Passwörter gehören zu den größten Schwachstellen der IT-Sicherheit. Mit Passkeys (basiert auf WebAuthn und FIDO2) kannst du auf einfache und sichere Weise passwortlose Logins realisieren. In diesem Artikel zeige ich dir, wie du deine bestehende Authentik-Umgebung um PocketID ergänzt, um Passkeys einzuführen.

Ziel

• Passkey-basierte Authentifizierung für Benutzer
• Mobile und Hardware-Token-Login (z. B. via Smartphone oder YubiKey)
• Integration in bestehende SSO-Umgebung

Was ist PocketID?

PocketID ist ein Open-Source WebAuthn-Dienst, der mit Identity Providern wie Authentik zusammenspielt. Die Anmeldung erfolgt über das Smartphone oder einen FIDO2-kompatiblen Token.

Voraussetzungen

• Bestehende Authentik-Installation (mit LDAP-Anbindung)
• Reverse Proxy mit HTTPS (z. B. Traefik, nginx)
• Smartphone mit biometrischer Authentifizierung oder FIDO2-Token

Installation von PocketID

PocketID kann einfach via Docker Compose betrieben werden. Beispiel:

version: '3.8'
services:
  pocketid:
    image: ghcr.io/pocketid/pocketid:latest
    restart: unless-stopped
    environment:
      - POCKETID_URL=https://id.example.lan
    ports:
      - 3000:3000
    volumes:
      - ./data:/app/data

Dann starten:

docker compose up -d

Authentik mit Passkey-Login verbinden

1. PocketID als externen Provider einbinden

   • In Authentik → Sources → Create Source
   • Typ: WebAuthn
   • URL: https://id.example.lan

2. Authentik-Flow anpassen

   • Login-Flow erweitern: Schritt WebAuthn Authentication hinzufügen
   • Optional: WebAuthn als primäre Authentifizierung aktivieren

3. Benutzer konfigurieren

   • Nutzer\:innen können in Authentik ihre Passkeys registrieren (via QR-Code mit Smartphone oder Token)

Test der Anmeldung

Besuche deine Authentik-geschützte Anwendung (z. B. Nextcloud). Du solltest nun neben klassischem Login auch den Passkey nutzen können. Authentik erkennt automatisch, ob ein Passkey verfügbar ist.

Sicherheitshinweise

• Achte auf HTTPS! WebAuthn funktioniert nur über sichere Verbindungen.
• Passkeys lassen sich bei Verlust einfach erneut registrieren, sofern mindestens ein alternativer Faktor hinterlegt wurde.
• Mehrere Geräte je Benutzer erhöhen die Ausfallsicherheit.

Fazit

Mit PocketID und Authentik führst du moderne, sichere und bequeme Passkey-Authentifizierung ein – ein großer Schritt hin zur Passwordless Future.

Damit endet unsere AAA-Artikelserie. Ich hoffe, sie war für dich hilfreich und inspirierend. Wenn du Fragen oder Ergänzungen hast, freue ich mich über dein Feedback oder eine Diskussion auf GitHub oder Mastodon.

Bleib sicher – und bleib neugierig!