SBA Research, profile picture
Hochgeladen vonSBA Research
134 aufrufe

Passkeys & 2FA/MFA_sec4dev_Dialogues2025

Passkeys

Präsentation einbetten

Downloaden Sie, um offline zu lesen
© condignum GmbH 2025 – all rights reserved Passkeys (in 2025) Matthias Neumayr
© condignum GmbH 2025 – all rights reserved Passwörter & 2FA/MFA
© condignum GmbH 2025 – all rights reserved Passwörter Probleme mit Passwörtern … • Unsichere Passwörter • Wiederverwendung • Muster • Dumps/Collections • Phishing • Wie merken?
© condignum GmbH 2025 – all rights reserved 2nd/Multi-Faktor “Let’s add another thing or two” • Zweiter/zusätzliche Faktor(en) • Passwort nicht mehr Single Point of Failure • Resultat: Security vs. Usability (& Kosten) • Echtzeit-Phishing i.d.R. weiterhin Thema
© condignum GmbH 2025 – all rights reserved FIDO(2)
© condignum GmbH 2025 – all rights reserved FIDO ("Fast IDentity Online") • 2012 U2F (Google, Yubikey) / 2013 FIDO Alliance • 2014: Release of FIDO Universal 2nd Factor (U2F) and FIDO Universal Authentication Framework (UAF) • 2015: Release of FIDO 2.0 • 2019: FIDO2 added support for discoverable credentials and user verification
© condignum GmbH 2025 – all rights reserved FIDO2 FIDO2 = WebAuthn + CTAP
© condignum GmbH 2025 – all rights reserved W3C Web Authentication (WebAuthn) • “An API for accessing Public Key Credentials” • W3C Standard für JavaScript API in Clients (Browser) navigator.credentials.create() navigator.credentials.get() • WebAuthn Level 2 – W3C Recommendation (2021) • WebAuthn Level 3 – W3C Working Draft (2025)
© condignum GmbH 2025 – all rights reserved Client-to-Authenticator Protocols (CTAP) • CTAP1 (aka FIDO U2F) • Authenticators: FIDO U2F devices / security keys • USB, NFC, BLE • 2FA • CTAP2 • Authenticators: FIDO2 (== WebAuthn) Authenticators • USB, NFC, BLE • 2FA / MFA / Passwordless (/ Usernameless) • v2.1 (2021) Cred. Management, PIN Length, Retry/Lockout, etc. • v2.2 (2025) PIN Complexity, largeBlob, Attestation Präferenz, etc.
© condignum GmbH 2025 – all rights reserved FIDO2 Overview User Authenticator Client Relying Party (RP) REST/… CTAP WebAuthn JS
© condignum GmbH 2025 – all rights reserved FIDO2 Credential Typen Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
© condignum GmbH 2025 – all rights reserved Passkeys
© condignum GmbH 2025 – all rights reserved Passkeys FIDO2 discoverable (syncable) credentials
© condignum GmbH 2025 – all rights reserved FIDO2 Credentials Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
© condignum GmbH 2025 – all rights reserved Enrollment User Authenticator Client Relying Party (RP) Click “Passkey registrieren” /passkey/register (username) PublicKeyCredentialCreationOptions { “rp”: …, “user”: …, “challenge”: …, “pubKeyCredParams”: …, “authenticatorSelection”: …, …, } credentials.create(options) User verification (uv) ( id, signature, pub_key, “metadata”, …) { “id”, “username”, “rp”, #(origin) “keypair” } Verify & Save
© condignum GmbH 2025 – all rights reserved Login User Authenticator Client Relying Party (RP) Click “Login mit Passkey” /passkey/login PublicKeyCredentialRequestOptions { “rpId”: …, “challenge”: …, “userVerification”: …, …, } credentials.get(options) User Verification (uv) ( & Credential Selection ) (id, signature, “metadata”, …) Verify & Login
© condignum GmbH 2025 – all rights reserved Authenticator Typen Roaming (Hardware) Platform Software
© condignum GmbH 2025 – all rights reserved Authenticator x Passkey Types Authenticators Passkeys Platform(/Software) Authenticator Cross-Platform/Roaming Authenticator Single-Device / Device-Bound Passkeys Multi-Device / Syncable Passkeys --
© condignum GmbH 2025 – all rights reserved Passwörter vs. Passkey Passwörter Passkey Unsichere Passwörter (Public Key + Challenge Response) Wiederverwendung (einzigartige Credentials) Dumps/Hacks von RP (Credentials nur in Authenticator) Phishing (Credentials an Origin gebunden) Netzwerkangriffe (HTTPS enforced, Challenge Response)
© condignum GmbH 2025 – all rights reserved Probleme • Definition “Passkey” • Standardisiert, aber in Praxis sehr unterschiedlich • Syncable vs. Device-Bound Passkeys • Unterschiedliches Verhalten der Authenticators • UI/UX in Browser/OS/… • Unterstützte Features • MFA vs. Passwordless vs. Usernameless • Wie viele User “verstehen” Passkey?
