Veröffentlicht: 9. September 2024
Im Juni 2024 hat Google gemeinsam mit der FIDO Alliance einen Passkey-Hackathon in Tokio veranstaltet. Ziel war es, den Teilnehmern praktische Erfahrungen mit der Entwicklung von Passkeys und dem Prototyping von Passkeys für reale Produkte zu vermitteln. Mitarbeiter von Google und der FIDO Alliance standen als Ansprechpartner zur Verfügung.
Beim Hackathon haben sich neun Teams mit Passkeys beschäftigt. Die Jury hat die vier innovativsten und wirkungsvollsten Projekte ausgewählt.
Gewinner: Keio University SFC-RG pkLock team (Keio University)
Das SFC-RG pkLock-Team der Keio University war das einzige Team in diesem Wettbewerb, das sich der Herausforderung stellte, IoT-Geräte mit Passkeys zu kombinieren. Es brachte sogar einen 3D-Drucker mit.
Mit pkLock (ausgesprochen „pic-lock“) soll das häufige Problem der umständlichen Schlüsselübergabe bei Airbnb und anderen privaten Unterkünften gelöst werden. Dazu wird die passkey-geräteübergreifende Authentifizierung verwendet.
Das Gerät besteht aus einem QR-Code-Display an der Außenseite der Tür und einem Entsperrmechanismus an der Innenseite. Zusätzlich zum Gerät gibt es eine Webanwendung, mit der Nutzer buchen und entriegeln können. Gäste können die Tür entriegeln, indem sie ihre Hand vor der Tür unter das Gerät mit dem QR-Code-Display halten, den angezeigten QR-Code mit ihrem Smartphone lesen und eine Passkey-Authentifizierung (geräteübergreifende Authentifizierung) durchführen.
Außerdem haben sie großen Wert darauf gelegt, ein ausgeklügeltes Gerät zu entwerfen, das die Gastgeber in ihren Unterkünften installieren möchten. Ihr umfassender Ansatz, der auch die potenzielle breite Akzeptanz dieser Geräte berücksichtigt, hat die Jury überzeugt.
Während ihrer Präsentation sorgten sie für große Begeisterung beim Publikum, indem sie eine Miniaturtür öffneten, die sie während des Hackathons gebaut hatten. Bei dieser Demonstration wurde auf dem Gerät ein QR-Code mit einer URL mit einem Einmaltoken angezeigt, über das Nutzer zu einer Authentifizierungsseite weitergeleitet wurden. Künftig sollen Hybrid-Transporte auf dem Gerät implementiert werden, um eine direkte Entsperrung zu ermöglichen. Sie gewannen den Hackathon für ihre Pionierarbeit bei der Erforschung der Möglichkeiten der Verwendung von Passkeys auf IoT-Geräten.
FIDO Award 1: SKKN (Waseda University)
SKKN ist eine Forschungsgruppe der Waseda University, die sich auf Datenschutzstudien spezialisiert hat. Das Team hat einen sehr fortgeschrittenen Anwendungsfall für Passkeys vorgestellt und sie mit neuen Technologien kombiniert: prüfbare Anmeldedaten (VC) und Zero-Knowledge-Nachweis. Da verifizierbare Anmeldedaten und der Zero-Knowledge-Nachweis im Mittelpunkt der selbstsouveränen Identität und der dezentralen Identität (SSI/DID) stehen, hat ihre Präsentation sowohl bei den Hackathon-Juroren als auch bei anderen Teilnehmern große Aufmerksamkeit erregt.
Überprüfbare Anmeldedaten sind digitale Zertifikate, die Nutzerinformationen wie Name, Zugehörigkeit und Adresse bestätigen. Wenn der Wallet, in dem VCs gespeichert und verwaltet werden, angreifbar ist, können VCs von anderen gestohlen werden und diese können sich durch Vorzeigen des VCs als Nutzer ausgeben. Neben der Möglichkeit, dass nur der Nutzer, der die FIDO-Anmeldedaten hat, den VC vorlegen kann, haben sie eine Methode entwickelt, mit der nur vertrauenswürdige Wallet-Dienste VCs verarbeiten können.
Die Implementierung hat mehrere Vorteile:
- Durch die Verknüpfung und Ausstellung von VCs und FIDO-Anmeldedaten kann nur der Inhaber von FIDO die VCs verwenden.
- Es können nur Wallets verwendet werden, die vom Aussteller und Prüfer als vertrauenswürdig eingestuft wurden.
- Mit Passkeys können VCs und Wallets gesichert und wiederhergestellt werden. Nutzer können sich auch dann wiederherstellen, wenn sie ihr Gerät verlieren.
FIDO Award 2: TOKYU ID (Tokyu)
Das URBAN HACKS-Team, auch TOKYU ID-Team genannt, von der Tokyu Corporation, wurde für die innovative Nutzung von Passkeys für TOKYU ID mit dem FIDO Award ausgezeichnet. Die Tokyu-Gruppe ist ein großer japanischer Mischkonzern mit einer breiten Palette von Unternehmen, die sich auf Verkehr und Stadtentwicklung konzentrieren.
TOKYU ID soll alltägliche Interaktionen wie Zugfahrten vereinfachen. Da das Team die Bedeutung der Nutzerfreundlichkeit erkannte, implementierte es im Februar 2024 die Passkey-Anmeldung, um potenzielle Probleme wie das Verpassen eines Zuges aufgrund von Verzögerungen bei der Zwei-Faktor-Authentifizierung in digitalen Fahrkartendiensten zu beheben, die von einer Webanwendung bereitgestellt werden.
