SlideShare ist ein Scribd-Unternehmen logo

Passkeys & 2FA/MFA_sec4dev_Dialogues2025

SBA Research, profile picture
SBA Research

Passkeys

Internet
1 von 36
Downloaden Sie, um offline zu lesen
1
2
3
Am meisten gelesen
4
Am meisten gelesen
5
6
7
8
9
10
11
Am meisten gelesen
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
© condignum GmbH 2025 – all rights reserved Passkeys (in 2025) Matthias Neumayr
© condignum GmbH 2025 – all rights reserved Passwörter & 2FA/MFA
© condignum GmbH 2025 – all rights reserved Passwörter Probleme mit Passwörtern … • Unsichere Passwörter • Wiederverwendung • Muster • Dumps/Collections • Phishing • Wie merken?
© condignum GmbH 2025 – all rights reserved 2nd/Multi-Faktor “Let’s add another thing or two” • Zweiter/zusätzliche Faktor(en) • Passwort nicht mehr Single Point of Failure • Resultat: Security vs. Usability (& Kosten) • Echtzeit-Phishing i.d.R. weiterhin Thema
© condignum GmbH 2025 – all rights reserved FIDO(2)
© condignum GmbH 2025 – all rights reserved FIDO ("Fast IDentity Online") • 2012 U2F (Google, Yubikey) / 2013 FIDO Alliance • 2014: Release of FIDO Universal 2nd Factor (U2F) and FIDO Universal Authentication Framework (UAF) • 2015: Release of FIDO 2.0 • 2019: FIDO2 added support for discoverable credentials and user verification
© condignum GmbH 2025 – all rights reserved FIDO2 FIDO2 = WebAuthn + CTAP
© condignum GmbH 2025 – all rights reserved W3C Web Authentication (WebAuthn) • “An API for accessing Public Key Credentials” • W3C Standard für JavaScript API in Clients (Browser) navigator.credentials.create() navigator.credentials.get() • WebAuthn Level 2 – W3C Recommendation (2021) • WebAuthn Level 3 – W3C Working Draft (2025)
© condignum GmbH 2025 – all rights reserved Client-to-Authenticator Protocols (CTAP) • CTAP1 (aka FIDO U2F) • Authenticators: FIDO U2F devices / security keys • USB, NFC, BLE • 2FA • CTAP2 • Authenticators: FIDO2 (== WebAuthn) Authenticators • USB, NFC, BLE • 2FA / MFA / Passwordless (/ Usernameless) • v2.1 (2021) Cred. Management, PIN Length, Retry/Lockout, etc. • v2.2 (2025) PIN Complexity, largeBlob, Attestation Präferenz, etc.
© condignum GmbH 2025 – all rights reserved FIDO2 Overview User Authenticator Client Relying Party (RP) REST/… CTAP WebAuthn JS
© condignum GmbH 2025 – all rights reserved FIDO2 Credential Typen Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
© condignum GmbH 2025 – all rights reserved Passkeys
© condignum GmbH 2025 – all rights reserved Passkeys FIDO2 discoverable (syncable) credentials
© condignum GmbH 2025 – all rights reserved FIDO2 Credentials Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
© condignum GmbH 2025 – all rights reserved Enrollment User Authenticator Client Relying Party (RP) Click “Passkey registrieren” /passkey/register (username) PublicKeyCredentialCreationOptions { “rp”: …, “user”: …, “challenge”: …, “pubKeyCredParams”: …, “authenticatorSelection”: …, …, } credentials.create(options) User verification (uv) ( id, signature, pub_key, “metadata”, …) { “id”, “username”, “rp”, #(origin) “keypair” } Verify & Save
© condignum GmbH 2025 – all rights reserved Login User Authenticator Client Relying Party (RP) Click “Login mit Passkey” /passkey/login PublicKeyCredentialRequestOptions { “rpId”: …, “challenge”: …, “userVerification”: …, …, } credentials.get(options) User Verification (uv) ( & Credential Selection ) (id, signature, “metadata”, …) Verify & Login
© condignum GmbH 2025 – all rights reserved Authenticator Typen Roaming (Hardware) Platform Software
© condignum GmbH 2025 – all rights reserved Authenticator x Passkey Types Authenticators Passkeys Platform(/Software) Authenticator Cross-Platform/Roaming Authenticator Single-Device / Device-Bound Passkeys Multi-Device / Syncable Passkeys --
© condignum GmbH 2025 – all rights reserved Passwörter vs. Passkey Passwörter Passkey Unsichere Passwörter (Public Key + Challenge Response) Wiederverwendung (einzigartige Credentials) Dumps/Hacks von RP (Credentials nur in Authenticator) Phishing (Credentials an Origin gebunden) Netzwerkangriffe (HTTPS enforced, Challenge Response)
