Chance verpasst: Webauthn-rs-Entwickler hält Passkeys für geplatzten Traum
Passkeys werden oftmals als sicherer und zugleich bequemer Ersatz für Passwörter gepriesen. William Brown, Entwickler von webauthn-rs(öffnet im neuen Fenster) , einer Webauthn-Bibliothek für Rust, hält Passkeys jedoch inzwischen für einen "geplatzten Traum" .
Wie er in einem Blogbeitrag(öffnet im neuen Fenster) darlegt, sollen vor allem Konzerne wie Apple und Google schuld daran sein. Diese setzen die Passwortalternative laut Brown eher dafür ein, Anwender an ihr Ökosystem zu binden, als an einer benutzerfreundlichen, passwortlosen Zukunft zu arbeiten.
"Sowohl Chrome als auch Safari versuchen, Sie zu zwingen, eine hybride Lösung (caBLE) zu verwenden, bei der Sie einen QR-Code mit Ihrem Telefon scannen, um sich zu authentifizieren" , erklärte der Entwickler. Um einen Sicherheitsschlüssel zu verwenden, müssten sich Anwender aufwendig durch Menüs klicken.
Dies dauere in den meisten Fällen mehr als 60 Sekunden und sei "keine gute Erfahrung" . Die Benutzeroberfläche sei "mehr als unausstehlich" . Selbst das Passwortspiel von Neal Agarwal biete eine bessere Nutzererfahrung.
Kritik an Android
Auch über die Passkey-Implementierung von Android verlor der Entwickler kein gutes Wort. Aufgrund von Bugs in der Plattform sei es dem Google-Betriebssystem in einigen Fällen etwa gar nicht möglich, Passkeys zu erstellen, ohne die Firmware des jeweiligen Gerätes zurückzusetzen.
"Schlüssel können auf dem Client, aber nicht auf dem Server gespeichert werden, was dazu führt, dass doppelte Konten vorhanden sind und Anmeldedaten nicht funktionieren oder, was noch schlimmer ist, dass die Benutzer die echten Anmeldedaten löschen" , so Brown.
Selbst technikaffine Anwender seien mit derartigen Problemen oftmals überfordert. "Wenn diese Benutzer es nicht hinbekommen, wie wird es dann den Leuten aus anderen Bereichen gehen?" , fragte der Entwickler.
Brown empfiehlt Passwortmanager
Browns Fazit fiel vernichtend aus. "Zum jetzigen Zeitpunkt denke ich, dass Passkeys in den Händen der allgemeinen Bevölkerung scheitern werden" , so der Entwickler. Die Chance, Passwörter abzuschaffen, sei verpasst worden, "weil man Märkte erobern und einen Hype fördern wollte" .
Unternehmensinteressen hätten sich bei diesem Vorhaben über gute Benutzererfahrungen hinweggesetzt. Brown geht davon aus, dass Passkeys ähnlich wie Werbeblocker auch in Zukunft nur von technikaffinen Nutzern eingesetzt werden, nicht jedoch von der breiten Masse.
"Ein Passwortmanager bietet ein besseres Erlebnis als Passkeys" , resümierte der Entwickler - und steht mit diesem Fazit nicht alleine da(öffnet im neuen Fenster) . "Besorgen Sie sich etwas wie Bitwarden oder, wenn Sie gerne selbst hosten, Vaultwarden. Lassen Sie es Ihre Passwörter generieren und verwalten" , so Browns Empfehlung. Jenen, die trotz allem auf Passkeys setzen, rät der Entwickler, diese ebenfalls in einem Passwortmanager abzulegen und nicht auf plattformgesteuerte Passkey-Stores zu vertrauen.
Das Ende seiner Arbeit an webauthn-rs läutet Brown damit allerdings nicht ein. Er werde dieses und damit verbundene Projekte weiter pflegen, erklärte er. "Sie sind immer noch wichtig für mich, auch wenn ich von der Richtung des Ökosystems enttäuscht bin" , so seine abschließenden Worte.