Passkey-Anbieter: Verschiedene Arten, AAGUID & Adoption

Passkeys-Cheatsheet. Praxisnahe Leitfäden, Rollout-Muster und KPIs für Passkey-Programme.

Cheat Sheet erhalten

Bei der Nutzung von Passkeys oder der Arbeit im Bereich der Passkey-Implementierung wird eine Komponente ziemlich wichtig: der Passkey-Anbieter. Obwohl er ein entscheidender Teil des Passkey-Ökosystems ist, haben viele Menschen nur ein grobes Verständnis von Passkey-Anbietern oder kennen nicht den Unterschied zwischen einem First-Party-Passkey-Anbieter, Third-Party-Passkey-Anbieter und Passkey-Authentifizierungsanbieter.

Erhalten Sie ein kostenloses Passkey Assessment in 15 Minuten.

Kostenlose Beratung buchen

Dieser Blogpost soll Licht ins Dunkel bringen. Egal, ob Sie Softwareentwickler, Produktmanager oder einfach nur neugierig auf die neuesten Entwicklungen im Bereich Websicherheit sind, das Verständnis der Rolle und der Arten von Passkey-Anbietern ist unerlässlich. Indem wir dieses Thema entmystifizieren, möchten wir Menschen das Wissen vermitteln, Passkeys selbstbewusst zu verstehen.

Ein Passkey-Anbieter spielt eine grundlegende Rolle im Ökosystem der passkeybasierten Authentifizierung und fungiert als Brücke zwischen den Geräten der Benutzer und dem sicheren, nahtlosen Zugang zu Relying Parties (Online-Diensten). Aber was genau ist ein Passkey-Anbieter, zumal es keine offizielle Definition gibt und Sie online verschiedene Interpretationen finden werden?

Die folgende Definition spiegelt unser Verständnis wider und erhebt nicht den Anspruch, die einzige zutreffende Definition zu sein.

Ein Passkey-Anbieter ist im Wesentlichen jede Entität, die die Erstellung, Verwaltung und Nutzung von Passkeys ermöglicht. Durch unsere Forschung haben wir zwei Hauptkategorien identifiziert, unter die Passkey-Anbieter eingeordnet werden können: First- / Third-Party-Passkey-Anbieter und Passkey-Authentifizierungsanbieter.

Diese Kategorie umfasst Entitäten, die in der Lage sind, einen Passkey auf der Client-Seite (auf dem Gerät des Benutzers) zu generieren. Wenn ein Passkey über diese Plattformen erstellt wird, wird er sicher verwaltet und gespeichert, oft in der Cloud eines Betriebssystemherstellers (z. B. iCloud Keychain, Google Password Manager) oder in einem Passwortmanager von Drittanbietern (z. B. KeePassXC, 1Password, Dashlane – siehe unten).

Betriebssysteme, die die Erstellung und Verwaltung von Passkeys nativ ermöglichen, gelten als First-Party-Passkey-Anbieter. Im Gegensatz dazu werden Passwortmanager von Drittanbietern, die sich über APIs in die Plattform integrieren, als Third-Party-Passkey-Anbieter bezeichnet.

Ein First-Party- oder Third-Party-Passkey-Anbieter hat dieselben Authenticator Attestation Globally Unique Identifiers (AAGUIDs), die dazu beitragen, das Benutzererlebnis zu verbessern (z. B. in den Kontoeinstellungen, um Passkeys leichter unterscheiden zu können). Manchmal können sie mehrere AAGUIDs haben, die alle zum selben First- oder Third-Party-Passkey-Anbieter gehören.

Passkey-Anbieter auf einem Gerät mit iOS 17.4

Passkey-Anbieter auf einem Android 14 Gerät

Credential Manager API von Android

Die zweite Kategorie umfasst Authentifizierungsanbieter, die Entwickler in ihre Anwendungen integrieren können, um alle Aspekte der Passkey-Verwaltung zu übernehmen. Es handelt sich also um Anbieter, die eher serverseitig arbeiten (im Gegensatz zur obigen Client-Seite). Diese Definition würde auch Lösungen wie Corbado einschließen, die Websites und Apps Authentifizierungslösungen rund um Passkeys anbieten. Folglich sollten diese Passkey-Anbieter genauer als Passkey-Authentifizierungsanbieter beschrieben werden, um sie von den oben genannten First- und Third-Party-Passkey-Anbietern zu unterscheiden.

In den nächsten Abschnitten dieses Blogposts werden wir den Begriff "Passkey-Anbieter" verwenden, um uns gemäß unserer Definition auf First- und Third-Party-Passkey-Anbieter zu beziehen.

