Passwortlos anmelden bei GitHub: Passkeys in der Beta
Git-Hoster GitHub hat für das passwortlose Anmelden mit Passkeys eine öffentliche Betaphase eingerichtet.
(Bild: Sundry Photography/Shutterstock.com)
GitHub geht einen weiteren Schritt, um Passwörter als Anmeldeverfahren zu ersetzen und bringt Passkeys in die öffentliche Beta. Passkeys sind der neueste Wurf der FIDO Alliance, um sicheres Anmelden im Internet zu vereinfachen – sie sollen viele der Alltagsprobleme lösen, die U2F- und FIDO2-Hardwaretoken mitbringen.
Anders als Passwörter arbeiten Passkeys mit asymmetrischen kryptografischen Schlüsseln. Der geheime Schlüssel bleibt immer auf dem Gerät, das sich anmelden will und der Betreiber des Dienstes kennt ihn zu keinem Zeitpunkt. Passwörter hingegen sind ein gemeinsames Geheimnis zwischen Nutzer und Dienst. Als Träger des geheimen Schlüssels für Passkeys kommen verschiedene Geräte infrage: Auf der einen Seite können fast alle Betriebssysteme die Schlüssel im Trusted Platform Module (TPM) des Geräts speichern – das gilt für Desktop- wie für Mobilbetriebssysteme. Um Passkeys zu nutzen, ist also nicht mehr zwangsläufig ein FIDO2-Stick notwendig.
Anders als bei FIDO2-Sticks können Passkeys, die von Betriebssystemen verwaltet werden, auch über mehrere Geräte synchronisiert werden. Möglich ist es auch, die Anmeldung am PC zu beginnen und über einen QR-Code mit einem Handy abzuschließen, auf dem der Passkey hinterlegt ist. Nützlich ist das zum Beispiel, um sich auf einem fremden PC anzumelden, ohne dort ein Geheimnis zu hinterlegen.
Testen bei GitHub
In seiner Ankündigung zur Testphase bezieht sich GitHub auf eine Studie der FIDO Alliance, nach der Passwörter die wesentliche Ursache für 80 Prozent aller Datenlecks sind – auch weil über 50 Prozent aller Passwörter mehrfach benutzt werden.
Um Passkeys zu testen, müssen angemeldete Nutzer bei GitHub lediglich oben rechts auf ihr Profilbild klicken, im Menü "Feature Preview" auswählen und Passkeys aktivieren.
Sobald ein Passkey hinterlegt ist, kann die Anmeldung an GitHub passwortlos erfolgen – zwei Faktoren gibt es bei GitHub dann aber weiterhin: Der Passkey selbst (also der private Schlüssel) ist ein Faktor, geschützt wird er je nach System zum Beispiel durch eine PIN oder einen Fingerabdrucksensor – in Microsoft-Systemen heißt das Windows Hello, bei Apple durch TouchID.
In den GitHub-Einstellungen unter der Adresse https://github.com/settings/security können Nutzer ihre Passkeys verwalten, benennen und alte oder verlorene Geräte löschen. Feedback zur neuen Funktion sammelt GitHub – nicht verwunderlich – auf einer GitHub-Discussions-Seite ein.
(jam)
