Passkey-Anbieter: Typen, AAGUID & Verbreitung

Looking for a developer-focused passkey reference? Download our Passkeys Cheat Sheet (incl. WebAuthn ceremonies, objects & Conditional UI). Trusted by dev teams at Ally, Stanford CS & more.

Get Cheat Sheet

Wenn wir Passkeys nutzen oder uns beruflich mit ihrer Implementierung beschäftigen, stoßen wir früher oder später auf eine sehr wichtige Komponente: den Passkey-Anbieter (oft auch Passkey Provider genannt). Obwohl er ein zentraler Bestandteil des Passkey-Ökosystems ist, haben viele nur eine vage Vorstellung davon oder kennen den Unterschied zwischen einem First-Party-Passkey-Anbieter, einem Third-Party-Passkey-Anbieter und einem Passkey-Authentifizierungsanbieter nicht.

Get a free passkey assessment in 15 minutes.

Book free consultation

Dieser Artikel bringt Licht ins Dunkel. Egal, ob du Softwareentwickler, Produktmanager oder einfach nur neugierig auf aktuelle Web-Sicherheit bist: Die Rolle und die Arten von Passkey-Anbietern zu verstehen, ist essenziell. Wir wollen dieses Thema entmystifizieren und das nötige Wissen vermitteln, um sicher mit Passkeys umzugehen.

Ein Passkey-Anbieter spielt eine fundamentale Rolle im Ökosystem der Passkey-basierten Authentifizierung. Er fungiert als Brücke zwischen den Geräten der Nutzer und dem sicheren, nahtlosen Zugang zu Relying Parties (Online-Diensten). Aber was genau ist ein Passkey-Anbieter, besonders da es keine offizielle Definition gibt und man online verschiedene Interpretationen findet?

Die folgende Definition spiegelt unser Verständnis wider, erhebt aber keinen Anspruch auf Alleingültigkeit.

Ein Passkey-Anbieter ist im Grunde jede Entität, die das Erstellen, Verwalten und Nutzen von Passkeys ermöglicht. In unserer Recherche haben wir zwei Hauptkategorien identifiziert, in die man Passkey-Anbieter einteilen kann: First- / Third-Party-Passkey-Anbieter und Passkey-Authentifizierungsanbieter.

Become part of our Passkeys Community for updates & support.

Join

Diese Kategorie umfasst Anbieter, die in der Lage sind, einen Passkey auf der Client-Seite (also auf dem Gerät des Nutzers) zu generieren. Wenn ein Passkey über diese Plattformen erstellt wird, wird er sicher verwaltet und gespeichert – oft in der Cloud eines Betriebssystemherstellers (z. B. iCloud-Schlüsselbund, Google Password Manager) oder in einem externen Passwort-Manager (z. B. KeePassXC, 1Password, Dashlane, siehe unten).

Betriebssysteme, die das Erstellen von Passkeys und deren Verwaltung nativ ermöglichen, gelten als First-Party-Passkey-Anbieter. Im Gegensatz dazu werden externe Passwort-Manager, die sich über APIs in die Plattform integrieren, als Third-Party-Passkey-Anbieter bezeichnet.

Ein First-Party- oder Third-Party-Passkey-Anbieter besitzt sogenannte Authenticator Attestation Globally Unique Identifiers (AAGUIDs). Diese helfen dabei, die Nutzererfahrung zu verbessern (z. B. in den Kontoeinstellungen, um Passkeys leichter zu unterscheiden). Manchmal gibt es mehrere AAGUIDs, die alle zum selben Anbieter gehören.

Passkey-Anbieter auf einem iOS 17.4 Gerät

Passkey-Anbieter auf einem Android 14 Gerät

Die Credential Manager API von Android

Die zweite Kategorie umfasst Authentifizierungsanbieter, die Entwickler in ihre Anwendungen integrieren können, um alle Aspekte der Passkey-Verwaltung abzuwickeln. Es handelt sich also um Anbieter, die eher auf der Server-Seite arbeiten (im Gegensatz zur Client-Seite oben). Diese Definition schließt Lösungen wie Corbado ein, die Authentifizierungslösungen rund um Passkeys für Websites und Apps anbieten. Folglich sollten diese Anbieter genauer als Passkey-Authentifizierungsanbieter bezeichnet werden, um sie von den oben genannten First- und Third-Party-Passkey-Anbietern abzugrenzen.

In den nächsten Abschnitten dieses Artikels verwenden wir den Begriff „Passkey-Anbieter“, um uns gemäß unserer Definition auf First- und Third-Party-Passkey-Anbieter zu beziehen.

Da Nutzer beginnen, Passkeys für verschiedene Relying Parties zu verwenden, wird deren effektive Verwaltung zu einer Herausforderung. Das gilt besonders für Nutzer, die mehrere Passkeys für ein einziges Konto verwenden, da es für eine Relying Party komplex sein kann, diese Passkeys zwecks Bearbeitung oder Löschung zu unterscheiden. Trotz des Komforts und der Sicherheit von Passkeys entsteht ein potenzielles Problem, wenn ein Nutzer einen seiner Passkeys verliert. Glücklicherweise kann er mit alternativen Passkeys weiterhin auf sein Konto bei der Relying Party zugreifen. Um Nutzern zu helfen, bestimmte Passkeys zu identifizieren, schlagen einige Quellen vor, Metadaten wie Erstellungsdatum und letzte Nutzung in den Kontoeinstellungen anzuzeigen. Zusätzlich wird empfohlen, User Agents oder Client Hints zu nutzen, um Passkeys bei der Erstellung automatisch zu benennen und zu kategorisieren. Allerdings nutzen native Android- oder iOS-Apps sowie Third-Party-Passkey-Anbieter möglicherweise keine User Agents oder fügen keine Informationen hinzu, die darauf hinweisen, dass ein Passkey von einem externen Anbieter generiert wurde. Diese Einschränkung verdeutlicht den Bedarf an besseren Methoden, um Nutzern eine effiziente Verwaltung ihrer Passkeys zu ermöglichen – unabhängig von Plattform oder Anbieter.

