Wir werden in einer mehrteiligen Serie die Möglichkeiten vorstellen, die es heute gibt, um Passwordless-Authentifizierung mit Keycloak umzusetzen. Keycloak ist eine Open-Source-Lösung für Identity und Access Management und bietet neben der Unterstützung der relevanten Standards wie WebAuthn über Erweiterungen auch die Möglichkeit weitere Authentifizierungsverfahren ohne Passwörter zu implementieren.

Keycloak wird seit 2014 von der Open-Source-Community entwickelt und ist seit 2023 Teil der Cloud Native Computing Foundation (CNCF), die unter dem Dach der Linux Foundation eine Vielzahl kritischer Technologieinfrastruktur betreut.

Der Weg zur passwortlosen Authentifizierung war ein schrittweiser Prozess, der im Laufe der Zeit verschiedene Technologien und Ansätze umfasst hat.

In den Anfängen des Internets waren Passwörter die gängige Methode zur Authentifizierung. Benutzer mussten sich mit einem Benutzernamen und einem Passwort anmelden, um auf ihre Konten zuzugreifen. Allerdings haben Passwörter ihre Schwächen, wie die Neigung der Benutzer, schwache Passwörter zu wählen oder dieselben Passwörter für mehrere Konten zu verwenden.

Um die Sicherheit von Passwörtern zu verbessern, wurden TOTP-Authentifizierungsmethoden eingeführt. Dabei generiert eine Authentifizierungsanwendung wie Google Authenticator, Authy oder die von vielen Unternehmen eingesetzten RSA-Tokens am Schlüsselbund alle 30 Sekunden ein einmaliges Passwort, das neben dem Benutzernamen und Passwort eingegeben werden muss. Dieses Passwort basiert auf einem gemeinsamen geheimen Schlüssel, der sowohl auf dem Server als auch auf der App gespeichert ist. TOTP bietet eine zusätzliche Sicherheitsebene, da das generierte Passwort nur für kurze Zeit gültig ist.

Authentifizierungsverfahren von TOTP in Verbindung mit Benutzernamen und Passwort erhöhen zwar die Sicherheit, sind aber für die Anwender weniger komfortabel zu nutzen.

Hier setzen Magic Links an. Sie sind eine einfache Methode zur passwortlosen und komfortablen Authentifizierung. Dabei erhalten Benutzer per E-Mail einen speziellen Link, der eine Sitzung mit ihrem Konto startet. Wenn der Benutzer auf den Link klickt, wird er direkt in sein Konto eingeloggt, ohne ein Passwort eingeben zu müssen. Diese Methode basiert auf der Annahme, dass der Zugriff auf die E-Mail-Adresse des Benutzers ausreichend sicher ist.

Das W3C veröffentlichte 2019 gemeinsam mit der FIDO Alliance mit WebAuthn einen offenen Web-Standard zur sicheren Authentifizierung. WebAuthn basiert auf Public-Key-Kryptografie: Dem Betreiber einer Webseite ist dabei nur der öffentliche Schlüssel des Anwenders bekannt, während der private Schlüssel beim Nutzer verbleit. WebAuthn kann ähnlich wie TOTP als zweiter Faktor in Kombination mit Benutzername und Passwort eingesetzt werden, erlaubt es Benutzern aber auch ihre Identität nachzuweisen, ohne ein Passwort eingeben zu müssen. Diese Methode bietet eine starke Sicherheit und verbesserte Benutzerfreundlichkeit. Anders als bei der klassischen Authentifizierung über Benuztername und Passwort, bei dem Benutzername und Hash des Passworts auf dem Server des Anbieters gespeichert werden, muss sich der Benutzer bei WebAuthn allerdings selbst um die sichere Speicherung des privaten Schlüssels kümmern. Der private Schlüssel wird normalerweise in einem sicheren Element oder einem geschützten Speicher auf dem Gerät des Benutzers gespeichert. Ein sicheres Element kann eine hardwarebasierte Komponente sein, wie beispielsweise ein Sicherheitschip, der in bestimmten Geräten wie Smartphones oder USB-Sicherheitsschlüsseln (z.B. Yubikeys) eingebettet ist.

Um die Benutzerfreundlichkeit weiter zu erhöhen haben Apple und Google unter dem Namen Passkeys kürzlich ein Verfahren zur passwortlosen Authentifizierung auf Basis von WebAuthn vorgestellt, bei dem die privaten Schlüssel nicht mehr nur auf einem Gerät oder Hardwaretoken gespeichert werden, sondern automatisch über die Cloud des Anbieters zwischen den Geräten eines Benutzers (Mobiltelefone, Tablets, Notebooks) synchronisiert werden. Passkeys sind sicherer als Passwörter, da sie nicht anfällig für Phishing- oder Brute-Force-Angriffe sind und durch die automatische Synchronisation über die Cloud sowie die gute Integration in das jeweilige Ökosystem sehr benutzerfreundlich.

In dieser Serie zeigen wir euch die Umsetzung passwortloser Authenfizierungsverfahren mit Keycloak:

Zu den Themen Security, Passwordless und Keycloak bieten wir sowohl Beratung, Entwicklungsunterstützung als auch passende Schulungen an:

Auch für Ihren individuellen Bedarf können wir Workshops und Schulungen anbieten. Sprechen Sie uns gerne an.