Da Benutzer beginnen, Passkeys für verschiedene Relying Parties zu verwenden, wird deren effektive Verwaltung zu einer großen Herausforderung. Dies gilt auch für Benutzer, die mehrere Passkeys für ein einziges Konto verwenden, da die Unterscheidung dieser Passkeys für Bearbeitungs- oder Löschzwecke für eine Relying Party komplex sein kann. Trotz der Bequemlichkeit und Sicherheit, die Passkeys bieten, gibt es ein potenzielles Problem, wenn ein Benutzer einen seiner Passkeys verliert. Glücklicherweise kann er weiterhin mit alternativen Passkeys auf sein Konto bei der Relying Party zugreifen. Um Benutzern bei der Identifizierung bestimmter Passkeys zu helfen, schlagen einige Ressourcen vor, einem Passkey in den Kontoeinstellungen Metadaten hinzuzufügen, wie das Erstellungsdatum und die letzte Nutzung. Darüber hinaus wird empfohlen, User Agents oder Client Hints zu verwenden, um Passkeys bei der Erstellung automatisch zu benennen und zu kategorisieren. Native Android- oder iOS-Apps sowie Third-Party-Passkey-Anbieter verwenden jedoch möglicherweise keine User Agents oder fügen keine Informationen hinzu, die darauf hinweisen, dass ein Passkey von einem Third-Party-Passkey-Anbieter generiert wurde. Diese Einschränkung unterstreicht den Bedarf an verbesserten Methoden, um Benutzern zu helfen, ihre Passkeys unabhängig von Plattform oder Anbieter effizient zu verwalten.

Entnommen aus der WebAuthn-Spezifikation des W3C

Um diese Passkey-Verwaltung zu erleichtern, können Entwickler den Authenticator Attestation Globally Unique Identifier (AAGUID) nutzen. Die AAGUID ist eine eindeutige Kennung, die dem Modell des Authenticators zugewiesen wird, nicht seiner spezifischen Instanz. Sie ist in den Authenticator-Daten des Public-Key-Credentials eingebettet und bietet Relying Parties eine Möglichkeit, den Passkey-Anbieter zu identifizieren. Diese Fähigkeit ist entscheidend, um Benutzern und Relying Parties bei der Navigation in der Passkey-Landschaft zu helfen und sicherzustellen, dass jeder Passkey seiner Erstellungsquelle genau zugeordnet werden kann.

Wenn beispielsweise ein Passkey mit Google Password Manager auf einem Android-Gerät erstellt wird, kann die Relying Party eine AAGUID erhalten, die spezifisch für den Google Password Manager ist. Durch den Bezug auf diese AAGUID kann die Relying Party den Passkey dann entsprechend markieren, was die Verwaltung und Identifizierung für den Benutzer vereinfacht. Darüber hinaus können Relying Parties die Erstellung mehrerer Passkeys für denselben Passkey-Anbieter verhindern, indem sie die WebAuthn-Serveroption excludeCredentials verwenden. Dies verbessert die Passkey-UX weiter, da jeder Passkey-Anbieter nur einen Passkey hat und somit Benutzerverwirrung vermieden wird.

{
    "attestation": "none",
    "authenticatorSelection": {
        "residentKey": "preferred",
        "userVerification": "preferred"
    },
    "challenge": "6V61d0VM5bNTPxWSsrv7YKz0o4awe0ryoDh1V44RPRn6-mBQwv98BTRws6nMrBhEggGn7-tk1bl3YNSwc0oZpA",
    "excludeCredentials": [
        {
            "id": "1kBn2dmhv5JhuFxqeco1khCBCUBLlWYqZmFtdDujH5pM",
            "transports": ["internal"],
            "type": "public-key"
        }
    ],
    "extensions": {
        "credProps": true
    },
    "pubKeyCredParams": [
        {
            "alg": -7,
            "type": "public-key"
        },
        {
            "alg": -257,
            "type": "public-key"
        }
    ],
    "rp": {
        "id": "Passkey Demo",
        "name": "passkeys.eu"
    },
    "user": {
        "displayName": "Test Name",
        "id": "ZG1sdVkyVnxe3SFJsYzNR",
        "name": "Test Name"
    }
}

Um den Passkey-Anbieter anhand einer AAGUID zu bestimmen, können Relying Parties auf ein von der Community bereitgestelltes Repository mit AAGUIDs zurückgreifen. Dieses Repository bietet die notwendigen Mappings, um den Passkey-Anbieter namentlich und möglicherweise anhand eines Icons zu identifizieren, was dazu beiträgt, eine intuitivere Benutzeroberfläche für die Passkey-Verwaltung bereitzustellen. Es ist jedoch wichtig zu beachten, dass einige Passkey-Anbieter absichtlich eine generische AAGUID ("00000000-0000-0000-0000-0000000000000") verwenden könnten, die einen unbekannten oder generischen Anbieter darstellt.

