In den letzten zwei Jahren haben sich Technologien zum Knacken von Passwörtern, sogenannte „Passkeys“, stark verbreitet. Sie wurden vom Technologieindustrieverband FIDO Alliance als einfachere und sicherere Authentifizierungsalternative entwickelt. Und obwohl es schwierig ist, eine so sichere Technologie wie Passwörter zu ersetzen, bringen die neuen Funktionen und Ressourcen, die diese Woche eingeführt werden, Passwörter auf einen Wendepunkt.
Auf der Authenticate-Konferenz der FIDO Alliance am Montag in Carlsbad, Kalifornien, kündigen Forscher zwei Projekte an, die es Organisationen einfacher machen werden, Zugangsschlüssel anzubieten und dass jeder diese nutzen kann. Eine davon ist eine neue technische Spezifikation namens Credential Exchange Protocol (CXP), die Zugriffsschlüssel zwischen digitalen Ökosystemen portierbar machen wird, eine Funktion, die von Benutzern zunehmend nachgefragt wird. Die andere ist eine Website namens Passkey Central, auf der Entwickler und Systemadministratoren Ressourcen wie Metriken und Implementierungshandbücher finden, die es einfach machen, bestehende digitale Plattformen mit Passwortunterstützung auszustatten.
„Für mich sind beide Ankündigungen Teil einer größeren Geschichte der Zusammenarbeit der Branche, um unsere Abhängigkeit von Passwörtern zu beenden“, sagte Andrew Shikiar, CEO der FIDO Alliance, WIRED vor den Ankündigungen vom Montag. „Und wenn es um CXP geht, haben wir all diese Unternehmen, die starke Konkurrenten sind und bereit sind, beim Austausch von Anmeldeinformationen zusammenzuarbeiten. »
CXP umfasst eine Reihe von Spezifikationsentwürfen, die von der FIDO Alliance „Credential Providers Special Interest Group“ entwickelt wurden. Die Entwicklung technischer Standards kann oft ein umständlicher bürokratischer Prozess sein, aber die Schaffung des CXP scheint positiv und gemeinschaftlich gewesen zu sein. Forscher der Passwort-Manager 1Password, Bitwarden, Dashlane, NordPass und Enpass haben alle an CXP gearbeitet, ebenso wie die Forscher der Identitätsanbieter Okta sowie Apple, Google, Microsoft, Samsung und SK Telecom.
Spezifikationen sind aus mehreren Gründen wichtig. CXP wurde für Zugriffsschlüssel entwickelt und zielt darauf ab, eine seit langem bestehende Kritik auszuräumen, dass Zugriffsschlüssel zur Benutzerbindung beitragen könnten, indem sie es Benutzern extrem erschweren, zwischen Betriebssystemanbietern und Gerätetypen zu wechseln. In vielerlei Hinsicht besteht dieses Problem bereits bei Passwörtern. Exportfunktionen, mit denen Sie alle Ihre Passwörter von einem Manager zu einem anderen verschieben können, sind oft gefährlich offengelegt und übertragen im Wesentlichen nur eine Liste aller Ihrer Passwörter in eine Nur-Text-Datei.
Es ist viel einfacher geworden, Passkeys über einen einzigen Passwort-Manager auf Ihren Geräten zu synchronisieren, aber CXP zielt darauf ab, den technischen Prozess für die sichere Übertragung dieser zwischen Plattformen zu standardisieren, damit Benutzer frei und sicher in der digitalen Landschaft navigieren können. Es ist wichtig zu beachten, dass CXP zwar mit Blick auf Zugriffsschlüssel entwickelt wurde, es sich jedoch tatsächlich um eine Spezifikation handelt, die auch für den sicheren Austausch anderer Geheimnisse, einschließlich Passwörtern oder anderer Arten von Daten, angepasst werden kann.