Bereits im Jahr 2012 wurde die sog. FIDO-Alliance erschaffen und dann im Jahr 2013 gegründet. Ziel war es einen neuen, lizenzfreien und schnellen Standard für die Authentifizierung im Web zu entwickeln.
FIDO = Fast IDentity Online
Mitglieder dieser Organisation sind beispielsweise Google, Microsoft, Apple, Samsung, Alibaba sowie Amazon. Die Initiative hat eine innovative Technologie erschaffen, welche wir in diesem Artikel genauer unter die Lupe nehmen möchten:
Authentifizierung mit Passkeys.
Mit Hilfe dieser Methode sollen mittel- bzw. langfristig Passwörter abgeschafft und somit Anmeldungen/Logins bequemer und auch sicherer gemacht werden.
Passkey: Was ist das?
In einer Studie aus Januar 2023 von 1Password gab jeder Befragte an, schon einmal direkt oder indirekt mit Phishing in Berührung gekommen zu sein.
„Allgegenwärtiges Phishing: 67 % der Befragten haben im vergangenen Jahr persönlich Phishing-Nachrichten erhalten, während 100 % entweder Phishing-Nachrichten erhalten haben oder jemanden kennen, der sie erhalten hat.“ (Quelle: Report „Preparing for a passwordless future“, 1Password, https://1passwordstatic.com, AgileBits Inc., Toronto)
Da verwundert es nicht, dass der Großteil der Befragten eine geschützte Login-Methode für ihre Online-Accounts für sehr wichtig hält.
„Auf der Suche nach Einfachheit: Fast zwei von drei Personen (65%) sind offen für neue Technologien, die das Leben einfacher machen.“ (Auch Quelle: Report „Preparing for a passwordless future“, 1Password, https://1passwordstatic.com, AgileBits Inc., Toronto)
Eine Möglichkeit wäre die sogenannte 2FA, die Zwei-Faktor-Authentifizierung. Die Systematik klingt zwar nach einer guten Option, hat jedoch einen großen Nachteil: Es besteht die Gefahr, dass man sich selbst aus seinen eigenen Konten aussperrt. Von dem temporären Aufwand mal völlig abzusehen. Einfach und „smooth“ ist der 2FA-Login auf keinen Fall.
Darüber hinaus werden selbstverständlich auch Hacker immerzu smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Maßnahmen gefunden, SMS abzufangen und so an den zweiten Faktor für eine Authentifizierung zu kommen. Wirklich sicher wäre ein Login demnach nur, wenn es überhaupt keine Zugangsdaten gäbe, welche man ausspionieren könnte. An dieser Stelle setzen Passkeys an.
Passkeys, auch bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, gewinnen als elementares Glied moderner Sicherheitsinfrastrukturen zunehmend an Bedeutung. Im Gegensatz zu herkömmlichen Passwörtern bieten diese eine zusätzliche Sicherheitsebene, da sie eine physische Komponente in die Authentifizierung einbeziehen.
Die Idee hinter Passkeys ist, dass Nutzer ohne erneute Eingabe von Log-in-Daten Zugriff auf ihre Online-Konten erhalten. Die Passkey-Technologie zielt darauf ab, den Nutzer von der Notwendigkeit zu befreien, Zugangsdaten zu verwenden, die möglicherweise von Dritten ausspioniert werden könnten. Die Passkeys wurden entwickelt, um eine Anmeldung bei Websites und Apps ohne Passwörter zu ermöglichen und das Benutzererlebnis zu vereinfachen sowie Phishing zu verhindern.
Wie kann ein solches Vorgehen erfolgreich umgesetzt werden? Bei der Generierung eines Profils bei einem Online-Dienst, welcher Passkeys unterstützt, werden zwei Schlüssel generiert, die miteinander mathematisch verknüpft sind.
- Ein öffentlicher Schlüssel wird mit dem Dienst, beispielsweise einer Internetseite oder einer App, geteilt und dient dazu, Informationen zu codieren, die lediglich der private Schlüssel entschlüsseln kann.