Aus der W3C WebAuthn Spezifikation

Um diese Verwaltung zu erleichtern, können Entwickler den Authenticator Attestation Globally Unique Identifier (AAGUID) nutzen. Die AAGUID ist eine eindeutige Kennung, die dem Modell des Authenticators zugewiesen ist, nicht einer spezifischen Instanz. Sie ist in den Authenticator-Daten des Public Key Credentials eingebettet und bietet Relying Parties eine Möglichkeit, den Passkey-Anbieter zu identifizieren. Diese Fähigkeit ist entscheidend, um Nutzern und Diensten zu helfen, den Überblick in der Passkey-Landschaft zu behalten und sicherzustellen, dass jeder Passkey korrekt seiner Ursprungsquelle zugeordnet werden kann.

Wenn ein Passkey beispielsweise mit dem Google Password Manager auf einem Android-Gerät erstellt wird, kann die Relying Party eine AAGUID erhalten, die spezifisch für den Google Password Manager ist. Durch Bezugnahme auf diese AAGUID kann die Relying Party den Passkey entsprechend kennzeichnen, was die Verwaltung und Identifizierung für den Nutzer vereinfacht. Darüber hinaus können Dienste verhindern, dass mehrere Passkeys für denselben Passkey-Anbieter erstellt werden, indem sie die WebAuthn-Server-Option excludeCredentials verwenden. Dies verbessert die UX weiter, da jeder Anbieter nur einen Passkey erhält und Verwirrung beim Nutzer vermieden wird.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Um den Passkey-Anbieter anhand einer AAGUID zu bestimmen, können Relying Parties auf ein Community-gepflegtes Repository von AAGUIDs zurückgreifen. Dieses Repository bietet die notwendigen Zuordnungen, um den Anbieter namentlich und potenziell durch ein Icon zu identifizieren, was eine intuitivere Benutzeroberfläche für die Passkey-Verwaltung ermöglicht. Es ist jedoch wichtig zu beachten, dass einige Passkey-Anbieter absichtlich eine generische AAGUID („00000000-0000-0000-0000-0000000000000“) verwenden, die einen unbekannten oder allgemeinen Anbieter repräsentiert.

Das Abrufen der AAGUID ist mit den meisten WebAuthn-Bibliotheken unkompliziert. Wenn Entwickler beispielsweise SimpleWebAuthn auf der Server-Seite nutzen, können sie die AAGUID aus den Registrierungsinformationen extrahieren, um sie mit einem bekannten Anbieter abzugleichen. Das erleichtert Nutzern die Verwaltung ihrer Passkeys enorm (Beispiel aus Googles „Determine the passkey provider with AAGUID“).

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Obwohl AAGUIDs ein mächtiges Werkzeug für die Passkey-Verwaltung sind, sollten sie mit Vorsicht genossen werden. Die Integrität einer AAGUID hängt vom Attestation-Prozess ab, der die Authentizität des Passkey-Anbieters validiert. Ohne eine gültige Attestation-Signatur könnten AAGUIDs potenziell manipuliert werden. Stand März 2024 ist es erwähnenswert, dass Passkeys auf einigen Plattformen keine Attestation unterstützen, was eine sorgfältige Abwägung bei deren Einsatz erfordert.

Im Folgenden findest du eine nicht erschöpfende Liste von First- und Third-Party-Passkey-Anbietern für Android-Apps, iOS-Apps und Web-Apps, basierend auf gängigen Betriebssystemversionen und Browsern.

Hier zeigen wir einige Popups der Third-Party-Passkey-Anbieter beim Erstellen oder Speichern eines Passkeys:

Sieh dir die vollständige 1Password Analyse hier an.

Sieh dir die vollständige Dashlane Analyse hier an.

Sieh dir die vollständige KeePassXC Analyse hier an.

Passkey-Anbieter spielen eine zentrale Rolle bei der Verbreitung und Verwaltung von Passkeys. Sie erleichtern nicht nur das Erstellen und Verwalten, sondern sorgen auch für eine nahtlose Integration über verschiedene Plattformen und Geräte hinweg.

Das Ziel dieses Artikels war es, zu erklären, was ein Passkey-Anbieter ist, wie sich First-Party- und Third-Party-Anbieter unterscheiden und welche kritische Rolle der Authenticator Attestation Globally Unique Identifier (AAGUID) dabei spielt. Wie wir gesehen haben, bietet die Nutzung von AAGUIDs eine vielversprechende Lösung, um Passkeys einfacher zu identifizieren und zu verwalten.

Zudem haben wir analysiert, welche First- und Third-Party-Passkey-Anbieter aktuell für Android, iOS und Windows existieren, um Nutzern zu helfen, einen passenden Anbieter für ihr bevorzugtes Gerät zu finden.

Für Entwickler und Produktmanager ist das Wissen über Passkey-Anbieter und deren Verwaltung nicht nur wichtig für die technische Implementierung der Passkey-Authentifizierung, sondern dient auch dem übergeordneten Ziel, die Benutzerfreundlichkeit und Sicherheit zu verbessern.