© condignum GmbH 2025 – all rights reserved Probleme • Definition “Passkey” • Standardisiert, aber in Praxis sehr unterschiedlich • Syncable vs. Device-Bound Passkeys • Unterschiedliches Verhalten der Authenticators • UI/UX in Browser/OS/… • Unterstützte Features • MFA vs. Passwordless vs. Usernameless • Wie viele User “verstehen” Passkey?
© condignum GmbH 2025 – all rights reserved Probleme • Lock-In (by Design) • Verfügbarkeit von Features aus Standard von einigen wenigen Herstellern diktiert (Chrome bei Browsern) • Umfang/Komplexität des Standards steigt (+ Legacy Artefakte) • “Draft” Features schon in Einsatz
© condignum GmbH 2025 – all rights reserved Passkeys in 2025
© condignum GmbH 2025 – all rights reserved New: CTAP 2.2 & WebAuthn Level 3 • CTAP 2.2 - Status ‘Proposed Standard’(02.2025) • WebAuthn Level 3 - Status ‘Working Draft’ (01.2025) • viele “Neuigkeiten” schon seit Jahren im Einsatz
© condignum GmbH 2025 – all rights reserved Hybrid Transport • Cross Device Authentication (CDA) • QR Code mit FIDO:/ URL • Pairing & Proximity via BLE Announcements • Weitere Kommunikation via Tunnel Service (Google, Apple)
© condignum GmbH 2025 – all rights reserved JSON Serialization • Vereinfachung Entwicklung & Darstellung • Identische JSONs für WebAuthn und Native APIs (zumindest Android) • CTAP2 weiterhin CBOR
© condignum GmbH 2025 – all rights reserved UV/PIN Enhancements • PIN Complexity Policy • Statt PIN-Länge auch Zeichensatz, Blocklist, Komplexität, … • PersistentPinUvAuthToken State • Persistentes Caching der UV, gebunden an Session/Origin
© condignum GmbH 2025 – all rights reserved Attestation • Authentizität und Integrität des Authenticators • AAGUID identifiziert Authenticator Modell • Privacy Preserving: kein Rückschluss auf einzelnen Authenticator • Enterprise: unique AAGUIDs Enterprise AttCA / AnonCA Basic Self Privacy preserving
© condignum GmbH 2025 – all rights reserved Passkey Credentials Exchange • Security: Passkeys nicht exportierbar • Lock-In/Backup: Passkeys nicht exportierbar • Credential Exchange Protocol (CXP) & Credential Exchange Format (CXF) (Draft Specification) • “Exchange” != “Export”
© condignum GmbH 2025 – all rights reserved PRF Extension / hmac-secret • HASH(HMAC($input, $key)) = Pseudo-Random Function • Ableiten von Secret (symmetrischer Schlüssel) von FIDO2 Credential (Priv/Pub Key) • Use cases: • Key für symmetrische Verschlüsselung • Login in PW Manager (Master-Key)
© condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Verwendung einer etablierten Implementierung statt DIY • Authenticator/Browser/OS Support? • Was passiert mit dem Passwort? • Passkeys-First • Setup und Verwendung von Passkeys vorschlagen • Passkey-only/Passwordless Registrierung • Passkey Autofill/Conditional UI
© condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Passkey Demo/Playgrounds/Debugger • https://passkeys.eu • https://www.passkeys.com/playground • https://learnpasskeys.io • https://www.passkeys-debugger.io • … • Chrome Passkey Emulator • Dev Tools (F12) -> Ctrl-Shift-P -> “webauthn” • “echte” Authenticators
© condignum GmbH 2025 – all rights reserved Passkeys für Anwender • Grobes Verständnis von Passkeys (?) • Grundsatzentscheidung: welche Art von Passkey(s)? • Hardware Authenticator • für sensible Accounts • Kosten/Limitierungen • Backup/Account Recovery • Platform/Software Authenticator • Sicherheitsniveau < Hardware Authenticator (aber > Passwörter) • Convenience • Lock-In/Migration/Export
© condignum GmbH 2025 – all rights reserved Passkeys im Unternehmen • Auswahl zulässiger Authenticators + Attestation • “strict mode” • Zentrales Identity Management / SSO • Passkey Backup / Account Recovery Konzept
© condignum GmbH 2025 – all rights reserved NIST/BSI/… NIST • Device-Bound Passkeys können AAL3 erreichen • Syncable Passkeys können AAL2 erreichen (NIST SP 800-63Bsup1 / 04.2024) BSI • “BSI empfiehlt die Nutzung von Passkeys“ (10.2024) ENISA • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Digital Identity Standards (Stand 07.2023) erwähnt “Passkey” nicht • FIDO(2) wird im Kontext eIDAS und eIDAS2/EUID Wallet als “LoA High geeignet” eingestuft NCSC • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Unterstützt Passkey roll-out für UK Government Services und ist FIDO Alliance beigetreten (05.2025)
© condignum GmbH 2025 – all rights reserved Have fun with Passkeys!
Passkeys & 2FA/MFA_sec4dev_Dialogues2025