- Einen privaten, asymmetrischen Krypto-Schlüssel, der eine sehr lange, vollkommen beliebig generierte Abfolge von Kennzeichen darstellt. Der private Schlüssel wird ausschließlich auf dem Gerät des Anwenders gespeichert. Auf sämtlichen verknüpften Geräten, beispielsweise Laptop oder Smartphone, ist somit kein Benutzername und kein Passwort mehr notwendig.
Um Passkeys verwenden zu können, sind zweierlei technische Voraussetzungen erforderlich: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um sicher mit dem Webbrowser kommunizieren zu können. Darüber hinaus muss der Online-Service, bei dem eine Anmeldung erfolgen soll, die „WebAuthentication standard API“ fördern (WebAuthn). Diese Verbindung ist erforderlich, um sich mit dem Schlüsselprinzip, auf dem Passkeys basieren, beglaubigen zu können.
Da Passkeys auf den jeweiligen Endgeräten gespeichert werden, stellt sich unmittelbar die Frage, wie deren Sicherheit gewährleistet werden kann. Wie können die Geräte vor fremden Zugriffen geschützt werden? In diesem Fall wäre ein Zugriff durch einen Hacker möglich, sobald dieser ein fremdes Endgerät in den Händen hält. Es gibt bereits Lösungen für dieses Problem. Moderne Endgeräte wie Laptops, Smartphones oder Smart-TVs bieten die Möglichkeit, Geräte und Apps durch biometrische Scans zu entsperren. Zu den populärsten Methoden gehören der Fingerabdruckscan sowie Face ID. Die Kombination aus Passkey und biometrischen Daten stellt somit eine äußerst sichere Methode zur Überprüfung der Identität dar.
- Passkeys können nicht zu simpel oder zu kurz sein – Passwörter dagegen schon.
- Im Gegensatz zu Passwörtern können Passkeys nicht vergessen werden.
- Passkeys werden schnell und automatisiert erstellt.
- Ein weiterer Vorteil von Passkeys ist, dass sie weniger anfällig für Phishing und Datendiebstahl sind.
- Jeder Passkey ist einem Account zugeordnet. Dadurch ist sichergestellt, dass bei einem Missbrauch eines Passkeys nicht mehrere Accounts gefährdet sind.
(angelehnt an BSI; Zugriff 13.05.2024)
Wo kann ich mich schon via Passkey einloggen?
Wichtiger Hinweis: Wir möchten Sie darüber informieren, dass ein offizielles Verzeichnis aller Anbieter mit passwortloser Anmeldung nicht existiert. Unter den verfügbaren Listen finden sich beispielsweise Passkeys.io, Passkeys Directory und Keeper. Bitte beachten Sie, dass neue Anbieter mit Passkey-Unterstützung anfangs möglicherweise nicht enthalten sind. Im Folgenden finden Sie eine Übersicht über wichtige Dienste (Quelle: PC Welt; Zugriff 13.05.2024):
| 1Password |
| Adobe |
| Amazon |
| Apple |
| Bitwarden (Passwörter) |
| Dashlane (Passwörter) |
| Ebay |
| GitHub (Software) |
| Kayak (Reisen) |
| Keepass XC (Passwörter) |
| Keeper (Passwörter) |
| Microsoft |
| Mozilla (Firefox) |
| Nintendo |
| Nvidia |
| PayPal |
| Shopify (E-Commerce) |
| Sony Playstation |
| Synology |
| Tiktok |
| Uber (u.a. Taxi) |
| X (Twitter) |
| Yahoo |
| Zoho (u.a. Office) |
Fazit
Die Verwendung von Passkeys bietet Unternehmen und Nutzern eine Reihe von Vorteilen. Zu den Vorteilen zählen eine erhöhte Sicherheit durch eine physische Authentifizierungskomponente, eine verbesserte Benutzererfahrung durch nahtlose Anmeldung sowie eine Verkleinerung des Risikos von Phishing-Attacken und Passwortdiebstahl.
+ Sicherheit
+ nahtlose Anmeldung
+ Verringerung Risiko Phishing-Attacken
+ Minimierung Passwortdiebstahl
