Dashlane führt Passkey-Unterstützung unter Android ein
Verfasst von Rew Islam und Guillaume Bouxin
Im Februar hat Google die erste Entwicklervorschau für Android 14 veröffentlicht. Es handelt sich um einen ersten Blick auf die nächste Android-Version, die im Laufe des Jahres erscheinen soll.
Diese Entwicklervorschau enthält Android-Änderungen, um Drittanbieteranwendungen das Verwalten von Passkeys ermöglichen. Passkeys sind Phishing-resistente Anmeldedaten, die auf FIDO-Standards basieren und die Zukunft der Online-Authentifizierung darstellen, da sie als sichererer und benutzerfreundlicher Ersatz für Passwörter konzipiert sind.
Seit der Ankündigung von Passkeys im letzten Jahr gehört Dashlane zu den ersten Anbietern, die Passkeys unterstützen. Im August hat Dashlane integrierte Passkey-Unterstützung in seinem sicherheitsorientierten Passwort-Manager eingeführt und die erste In-Browser-Passkey-Lösung vorgestellt. Sie können unsere Vorschau mit der Dashlane Chrome-Erweiterung im Chrome-Desktopbrowser (oder jedem anderen Chromium-basierten Browser) testen.
Was die Android 14-Entwicklervorschau für Passkeys bedeutet
Was ist so interessant an dieser Android 14-Entwicklervorschau? Bislang konnten Sie Passkeys nur mit Ökosystemen von Plattformanbietern wie iCloud Keychain auf Apple-Plattformen oder dem Google Password Manager unter Android synchronisieren.
Technologieunternehmen wie Apple, Google und Microsoft arbeiten seit Jahren an passwortloser Authentifizierung. Erfahren Sie, was sie derzeit tun, um Passkeys zu unterstützen.
Wenn Sie einen dedizierten Passwort-Manager wie Dashlane verwenden, erwarten Sie wahrscheinlich, dass Ihre Passkeys ähnlich wie Passwörter verwaltet werden. Anders als bei Passwörtern ist das zugrunde liegende Verfahren, das bei Passkeys zum Einsatz kommt, komplexer, auch wenn das für Benutzer nicht so sichtbar ist. Passkeys sind aber deutlich einfacher zu erstellen und zu verwenden als Passwörter. Wie komplex das Verfahren ist, hängt von der Software ab, die Sie auf Ihrem Gerät verwenden. In den meisten Fällen ist das Ihr Browser oder Ihr mobiles Betriebssystem.
Mobile Plattformen wie Android und iOS erfordern Änderungen, damit Drittanbieteranwendungen wie Dashlane Passkeys verwalten können. Das sind genau die Änderungen, die in der Entwicklervorschau von Android 14 enthalten sind. Der Benutzer kann einfach mit seinem Fingerabdruck einen Passkey erstellen, anstatt ein Passwort einzugeben. Der Fingerabdruck verknüpft die Authentifizierungsaktion mit dem Benutzer des Geräts, was andere daran hindert, auf diesem Gerät Passkeys zu erstellen und zu verwenden.
Sehen Sie sich dieses kurze Demovideo an, um zu erfahren, wie Sie in einer Android-Demoanwendung ein neues Konto erstellen.
Die Benutzeroberfläche des unteren Blatts (die Komponente, die von unten auf Ihrem Bildschirm nach oben gleitet, um zusätzliche Inhalte anzuzeigen) ist zwar Teil von Android, doch wird der Passkey selbst von Dashlane generiert und im Tresor des Benutzers gespeichert. Bei der Anmeldung wird der im Dashlane-Tresor gespeicherte Passkey verwendet, um die Challenge zu signieren, wodurch die Authentifizierung validiert wird. All das geschieht, ohne dass der Benutzer etwas tun muss, außer seinen Fingerabdrucksensor zu berühren (oder alternativ eine Geräte-PIN einzugeben).