Weitere ähnliche Inhalte

PDF
Identity und Access Management mit One Identity - Ein Überblick
IBsolution GmbH
 
PDF
Cloud – Intune
Digicomp Academy AG
 
PDF
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
IBsolution GmbH
 
PDF
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
IBsolution GmbH
 
PDF
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
IBsolution GmbH
 
PDF
Slides (2) zu Teil 2 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
DNUG e.V.
 
PDF
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
DNUG e.V.
 
PDF
Entfesseln Sie die Leistung von HCL Nomad - DNUG Stammtisch Wien
DNUG e.V.
 
Identity und Access Management mit One Identity - Ein Überblick
IBsolution GmbH
 
Cloud – Intune
Digicomp Academy AG
 
Ein Überblick: One Identity Manager Anbindung von SAP HCM und Active Directory
IBsolution GmbH
 
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
IBsolution GmbH
 
SAP Secure Login Service for SAP GUI: Überblick über den Nachfolger von SAP S...
IBsolution GmbH
 
Slides (2) zu Teil 2 der Veranstaltungsreihe Anwendungsentwicklung mit Volt M...
DNUG e.V.
 
Slides zum Impulsreferat: HCL UDP - DNUG Stammtisch Salzburg
DNUG e.V.
 
Entfesseln Sie die Leistung von HCL Nomad - DNUG Stammtisch Wien
DNUG e.V.
 

Ähnlich wie Passkeys & 2FA/MFA_sec4dev_Dialogues2025 (20)

PDF
dachnug51 - Business Adapter in Volt MX Foundry.pdf
DNUG e.V.
 
PDF
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DNUG e.V.
 
PDF
DACHNUG50 MX_Workshop.pdf
DNUG e.V.
 
PDF
Webinar - Erweiterbarkeit SAP DM - Production Process Designer (PPD)
Trebing & Himstedt Prozeßautomation GmbH & Co. KG
 
PDF
Entwicklung mit Volt MX und Co. | Teil 1
DNUG e.V.
 
PDF
Integration von Schutz und Lizenzierung einfach gemacht
team-WIBU
 
PDF
souvereign, sicher und zertifiziert - Stammtisch Salzburg
DNUG e.V.
 
