QR-Code-Login: Methoden und Authentifizierung

Sichere und bequeme Authentifizierungsmethoden sind wichtiger denn je. Da wir täglich auf immer mehr Online-Dienste von verschiedenen Geräten aus zugreifen, werden herkömmliche passwortbasierte Systeme immer ineffektiver und umständlicher. Besonders für Unternehmen mit vielen Nutzern in ihren nativen Apps (iOS oder Android Apps) hat dies zu einer steigenden Nachfrage nach QR-Code-basierten Logins geführt. Diese bieten eine schnelle und einfache Möglichkeit, Nutzer zu authentifizieren, ohne komplexe Passwörter oder sogar Benutzernamen eingeben zu müssen.

In diesem Zusammenhang tauchen Fragen wie die folgenden auf:

• Wie funktioniert die QR-Code-basierte Authentifizierung mit nativen Apps?
• Wie schneidet sie im Vergleich zur QR-Code-basierten Authentifizierung mit Passkeys ab?

Native QR Code Revolut

Passkeys QR Code Apple

Prominente Beispiele für QR-Codes bei Logins in nativen Apps sind App-First-Dienste wie WhatsApp, TikTok oder Revolut. Gleichzeitig gibt es eine schnell wachsende Liste von Unternehmen, die Passkey-Logins unterstützen.

In diesem Artikel untersuchen wir QR-Code-basierte Authentifizierungstechniken. Wir konzentrieren uns dabei nicht auf TOTP-QR-Codes, die zur Initialisierung eines zweiten Faktors verwendet werden (mit zusätzlichen Apps wie Authy oder Google Authenticator)**.

Wir werden auch verschiedene QR-basierte Authentifizierungsmethoden vergleichen und ihre Stärken, Schwächen und potenziellen Schwachstellen untersuchen.

Am Ende dieses Artikels haben wir ein klareres Verständnis dafür, ob die QR-Code-basierte Authentifizierung die richtige Wahl für die eigenen Sicherheitsanforderungen ist.

QR-Codes, oder Quick-Response-Codes, sind zweidimensionale Barcodes, die eine Vielzahl von Informationen speichern können, von URLs bis hin zu einfachem Text. Ursprünglich 1994 von Denso Wave, einer Tochtergesellschaft der Toyota-Gruppe, entwickelt, wurden QR-Codes für die schnelle und effiziente Verfolgung von Autoteilen konzipiert. Seitdem haben sich QR-Codes weiterentwickelt und finden aufgrund ihrer Fähigkeit, eine große Datenmenge in einem kleinen, scannbaren Quadrat zu speichern, in verschiedenen Branchen Anwendung.

Der Begriff „QR Code“ ist eigentlich eine Marke von Denso Wave, obwohl die Technologie selbst weithin übernommen wurde und nicht durch die Marke eingeschränkt ist. QR-Codes zeichnen sich durch ihre schwarz-weißen quadratischen Muster aus, die mit einem Smartphone oder einem speziellen Scangerät (QR-Scanner) gescannt werden können, um auf die codierten Informationen zuzugreifen.

Die Unterstützung für QR-Codes ist seit mehreren Jahren in mobile Betriebssysteme wie iOS und Android integriert. Beide Plattformen unterstützen das Scannen von QR-Codes nativ über ihre jeweiligen Kamera-Apps, was es für Nutzer einfacher macht, mit QR-Codes zu interagieren, ohne zusätzliche Software zu benötigen.

Subscribe to our Passkeys Substack for the latest news.

Subscribe

Im Allgemeinen nutzen QR-Codes, die in Verbindung mit Apps verwendet werden, benutzerdefinierte URLs oder App-Links. Diese Links können das automatische Öffnen der App auslösen, wenn sie auf dem Gerät installiert ist. Wenn die App nicht installiert ist, kann der QR-Code den Nutzer zum entsprechenden App Store leiten, um die App herunterzuladen und zu installieren, was eine reibungslose User Experience ermöglicht. Hier sehen Sie eine Liste von Pfaden, die Revolut für das App-Handling registriert hat:

https://revolut.com/.well-known/apple-app-site-association
{
    "applinks": {
        "apps": [],
        "details": [
            {
                "appID": "QUZEZSEARC.com.revolut.revolut",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.test",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.retail.india-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.invest-debug",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx",
                "paths": ["/app/*"]
            },
            {
                "appID": "QUZEZSEARC.com.revolut.revolutx-debug",
                "paths": ["/app/*"]
            }
        ]
    }
}

Wie man sehen kann, werden alle Links, die mit „/app/*“ beginnen, verarbeitet. Ein Beispiel dafür sehen wir im nächsten Abschnitt. Durch das Einbetten von benutzerdefinierten URLs und App-Links in QR-Codes können Unternehmen und Entwickler maßgeschneiderte Erlebnisse schaffen, die Nutzer direkt zur gewünschten App oder zum gewünschten Dienst führen und so sowohl den Komfort als auch die Sicherheit bei der Interaktion erhöhen.