© condignum GmbH 2025 – all rights reserved Probleme • Lock-In (by Design) • Verfügbarkeit von Features aus Standard von einigen wenigen Herstellern diktiert (Chrome bei Browsern) • Umfang/Komplexität des Standards steigt (+ Legacy Artefakte) • “Draft” Features schon in Einsatz
© condignum GmbH 2025 – all rights reserved Passkeys in 2025
© condignum GmbH 2025 – all rights reserved New: CTAP 2.2 & WebAuthn Level 3 • CTAP 2.2 - Status ‘Proposed Standard’(02.2025) • WebAuthn Level 3 - Status ‘Working Draft’ (01.2025) • viele “Neuigkeiten” schon seit Jahren im Einsatz
© condignum GmbH 2025 – all rights reserved Hybrid Transport • Cross Device Authentication (CDA) • QR Code mit FIDO:/ URL • Pairing & Proximity via BLE Announcements • Weitere Kommunikation via Tunnel Service (Google, Apple)
© condignum GmbH 2025 – all rights reserved JSON Serialization • Vereinfachung Entwicklung & Darstellung • Identische JSONs für WebAuthn und Native APIs (zumindest Android) • CTAP2 weiterhin CBOR
© condignum GmbH 2025 – all rights reserved UV/PIN Enhancements • PIN Complexity Policy • Statt PIN-Länge auch Zeichensatz, Blocklist, Komplexität, … • PersistentPinUvAuthToken State • Persistentes Caching der UV, gebunden an Session/Origin
© condignum GmbH 2025 – all rights reserved Attestation • Authentizität und Integrität des Authenticators • AAGUID identifiziert Authenticator Modell • Privacy Preserving: kein Rückschluss auf einzelnen Authenticator • Enterprise: unique AAGUIDs Enterprise AttCA / AnonCA Basic Self Privacy preserving
© condignum GmbH 2025 – all rights reserved Passkey Credentials Exchange • Security: Passkeys nicht exportierbar • Lock-In/Backup: Passkeys nicht exportierbar • Credential Exchange Protocol (CXP) & Credential Exchange Format (CXF) (Draft Specification) • “Exchange” != “Export”
© condignum GmbH 2025 – all rights reserved PRF Extension / hmac-secret • HASH(HMAC($input, $key)) = Pseudo-Random Function • Ableiten von Secret (symmetrischer Schlüssel) von FIDO2 Credential (Priv/Pub Key) • Use cases: • Key für symmetrische Verschlüsselung • Login in PW Manager (Master-Key)
© condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Verwendung einer etablierten Implementierung statt DIY • Authenticator/Browser/OS Support? • Was passiert mit dem Passwort? • Passkeys-First • Setup und Verwendung von Passkeys vorschlagen • Passkey-only/Passwordless Registrierung • Passkey Autofill/Conditional UI
© condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Passkey Demo/Playgrounds/Debugger • https://passkeys.eu • https://www.passkeys.com/playground • https://learnpasskeys.io • https://www.passkeys-debugger.io • … • Chrome Passkey Emulator • Dev Tools (F12) -> Ctrl-Shift-P -> “webauthn” • “echte” Authenticators
© condignum GmbH 2025 – all rights reserved Passkeys für Anwender • Grobes Verständnis von Passkeys (?) • Grundsatzentscheidung: welche Art von Passkey(s)? • Hardware Authenticator • für sensible Accounts • Kosten/Limitierungen • Backup/Account Recovery • Platform/Software Authenticator • Sicherheitsniveau < Hardware Authenticator (aber > Passwörter) • Convenience • Lock-In/Migration/Export
© condignum GmbH 2025 – all rights reserved Passkeys im Unternehmen • Auswahl zulässiger Authenticators + Attestation • “strict mode” • Zentrales Identity Management / SSO • Passkey Backup / Account Recovery Konzept
© condignum GmbH 2025 – all rights reserved NIST/BSI/… NIST • Device-Bound Passkeys können AAL3 erreichen • Syncable Passkeys können AAL2 erreichen (NIST SP 800-63Bsup1 / 04.2024) BSI • “BSI empfiehlt die Nutzung von Passkeys“ (10.2024) ENISA • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Digital Identity Standards (Stand 07.2023) erwähnt “Passkey” nicht • FIDO(2) wird im Kontext eIDAS und eIDAS2/EUID Wallet als “LoA High geeignet” eingestuft NCSC • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Unterstützt Passkey roll-out für UK Government Services und ist FIDO Alliance beigetreten (05.2025)
© condignum GmbH 2025 – all rights reserved Have fun with Passkeys!
Passkeys & 2FA/MFA_sec4dev_Dialogues2025