PDF
User-Access-Management in hybriden Landschaften mit SAP Identity Provisioning...
IBsolution GmbH
 
PDF
CSI: WP - Dem Windows Phone auf der Spur, Internetspecial: SDK & Development-...
Gordon Breuer
 
PDF
Identity Lifecycle Prozesse mit Microsoft Entra ID für hybride SAP-Landschaften
IBsolution GmbH
 
PDF
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
DNUG e.V.
 
PPTX
Schutz und Lizenzierung für Embedded-Geräte
team-WIBU
 
PDF
Migration zu einem modernen Schutz- und Lizenzierungssystem
team-WIBU
 
PDF
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft
 
PPT
PlaceCam 3
Voelkel ITK
 
PDF
System Center Configuration Manager with Azure, Intune and Application Manage...
Digicomp Academy AG
 
PDF
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
PPTX
SharePointCommunity.ch SharePoint Lösungen für die Zukunft
David Schneider
 
PDF
SAP Cloud Identity Access Governance vs. SAP GRC, Access Control - Ein techn...
IBsolution GmbH
 
PDF
Per Anhalter zu Cloud-nativen API Gateways
QAware GmbH
 
dachnug51 - Business Adapter in Volt MX Foundry.pdf
DNUG e.V.
 
DACHNUG50 MX Digitalisierung - DACHNUG Vortrag.pdf
DNUG e.V.
 
DACHNUG50 MX_Workshop.pdf
DNUG e.V.
 
Webinar - Erweiterbarkeit SAP DM - Production Process Designer (PPD)
Trebing & Himstedt Prozeßautomation GmbH & Co. KG
 
Entwicklung mit Volt MX und Co. | Teil 1
DNUG e.V.
 
Integration von Schutz und Lizenzierung einfach gemacht
team-WIBU
 
souvereign, sicher und zertifiziert - Stammtisch Salzburg
DNUG e.V.
 
User-Access-Management in hybriden Landschaften mit SAP Identity Provisioning...
IBsolution GmbH
 
CSI: WP - Dem Windows Phone auf der Spur, Internetspecial: SDK & Development-...
Gordon Breuer
 
Identity Lifecycle Prozesse mit Microsoft Entra ID für hybride SAP-Landschaften
IBsolution GmbH
 
HCL Domino 14 - Leap 1.1.2 - DNUG Stammtisch Wien
DNUG e.V.
 
Schutz und Lizenzierung für Embedded-Geräte
team-WIBU
 
Migration zu einem modernen Schutz- und Lizenzierungssystem
team-WIBU
 
Belsoft Collaboration Day 2018 - Zurück in die Zukunft mit Domino V10
Belsoft
 
PlaceCam 3
Voelkel ITK
 
System Center Configuration Manager with Azure, Intune and Application Manage...
Digicomp Academy AG
 
IT-Sicherheit und agile Entwicklung – geht das? Sicher!
Carsten Cordes
 
SharePointCommunity.ch SharePoint Lösungen für die Zukunft
David Schneider
 
SAP Cloud Identity Access Governance vs. SAP GRC, Access Control - Ein techn...
IBsolution GmbH
 
Per Anhalter zu Cloud-nativen API Gateways
QAware GmbH
 
Anzeige

Mehr von SBA Research (20)

PDF
CyberResilienceAct_sec4devDialogues2025pdf
SBA Research
 
PDF
SBATop10 Vulnerabilities_sec4devDialogues2025
SBA Research
 
PDF
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
SBA Research
 
PDF
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Research
 
PDF
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
SBA Research
 
PDF
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Research
 
PDF
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Research
 
PDF
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Research
 
PDF
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
SBA Research
 
PPTX
Secure development on Kubernetes by Andreas Falk
SBA Research
 
PDF
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
PDF
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Research
 
PDF
SBA Live Academy, What the heck is secure computing
SBA Research
 
PDF
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
SBA Research
 
PDF
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
SBA Research
 
PDF
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Research
 
PDF
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Research
 
PDF
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Research
 
PDF
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Research
 
PDF
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Research
 
CyberResilienceAct_sec4devDialogues2025pdf
SBA Research
 
SBATop10 Vulnerabilities_sec4devDialogues2025
SBA Research
 
Gefahren von Prompt-Injection Angriffen_sec4devDialogues.pdf
SBA Research
 
SBA Security Meetup - Deploying and managing azure sentinel as code by Bojan ...
SBA Research
 
