Was Sie über Passkeys wissen sollten
Veröffentlicht am 09.10.2024 von DomainFactory
Passwörter begleiten uns in der digitalen Welt schon so lange, dass es schwer vorstellbar ist, dass sie durch eine andere Methode ersetzt werden könnten. Doch die Nachteile von Passwörtern wiegen immer schwerer, da Angreifer immer mehr Möglichkeiten haben, Passwörter zu erbeuten oder auf anderem Weg in Accounts einzubrechen. Zudem müssen immer mehr Nutzer mit wenig technischem Verständnis Zugangsdaten verwalten, da es kaum noch nicht-digitalisierte Lebensbereiche gibt. Eine mögliche Lösung des Problems sind Passkeys.
Was ist ein Passkey?
Ein Passkey ist eine Methode zur passwortlosen Authentifizierung, die mehr Sicherheit und Bequemlichkeit bieten soll als herkömmliche Passwörter. Er kann allein oder als zweiter Faktor eingesetzt werden. Zunächst ist es wichtig zu verstehen, wie ein Nutzer gegenüber einem Webdienst beweisen kann, dass er tatsächlich zum Zugriff berechtigt ist. Hierzu muss ein Faktor oder Merkmal verwendet werden, das nur dieser Nutzer hat und das Unberechtigte nicht besitzen. Solche Faktoren können zu einer von drei Kategorien gehören: Wissen (der Nutzer weiß etwas, das andere nicht wissen, zum Beispiel ein Passwort), Haben (der Nutzer hat einen Gegenstand, auf den andere keinen Zugriff haben) und Sein (der Nutzer hat eine persönliche Eigenschaft, die andere nicht haben).
Die Schwächen von Passwörtern sind allgemein bekannt: Sie können vergessen, erraten oder gestohlen werden. Außerdem vernachlässigen Anwender häufig die Sicherheit, wenn sie sich einzigartige und komplexe Passwörter für jeden ihrer Webdienste merken sollen. Daher wird in den letzten Jahren zunehmend dazu übergegangen, Konten passwortlos abzusichern, also durch einen Faktor aus der Kategorie „Sein“ oder „Haben“. Zur ersten Kategorie zählen beispielsweise biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Stimmerkennung, zur zweiten Kategorie etwa USB-Krypto-Sticks – auch die im Folgenden beschriebenen Passkeys, die an ein bestimmtes Gerät im Besitz des Nutzers gebunden sind.
Die Schwächen von Passwörtern
Passwörter geraten immer mehr ins Hintertreffen, denn sie sind oft die schwächste Komponente beim Schutz digitaler Ressourcen. Abgesehen davon, dass es mühselig ist, sie sich zu merken, werden sie oft wiederverwendet und müssen häufig geändert werden. Der Support und die Wartung von Passwörtern sind in vielen IT-Abteilungen nicht selten der größte Kostenfaktor. Das Ersetzen der Passwörter durch sicherere Authentifizierungsfaktoren macht es Angreifern schwerer und kostspieliger, erfolgreich zu sein.
So werden Passkeys verwendet
Bei einem Passkey verläuft die Authentifizierung des Nutzers im Konto folgendermaßen: Statt sich mit einem Benutzernamen und einem Passwort bei einem Konto anzumelden, gibt der Nutzer auf der Anmeldeseite des Dienstes lediglich an, für welches Konto er sich per Passkey anmelden möchte, und nutzt dafür bestimmte Sicherheitsfeatures des dafür registrierten Geräts (z. B. den Fingerabdruck auf dem Smartphone). Ist dem Dienst bekannt, dass das verwendete Gerät dem betreffenden Nutzer gehört, lässt er die Anmeldung zu. Dafür muss auf diesem Gerät zuvor ein Passkey für den Dienst generiert worden sein, wofür ein Authenticator zuständig ist. Als Authenticator können Smartphone-Apps wie Google Passwortmanager, iCloud-Schlüsselbund oder Microsoft Authenticator, ein FIDO2-kompatibler USB-Security-Stick, aber auch Windows Hello oder ein Passwortmanager auf dem PC fungieren.
Passwortlose Authentifizierung und Nutzerpräferenzen
Eine moderne und passwortlose Authentifizierung bietet eine reibungslose und sichere Benutzererfahrung. Nutzer sind zunehmend an passwortlose Authentifizierungsmethoden gewöhnt, insbesondere von mobilen Endgeräten. Sie bevorzugen bequeme Logins über alle Kanäle, was die Implementierung von passwortlosen Verfahren wie biometrischen Authentifizierungen oder One-Time-Passwörtern (OTPs) besonders attraktiv macht. Unternehmen sollten daher verschiedene, moderne Authentifizierungsverfahren anbieten, um den unterschiedlichen Präferenzen der Nutzer gerecht zu werden.
