Für die meisten Smartphone-Benutzer ist das Verschieben digitaler Anmeldeinformationen zwischen verschiedenen Verwaltungs-Apps seit langem ein umständlicher und unsicherer Prozess. Die Standardmethode umfasst normalerweise den Export eines Tresors in eine Klartext-CSV-Datei. Allerdings beginnt ein neuer technischer Standard die Art und Weise zu verändern, wie diese Daten zwischen Plattformen übertragen werden. Dashlane hat kürzlich die Implementierung der Credential Exchange (CX)-Spezifikationen der FIDO Alliance für Android angekündigt.
Ziel dieser Entwicklung ist es, riskante Dateiexporte durch ein direktes, verschlüsseltes Übertragungsprotokoll zwischen Anwendungen zu ersetzen. Bei einer Klartext-CSV handelt es sich im Wesentlichen um eine digitale Tabellenkalkulation, die alle Passwörter, Notizen und Kreditkartennummern im Speicher eines Geräts offenlegt. Durch die Abkehr vom „vault.csv“-Modell verringert das System das Zeitfenster für lokalen Datendiebstahl während eines Übergangs.
Dashlane übernimmt den FIDO-Standard, um unverschlüsselte CSV-Exporte auf Android zu ersetzen
Die Umstellung auf das neue Protokoll ist eine Reaktion der Branche auf aktuelle Bedürfnisse. Passkeys sind kryptografische Anmeldeinformationen, die deutlich sicherer sind als herkömmliche Passwörter. Da sie an bestimmte Hardware oder verschlüsselte Umgebungen gebunden sind, können sie nicht zur manuellen Übertragung in eine einfache Tabelle kopiert werden.
Das Credential Exchange-Protokoll erstellt einen sicheren „Handshake“ zwischen zwei Apps, sodass diese komplexen Anmeldeinformationen übertragen werden können, ohne dass ihre kryptografische Integrität verloren geht. Dadurch wird sichergestellt, dass Benutzer, die mit der Einführung passwortloser Anmeldungen begonnen haben, nicht an einen einzelnen Anbieter „gebunden“ werden, nur weil ihnen die Möglichkeit fehlt, ihre Schlüssel zu exportieren.
Die Adoptionshürde
Seit dem 25. Februar ist diese Technologie nun in der Dashlane-App für Android verfügbar. Es gibt jedoch eine branchenübliche Hürde zu überwinden: die Interoperabilität. Damit eine direkte Übertragung funktioniert, müssen sowohl die App, die die Daten sendet, als auch die App, die sie empfängt, denselben FIDO-Standard unterstützen.
Derzeit sind mehrere große Player, darunter Google Password Manager und andere beliebte Drittanbieter-Manager, noch dabei, diese Spezifikationen umzusetzen. Sie müssen aufholen, damit Benutzer diese Infrastruktur für einen sicheren Umzug nutzen können. In diesen Fällen ist die traditionelle CSV-Methode, die weniger sicher ist, immer noch die einzige Option.