NDSS 2021 RandRunner: Distributed Randomness from Trapdoor VDFs with Strong U...
SBA Research
 
SBA Security Meetup – Security Requirements Management 101 by Daniel Schwarz ...
SBA Research
 
SBA Security Meetup: Building a Secure Architecture – A Deep-Dive into Securi...
SBA Research
 
SBA Security Meetup: I want to break free - The attacker inside a Container
SBA Research
 
"Rund um die ISO27001 Zertifizierung – Nähkästchentalk" by Thomas Kopeinig
SBA Research
 
Secure development on Kubernetes by Andreas Falk
SBA Research
 
SBA Live Academy - "BIG BANG!" Highlights & key takeaways of 24 security talks
SBA Research
 
SBA Live Academy, Rechtliche Risiken mit externen Mitarbeitern
SBA Research
 
SBA Live Academy, What the heck is secure computing
SBA Research
 
Tools &amp; techniques, building a dev secops culture at mozilla sba live a...
SBA Research
 
HydRand: Efficient Continuous Distributed Randomness. IEEE S&P 2020 by Philip...
SBA Research
 
SBA Live Academy - Secure Containers for Developer by Mathias Tausig
SBA Research
 
SBA Live Academy - After the overflow: self-defense techniques (Linux Kernel)...
SBA Research
 
SBA Live Academy - Passwords: Policy and Storage with NIST SP800-63b by Jim M...
SBA Research
 
SBA Live Academy - Threat Modeling 101 – eine kurze aber praxisnahe Einführun...
SBA Research
 
SBA Live Academy - Angriffe gegen das Stromnetz – Wenn der Strom nicht mehr a...
SBA Research
 