Statistiken zu Cybersecurity-Bedrohungen
Aktuelle Statistiken zeigen, dass 69 % aller Spam-E-Mails Phishing- und Betrugsmails sind. Von diesen E-Mails zielen 90 % auf finanzielle Informationen ab. Diese Zahlen verdeutlichen die Dringlichkeit, sich mit den Risiken von Cyberangriffen auseinanderzusetzen und geeignete Sicherheitsmaßnahmen zu ergreifen.
Passkeys: ein Blick unter die Haube
Wie funktioniert dies technisch? Die Grundlage ist die sogenannte Public-Key-Kryptografie. Hierbei handelt es sich um ein mathematisches Verfahren, bei dem zwei digitale Schlüssel generiert werden – ein privater und ein öffentlicher Schlüssel. Diese sind so benannt, weil der private Schlüssel stets von seinem Besitzer geheim gehalten werden muss, um die Sicherheit des Verfahrens zu gewährleisten. Der öffentliche Schlüssel dagegen kann, wie der Name schon sagt, öffentlich gemacht werden.
Die Public-Key-Kryptografie ist ein Verfahren der asymmetrischen Kryptografie. Das bedeutet, dass zur Ver- und Entschlüsselung jeweils unterschiedliche Schlüssel zur Anwendung kommen: Eine Zeichenkette, die mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden, und umgekehrt. Ein fundamentales Konzept der asymmetrischen Kryptografie ist das Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Daten, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel entschlüsselt werden. Daher muss der private Schlüssel vom Besitzer des Schlüsselpaares geheim gehalten werden.
Dies ist auch die technische Grundlage von Ende-zu-Ende-Verschlüsselung von E-Mails, digitalen Signaturen, HTTPS und anderen verbreiteten Verfahren im Internet, bei denen es auf lückenlose Sicherheit ankommt. Die digitale Signatur, die auch beim Passkey eine Rolle spielt, funktioniert im Prinzip so: Eine Prüfziffer des zu signierenden Dokuments wird mit dem privaten Schlüssel des Signierenden verschlüsselt. Die Öffentlichkeit – jeder, der den zugehörigen öffentlichen Schlüssel hat – kann nun die Echtheit der Signatur prüfen, weil die Verschlüsselung durch den privaten Schlüssel nur durch den zugehörigen öffentlichen Schlüssel rückgängig gemacht werden kann.
Login per Challenge vom Server
Zurück zum Passkey: Nachdem der Authenticator des Nutzers bei seiner Registrierung für einen Webdienst ein solches Schlüsselpaar generiert hat, verbleibt der private Schlüssel im Authenticator (also auf dem verknüpften Gerät im Besitz des Nutzers). Der öffentliche Schlüssel dagegen wird an den Server des Dienstes geschickt, auf dem das Konto des Nutzers liegt. Dieser öffentliche Schlüssel muss nicht geheim gehalten werden und kann also einfach im Klartext übermittelt werden. Bei einer Login-Anfrage des Nutzers schickt nun der Server eine sogenannte Challenge an den Authenticator. Hierbei handelt es sich um ein kleines Datenpaket, das vom Authenticator mit dem privaten Schlüssel des Nutzers signiert und so zurück an den Server geschickt wird. Dieser kann die Echtheit der Signatur prüfen, indem er sie mit dem zugehörigen öffentlichen Schlüssel (der zuvor vom Authenticator auf dem Server deponiert wurde) entschlüsselt.
Um dies noch einmal hervorzuheben: Bei der Authentifizierung per Passkey muss zwischen Authenticator und Konto-Server niemals eine geheime Information (wie etwa ein Passwort) übermittelt werden. Daher kann auch kein Geheimnis von einem Angreifer abgefangen und missbraucht werden. Und weil Passkeys domainspezifisch erstellt werden, können auch gefälschte Phishing-Seiten, selbst solche mit sehr ähnlichen Domainnamen, nichts ausrichten.
Passwort trotz Passkey?
Trotzdem sind auch bei Passkeys geheime Informationen im Spiel – nämlich der private Schlüssel des Nutzers. Dieser muss sorgfältig geheim gehalten werden, um die Sicherheit des Verfahrens nicht zu beeinträchtigen. Das bedeutet, dass der Authenticator selbst ebenfalls gegen unbefugten Zugriff abgesichert werden muss. Wenn dieser nur durch ein Passwort gesichert ist, etwa das Masterpasswort eines Passwortmanagers oder die PIN des Smartphones, bleibt das Verfahren dennoch sehr viel sicherer als Online-Passwörter, da der Passkey an das jeweilige Gerät gebunden ist und dieses erst in die Hände eines Angreifers geraten müsste. Es ist jedoch ratsam, insbesondere bei Mobilgeräten, andere Absicherungsverfahren zu nutzen, die nicht nur sicherer, sondern auch bequemer einsetzbar sind, insbesondere biometrische Zugangsverfahren.