Der QR-Code-Login über native Apps nutzt die nahtlose Interaktion zwischen der Kamera eines Mobilgeräts und spezifischen URLs, die in QR-Codes eingebettet sind. Der Prozess beginnt in der Regel damit, dass ein Nutzer einen QR-Code, der auf einer Website oder einem anderen Gerät angezeigt wird, mit der Kamera seines Smartphones scannt. Der QR-Code enthält eine benutzerdefinierte URL, die speziell für die Interaktion mit einer bestimmten nativen App entwickelt wurde, wie sie auf iOS- oder Android-Geräten zu finden ist.

Ein Dienst wie Revolut könnte beispielsweise einen QR-Code mit einer URL wie https://revolut.com/app/challenges/qr/e2d78521-d38a-4773-b1b8-27a902a36b4b verwenden. Diese URL wird von der auf dem Gerät des Nutzers installierten Revolut-App erkannt.

Wenn der QR-Code gescannt wird, fängt die App diesen Link automatisch ab, erkennt ihn, zeigt die entsprechende App an (im Beispiel oben wird „Revolut“ als passende App identifiziert) und führt den Anmeldevorgang intern durch. Diese Interaktion wird durch Deep-Linking-Mechanismen ermöglicht, die sowohl iOS als auch Android unterstützen. Diese erlauben es, bestimmte Links direkt in einer installierten App anstatt in einem Webbrowser zu öffnen:

Wenn die App nicht auf dem Gerät installiert ist, fordert das Betriebssystem den Nutzer in der Regel auf, die App zu installieren, indem es ihn zum entsprechenden App Store weiterleitet, sei es der Apple App Store für iOS-Geräte oder der Google Play Store für Android-Geräte.

Dies stellt sicher, dass der Nutzer die App auch dann schnell und einfach beziehen kann, wenn er sie anfangs nicht installiert hat, und den Prozess nach der Installation fortsetzen kann.

In den meisten Fällen erleben Bestandskunden, die die App bereits installiert haben, einen reibungslosen Anmeldevorgang. Sie scannen den QR-Code, die App öffnet sich automatisch und die Authentifizierung wird abgeschlossen, ohne dass ein Benutzername oder ein Passwort eingegeben werden muss. Diese Methode bietet den Nutzern vor allem Komfort, da während des Scannens des QR-Codes keine sensiblen Informationen übertragen werden.

Technisch gesehen wird eine bestehende, angemeldete Sitzung auf einem Mobiltelefon verwendet, um eine neue Sitzung auf dem Desktop zu authentifizieren. Dafür gibt es verschiedene Techniken. Eine sehr ausgefeilte Version wird im WhatsApp Security Whitepaper unter Client Registration à Companion Device Registration à Link Using QR-Code veröffentlicht.

Entnommen aus https://engineering.fb.com/2021/07/14/security/whatsapp-multi-device/

Da WhatsApp seit 2021 den Zugriff auf mehrere Geräte und eine Ende-zu-Ende-Verschlüsselung unterstützt, ist die Architektur nicht perfekt für die Authentifizierung geeignet – denn das Protokoll ist in erster Linie für eine Messaging-Anwendung mit mehreren Geräten konzipiert. Es gibt einfachere Ansätze, um einen sicheren Handshake zu erreichen, abhängig von der tatsächlichen Implementierung der Authentifizierung. Wichtig ist, dass immer ein sicherer Umgang mit den User-Sitzungen und den Kommunikationskanälen zwischen Gerät und Server gewährleistet sein muss. Unabhängig von der Komplexität der Implementierung des QR-Code-Logins sollten einige wichtige Sicherheitsprinzipien immer beachtet werden:

1. Sitzungsintegrität: Die bestehende angemeldete Sitzung auf dem Mobiltelefon, die zur Authentifizierung einer neuen Sitzung auf einem Desktop oder einem anderen Gerät verwendet wird, muss sicher validiert werden. Dies beinhaltet in der Regel die Überprüfung der Authentizität der Sitzung mit sicheren Token oder anderen kryptografischen Methoden, um Session Hijacking oder Replay-Angriffe zu verhindern.
2. Verschlüsselte Kommunikation: Die gesamte Kommunikation zwischen der mobilen App, dem Server und dem Gerät, das die Authentifizierung anfordert, sollte mit HTTPS verschlüsselt werden. Dies trägt dazu bei, dass sensible Informationen, einschließlich Sitzungs-Token und Anmeldedaten, während der Übertragung nicht abgefangen oder manipuliert werden können.
3. Sichere Token-Generierung: Alle für den QR-Code-Authentifizierungsprozess generierten Token oder Anmeldeinformationen sollten sicher generiert werden. Dies könnte das Binden an das anfragende Gerät beinhalten, damit es nicht auf anderen Geräten als Vorsichtsmaßnahme verwendet werden kann (z. B. Browser-Agent).
4. Vom Nutzer verifizierter Login: Bevor der Authentifizierungsprozess abgeschlossen wird, empfiehlt es sich, einen Schritt einzubauen, bei dem der Nutzer den Anmeldeversuch verifizieren oder bestätigen kann. Dies könnte in Form einer Benachrichtigung auf dem Mobilgerät geschehen, die eine Bestätigung des Nutzers erfordert und Authentifizierungsdetails anzeigt, was eine zusätzliche Sicherheitsebene darstellt (wie im Screenshot oben zu sehen).
5. Zeitbasierte Einschränkungen: Implementieren Sie zeitbasierte Einschränkungen für die Gültigkeit von QR-Codes, um das Risiko zu minimieren, dass der QR-Code für unbefugten Zugriff verwendet wird, wenn er in die falschen Hände gerät. Die Begrenzung des Zeitfensters, in dem ein QR-Code verwendet werden kann, hilft, potenzielle Sicherheitsbedrohungen zu reduzieren. Er sollte sich automatisch aktualisieren und eine maximale Gültigkeit von weniger als 120 Sekunden haben, um Man-in-the-Middle-Angriffe zu vermeiden.
6. Standortbasierte Einschränkungen: Einschränkungen bei Anmeldeversuchen, wie z. B. die Erkennung von „unmöglichen Reisen“, sollten auch bei QR-Codes durchgesetzt werden. Dies könnte das automatische Abfangen von Anmeldeversuchen auf der Grundlage verdächtiger IP-basierter Informationen beinhalten, z. B. wenn ein QR-Code in den USA generiert wird, während die App zur Authentifizierung in Europa geöffnet wird.
7. Rate-Limiting, Protokollierung und Überwachung: Implementieren Sie angemessenes Rate-Limiting, Protokollierung und Überwachung, um verdächtige Aktivitäten im Zusammenhang mit QR-Code-Logins zu erkennen und darauf zu reagieren. Dies hilft bei der Identifizierung potenzieller Sicherheitsverletzungen und der rechtzeitigen Ergreifung von Maßnahmen zum Schutz von Nutzerkonten.
8. Benutzerbenachrichtigung: Erfolgreiche Anmeldeversuche auf einem neuen Gerät sollten eine E-Mail-Benachrichtigung an den Nutzer auslösen, die wichtige Informationen enthält (z. B. wann und wo der Anmeldeversuch mit welchem Gerät und welcher IP-Adresse stattgefunden hat) und Anweisungen, was zu tun ist, wenn der Login nicht vom Nutzer ausgelöst wurde (z. B. sofortiger Kontakt mit dem Dienst, Überwachung des Kontos oder Entfernen aller angemeldeten Geräte, falls das System dies unterstützt).

Durch die Befolgung dieser Best Practices können Unternehmen eine QR-Code-basierte Authentifizierung implementieren, die sowohl benutzerfreundlich als auch sicher ist und den Komfort mobiler Geräte nutzt, während gleichzeitig robuste Sicherheitsmaßnahmen zum Schutz von Nutzerdaten und Sitzungen aufrechterhalten werden.

Become part of our Passkeys Community for updates & support.

Join

Werfen wir nun einen Blick auf QR-Code-Logins über Passkeys.

Die Passkey-basierte Authentifizierung bietet ein sicheres, geräteübergreifendes Authentifizierungssystem, das in die Ökosysteme von iOS und Android integriert und im WebAuthn-Standard spezifiziert ist. Derzeit können nur auf iOS oder Android erstellte Passkeys für die geräteübergreifende Authentifizierung (CDA) über QR-Codes verwendet werden.