Weitere ähnliche Inhalte

PDF
CyberResilienceAct_sec4devDialogues2025pdf
vonSBA Research
 
PDF
SBATop10 Vulnerabilities_sec4devDialogues2025
vonSBA Research
 
PDF
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
vonSBA Research
 
PDF
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
vonSBA Research
 
PDF
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
vonSBA Research
 
PDF
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
vonSBA Research
 
PDF
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
vonSBA Research
 
PDF
SBA Security Meetup: I want to break free - The attacker inside a Container
vonSBA Research
 
CyberResilienceAct_sec4devDialogues2025pdf
vonSBA Research
 
SBATop10 Vulnerabilities_sec4devDialogues2025
vonSBA Research
 
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
vonSBA Research
 
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
vonSBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
vonSBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
vonSBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
vonSBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
vonSBA Research
 

Mehr von SBA Research

PDF
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
vonSBA Research
 
PPTX
Secure development on Kubernetes by Andreas Falk
vonSBA Research
 
PDF
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
vonSBA Research
 
PDF
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
vonSBA Research
 
PDF
SBA Live Academy, What the heck is secure computing
vonSBA Research
 
PDF
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
vonSBA Research
 
PDF
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
vonSBA Research
 
PDF
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
vonSBA Research
 
PDF
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
vonSBA Research
 
PDF
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
vonSBA Research
 
PDF
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
vonSBA Research
 
PDF
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
vonSBA Research
 
PDF
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
vonSBA Research
 
PDF
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
vonSBA Research
 
PDF
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
vonSBA Research
 
PDF
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
vonSBA Research
 
PDF
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
vonSBA Research
 
PDF
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
vonSBA Research
 
PDF
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
vonSBA Research
 
PDF
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
vonSBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
vonSBA Research
 
Secure development on Kubernetes by Andreas Falk
vonSBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
vonSBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
vonSBA Research
 
SBA Live Academy, What the heck is secure computing
vonSBA Research
 
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
vonSBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
vonSBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
vonSBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
vonSBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
vonSBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
vonSBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
vonSBA Research
 
SBA Live Academy - Physical Attacks against (I)IoT-Devices, Embedded Devices,...
vonSBA Research
 
SBA Live Academy: Cyber Resilience - Failure is not an option by Simon Tjoa
vonSBA Research
 
SBA Live Academy: Datenschutz Teil 1: Wozu Datenschutzgesetze? by Gerald Sendera
vonSBA Research
 
SBA Live Academy: A Primer in Single Page Application Security by Thomas Konrad
vonSBA Research
 
SBA Live Academy: Software Security – Towards a Mature Lifecycle and DevSecOp...
vonSBA Research
 
SBA Live Academy: Remote Access – Top Security Challenges – Teil 2 by Günther...
vonSBA Research
 
SBA Live Academy - CRLite – Revocation for X.509 certificates in the browser ...
vonSBA Research
 
SBA Live Academy, Supply Chain & Cyber Security in einem Atemzug by Stefan Ja...
vonSBA Research
 