Auch bei der Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) per Passkey sind Passwörter in der Regel immer noch im Spiel: Hierbei handelt es sich oft um einen herkömmlichen Login mit Benutzernamen und Passwort, der, wie bei MFA üblich, durch einen zweiten Faktor abgesichert wird. Dieser zweite Faktor ist dann ein Passkey von einem Authenticator, der genauso generiert wird wie zuvor beschrieben.
Passkeys als Authentifizierungsmethode der Zukunft
Ein Vorteil von Passkeys gegenüber dem FIDO2-Standard, auf dem sie basieren, ist, dass sie einfach zwischen verschiedenen Geräten synchronisiert werden können. Die FIDO Alliance, eine Industrievereinigung, der unter anderem Google, Microsoft, Samsung oder das deutsche BSI angehören, entwickelt gemeinsam mit dem W3C möglichst sichere, aber einfach zu nutzende Standards für die passwortlose Authentifizierung, um die Online-Security zu verbessern. Passkeys sind das neueste Ergebnis dieser Bemühungen. Große Anbieter wie Google oder Apple implementieren die Synchronisation in ihrem jeweiligen Ökosystem bereits, sodass ihre Nutzer einmal generierte Passkeys ohne zusätzlichen Aufwand von verschiedenen Geräten aus nutzen können. Nutzer müssen dabei jedoch darauf vertrauen, dass die privaten Schlüssel tatsächlich verschlüsselt übermittelt werden. Unternehmen mit höheren Sicherheitsanforderungen verzichten daher oft auf die Synchronisation von Passkeys zwischen verschiedenen Geräten, um zu verhindern, dass sie durch Angreifer abgefangen werden. Solche Passkeys werden als device-bound bezeichnet.
Wichtige Hinweise zur Nutzung von Passkeys
Es ist wichtig zu beachten, dass Nutzer Passkeys auf jedem Gerät erstellen müssen, das sie verwenden möchten. Bei gemeinsam genutzten Geräten sollte darauf geachtet werden, dass diese passwortgeschützt bleiben, um unbefugten Zugriff zu verhindern. Wenn ein Passkey auf einem gemeinsam genutzten Gerät gespeichert wird, könnte jede Person mit Zugriff auf dieses Gerät auch auf das Google-Konto des Nutzers zugreifen.
Statistiken zur Nutzung von Passkeys
Seit ihrer Einführung wurden Passkeys bereits über eine Milliarde Mal zur Authentifizierung in mehr als 400 Millionen Google-Konten verwendet. Diese Zahlen verdeutlichen die wachsende Akzeptanz dieser Technologie und zeigen, dass Passkeys auf dem besten Weg sind, eine zentrale Rolle in der Online-Sicherheit zu spielen.
Die Vorteile von Passkeys
Passkeys ersetzen sowohl Passwörter als auch traditionelle Multi-Faktor-Authentifizierung. Sie ermöglichen es den Nutzern, sich mit biometrischen Daten wie Fingerabdrücken oder Gesichtsscans anzumelden, was den Authentifizierungsprozess erheblich vereinfacht.
Sicherheit von Passkeys
Ein entscheidender Vorteil von Passkeys ist ihre Immunität gegen die breite Masse bekannter Phishing-Angriffe. Selbst wenn ein Nutzer versucht, sich auf einer gefälschten Webseite einzuloggen, wird der geheime Schlüssel niemals preisgegeben. Der Login scheitert, und die Angreifer erfahren nichts über das Angriffsziel oder dessen Daten. Dies erhöht die Sicherheit erheblich und schützt die Nutzer vor den Risiken, die mit Phishing und Datendiebstahl verbunden sind.
Passwortmanager: Ein unverzichtbares Tool für die Sicherheit
Zusätzlich zu Passkeys spielen Passwortmanager eine entscheidende Rolle bei der Verbesserung der Sicherheit. Sie speichern komplexe Passwörter und generieren sichere Anmeldedaten, sodass Nutzer sich keine komplizierten Passwörter merken müssen. Passwortmanager bieten nicht nur eine zentrale Anlaufstelle für alle Zugangsdaten, sondern schützen auch vor Phishing-Angriffen, indem sie nur die richtigen Anmeldedaten für die jeweilige Webseite bereitstellen. Dies reduziert das Risiko von Identitätsdiebstahl erheblich und ist besonders wichtig, solange Passwörter weiterhin verwendet werden. Die Kosten für die Lizenzen sind im Vergleich zu den potenziellen Schäden, die durch Sicherheitsverletzungen entstehen können, vernachlässigbar.
Quellen und weitere Artikel zum Thema
- https://www.elektronik-kompendium.de/sites/net/1910111.htm
- https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/
- https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
- https://www.pingidentity.com/de/resources/identity-fundamentals/authentication/passwordless-authentication.html
- https://www.cidaas.com/de/passwortlose-authentifizierung/
- https://regina-stoiber.com/2023/01/31/passwortlose-authentifizierung-fido2/
Titelmotiv: Bild von Gerd Altmann auf Pixabay
Dieser Artikel ist am 22.01.2024 erschienen und wurde am 09.10.2024 aktualisiert.
