Passwortlose Logins mit PassKeys

Referierende:

Stefan Schumacher (Sicherheitsarchitekt, Dataport AöR)

Termin: Sonntag, 14:00 - Raum V4 - Dauer 60 Min.

Auf den CLT 2016 habe ich die Zwei-Faktor-Authentifizierung mit Yubikeys vorgestellt. Inzwischen hat sich in der FIDO-Welt einiges getan. So haben die FIDO-Alliance und das W3C schon 2022 sogenannte Passkeys ausgerollt. Diese sollen langfristig den Einsatz von Passwörtern überflüssig machen und Phishing-Attacken nachhaltig verhindern.

In diesem Vortrag zeige ich, wie WebAuthN bzw. FIDO2 funktionieren und erweitert wurden, um sichere passwortlose Logins zu ermöglichen. Desweiteren zeige ich, welche Hardware (Tokens, Smartphones, Secure Enclave) für Passkeys genutzt werden können und wo welche Vor- und Nachteile liegen. Besonderes Augenmerk liegt dabei auf der Kryptographie und Sicherheit des Verfahrens und auf dem versprochenen Phishing-Schutz. Außerdem diskutiere ich die Gefahr des Verlustes der digitalen Identität, wenn man seine Credentials an bestimmte Hersteller ausliefert.

Erwünschte Vorkenntnisse: Der Vortrag ist für Einsteiger geeignet.

Weitere Informationen: Kurz-Paper

Material zum Beitrag: Folien (322 KiB)

Video-Aufzeichnung (extern):

https://media.ccc.de/v/clt25-188-passwortlose-logins-mit-passkeys