Passkeys sind eine komfortable und vor allem sichere Alternative zu Passwörtern und klassischen MFA-Verfahren. Der Vortrag zeigt, wie Passkeys mit dem Open-Source-IAM-System Keycloak eingerichtet und genutzt werden können: souverän und unabhängig von großen Cloud-Providern. Neben einer kurzen Einführung in Keycloak und die Entwicklung der Passkey-Unterstützung wird gezeigt, wie Login und Registrierung praktisch funktionieren und wie sich Passkeys in bestehende Authentifizierungs-Flows integrieren lassen. Außerdem wird erörtert, welche Möglichkeiten bereits mit Bordmitteln zur Verfügung stehen.

Es sollen aber auch die Herausforderungen und Grenzen bei der praktischen Umsetzung aufgezeigt werden. Passkeys sind nicht automatisch gleichbedeutend mit sauber forcierter MFA. Insbesondere wenn verschiedene Sicherheitsniveaus und Step-up-Authentifizierung unterstützt werden sollen, wird es kniffliger. Es wird gezeigt, wie "Level of Assurance" (LoA) und "Authentication Context Class Reference" (ACR) dabei helfen und was sich dahinter verbirgt.
Darüber hinaus soll kurz auf einige Eigenheiten der Keycloak-Implementierung eingegangen werden, etwa die Differenzierung von Credential-Typen und Credential-Prioritäten.

Die Inhalte werden durch eine Live-Demo veranschaulicht.

Abschließend folgt ein kurzer Erfahrungsbericht aus der Umstellung eines produktiven Systems, in dem eine proprietäre MFA-Lösung durch Passkeys mit Keycloak ersetzt wurde.