Passkeys (WebAuthn)

Warum

Ein Passkey ist ein Public-Private-Paar, das an ein Gerät gebunden ist. Phishing-resistant: man kann ihn nicht über einen Phishing-Link „weitergeben".

Registrierung

/app/security → Passkeys → Register. Der Browser ruft Touch ID / Face ID / Windows Hello / YubiKey auf. Danach wird der Passkey im Geräte-Keychain und im Backend gespeichert (nur der Public Key).

Login

Auf /login klicken Sie „Mit Passkey anmelden" — der Browser zeigt usable credentials.

Anti-Enumeration

Bei unbekannter E-Mail liefert Unimoni trotzdem eine discoverable challenge — die Browser-UX sieht für existierende und nicht existierende E-Mails identisch aus.