diesem Fall dem Android-Gerät). Der Passkey verlässt das Android-Gerät nie. Daher schlagen Apps normalerweise vor, auf dem anderen Gerät einen neuen Passkey zu erstellen, um die Anmeldung beim nächsten Mal zu erleichtern. Dieser Ablauf funktioniert ähnlich auch für andere Plattformen.
Kann ich synchronisierte Passkeys von einem Plattformanbieter zu einem anderen verschieben?
Passkeys werden in dem von der Plattform definierten Anmeldedatenanbieter gespeichert. Auf einigen Plattformen, z. B. Android, können Nutzer ab Android 14 den Anbieter ihrer Wahl (ein System oder einen Passwortmanager eines Drittanbieters) auswählen. Damit lassen sich Passkeys unter Umständen plattformübergreifend synchronisieren. Derzeit wird das direkte Verschieben von Passkeys von einem Plattformanbieter zu einem anderen nicht unterstützt.
Kann ein Nutzer seine Passkeys mit Android-Geräten synchronisieren, die nicht von Google stammen?
Passkeys werden nur innerhalb des Gerätesystems synchronisiert, d. h. standardmäßig mit dem Google Passwortmanager von Android zu Android, nicht aber in der gesamten Umgebung.
Android öffnet die Plattform (ab Android 14), damit Nutzer auswählen können, welchen Anmeldedatenanbieter sie verwenden möchten (z. B. den Passwortmanager eines Drittanbieters). Dies ermöglicht Anwendungsfälle wie das Synchronisieren von Passkeys zwischen verschiedenen Systemen (je nachdem, wie offen andere Plattformen sind).
Was sollten Entwickler mit Geräten und Plattformen tun, die keine Passkeys unterstützen?
Entwicklern wird empfohlen, die vorhandenen Anmeldeoptionen vorerst in ihrer App zu behalten, damit sie für Geräte und Oberflächen, die keine Passkeys unterstützen, weiterhin verfügbar sind.
Kann ein Passkey ablaufen?
Nein. Das hängt davon ab, ob der Anbieter die Passkeys und den RP (Relying Party) speichert. Es gibt jedoch keine gängige Praxis, Passkeys ablaufen zu lassen.
Kann ein RP ein Konto angeben, mit dem sich der Nutzer anmelden kann?
Verlässliche Parteien (Apps von Drittanbietern) können in allowCredentials eine Liste mit Anmeldedaten-IDs eintragen, die von ihrem Anwendungs-Back-End gesendet wurden, mit denen angegeben wird, welche Passkeys zum Authentifizieren des Nutzers verwendet werden sollen.
Passkeys unter Android und Chrome
Können Android-Apps Passkeys, die in Chrome erstellt wurden, zur Authentifizierung verwenden?
Für Passkeys, die in Chrome unter Android erstellt wurden:
Ja, die in Chrome erstellten Passkeys werden im Google Passwortmanager gespeichert und sind unter Android verfügbar und umgekehrt, wenn Nutzer im selben Google-Konto angemeldet sind.
Für Passkeys, die in Chrome auf anderen Plattformen erstellt wurden:
Wenn der Passkey auf anderen Plattformen (Mac, iOS, Windows) in Chrome erstellt wird, ist das nicht möglich. Weitere Informationen finden Sie in den unterstützten Umgebungen. In der Zwischenzeit können sich Nutzer mit dem Smartphone anmelden, auf dem sie den Passkey erstellt haben.
Was passiert mit den Anmeldedaten, die vor der Einführung von Passkeys erstellt wurden? Können wir sie weiterhin verwenden?
Ja. Sowohl für Chrome als auch für Android sind gerätegebundene Anmeldedaten verfügbar, die vor der Aktivierung der Synchronisierung erstellt wurden, und können weiterhin für die Authentifizierung verwendet werden.
Was passiert, wenn ein Nutzer sein Gerät verliert?
Unter Android erstellte Passkeys werden gesichert und mit Android-Geräten synchronisiert, die im selben Google-Konto angemeldet sind, so wie Passwörter im Passwortmanager gesichert werden.