Passkeys & 2FA/MFA_sec4dev_Dialogues2025

  • 1.
    © condignum GmbH2025 – all rights reserved Passkeys (in 2025) Matthias Neumayr
  • 2.
    © condignum GmbH2025 – all rights reserved Passwörter & 2FA/MFA
  • 3.
    © condignum GmbH2025 – all rights reserved Passwörter Probleme mit Passwörtern … • Unsichere Passwörter • Wiederverwendung • Muster • Dumps/Collections • Phishing • Wie merken?
  • 4.
    © condignum GmbH2025 – all rights reserved 2nd/Multi-Faktor “Let’s add another thing or two” • Zweiter/zusätzliche Faktor(en) • Passwort nicht mehr Single Point of Failure • Resultat: Security vs. Usability (& Kosten) • Echtzeit-Phishing i.d.R. weiterhin Thema
  • 5.
    © condignum GmbH2025 – all rights reserved FIDO(2)
  • 6.
    © condignum GmbH2025 – all rights reserved FIDO ("Fast IDentity Online") • 2012 U2F (Google, Yubikey) / 2013 FIDO Alliance • 2014: Release of FIDO Universal 2nd Factor (U2F) and FIDO Universal Authentication Framework (UAF) • 2015: Release of FIDO 2.0 • 2019: FIDO2 added support for discoverable credentials and user verification
  • 7.
    © condignum GmbH2025 – all rights reserved FIDO2 FIDO2 = WebAuthn + CTAP
  • 8.
    © condignum GmbH2025 – all rights reserved W3C Web Authentication (WebAuthn) • “An API for accessing Public Key Credentials” • W3C Standard für JavaScript API in Clients (Browser) navigator.credentials.create() navigator.credentials.get() • WebAuthn Level 2 – W3C Recommendation (2021) • WebAuthn Level 3 – W3C Working Draft (2025)
  • 9.
    © condignum GmbH2025 – all rights reserved Client-to-Authenticator Protocols (CTAP) • CTAP1 (aka FIDO U2F) • Authenticators: FIDO U2F devices / security keys • USB, NFC, BLE • 2FA • CTAP2 • Authenticators: FIDO2 (== WebAuthn) Authenticators • USB, NFC, BLE • 2FA / MFA / Passwordless (/ Usernameless) • v2.1 (2021) Cred. Management, PIN Length, Retry/Lockout, etc. • v2.2 (2025) PIN Complexity, largeBlob, Attestation Präferenz, etc.
  • 10.
    © condignum GmbH2025 – all rights reserved FIDO2 Overview User Authenticator Client Relying Party (RP) REST/… CTAP WebAuthn JS
  • 11.
    © condignum GmbH2025 – all rights reserved FIDO2 Credential Typen Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
  • 12.
    © condignum GmbH2025 – all rights reserved Passkeys
  • 13.
    © condignum GmbH2025 – all rights reserved Passkeys FIDO2 discoverable (syncable) credentials
  • 14.
    © condignum GmbH2025 – all rights reserved FIDO2 Credentials Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
  • 15.
    © condignum GmbH2025 – all rights reserved Enrollment User Authenticator Client Relying Party (RP) Click “Passkey registrieren” /passkey/register (username) PublicKeyCredentialCreationOptions { “rp”: …, “user”: …, “challenge”: …, “pubKeyCredParams”: …, “authenticatorSelection”: …, …, } credentials.create(options) User verification (uv) ( id, signature, pub_key, “metadata”, …) { “id”, “username”, “rp”, #(origin) “keypair” } Verify & Save
  • 16.
    © condignum GmbH2025 – all rights reserved Login User Authenticator Client Relying Party (RP) Click “Login mit Passkey” /passkey/login PublicKeyCredentialRequestOptions { “rpId”: …, “challenge”: …, “userVerification”: …, …, } credentials.get(options) User Verification (uv) ( & Credential Selection ) (id, signature, “metadata”, …) Verify & Login
  • 17.
    © condignum GmbH2025 – all rights reserved Authenticator Typen Roaming (Hardware) Platform Software
  • 18.
    © condignum GmbH2025 – all rights reserved Authenticator x Passkey Types Authenticators Passkeys Platform(/Software) Authenticator Cross-Platform/Roaming Authenticator Single-Device / Device-Bound Passkeys Multi-Device / Syncable Passkeys --
  • 19.
    © condignum GmbH2025 – all rights reserved Passwörter vs. Passkey Passwörter Passkey Unsichere Passwörter (Public Key + Challenge Response) Wiederverwendung (einzigartige Credentials) Dumps/Hacks von RP (Credentials nur in Authenticator) Phishing (Credentials an Origin gebunden) Netzwerkangriffe (HTTPS enforced, Challenge Response)
  • 20.
    © condignum GmbH2025 – all rights reserved Probleme • Definition “Passkey” • Standardisiert, aber in Praxis sehr unterschiedlich • Syncable vs. Device-Bound Passkeys • Unterschiedliches Verhalten der Authenticators • UI/UX in Browser/OS/… • Unterstützte Features • MFA vs. Passwordless vs. Usernameless • Wie viele User “verstehen” Passkey?
