Briseein Blitzdienstleister und Bitcoin-Softwarelabor, hat eingeführt Passkey-Anmeldung in sein Breez SDK. Die Funktion ermöglicht Entwicklern das Erstellen Selbstverwahrende Geldbörsen die Passkeys zur Authentifizierung und Schlüsselableitung verwenden, wodurch die traditionelle Anforderung an die Seed-Phrase bei normaler Verwendung entfällt.
Die Unterstützung von Seed-Phrasen bleibt für Benutzer verfügbar, die sie bevorzugen, wodurch die Abwärtskompatibilität mit Industriestandards gewahrt bleibt, aber die „Geschwindigkeitsschwelle“ in Bitcoin-Wallets entfernt wird, die Benutzer dazu auffordert, ihre 12 Wörter zu sichern.
Breez erklärte die Gründe für diese neue Funktion in einer Pressemitteilung, die dem Bitcoin Magazine mitgeteilt wurde: „Die Seed-Phrase stellt seit dem ersten Tag ein Hindernis für die Selbstverwahrung dar. Sie hält Normalbürger davon ab, ihre eigenen Bitcoins zu behalten, und sie ist ein legitimer Grund, warum Menschen das Kontrahentenrisiko von Börsen und Depot-Apps akzeptieren.“ Füge hinzu: „Passkey Login beseitigt nicht die Nachteile der Selbstverwahrung, aber es stellt sie auf etwas um, das die Leute bereits verstehen und verwenden, nämlich die gleiche biometrische Authentifizierung, die ihre Banking-App und ihren Passwort-Manager schützt. Für die meisten Benutzer ist das ein viel intuitiveres Sicherheitsmodell als ein Stück Papier in einer Schublade.“
Passkeys: Schlüsselpaare pro Standort in moderner Hardware
Passkeys – ein relativ neuer Sicherheitsstandard, der online breite Akzeptanz findet – sind kryptografische Anmeldeinformationen, die auf dem FIDO2 WebAuthn-Standard basieren, der seit 2022 gemeinsam von Apple, Google, Microsoft und der FIDO Alliance gefördert wird. Jeder Passkey besteht aus einem einzigartigen öffentlich-privaten Schlüsselpaar, das für eine bestimmte Website oder Anwendung generiert wird.
Der private Schlüssel bleibt im sicheren Element oder auf ähnlicher Hardware auf dem Gerät des Benutzers gespeichert, z. B. in der Secure Enclave von Apple, im Titan-Chip von Android, in Windows TPM, in externen Sicherheitsschlüsseln wie YubiKey oder im Passwort-Manager des Benutzers.
Normale Online-Passkeys ähneln der ursprünglichen Bitcoin-Wallet.dat-Datei, die Satoshi Nakamoto in seinen frühen Versionen des Bitcoin-Clients eingeführt hat, wobei private Schlüssel lokal auf dem Gerät des Benutzers gespeichert werden, während öffentliche Schlüssel mit Dritten geteilt werden.
Der FIDO2-Standard setzt diese Private-Public-Key-Idee jedoch standardisierter und moderner um. Websites senden eine Aufforderung an den Benutzer und verweisen dabei auf den bekannten öffentlichen Schlüssel des Benutzers für dieses Konto. Die Challenge-Nachricht wird mit dem privaten Schlüssel des Benutzers signiert und authentifiziert so seine Identität auf datenschutzfreundliche Weise. Jeder Dienst erhält einen anderen öffentlichen Schlüssel für denselben Benutzer, sodass auf einer Website kompromittierte Daten keine Daten preisgeben, die für den Zugriff auf andere Websites verwendet werden können, und auch keine benutzeridentifizierenden Daten enthalten.
FIDO2 ist mittlerweile weit verbreitet, nutzt gerätesichere Elemente, lässt sich in Passwort-Manager (z. B. iCloud-Schlüsselbund, Google Password Manager), Browser und die WebAuthn-API des World Wide Web Consortium (W3C) integrieren. Die Authentifizierung erfolgt über Challenge-Response-Signierung, wobei der private Schlüssel an die Domäne gebunden ist, um Phishing zu verhindern.
