Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die Technische Richtlinie „Passkey Server“ in der Version 1.0 veröffentlicht. Die Behörde richtet sich damit an Betreiber von Webseiten und Online-Diensten und definiert Passkeys als aktuellen Stand der Technik für die sichere Benutzerauthentisierung.
Nach Einschätzung des Bundesamtes bieten Passkeys einen wirksamen Schutz vor Phishing-Angriffen und eignen sich als Alternative zu klassischen Passwörtern sowie als Verfahren für die Zwei-Faktor-Authentisierung.
Die Richtlinie beschreibt verschiedene Einsatz- und Implementierungsvarianten von Passkey- beziehungsweise FIDO2-Servern. Einen Schwerpunkt legt das Bundesamt auf die Konfigurationsmöglichkeiten der WebAuthn-Spezifikation. Auf dieser Grundlage formuliert die Behörde Empfehlungen für unterschiedliche Vertrauensniveaus. So empfiehlt sie je nach Schutzbedarf unter anderem eine Benutzerverifizierung oder gerätegebundene Passkeys, damit Betreiber ihre Authentisierungssysteme angemessen absichern können.
Darüber hinaus enthält die Technische Richtlinie Entscheidungshilfen für die Auswahl geeigneter Integrationslösungen. Das Bundesamt vergleicht dabei unterschiedliche Ansätze hinsichtlich Integrationsaufwand, Konfigurationsmöglichkeiten und Funktionsumfang. In die Bewertung fließen sowohl proprietäre Produkte als auch Open-Source-Lösungen ein.





