Passkey mit Microsoft Konto (und 1Password)

1Password hat informiert ihre Extensions für Browser (Beta Release) unterstützen ab sofort die Anmeldung mit Passkey. Bei einer Anmeldung mit Passkey benötigt es das klassische Passwort nicht mehr. Ist dir Passkey bisher unbekannt gibt es bei heise.de eine Zusammenfassung über die Zukunft der passwortlosen Anmeldung.

What are Passkeys?
Passkeys are a password replacement that provide faster, easier, and more secure sign-ins to websites and apps across a user’s devices. Unlike passwords, passkeys are resistant to phishing, are always strong, and are designed so that there are no shared secrets.

From a technical standpoint, passkeys are “discoverable” FIDO credentials for passwordless authentication. The cryptographic keys are used from end-user devices (computers, phones, or security keys) that are used for secure user authentication.

1Password betreibt ein öffentliches Verzeichnis welche Webseiten eine Anmeldung mit Passkey bereits unterstützen. Microsoft ist dort ebenfalls gelistet. Für die Konfiguration in einem Microsoft Konto wird auf die Hilfe verwiesen.

Da ich 1Password selbst nutze probierte ich es mit meinem Microsoft Konto aus. Mein Kollege Andres Bohren hat Passkey mit einem Google Konto ausprobiert.
Generell zur Information, für die Einrichtung mit einer der 1Password Browser Extensions benötigst du ein 1Password Konto. Du musst dich in der Browser Extension mit deinem 1Password Konto anmelden. Ausserdem funktioniert die Anmeldung mit Passkey derzeit nur über die Browser Extension. Der Passkey wird in den 1Password Apps synchronisiert, die Apps und Betriebssysteme unterstützen die Übertragung zu einer Webseite bisher aber nicht.

Einrichtung für persönliches Microsoft Konto

1. Installiere die 1Password Extension (Beta Release) für deinen Browser und melde dich mit deinem 1Password Konto an. Hast du 1Password bereits lokal auf deinem Client installiert dauert die Einrichtung im Browser weniger als 30 Sekunden.
2. Öffne die Kontoeinstellungen von deinem Microsoft Konto > Sicherheit > Erweiterte Sicherheitsoptionen.
3. Füge eine neue Sicherheitsmethode hinzu und wähle als Methode einen Security Key.

4. Wähle USB Device als Key. Für eine Anmeldung mit Passkey benötigt es in einem persönlichen Microsoft Konto keinen klassischen Hardware Key. Die 1Password Browser Extension übernimmt.

5. Microsoft wird fragen wie der Passkey erstellt wird. Ist die 1Password Browser Extension installiert unterdrückt 1Password die Abfrage und fragt stattdessen mit welchem Konto der Passkey zu verknüpfen ist.

6. Microsoft möchte wissen wie es den Passkey benennen soll, und bestätigt die Einrichtung.

1Password hat den Passkey gespeichert. Hier könntest du den Passkey aus 1Password löschen, oder sonst in deinem Microsoft Konto widerrufen und neu einrichten.

Anmeldung mit Passkey in (persönlichem) Microsoft Konto

Melde dich von deinem Konto ab oder öffne eine neue, private Browser Session.

1. Öffne beispielsweise Outlook Mail.
2. Wähle für die Anmeldeart Windows Hello / Security Key.

3. Die 1Password Browser Extension informiert über eine Anmeldung per Passkey.

4. Die Anmeldung ist erfolgt.

Einrichtung für Geschäftskonto

Da Azure AD die Konfigurationsmöglichkeiten von einem persönlichen Konto ebenfalls unterstützt probierte ich die Konfiguration in Azure AD.
Vorneweg, bis zum letzten Schritt, die abschliessende Einrichtung von Passkey, funktioniert die Konfiguration und Ersteinrichtung. Beim letzten Schritt zeigt es einen Fehler und die Einrichtung kann nicht abgeschlossen werden. Vermutlich unterstützt Azure AD eine Anmeldeart wie die von 1Password bisher nicht.

Konfiguration in Azure AD

Für Passkey Unterstützung in Azure AD muss die Anmeldung über FIDO2 Security Key möglich sein. In meinem Azure AD aktivierte ich die Anmeldemöglichkeit über FIDO2-Keys.

1. Öffne Azure AD > Security > Authentication methods > Authentication methods und wähle die Möglichkeit für FIDO2 Security Keys.

2. Aktiviere die Möglichkeit und wähle alle Konten oder eine ausgewählte Azure AD Gruppe.
3. Kontrolliere die erweiterten Optionen. In meinem Fall übernehme ich die Standardkonfiguration. Enforce attestation zu deaktivieren hilft bei 1Password Passkey nicht. Die einzelnen Konfigurationen beschreibt Cloudbrothers in guter Form.

4. Speichere deine Konfiguration.

Aktivierung im Geschäftskonto

Installiere die 1Password Extension (Beta Release) für deinen Browser und melde dich mit deinem 1Password Konto an. Hast du 1Password bereits lokal auf deinem Client installiert dauert die Einrichtung im Browser weniger als 30 Sekunden.
Nach Aktivierung öffne mit deinem Azure AD Konto die Übersicht von Mein Konto > Sicherheitsinformationen und füge eine neue Sicherheitsmethode hinzu. Hier wählst du Security Key. Das System wird auffordern die Einrichtung über MFA zu bestätigen.

Du wählst als Security Key ein USB Device und bestätigst die folgende Information.

Microsoft wird fragen wie der Passkey erstellt wird. Ist die 1Password Browser Extension installiert unterdrückt 1Password die Abfrage und fragt stattdessen mit welchem Konto der Passkey zu verknüpfen ist.

Abschliessend möchte Microsoft wissen wie es den Passkey benennen soll, und zeigt beim Abschluss der Konfiguration den erwähnten Fehler.

Azure AD notiert im Auditlog einen Setupfehler.

Mein Fazit für Geschäftskonten

Im Vergleich zu persönlichen Konten benötigt Azure AD für die Anmeldung im Moment noch einen klassischen Hardware Key. Vermutlich unterstützt Azure AD eine Anmeldeart wie die von 1Password bisher nicht.