Anzeige

Passkeys & 2FA/MFA_sec4dev_Dialogues2025

  • 1. © condignum GmbH 2025 – all rights reserved Passkeys (in 2025) Matthias Neumayr
  • 2. © condignum GmbH 2025 – all rights reserved Passwörter & 2FA/MFA
  • 3. © condignum GmbH 2025 – all rights reserved Passwörter Probleme mit Passwörtern … • Unsichere Passwörter • Wiederverwendung • Muster • Dumps/Collections • Phishing • Wie merken?
  • 4. © condignum GmbH 2025 – all rights reserved 2nd/Multi-Faktor “Let’s add another thing or two” • Zweiter/zusätzliche Faktor(en) • Passwort nicht mehr Single Point of Failure • Resultat: Security vs. Usability (& Kosten) • Echtzeit-Phishing i.d.R. weiterhin Thema
  • 5. © condignum GmbH 2025 – all rights reserved FIDO(2)
  • 6. © condignum GmbH 2025 – all rights reserved FIDO ("Fast IDentity Online") • 2012 U2F (Google, Yubikey) / 2013 FIDO Alliance • 2014: Release of FIDO Universal 2nd Factor (U2F) and FIDO Universal Authentication Framework (UAF) • 2015: Release of FIDO 2.0 • 2019: FIDO2 added support for discoverable credentials and user verification
  • 7. © condignum GmbH 2025 – all rights reserved FIDO2 FIDO2 = WebAuthn + CTAP
  • 8. © condignum GmbH 2025 – all rights reserved W3C Web Authentication (WebAuthn) • “An API for accessing Public Key Credentials” • W3C Standard für JavaScript API in Clients (Browser) navigator.credentials.create() navigator.credentials.get() • WebAuthn Level 2 – W3C Recommendation (2021) • WebAuthn Level 3 – W3C Working Draft (2025)
  • 9. © condignum GmbH 2025 – all rights reserved Client-to-Authenticator Protocols (CTAP) • CTAP1 (aka FIDO U2F) • Authenticators: FIDO U2F devices / security keys • USB, NFC, BLE • 2FA • CTAP2 • Authenticators: FIDO2 (== WebAuthn) Authenticators • USB, NFC, BLE • 2FA / MFA / Passwordless (/ Usernameless) • v2.1 (2021) Cred. Management, PIN Length, Retry/Lockout, etc. • v2.2 (2025) PIN Complexity, largeBlob, Attestation Präferenz, etc.
  • 10. © condignum GmbH 2025 – all rights reserved FIDO2 Overview User Authenticator Client Relying Party (RP) REST/… CTAP WebAuthn JS
  • 11. © condignum GmbH 2025 – all rights reserved FIDO2 Credential Typen Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
  • 12. © condignum GmbH 2025 – all rights reserved Passkeys
  • 13. © condignum GmbH 2025 – all rights reserved Passkeys FIDO2 discoverable (syncable) credentials
  • 14. © condignum GmbH 2025 – all rights reserved FIDO2 Credentials Discoverable Non-Discoverable FIDO2 v2.0 Bezeichnung “resident keys” “non-resident keys” Speicherort Authenticator Relying Party Speicherlimit Hardware: limitiert Software: unlimitiert unlimitiert Anzeige/Suche nach Origin
  • 15. © condignum GmbH 2025 – all rights reserved Enrollment User Authenticator Client Relying Party (RP) Click “Passkey registrieren” /passkey/register (username) PublicKeyCredentialCreationOptions { “rp”: …, “user”: …, “challenge”: …, “pubKeyCredParams”: …, “authenticatorSelection”: …, …, } credentials.create(options) User verification (uv) ( id, signature, pub_key, “metadata”, …) { “id”, “username”, “rp”, #(origin) “keypair” } Verify & Save
  • 16. © condignum GmbH 2025 – all rights reserved Login User Authenticator Client Relying Party (RP) Click “Login mit Passkey” /passkey/login PublicKeyCredentialRequestOptions { “rpId”: …, “challenge”: …, “userVerification”: …, …, } credentials.get(options) User Verification (uv) ( & Credential Selection ) (id, signature, “metadata”, …) Verify & Login
  • 17. © condignum GmbH 2025 – all rights reserved Authenticator Typen Roaming (Hardware) Platform Software
  • 18. © condignum GmbH 2025 – all rights reserved Authenticator x Passkey Types Authenticators Passkeys Platform(/Software) Authenticator Cross-Platform/Roaming Authenticator Single-Device / Device-Bound Passkeys Multi-Device / Syncable Passkeys --
  • 19. © condignum GmbH 2025 – all rights reserved Passwörter vs. Passkey Passwörter Passkey Unsichere Passwörter (Public Key + Challenge Response) Wiederverwendung (einzigartige Credentials) Dumps/Hacks von RP (Credentials nur in Authenticator) Phishing (Credentials an Origin gebunden) Netzwerkangriffe (HTTPS enforced, Challenge Response)
  • 20. © condignum GmbH 2025 – all rights reserved Probleme • Definition “Passkey” • Standardisiert, aber in Praxis sehr unterschiedlich • Syncable vs. Device-Bound Passkeys • Unterschiedliches Verhalten der Authenticators • UI/UX in Browser/OS/… • Unterstützte Features • MFA vs. Passwordless vs. Usernameless • Wie viele User “verstehen” Passkey?