Das Abrufen der AAGUID ist mit den meisten WebAuthn-Bibliotheken unkompliziert. Wenn beispielsweise SimpleWebAuthn auf der Serverseite verwendet wird, können Entwickler die AAGUID aus den Registrierungsinformationen extrahieren, um sie mit einem bekannten Anbieter abzugleichen. Dies verbessert die Fähigkeit des Benutzers, seine Passkeys einfacher zu verwalten (entnommen aus Googles "Determine the passkey provider with AAGUID").

// Import a list of AAGUIDs from a JSON file
import aaguids from "./aaguids.json" with { type: "json" };
// ...
// Use SimpleWebAuthn handy function to verify the registration request.
const { verified, registrationInfo } = await verifyRegistrationResponse({
    response: credential,
    expectedChallenge,
    expectedOrigin,
    expectedRPID,
    requireUserVerification: false,
});
// ...
const { aaguid } = registrationInfo;
const provider_name = aaguids[aaguid]?.name || "Unknown";

Während AAGUIDs ein leistungsstarkes Werkzeug für das Passkey-Management bieten, sollten sie mit Vorsicht verwendet werden. Die Integrität einer AAGUID hängt vom Attestierungsprozess ab, der die Authentizität des Passkey-Anbieters validiert. Ohne eine gültige Attestierungssignatur könnten AAGUIDs möglicherweise manipuliert werden. Stand März 2024 ist es bemerkenswert, dass Passkeys auf einigen Plattformen keine Attestierung unterstützen, was die Notwendigkeit einer sorgfältigen Abwägung bei ihrer Nutzung unterstreicht.

Im Folgenden finden Sie eine nicht erschöpfende Liste von First- und Third-Party-Passkey-Anbietern für Android-Apps, iOS-Apps und Web-Apps unter Verwendung sehr gängiger Passkey-Betriebssystemversionen und Browser:

Im Folgenden finden Sie einige der Popups von Third-Party-Passkey-Anbietern zum Erstellen / Speichern eines Passkeys:

Die vollständige 1Password-Analyse finden Sie hier.

Die vollständige Dashlane-Analyse finden Sie hier.

Die vollständige KeePassXC-Analyse finden Sie hier.

Zentral für die Bereitstellung und Verwaltung von Passkeys ist die Rolle der Passkey-Anbieter, Entitäten, die nicht nur die Erstellung und Verwaltung von Passkeys erleichtern, sondern auch deren nahtlose Integration über verschiedene Plattformen und Geräte hinweg sicherstellen.

Das Ziel dieses Blogposts war es zu verstehen, was ein Passkey-Anbieter ist, einschließlich der Unterscheidung zwischen First-Party- und Third-Party-Anbietern sowie der entscheidenden Rolle des Authenticator Attestation Globally Unique Identifier (AAGUID). Die Verwendung von AAGUIDs, wie diskutiert, bietet eine vielversprechende Lösung und ermöglicht eine einfachere Identifizierung und Verwaltung von Passkeys.

Außerdem haben wir analysiert, welche First- und Third-Party-Passkey-Anbieter derzeit für Android, iOS und Windows existieren, was Benutzern auch dabei hilft, einen geeigneten Third-Party-Passkey-Anbieter oder ihr bevorzugtes Gerät zu finden.

Für Entwickler und Produktmanager leiten die Einblicke in Passkey-Anbieter und deren Verwaltung nicht nur die technische Implementierung der Passkey-Authentifizierung, sondern stehen auch im Einklang mit dem umfassenderen Ziel, das Benutzererlebnis und die Sicherheit zu verbessern.

Über Corbado

Corbado ist die Passkey Intelligence Platform für CIAM-Teams, die Consumer-Authentifizierung im großen Maßstab betreiben. Wir zeigen Ihnen, was IDP-Logs und generische Analytics-Tools nicht sehen können: welche Geräte, OS-Versionen, Browser und Credential-Manager Passkeys unterstützen, warum Enrollments nicht zu Logins werden, wo der WebAuthn-Flow scheitert und wann ein OS- oder Browser-Update den Login still und leise unterbricht – und das alles, ohne Okta, Auth0, Ping, Cognito oder Ihren In-House-IDP zu ersetzen. Zwei Produkte: Corbado Observe ergänzt Observability für Passkeys und jede andere Login-Methode. Corbado Connect bringt Managed Passkeys mit integrierter Analytics (neben Ihrem IDP). VicRoads betreibt Passkeys für über 5 Mio. Nutzer mit Corbado (+80 % Passkey-Aktivierung). Mit einem Passkey-Experten sprechen →