Sie nahm an diesem Hackathon teil, um ihre Vision für TOKYU ID zu validieren. Im Idealfall registrieren sich alle Nutzer mit Passkeys und melden sich damit an. Außerdem sollte die Kontowiederherstellung nahtlos funktionieren. Um dies zu erreichen, konzentrierte sich das Team beim Hackathon auf zwei wichtige Implementierungen: die Aktivierung der Passkey-Registrierung während der Erstregistrierung für die Mitgliedschaft und die Einführung der Anmeldung über soziale Netzwerke für die Kontowiederherstellung. Nach der Wiederherstellung über die Anmeldung über soziale Netzwerke können Nutzer nur einen Passkey registrieren. Das unterstreicht das Engagement des Teams für ein Passkey-orientiertes Design. Außerdem wurde FedCM integriert, um die Nutzerfreundlichkeit bei der Kontoverknüpfung zu verbessern.
Der passkey-orientierte Ansatz des TOKYU ID-Teams hat ein tiefes Verständnis der Anforderungen von Nutzern und Produkten gezeigt. Beim Hackathon implementierten sie ihre Lösung erfolgreich und hielten eine interessante Präsentation, die ihnen den FIDO-Award einbrachte. Dabei hat er Google Sign-in ohne GIS SDK mit nur Vanilla-JavaScript und FedCM eingebunden.
Google Award: Team Nulab (Nulab)
Nulab ist ein Softwareunternehmen, das Dienste wie Backlog, Cacoo und Nulab Pass anbietet. Das Unternehmen bietet für seine Dienste mehrere Lösungen für die Bestätigung in zwei Schritten (Sicherheitsschlüssel, SMS-OTP, E-Mail-OTP, TOTP) und WebAuthn. Nulab war einer der ersten WebAuthn-Nutzer und unterstützt Passkeys seit Oktober 2023 vollständig.
Acht neue Funktionen wurden implementiert:
- Eine Passkeys-Karte
- Einführung in Passkeys
- Prämien für Passkey-Nutzer
- Unterstützung bei der Kontowiederherstellung
- Schaltfläche „Mit einem Passkey anmelden“
- Erforderliche Bestätigung in zwei Schritten für Nutzer von Passkeys
- Passwortentfernung und Passkey-Werbung bei Datenlecks
- Passkeys beim Zurücksetzen eines Passworts bewerben
Beim Hackathon demonstrierte das Team eine Funktion zur reibungslosen Kontowiederherstellung: Beim Hinzufügen eines Passkeys sollte der Nutzer durch eine zusätzliche Aktion dazu aufgefordert werden, sein Konto zu sichern. Wenn der hinzugefügte Passkey an das Gerät gebunden ist, empfehlen Sie dem Nutzer, einen weiteren Passkey über einen anderen Passwortmanager hinzuzufügen. Wenn der hinzugefügte Passkey synchronisiert wird, empfehlen Sie dem Nutzer, das Passwort zu entfernen.
Außerdem wurden Prämien für Nutzer eingeführt, die Passkeys verwenden, und das Nutzerkontosymbol wird hervorgehoben. Wenn der Nutzer einen gerätegebundenen Passkey akzeptiert, beginnt das Symbol zu rotieren. Wenn der Nutzer einen synchronisierten Passkey akzeptiert, blinkt das Symbol. Da es sich um ein Tool für Unternehmen handelt, können sich Nutzer durch die Verwendung von Passkeys von anderen abheben.
Die Jury war beeindruckt von ihren kreativen Ideen zur Verbesserung der Passkey-Implementierung und insbesondere davon, wie Nutzer ihr Konto wiederherstellen können.
Mehr interessante Projekte
Alle Teams beim Hackathon hatten interessante Ideen. Hier ein Einblick in ihre Projekte:
- Nikkei ID (Nikkei): Passkeys wurden über OpenID Connect implementiert, um die Nutzerfreundlichkeit zu verbessern.
- Dentsu Soken (Dentsu Soken): Passkeys werden mit Google Sign-In kombiniert, um die Nutzereinrichtung zu vereinfachen.
- SST-Tech (Secure Sky Technology): Es wurde die Passkey-Emulation für Sicherheitsbewertungen untersucht.
- Ajitei Nekomaru (Keio University): Einführung der Passkey-Authentifizierung in einer Open-Source-Lernplattform.
- MyLIXIL (LIXIL): Passkeys wurden als Authentifizierungsmethode für MyLIXIL implementiert.
Weitere Informationen zu den einzelnen Projekten finden Sie im vollständigen Bericht zum Tokyo Passkeys-Hackathon.
Erkenntnisse und Zukunft
Während des Hackathons haben die Teilnehmer wertvolles Feedback und Fragen geäußert, wobei sie sowohl ihre Begeisterung für Passkeys als auch Verbesserungsmöglichkeiten hervorgehoben haben. Hier sind einige der wichtigsten Erkenntnisse aus dem Hackathon:
- Es besteht ein wachsendes Interesse an der Kombination von Passkeys mit anderen Technologien wie verifizierbaren Anmeldedaten und Zero-Knowledge-Beweisen.
- Die Nutzerfreundlichkeit hat weiterhin höchste Priorität. Die Teams konzentrieren sich darauf, Passkeys noch einfacher zu verwenden und zu implementieren.
- Der Hackathon hat gezeigt, dass Passkeys über traditionelle Anmeldungen hinaus auch in Bereichen wie IoT und digitaler Identität eingesetzt werden können.
Die Veranstaltung war ein voller Erfolg und führte zu neuen Ideen und Kooperationen. Mit der zunehmenden Verbreitung von Passkeys sind Veranstaltungen wie diese entscheidend, um Innovationen voranzutreiben und Herausforderungen zu meistern.
Es ist eine spannende Zeit für Passkeys und der Hackathon in Tokio ist ein Beweis dafür, dass Entwickler die Grenzen des Machbaren erweitern möchten.