Dies ist die erste Android-Version, die es Password-Managern erlaubt, Passkeys zu verwalten. Wir erwarten eine Veröffentlichung im Laufe des Jahres. Halten Sie in den kommenden Monaten und Jahren nach Websites Ausschau, die Passkeys unterstützen. Wenn Sie erst einmal mit der Verwendung von Passkeys beginnen, wollen Sie wahrscheinlich nie mehr zu Passwörtern zurückkehren. Passkeys ermöglichen es Ihnen nicht nur, die Eingabe zu überspringen, sondern sind auch weitaus sicherer als Passwörter, sowohl was Phishing-Angriffe als auch die Benutzerfreundlichkeit angeht. Höhere Sicherheit geht oft auf Kosten der Benutzerfreundlichkeit. Wie Sie im Demovideo oben sehen können, ist das bei Passkeys aber nicht der Fall.
So funktioniert die Passkey-Unterstützung bei Dashlane
Es gibt zwei Abläufe, die Dashlane implementieren muss. Der erste ist die Erstellung eines Passkeys und dessen Speicherung im verschlüsselten Dashlane-Tresor. Der zweite besteht darin, sich mit einem vorhandenen Passkey anzumelden. Beide Implementierungen müssen der WebAuthn-Spezifikation entsprechen, um zu funktionieren.
Bei der Erstellung eines Passkeys generiert Dashlane ein asymmetrisches Schlüsselpaar, wobei der private Schlüssel sicher im Tresor des Benutzers gespeichert und der öffentliche Schlüssel an die vertrauende Partei (die Website oder Anwendung, die den Passkey registriert) zurückgegeben wird. Bei der Anmeldung mit einem Passkey wird die vertrauende Partei eine Challenge senden, die Dashlane mit dem privaten Schlüssel signiert und als Antwort zurücksendet, um den Benutzer zu authentifizieren.
Ein häufig verwendeter Algorithmus für WebAuthn ist der ECDSA mit SHA-256-Algorithmus. Er dient dazu, das Schlüsselpaar zu erstellen und die Challenge zu signieren. Die vertrauende Partei kann aber auch die Nutzung eines anderen Algorithmus anfordern.
Generieren Sie ein asymmetrisches Schlüsselpaar in der Programmiersprache Kotlin:
val spec = ECGenParameterSpec("secp256r1")
val keyPairGen = KeyPairGenerator.getInstance("EC")
keyPairGen.initialize(spec)
return keyPairGen.genKeyPair()
Signieren Sie eine Challenge mit einem privaten Schlüssel in Kotlin:
val sig = Signature.getInstance("SHA256withECDSA")
sig.initSign(privateKey)
sig.update(challenge)
return sig.sign()
Mit Android 14 kann Dashlane die Jetpack-Anmeldedatenbibliothek nutzen, um mit einer Anwendung zu kommunizieren, die einen Passkey verwenden möchte. So lässt sich eine Drittanbieteranwendung aufrufen, wenn eine Anfrage zur Erstellung oder Verwendung eines Passkey vorliegt. Dashlane muss in den Geräteeinstellungen als Identitätsanbieter-Service ausgewählt werden, ähnlich wie beim Autovervollständigen unter Android. Derzeit funktioniert dieser Ablauf nur bei nativen Anwendungen. Wir erwarten, dass Unterstützung für Websites in einer späteren Entwicklervorschau folgen wird.
Wenn Sie Entwickler sind, der in Ihrer nativen Android-Anwendung eine Anmeldung mit Passkeys implementieren möchte, können Sie die in diesem Leitfaden von Google beschriebenen Schritte befolgen.
Wann wird die Funktion für Dashlane-Benutzer verfügbar sein?
Passkey-Unterstützung unter Android für native Anwendungen wird mit Android 14 eingeführt, dessen Veröffentlichung im August 2023 geplant ist. Es wird noch etwas dauern, bis Anwendungen und Websites mit dem Einsatz von Passkeys beginnen. Wir gehen aber davon aus, dass sich die Entwicklung beschleunigen wird, sobald auf den Geräten, die viele Menschen täglich nutzen, breite Unterstützung für Passkeys gegeben ist.
Laden Sie die Dashlane Passwort-Manager-App im Google Play Store herunter, um loszulegen, und behalten Sie unseren Blog im Auge, um weitere Updates zu erhalten.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten