Dieses Rezept ist Teil der Serie CIAM anhand von Beispielen lernen: Vier Rezepte zur Verbesserung der Sicherheit und User Experience Ihrer Apps. Weitere Informationen zur Serie finden Sie im Download unserer vier Rezepte in einem Kochbuchformat. In diesem Rezept erfahren Sie, wie Sie Ihrer Anwendung eine passwortlose Authentifizierung mit Passkeys hinzufügen. |
Angriffspunkte werden jeden Tag ausgefeilter, und Passwörter sind nicht das einzige einfache Ziel für böswilliges Verhalten.
Verbraucher, Gesetzgeber und Organisationen werden sich zunehmend der böswilligen Targeting mit KI bewusst, um Phishing zu betreiben oder eine Partei auf betrügerische Weise davon zu überzeugen, sensible Informationen weiterzugeben.
Wenn beispielsweise die Nummer eines Benutzers durchsickert, können Angreifer einen Bot einsetzen, um diese mit einer Flut von Push-Benachrichtigungen über ihre registrierten Geräte zu belästigen, um sie unter Druck zu setzen, eine Transaktion zu autorisieren, oder sie sogar mit einem QR-Code auf eine gefälschte Händlerseite zum Sign-in umzuleiten, um noch mehr Daten zu stehlen.
Phishing-Taktiken umfassen, sind aber nicht beschränkt auf Malware-Bereitstellung, Spyware-Überwachung und gehackter Account, um Benutzer dazu zu bringen, mehr personenbezogene Daten weiterzugeben, die wiederholt missbraucht werden können.
Was ist ein Passkey?
Ein Passkey ist ein Schlüsselpaar — einer für Sie, der öffentlich ist, und einer für Ihren bekannten Benutzer, der privat ist und den Sie nie sehen.
Benutzer können sich darauf verlassen, dass der private Schlüssel ihres Passkeys jeden Kanal mit einem Associate öffentlichen Schlüssel autorisiert, was bedeutet, dass Ihre Benutzer die Biometrie nie direkt bei Ihnen einrichten müssen, sondern von der Wiederverwendung ihrer vorhandenen Biometrie für Ihre Dienste und Partnerdienste profitieren.
Developer können sich beruhigt zurücklehnen, da Angreifer mit ihrem gehosteten öffentlichen Schlüssel nichts anfangen können, da keine Verbraucherprofilinformationen oder Anmeldedaten mit einem öffentlichen Schlüssel verknüpft sind – nur ein vom Benutzer autorisierter privater Schlüssel kann sich mit dem öffentlichen Schlüssel verbinden, um Zugriff zu gewähren.
Mit Passkeys können sich Organisationen über Netzwerke hinweg mit der vorhandenen Mobiltechnologie ihres Smartphones bei Verbrauchern Sign-in, wodurch es möglich ist, sich fast überall mit derselben Biometrie oder PIN zu authentifizieren, die sie zum Entsperren ihrer Geräten verwenden.
Warum sind Passkeys gerade so angesagt?
Kunden möchten weniger Zeit mit dem Einloggen verbringen.
Die Art und Weise, wie wir SMS versenden, Anrufe tätigen und sogar Social-Media-Updates posten, ist dieselbe Technologie, die Service Provider wie Apple und Google in ihre Produkte integriert haben, um die Anmeldung bei ihren Ökosystemen zu vereinfachen und zu beschleunigen.
Jetzt können Organisationen ihre eigenen Händlerökosysteme erstellen und Benutzern sicherere Möglichkeiten bieten, den Sign-in durchzuführen und ihre Daten ohne Passwort zu verwalten. Passkeys können auch die Authentifizierung auf Ihrer Plattform um das 2,6-fache beschleunigen .
Passkeys bieten eine bessere User Experience, die Organisationen mehr Kontrolle über ihre digitalen Eigenschaften über Systeme und Geräte hinweg gibt, mit dem zusätzlichen Vorteil für Benutzer, Passwörter ganz zu vermeiden.
Grundsätzlich machen Passkeys die Verbraucher zufrieden, weil sie in verschiedenen Kontexten und Umgebungen zwischen Geräten wechseln und ein nahtloses Benutzererlebnis gewährleisten können, und Organisationen können ihren Vertriebstrichter optimieren.
Während es einschüchternd erscheinen mag, der Liste eine weitere digitale Anmeldedaten hinzuzufügen, werden Passkeys von starken kryptografischen Standards unterstützt, die den Hype wert sind, und jede Organisation kann Passkeys mit Auth0 by Okta zu ihrer Anti-Phishing-Strategie hinzufügen.
Rezept
Zutaten:
Passkeys sind sehr einfach einzurichten. Mit nur wenigen Schritten im Auth0-Dashboard aktualisiert Ihr cloud-gehosteter New Universal Login den Rest, wobei Passkeys für alle Benutzer verfügbar sind.
- Navigieren Sie zu Authentication > Authentication Profile, und Auswählen Identifier First
- Navigieren Sie zu Authentication > Database, und wählen Sie Auswählen Create DB Connection. Nennen Sie sie "Passkeys" und klicken Sie auf Erstellen. Wählen Sie die Registerkarte Authentication Methods auf dem nächsten Bildschirm aus, und aktivieren Sie Passkey
- Und das war‘s! Wenn Sie sich anmelden oder registrieren, sehen Sie Passkey als Option, mit allen User Experience- und sicheren Authentifizierungs-Best Practice best practices baked in:
Passkeys: Die kundenfreundliche Sicherheit
Passkeys machen es Benutzern leicht, sich sicher durch mehrere Netzwerke und Kanäle zu bewegen, da Passkeys mehrere Anbieternetzwerke durchschneiden, ohne Anmeldedaten, einschließlich Passwörter, weiterzugeben.
Passkeys werden niemals außerhalb ihres Geräts oder ihrer Dienste weitergegeben und erfassen die Zustimmung eines Benutzers (doppeltes Tippen auf den Button), um ohne Eingabe eines Passworts auf seine digitalen Eigenschaften zuzugreifen.
Softwaregebunden
Passkeys können Benutzer ohne Passwörter über Geräte und Dienste hinweg authentifizieren, um Ihre Lieblingssendung weiterhin von Ihrem Smartphone auf Ihr Tablet zu streamen.
Nehmen wir an, Ihr Benutzer hat sich mit seinen Google-Anmeldedaten für Ihren Streaming-Dienst angemeldet, verwendet aber seine Apple-ID für alles andere, da er ein iPhone und ein iPad besitzt.
Der iPhone-Passkey eines Benutzers kann (mit seiner Zustimmung) verwendet werden, um einen Passkey für diesen Streaming-Dienst auf seinem iPad für sein Google-Account zu erstellen, ohne die Schritte, die mit der normalen Biometrie-Registrierung und dem Austausch zwischen Anbietern verbunden sind, die durch Synced passkeys ersetzt werden.
Gerätegebunden
Passkey-Hardware, wie ein Yubikey, ist der Goldstandard für Phishing-Resistenz und Verbrauchersicherheit. Tatsächlich ist die Verwendung eines Passkeys über Near-Field Communication die sicherste Methode, da der Passkey das Gerät nie verlässt und die Verwendung eines physischen Geräts den Nachweis der Anwesenheit ermöglicht.
Ein gerätegebundener Passkey kann verwendet werden, um eine geräteübergreifende Authentifizierung in unmittelbarer Nähe zueinander durchzuführen – und sofort geräteübergreifend zu synchronisieren, anzumelden (und mit dem Streaming zu beginnen), und gilt als das sicherste Passkey-Muster.
Marken können ihre Perimeter schützen, indem sie die Verwendung von Passkey-Hardware fördern und, wie ein Mediengigant, höhere Konversionsraten und eine drastische Senkung der Account-Serviceanfragen verzeichnen, während sie gleichzeitig vor böswilligen Aktivitäten schützen und ein sicheres, reibungsloses Experience bieten, das Verbraucher lieben.
Mehr über gerätegebundene Passkeys erfahren Sie in unserem Beitrag zur Einrichtung mit Auth0.
Was kommt als Nächstes?
Herzlichen Glückwunsch zum Hinzufügen von passwortlos zu Ihren Apps mit Passkeys! Jetzt sind wir bereit, uns mit dem Datenschutz zu befassen! Um die Informationen Ihrer Kunden vollständig zu schützen und Vorschriften wie DSGVO, HIPAA und CCPA einzuhalten, muss Ihre App zusätzliche Funktionen wie Benutzereinwilligung, Audit und ein Preference Center bieten.
In unserem nächsten Rezept werden wir uns mit den wesentlichen Elementen befassen, um Ihre App mit dem Datenschutz in Einklang zu bringen. Um alle Rezepte in einem umfassenden Leitfaden zu erhalten, laden Sie unser Kochbuch herunter.