Das bedeutet, dass die Passkeys geblieben sind, wenn sie ihr Gerät ersetzen. Um sich auf einem neuen Smartphone in Apps anzumelden, muss sich der Nutzer nur mit der Displaysperre seines vorhandenen Geräts bestätigen.
Sind für die Anmeldung mit Passkeys sowohl biometrische Verfahren als auch die Einrichtung der PIN- oder Muster-Displaysperre auf dem Gerät erforderlich oder reicht eine dieser Funktionen aus?
Eine Displaysperre ist ausreichend.
Ist ein Passkey mit einer bestimmten Displaysperre wie Fingerabdruck, PIN oder Muster verknüpft?
Das hängt von der Geräteplattform und der Art der Nutzerbestätigung ab. Im Fall des Google Passwortmanagers sind die Passkeys nicht an bestimmte Authentifizierungsmethoden gebunden und können mit jedem verfügbaren Faktor für die Displaysperre verwendet werden (biometrisches Verfahren, PIN oder Muster).
Kann ein RP immer noch gerätegebundene Anmeldedaten erstellen, die nicht synchronisiert werden?
Bis auf Weiteres behalten nicht auffindbare Anmeldedaten, die in Chrome unter Android oder in einer Android-App unter Verwendung der Play Services APIs erstellt wurden, ihr bisheriges Verhalten und sind daher weiterhin gerätegebunden.
Bei der Verwendung von Passkeys ist die Erweiterung für öffentlichen Geräteschlüssel, die sich in der Entwicklung befindet, ein zweiter, gerätegebundener Schlüssel, der nicht synchronisiert wird und für die Risikoanalyse verwendet werden kann. Dies wird jedoch noch nicht von einem Anmeldedatenanbieter unterstützt.
Wie funktioniert die Synchronisierung von Passkeys mit einem neuen Gerät? Benötigen Nutzer Zugriff auf das Gerät, auf dem sie den Passkey erstellt haben?
Auf Android-Geräten:
Wenn die Passkeys im Google Passwortmanager gespeichert wurden, muss sich der Nutzer nur mit demselben Google-Konto auf dem neuen Gerät anmelden und sich mit der Displaysperre seines vorherigen Geräts (PIN, Muster oder Sicherheitscode) bestätigen. Das vorherige Gerät ist für den Nutzer zur Anmeldung auf anderen Geräten nicht erforderlich.
Wenn die Passkeys bei einem anderen Anmeldedatenanbieter gespeichert wurden, hängt dies von den Anmeldevorgängen auf neuen Geräten dieses Anmeldedatenanbieters ab. Die meisten Anmeldedatenanbieter synchronisieren die Anmeldedaten mit der Cloud und bieten Nutzern die Möglichkeit, auf neuen Geräten auf sie zuzugreifen, nachdem sie sich authentifiziert haben.
Datenschutz und Sicherheit
Sind die biometrischen Daten des Nutzers sicher?
Ja, biometrische Nutzerdaten verlassen niemals das Gerät und werden nie auf einem zentralen Server gespeichert, wo sie bei einem Datenpannen gestohlen werden könnten.
Kann sich ein Nutzer mit einem Passkey auf seinem Smartphone auf dem Gerät eines Freundes anmelden?
Ja. Nutzer können für die Anmeldung eine einmalige Verknüpfung zwischen ihrem Smartphone und dem Gerät einer anderen Person einrichten.
Werden Passkeys im Google Passwortmanager gespeichert, wenn das Google-Konto eines Nutzers gehackt wird?
Ja, Passkey-Secrets sind mit Ende-zu-Ende-Verschlüsselung geschützt. Ein manipuliertes Google-Konto würde keine Passkeys offenlegen, da Nutzer auch den Bildschirm ihres Android-Geräts entsperren müssen, um die Passkeys zu entschlüsseln.
Weitere Informationen
Was sind Passkeys im Vergleich zur Identitätsföderation?
Eine Identitätsföderation eignet sich hervorragend für die Registrierung bei einem Dienst, da sie die grundlegenden Profilinformationen des Nutzers wie den Namen und die bestätigte E-Mail-Adresse zurückgibt, was das Bootstrapping neuer Konten erleichtert. Passkeys eignen sich hervorragend dazu, die reauthentication von Nutzern zu optimieren.