𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Translated for your language. Original lesen.

AI-assisted draft.

GyaanSetu Editorialvorgestern1Min. Lesezeit

Passwörter sind unsicher. Sie basieren auf geteilten Geheimnissen. Wenn ein Server ein Passwort speichert, verdoppelt sich die Angriffsfläche.

Daten zeigen, dass das Risiko enorm ist. Gestohlene Zugangsdaten sind die Ursache für die meisten Sicherheitsverletzungen. Infostealer-Malware stiehlt jedes Jahr Millionen von Passwörtern. Selbst 2FA hat Schwachstellen. SMS-Codes sind anfällig für SIM-Swapping. TOTP-Token sind anfällig für Echtzeit-Phishing.

Passkeys ändern das. Sie nutzen Public-Key-Kryptografie über WebAuthn und FIDO2.

Funktionsweise: • Ihr Gerät erstellt ein Public-Private-Key-Paar. • Der private Schlüssel verbleibt in Ihrer Hardware. • Der Server erhält nur den öffentlichen Schlüssel. • Während des Logins signiert Ihr Gerät eine zufällige Challenge. • Es werden keine Geheimnisse über das Netzwerk übertragen.

Dies verhindert Phishing, da Passkeys an Ihre spezifische Domain gebunden sind. Ein Passkey für Ihre Website wird auf einer gefälschten Website nicht funktionieren.

Implementierung: Schreiben Sie keinen rohen WebAuthn-Code. Er ist fehleranfällig. Verwenden Sie SimpleWebAuthn für TypeScript und Node.js. Es übernimmt die komplexe Mathematik für Sie.

Installation: npm install @simplewebauthn/server @simplewebauthn/browser

Häufige Fehler, die man vermeiden sollte: • Wiederverwendung von Challenges. Challenges müssen nur einmal verwendbar und serverseitig generiert sein. • Ignorieren von Countern. Aktualisieren Sie immer den Credential-Counter, um geklonte Schlüssel zu erkennen. • Vergessen der Wiederherstellung. Wenn ein Nutzer sein Gerät verliert, verliert er auch sein Konto. Bauen Sie zuerst einen Wiederherstellungspfad auf. • Schlechte UX. Cross-Device-Flows weisen oft geringere Abschlussraten auf. Behalten Sie während der Migration eine Fallback-Option bei.

Migrationsstrategie:

Stufe 1: Bieten Sie Passkeys als Opt-in nach dem Passwort-Login an.
Stufe 2: Machen Sie Passkeys zur primären Methode, sobald die meisten Nutzer sie übernommen haben.
Stufe 3: Erfordern Sie Passkeys für alle Neuanmeldungen.

Die Branche hat sich bereits weiterentwickelt. Google berichtet von deutlich niedrigeren Raten bei Kontoübernahmen durch Passkeys. Große Plattformen wie Amazon und TikTok nutzen sie bereits. Wenn Sie sie nicht unterstützen, liegen Sie zurück.

Quelle: https://dev.to/moksh/passkeys-in-2026-a-practical-engineering-guide-to-passwordless-auth-15pj

𝗣𝗮𝘀𝘀𝗸𝗲𝘆𝘀 𝗶𝗻 𝟮𝟬𝟮𝟲: 𝗔 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗮𝗹 𝗘𝗻𝗴𝗶𝗻𝗲𝗲𝗿𝗶𝗻𝗴 𝗚𝘂𝗶𝗱𝗲

Weiterlesen

Warum philippinische KMUs im Jahr 2026 Cybersicherheit benötigen

𝗙𝗿𝗼𝗻𝘁𝗲𝗻𝗱 𝗦𝗲𝗰𝘂𝗿𝗶𝘁𝘆 𝗕𝗲𝘀𝘁 𝗣𝗿𝗮𝗰𝘁𝗶𝗰𝗲𝘀

𝗛𝗶𝗱𝗶𝗻𝗴 𝗶𝘀 𝗡𝗼𝘁 𝘁𝗵𝗲 𝗦𝗮𝗺𝗲 𝗮𝘀 𝗦𝗲𝗰𝘂𝗿𝗶𝗻𝗴

𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗣𝗵𝗼𝗻𝗲, 𝗟𝗼𝘀𝗲 𝗬𝗼𝘂𝗿 𝗟𝗶𝗳𝗲

Ihr SaaS lässt Geld durchsickern