  • 21.
    © condignum GmbH2025 – all rights reserved Probleme • Lock-In (by Design) • Verfügbarkeit von Features aus Standard von einigen wenigen Herstellern diktiert (Chrome bei Browsern) • Umfang/Komplexität des Standards steigt (+ Legacy Artefakte) • “Draft” Features schon in Einsatz
  • 22.
    © condignum GmbH2025 – all rights reserved Passkeys in 2025
  • 23.
    © condignum GmbH2025 – all rights reserved New: CTAP 2.2 & WebAuthn Level 3 • CTAP 2.2 - Status ‘Proposed Standard’(02.2025) • WebAuthn Level 3 - Status ‘Working Draft’ (01.2025) • viele “Neuigkeiten” schon seit Jahren im Einsatz
  • 24.
    © condignum GmbH2025 – all rights reserved Hybrid Transport • Cross Device Authentication (CDA) • QR Code mit FIDO:/ URL • Pairing & Proximity via BLE Announcements • Weitere Kommunikation via Tunnel Service (Google, Apple)
  • 25.
    © condignum GmbH2025 – all rights reserved JSON Serialization • Vereinfachung Entwicklung & Darstellung • Identische JSONs für WebAuthn und Native APIs (zumindest Android) • CTAP2 weiterhin CBOR
  • 26.
    © condignum GmbH2025 – all rights reserved UV/PIN Enhancements • PIN Complexity Policy • Statt PIN-Länge auch Zeichensatz, Blocklist, Komplexität, … • PersistentPinUvAuthToken State • Persistentes Caching der UV, gebunden an Session/Origin
  • 27.
    © condignum GmbH2025 – all rights reserved Attestation • Authentizität und Integrität des Authenticators • AAGUID identifiziert Authenticator Modell • Privacy Preserving: kein Rückschluss auf einzelnen Authenticator • Enterprise: unique AAGUIDs Enterprise AttCA / AnonCA Basic Self Privacy preserving
  • 28.
    © condignum GmbH2025 – all rights reserved Passkey Credentials Exchange • Security: Passkeys nicht exportierbar • Lock-In/Backup: Passkeys nicht exportierbar • Credential Exchange Protocol (CXP) & Credential Exchange Format (CXF) (Draft Specification) • “Exchange” != “Export”
  • 29.
    © condignum GmbH2025 – all rights reserved PRF Extension / hmac-secret • HASH(HMAC($input, $key)) = Pseudo-Random Function • Ableiten von Secret (symmetrischer Schlüssel) von FIDO2 Credential (Priv/Pub Key) • Use cases: • Key für symmetrische Verschlüsselung • Login in PW Manager (Master-Key)
  • 30.
    © condignum GmbH2025 – all rights reserved Passkeys für Entwickler • Verwendung einer etablierten Implementierung statt DIY • Authenticator/Browser/OS Support? • Was passiert mit dem Passwort? • Passkeys-First • Setup und Verwendung von Passkeys vorschlagen • Passkey-only/Passwordless Registrierung • Passkey Autofill/Conditional UI
  • 31.
    © condignum GmbH2025 – all rights reserved Passkeys für Entwickler • Passkey Demo/Playgrounds/Debugger • https://passkeys.eu • https://www.passkeys.com/playground • https://learnpasskeys.io • https://www.passkeys-debugger.io • … • Chrome Passkey Emulator • Dev Tools (F12) -> Ctrl-Shift-P -> “webauthn” • “echte” Authenticators
  • 32.
    © condignum GmbH2025 – all rights reserved Passkeys für Anwender • Grobes Verständnis von Passkeys (?) • Grundsatzentscheidung: welche Art von Passkey(s)? • Hardware Authenticator • für sensible Accounts • Kosten/Limitierungen • Backup/Account Recovery • Platform/Software Authenticator • Sicherheitsniveau < Hardware Authenticator (aber > Passwörter) • Convenience • Lock-In/Migration/Export
  • 33.
    © condignum GmbH2025 – all rights reserved Passkeys im Unternehmen • Auswahl zulässiger Authenticators + Attestation • “strict mode” • Zentrales Identity Management / SSO • Passkey Backup / Account Recovery Konzept
  • 34.
    © condignum GmbH2025 – all rights reserved NIST/BSI/… NIST • Device-Bound Passkeys können AAL3 erreichen • Syncable Passkeys können AAL2 erreichen (NIST SP 800-63Bsup1 / 04.2024) BSI • “BSI empfiehlt die Nutzung von Passkeys“ (10.2024) ENISA • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Digital Identity Standards (Stand 07.2023) erwähnt “Passkey” nicht • FIDO(2) wird im Kontext eIDAS und eIDAS2/EUID Wallet als “LoA High geeignet” eingestuft NCSC • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Unterstützt Passkey roll-out für UK Government Services und ist FIDO Alliance beigetreten (05.2025)
  • 35.
    © condignum GmbH2025 – all rights reserved Have fun with Passkeys!