Analysieren wir, wie der QR-Code-Login mit Passkeys funktioniert. Die folgende Grafik zeigt einen groben Überblick über die verschiedenen Schritte.

Sowohl bei iOS als auch bei Android werden Passkeys im nativen Authenticator der Plattform gespeichert (z. B. Face ID, Touch ID oder Android Biometrics). Dadurch wird sichergestellt, dass die Passkeys eines Nutzers auf allen seinen Geräten verfügbar sind, die mit derselben Apple-ID (für iOS) oder demselben Google-Konto (für Android) auf modernen Betriebssystemversionen angemeldet sind.

• Beide Geräte benötigen eine aktive Internetverbindung: Beide am Authentifizierungsprozess beteiligten Geräte müssen über eine aktive Internetverbindung verfügen. Dies ist entscheidend für die Synchronisierung von Daten und die Überprüfung der Anmeldeinformationen während des Authentifizierungsprozesses.
• Beide Geräte müssen Bluetooth unterstützen: Beide Geräte müssen Bluetooth unterstützen, und Bluetooth muss aktiviert sein. Bluetooth wird verwendet, um die Nähe zwischen den Geräten festzustellen und sicherzustellen, dass sich die Geräte während der Authentifizierung in der Nähe voneinander befinden, wodurch das Risiko von Phishing von einem entfernten Standort aus verringert wird.

• Gerätegebundene Desktop-Passkeys: Passkeys, die gerätegebunden und auf Desktops, z. B. auf Windows-Plattformen, gespeichert sind, sind nicht für die QR-Code-basierte CDA geeignet.
• Abhängigkeit von Bluetooth: Die Abhängigkeit von Bluetooth kann manchmal ein Nachteil sein, da potenzielle Verbindungsprobleme oder Geräteeinstellungen die Bluetooth-Näherungsprüfung stören könnten. Obwohl die Feststellung der Nähe die Sicherheit erhöhen kann, kann sie auch zu Usability-Problemen führen, wenn die Geräte keine Verbindung über Bluetooth herstellen können. Sobald die Geräte jedoch erfolgreich gekoppelt sind, werden nachfolgende Verbindungen in der Regel unkomplizierter.

Discuss passkeys news and questions in r/passkey.

Join Subreddit

• Keine Remote-Phishing-Angriffe: Die Verwendung von Bluetooth zur Näherungsprüfung stellt sicher, dass sich beide Geräte während des Authentifizierungsprozesses physisch in der Nähe voneinander befinden, was das Risiko von Phishing-Angriffen von entfernten Standorten aus verringert.
• Synchronisierte Passkeys bieten eine bessere UX: Die Synchronisierung von Passkeys über Geräte hinweg bietet ebenfalls eine nahtlose User Experience, da die Nutzer nicht mehrere Sätze von Anmeldeinformationen verwalten müssen.

Bei der Implementierung der Passkey-basierten Cross-Device Authentication (CDA) ist es entscheidend, den Nutzern eine klare Anleitung für den Prozess zu geben. Nutzer sollten darüber informiert werden, dass ein QR-Code angezeigt wird und sie ihn mit ihrem Mobiltelefon scannen müssen.

Unserer Meinung nach ist es wichtig sicherzustellen, dass keine QR-Codes angezeigt werden, wenn der Nutzer keinen Passkey besitzt, der für CDA verwendet werden kann. Zusätzlich muss vor der Anzeige eines QR-Codes überprüft werden, ob das aktuelle Betriebssystem und der Browser des Nutzers CDA unterstützen.

Want to find out how many people use passkeys?

View Adoption Data

Um diese Szenarien effektiv zu handhaben, haben wir alle kritischen Fälle in diesem Artikel beschrieben, sodass wir hier nicht ins Detail gehen werden. Unser Passkey-Intelligence-System ist darauf ausgelegt, diese Situationen automatisch zu handhaben. Es stellt sicher, dass QR-Codes nur dann angezeigt werden, wenn es angebracht ist, und führt die Nutzer reibungslos durch den Authentifizierungsprozess. Dies gewährleistet eine nahtlose Erfahrung bei gleichzeitig hoher Sicherheit und Kompatibilität über verschiedene Geräte und Betriebssysteme hinweg.

In diesem Abschnitt fassen wir die beiden in diesem Artikel besprochenen primären QR-Code-basierten Anmeldemethoden zusammen: QR-Code-Login über native Apps und QR-Code-Login über Passkeys. Jede Methode bietet einzigartige Vorteile und eignet sich für unterschiedliche Anwendungsfälle, basierend auf Faktoren wie Sicherheit, User Experience und Implementierungskomplexität.