Passkeys unterstützen die biometrische Entsperrung (Face ID, Fingerabdruck, PIN) und die Synchronisierung zwischen Geräten innerhalb eines Ökosystems (z. B. über iCloud oder Google) – über eine Milliarde Aktivierungen wurden von der FIDO Alliance bis Mitte 2025 gemeldet, mit Unterstützung auf wichtigen Plattformen und vielen Top-Websites.
FIDO2 war für Bitcoin-Wallets nicht gut genug
Standard-Passkeys zeichnen sich durch hervorragende Authentifizierung (Nachweis der Identität gegenüber einem Dienst) aus, es fehlten ihnen jedoch wichtige Funktionen, die die moderne Bitcoin-Industrie benötigt.
Die Selbstverwahrung von Bitcoin basiert typischerweise auf einer einzigen Entropiequelle (Seed-Phrase), um alle Adressen und Schlüssel auf deterministische Weise über Standards wie BIP-39 zu generieren. Benutzer gehen davon aus, dass diese 12 Wörter allein ausreichen, um alle Guthaben und Konten auf einem Bitcoin-Wallet wiederherzustellen. Der Passkey-Standard musste erweitert werden, um diesen Anwendungsfall zu unterstützen.
Die Lösung von Breez: Nutzung der PRF-Erweiterung
Breez geht dieses Problem an, indem es das verwendet Pseudo-Random Function (PRF)-Erweiterung in WebAuthn Level 3. PRF ermöglicht es einem Passkey, während der Authentifizierung eine deterministische kryptografische Ausgabe für jede gegebene Eingabe zu erzeugen.
Wie in den Ankündigungsmaterialien von Breez beschrieben: „Das löst die PRF-Erweiterung von WebAuthn und ist der Hauptbestandteil der Passkey-Anmeldung. PRF ist eine neuere Funktion, Teil der WebAuthn Level 3-Spezifikation, die es Ihrem Passkey ermöglicht, eine deterministische kryptografische Ausgabe für jede gegebene Eingabe zu erzeugen. Gleicher Passkey, gleiche Eingabe, gleiche Ausgabe. Immer. Der Passkey verlässt niemals die sichere Enklave Ihres Geräts.“
Geräteverlust und Wiederherstellung
Wenn ein Gerät verloren geht, hängt die Wiederherstellung von der Plattform ab, auf der der Passkey gespeichert wurde. Synchronisierte Passkeys – über iCloud-Schlüsselbund, Google Password Manager usw. – werden auf einem neuen Gerät wiederhergestellt, nachdem wieder Zugriff auf das zugehörige Konto erlangt wurde.
Breez bietet einen optionalen abwärtskompatiblen Pfad: Benutzer können eine normale 12-Wort-BIP-39-Mnemonik für ihre Wallet exportieren, sodass sie ihr Konto in anderen Bitcoin-Wallets gemäß Industriestandards wiederherstellen können. In der Pressemitteilung heißt es weiter: „Außerdem sind Passkeys noch nicht vollständig plattformübergreifend kompatibel. Wenn Sie jemals zu einer Plattform oder Wallet wechseln müssen, die Passkeys nicht unterstützt, können Sie auf eine Standard-Seed-Phrase zurückgreifen.“
Die vollständige technische Spezifikation für Passkey Login ist öffentlich und eine Referenz-App namens Glow demonstriert die Funktion. Breez betrachtet dies als einen Schritt, um die Selbstverwahrung von Bitcoin leichter zugänglich zu machen, indem es sich an die bekannte biometrische Authentifizierung anpasst, die in Bankgeschäften und Passwort-Managern verwendet wird, und gleichzeitig die nicht verwahrende Kontrolle beibehält. Entwickler, die das Breez SDK integrieren, können jetzt für unterstützte Umgebungen Onboarding ohne den traditionellen Schritt „Diese Wörter aufschreiben“ anbieten.
Die vollständige technische Spezifikation für Passkey Login ist öffentlichund unsere Referenz-App Glühen führt es bereits aus und steht jetzt allen Breez SDK-Entwicklern zur Nutzung zur Verfügung.
