Passkey – eine passwortlose Zukunft.
Passkeys ersetzen Passwörter, sie beschleunigen die Anmeldung der Benutzer:innen, sind einfacher zu verwenden und sind viel sicherer. Neugierig geworden?
OpenOlat unterstützt Passkey ab Release 18.1
Ab Release 18.1 ist es in OpenOlat möglich, sich mit Passkeys anzumelden. Dieses neue Authentifizierungsverfahren wird von der FIDO Alliance entwickelt – unter anderem gehören grosse Softwareunterhmen wie Google, Apple und Microsoft dieser Allianz an. Das Verfahren ist offen und herstellerunabhängig.
Passwortsicherheit ist ein grosses Thema, wenn über Online-Sicherheit diskutiert wird. Noch immer sind schwache oder mehrfach verwendete Passwörter häufig das Sicherheitsrisiko Nummer 1. Ziel von Passkeys ist es, sowohl das Passwort als auch die traditionelle Multi-Faktor-Authentifizierung mittelfristig zu ersetzen. Die Autorisierung findet stattdessen einfach mit dem eigenen Fingerabdruck, einem Gesichtsscan oder der Bildschirmsperre auf allen Geräten, Apps und Websites statt.
Eine Übersicht dazu, gegen welche Angriffsmethoden Passkey wirksamer ist als gängige Authentifizierungsmethoden und Hilfestellungen:
Wie funktioniert ein Passkey?
Ein Passkey besteht aus zwei Teilen – dem Public Key (öffentlicher Schlüssel, der sich auf OpenOlat befindet) und einem entsprechenden Private Key (privater Schlüssel, der sich auf dem Gerät der Benutzer:innen befindet). Bei der Anmeldung prüft die Webseite, ob die beiden Schlüsssel zueinander passen. Je nach Konfiguration bestätigen die Benutzer:innen die Anwendung des Passkey im Browser mit Fingerabdruck, Gesichtserkennung oder Pin Code. Zu keiner Zeit verlässt der private Schlüssel oder die biometrischen Daten das physische Gerät des Nutzers/der Nutzerin.
Umgang mit Passkeys
Für Nutzer:innen ist der Umgang mit Passkeys «Neuland». Hersteller wie Google, Apple und Microsoft und führende Browser-Hersteller haben aber bereits wichtige Basis-Arbeiten geleistet. So ist es möglich, die Passkeys in seiner persönlichen iCloud (Apple), im Google- oder Microsoft-Konto zu synchronisieren. Somit ist der Passkey nicht nur auf dem Desktop, sondern auch auf dem Tablet und anderen mobilen Geräten verfügbar. Zudem unterstützen Browser wie Google Chrome auch die Passkeys, welche in der iCloud abgelegt sind etc.
Für Interessierte hier eine Übersicht, welche Geräte Passkeys in welcher Form/Kombination unterstützen: https://passkeys.dev/device-support/
Passkey auf OpenOlat in Aktion
Welche Möglichkeiten bietet OpenOlat mit Passkeys?
Ab Release 18.1 ist es möglich für Kunden und Kundinnen mit OpenOlat-Logins, Passkey zu aktivieren und zu konfigurieren. Bei anderen Login-Methoden wie Microsoft 365 oder anderen SSO Lösungen wird die Authentifizierung nicht über OpenOlat getätigt – somit ist auch kein Passkey mit OpenOlat möglich.
In OpenOlat werden neu drei Sicherheitsstufen unterschieden:
- Stufe 1: Passwort (Standard-Einstellung)
- Stufe 2: Passkey
- Stufe 3: Passwort & Passkey (2FA)
In der Administration wird festgelegt, für welche OpenOlat-Rollen eine erhöhte Sicherheitsstufe als Minimalstandard gilt. Beispielsweise kann es sinnvoll sein, Administratoren mit mindestens Stufe 2 zu konfigurieren. In diesem Fall werden Benutzer:innen mit der Rolle «Administrator» beim nächsten Login von OpenOlat aufgefordert, einen Passkey zu generieren.
OpenOlat-Benutzer:innen können im persönlichen Passwort-Werkzeug von OpenOlat ihre eigenen Passkeys verwalten, zusätzliche Passkeys erstellen oder bestehende wieder löschen.
Hilfe ich habe mich ausgesperrt! Für diesen Fall können in OpenOlat Recovery-Keys erzeugt werden. Diese bewahren Benutzer:innen an einem sicheren Ort auf, um auf diese im Notfall als «Einmal-Passwort» zurückgreifen zu können.
Wo kann ich OpenOlat und Passkey testen?
Falls kein passendes Test-System zur Verfügung steht, kann das Passkey-Verfahren auch ganz einfach auf dem Beta-System von OpenOlat https://beta.openolat.com/ getestet werden – Account anlegen und in den persönlichen Passwort-Einstellungen einen Passkey generieren.
Tipps zum Start
Benutzer:innen sollten vor der Erstellung eines Passkeys sich überlegen, in welcher Umgebung sie den Passkey ablegen möchten. Die Fragestellung nach dem eigenen «IT-Ökosystem» ist wichtig – nutze ich vor allem Windows, Apple oder Google-Geräte? Die Antwort auf diese Frage ergibt meist auch den sinnvollen Speicherplatz für den ersten Passkey. Weitere können zu einem späteren Zeitpunkt in OpenOlat ergänzt werden.