• QR-Code-Login über native Apps nutzt Deep Linking, um einen QR-Code mit einer bestimmten, auf einem Mobilgerät installierten App zu verbinden. Wenn ein Nutzer den QR-Code scannt, wird die zugehörige App ausgelöst, was einen nahtlosen und sicheren Anmeldevorgang ermöglicht. Diese Methode wird häufig in App-First-Anwendungen wie WhatsApp, TikTok und Revolut verwendet, bei denen die Nutzer mit der App-Umgebung vertraut sind und sich einfach authentifizieren können, ohne ein Passwort eingeben zu müssen.
• QR-Code-Login über Passkeys verwendet einen fortschrittlicheren, geräteübergreifenden Authentifizierungsansatz, der direkt in die plattformeigenen Authenticator des Betriebssystems integriert ist (es muss keine native App installiert werden). Diese Methode ist darauf ausgelegt, ein hohes Maß an Sicherheit zu bieten, indem sie synchronisierte Passkeys verwendet und erfordert, dass sich beide Geräte während des Authentifizierungsprozesses in unmittelbarer Nähe befinden (überprüft via Bluetooth). Diese Methode bietet einen starken Schutz vor Phishing-Angriffen und eine optimierte User Experience über mehrere Geräte hinweg.

Schauen wir uns an, wie sich die beiden Methoden vergleichen und welche unterschiedlichen Eigenschaften sie haben:

Vergleichstabelle: QR-Code-Login über native Apps vs. QR-Code-Login über Passkeys

Wir haben uns in der Vergleichstabelle auf authentifizierungsbasierte Merkmale konzentriert, und die in Abschnitt drei beschriebenen umgebenden Anforderungen gelten für beide Alternativen. Standort- und zeitbasierte Einschränkungen sind bei Passkeys nicht erforderlich, da sie Phishing-Resistenz und Näherungsprüfungen über WebAuthn einsetzen.

Want to try passkeys yourself in a passkeys demo?

Try Passkeys

Wie in der Einleitung dargelegt, haben wir uns die beiden häufigsten Szenarien der geräteübergreifenden Authentifizierung angesehen. Fassen wir sie kurz zusammen:

• Der QR-Code-Login über native Apps ist ideal für Unternehmen mit einer starken Nutzerbasis in ihren nativen Apps, die noch nicht über die Implementierung von Passkeys nachdenken und sich nicht allzu sehr um Phishing-Angriffe sorgen. Diese Methode bietet Komfort und Sicherheit, indem sie die bestehenden Authentifizierungsmechanismen der App nutzt, was die Reibung für Nutzer, die die App häufig verwenden, verringert, aber bei seltenen App-Logins nicht hilft.
• Der QR-Code-Login über Passkeys bietet eine sicherere und flexiblere Option, insbesondere für Umgebungen, in denen eine geräteübergreifende Authentifizierung erforderlich ist und Passkeys ebenfalls in Betracht gezogen oder bereits als Authentifizierungsfaktor verwendet werden. Durch die Nutzung von plattformbasierter Authentifizierung und Bluetooth-basierten Näherungsprüfungen bringt diese Methode die einzige zukunftssichere Phishing-resistente Multi-Faktor-Authentifizierung auch in geräteübergreifende Anwendungsfälle.

Um unsere Fragen aus der Einleitung zu beantworten:

• Wie unterscheiden sich die beiden Ansätze? Jedes Unternehmen sollte die Methode wählen, die am besten zu seinen Bedürfnissen passt, unter Berücksichtigung von Faktoren wie Nutzerbasis, Sicherheitsanforderungen und der gewünschten User Experience. Für App-zentrierte Dienste kann die Integration des QR-Code-Logins über native Apps ausreichen. Für diejenigen, die jedoch maximale Sicherheit und geräteübergreifende Fähigkeiten priorisieren, stellt der QR-Code-Login über Passkeys eine robuste Lösung dar.

Unabhängig von der aktuellen Bewertung, welche Lösung in die bestehende Authentifizierungsarchitektur passt, sollte man bedenken, dass Passkeys eine Investition in die Zukunft der Authentifizierung sind, da sich das Ökosystem klar in diese Richtung bewegt. Frühzeitig mit dem Sammeln von Passkeys zu beginnen, kann mit verschiedenen CDA-Strategien kombiniert werden.