  • 21. © condignum GmbH 2025 – all rights reserved Probleme • Lock-In (by Design) • Verfügbarkeit von Features aus Standard von einigen wenigen Herstellern diktiert (Chrome bei Browsern) • Umfang/Komplexität des Standards steigt (+ Legacy Artefakte) • “Draft” Features schon in Einsatz
  • 22. © condignum GmbH 2025 – all rights reserved Passkeys in 2025
  • 23. © condignum GmbH 2025 – all rights reserved New: CTAP 2.2 & WebAuthn Level 3 • CTAP 2.2 - Status ‘Proposed Standard’(02.2025) • WebAuthn Level 3 - Status ‘Working Draft’ (01.2025) • viele “Neuigkeiten” schon seit Jahren im Einsatz
  • 24. © condignum GmbH 2025 – all rights reserved Hybrid Transport • Cross Device Authentication (CDA) • QR Code mit FIDO:/ URL • Pairing & Proximity via BLE Announcements • Weitere Kommunikation via Tunnel Service (Google, Apple)
  • 25. © condignum GmbH 2025 – all rights reserved JSON Serialization • Vereinfachung Entwicklung & Darstellung • Identische JSONs für WebAuthn und Native APIs (zumindest Android) • CTAP2 weiterhin CBOR
  • 26. © condignum GmbH 2025 – all rights reserved UV/PIN Enhancements • PIN Complexity Policy • Statt PIN-Länge auch Zeichensatz, Blocklist, Komplexität, … • PersistentPinUvAuthToken State • Persistentes Caching der UV, gebunden an Session/Origin
  • 27. © condignum GmbH 2025 – all rights reserved Attestation • Authentizität und Integrität des Authenticators • AAGUID identifiziert Authenticator Modell • Privacy Preserving: kein Rückschluss auf einzelnen Authenticator • Enterprise: unique AAGUIDs Enterprise AttCA / AnonCA Basic Self Privacy preserving
  • 28. © condignum GmbH 2025 – all rights reserved Passkey Credentials Exchange • Security: Passkeys nicht exportierbar • Lock-In/Backup: Passkeys nicht exportierbar • Credential Exchange Protocol (CXP) & Credential Exchange Format (CXF) (Draft Specification) • “Exchange” != “Export”
  • 29. © condignum GmbH 2025 – all rights reserved PRF Extension / hmac-secret • HASH(HMAC($input, $key)) = Pseudo-Random Function • Ableiten von Secret (symmetrischer Schlüssel) von FIDO2 Credential (Priv/Pub Key) • Use cases: • Key für symmetrische Verschlüsselung • Login in PW Manager (Master-Key)
  • 30. © condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Verwendung einer etablierten Implementierung statt DIY • Authenticator/Browser/OS Support? • Was passiert mit dem Passwort? • Passkeys-First • Setup und Verwendung von Passkeys vorschlagen • Passkey-only/Passwordless Registrierung • Passkey Autofill/Conditional UI
  • 31. © condignum GmbH 2025 – all rights reserved Passkeys für Entwickler • Passkey Demo/Playgrounds/Debugger • https://passkeys.eu • https://www.passkeys.com/playground • https://learnpasskeys.io • https://www.passkeys-debugger.io • … • Chrome Passkey Emulator • Dev Tools (F12) -> Ctrl-Shift-P -> “webauthn” • “echte” Authenticators
  • 32. © condignum GmbH 2025 – all rights reserved Passkeys für Anwender • Grobes Verständnis von Passkeys (?) • Grundsatzentscheidung: welche Art von Passkey(s)? • Hardware Authenticator • für sensible Accounts • Kosten/Limitierungen • Backup/Account Recovery • Platform/Software Authenticator • Sicherheitsniveau < Hardware Authenticator (aber > Passwörter) • Convenience • Lock-In/Migration/Export
  • 33. © condignum GmbH 2025 – all rights reserved Passkeys im Unternehmen • Auswahl zulässiger Authenticators + Attestation • “strict mode” • Zentrales Identity Management / SSO • Passkey Backup / Account Recovery Konzept
  • 34. © condignum GmbH 2025 – all rights reserved NIST/BSI/… NIST • Device-Bound Passkeys können AAL3 erreichen • Syncable Passkeys können AAL2 erreichen (NIST SP 800-63Bsup1 / 04.2024) BSI • “BSI empfiehlt die Nutzung von Passkeys“ (10.2024) ENISA • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Digital Identity Standards (Stand 07.2023) erwähnt “Passkey” nicht • FIDO(2) wird im Kontext eIDAS und eIDAS2/EUID Wallet als “LoA High geeignet” eingestuft NCSC • Keine direkten Aussagen/Empfehlungen zu Umsetzung • Unterstützt Passkey roll-out für UK Government Services und ist FIDO Alliance beigetreten (05.2025)
  • 35. © condignum GmbH 2025 – all rights reserved Have fun with Passkeys!