Start

Passkeys – die besseren Passwörter?

Passkeys – die besseren Passwörter?

Für eilige Leser

  • Menschen sind die größten Schwachstellen eines Computers – zumindest wenn es um Benutzername und Passwort und damit den Zugang zu Daten und Anwendungen geht. Daher sind Menschen ein Hauptziel von Hackern.
  • Trotz Zweifaktor-Authentication hat sich die Sicherheit nicht grundlegend geändert. Findige Cyberkriminelle suchen und finden dank Social Engineering Möglichkeiten, dass ein Benutzer seinen zweiten Faktor preisgibt, sodass sie sich in dessen System anmelden können.
  • Passkeys sollen das ändern: Statt Benutzername und Passwort sowie zweiter Faktor wird zukünftig bei der Registrierung für eine Anwendung automatisch ein Passkey erstellt, der zur Hälfte auf dem Endgerät, zur Hälfte in der Anwendung gespeichert wird.
  • Will sich der Benutzer in der Anwendung anmelden, wird der Passkey im Hintergrund benutzt, um den Benutzer zu authentisieren. Die Eingabe von Benutzernamen und Passwort entfällt. Cyberkriminelle können den Passkey nicht über Social Engineering ausspähen.
  • Die großen Internet Browser Hersteller beginnen bereits mit der Implementierung der Passkey Technologie. Einige Webseitenbetreiber bieten Passkeys für die Anmeldung bereits an. Ein breiter, weltweiter Roll-out steht vor der Tür.

Tipp zum Ausprobieren

AI spielt in der Security eine immer dominatere Rolle; zu komplex sind die Bedrohungen, dass menschliche Reaktionsfähigkeit ausreichen würde. Wer sich für einen redaktionell umsichtig zusammengestellten wöchentlichen Newsletter interessiert, ist mit dem Handelsblatt KI-Briefing gut bedient. Hier werden vor allem deutschsprachige Quellen und Berichte erwähnt – ein guter Eindruck, dass im deutschsprachigen Raum die Welt nicht still steht. Das KI-Briefing ist übrigens kostenlos.

Passwörter – ein Problem im Cloud-Zeitalter

Passwörter sind seit Jahrzehnten der de-facto Standard zur Authentisierung von Benutzern. Jedoch werden sie zunehmend zum Problem:

  • Wir vergessen sie leicht.
  • Wir verwenden Sie mehrfach.
  • Sie können leicht gestohlen werden.
  • Sie können abgefangen und missbraucht werden.

Gerade in Zeiten von vielen heterogenen Systemlandschaften muss man Benutzer über 100 Passwörter verwalten, benutzen und sicher speichern. Ein Risiko für jedes Unternehmen. Denn wer möchte schon seine CRM Leads, Auftragsdaten oder internen Dokumente für Unbefugte zugänglich wissen?

Die Verwendung von Passwort Managern ist zwar eine Lösung für eine sicherere Verwaltung von Zugängen, jedoch unterliegt auch diese der inhärenten Problematik von Passwörtern, dass diese zwischen Client und Server übertragen werden müssen.

Der Einsatz von Zertifikaten konnte sich bislang aufgrund der aufwändigen Verwaltung und der fehlenden Standards auf Anwendungsebene nicht durchsetzen. Wer möchte schon gerne für jede Internetanwendung manuell ein Zertifikat erstellen, den öffentlichen Schlüssel hochladen, den privaten sicher speichern und anschließend gewährleisten, dass die Authentisierung beim Login erfolgreich funktioniert?

Passkeys ändern das. Die Zeit der Passwörter läuft ab.

Was sind Passkeys?

Passkeys sind Zugangsdaten, die auf dem Endgerät des Benutzers während seiner Registrierung in einer Anwendung oder auf einer Webseite erzeugt und gespeichert werden. D.h. der Benutzer vergibt keinen Benutzernamen und ein Passwort mehr, sondern im Hintergrund werden von seinem Endgerät sogenannte Schlüssel erstellt, von denen einer auf zur Anwendung bzw. Webseite übertragen wird, um dort als “Gegenstelle” gespeichert zu werden. Meldet der Benutzer sich anschließend an, werden diese Zugangsdaten verwendet, um den Benutzer zu authentisieren. Die Eingabe des Benutzernamens und Passworts entfällt.

Wie sehen die Schritte im Detail aus?

Registrierung

  1. Ein Benutzer geht zu einer Webseite, um sich dort zu registrieren.
  2. Die Webseite hat den Passkey Standard (gem. standardisiertem FIDO protocol “WebAuthn”) implementiert und sendet dem Benutzer eine Konfigurationsdatei mit der Aufforderung – z.B. einem QR-Code -, einen Passkey zu erzeugen.
  3. Das Endgerät des Benutzers (z.B. Smartphone, Notebook) nimmt diese Konfigurationsdatei (z.B. QR-Code) entgegen und zeigt sie dem Benutzer an.
  4. Der Benutzer liest die Konfigurationsdatei mit einem Authenticator-Programm automatisch ein (z.B. Passwort Manager, aber auch in der Schlüsselverwaltung des Betriebssystems), welcher den FIDO WebAuthn Standard unterstützt.
  5. Daraufhin erzeugt das Authenticator-Programm ein einzigartiges Schlüsselpaar: Einen privaten, einen öffentlichen. Dieses Paar kommt nirgendwo sonst auf der Welt zum Einsatz.
  6. Der private Schlüssel wird durch einen zusätzlichen biometrischen Schutz auf dem Endgerät des Benutzer gespeichert (z.B. im Passwortmanager), der öffentliche Schlüssel wird an die Webanwendung übertragen und dort automatisch gespeichert. Privater und öffentlicher Schlüssel zusammen genommen ergeben den “Passkey”.

Anmeldung

Meldet sich der Benutzer bei der Webseite an, so werden folgende Schritte durchlaufen:

  1. Die Webseite schickt an das Benutzergerät eine sogenannte “Authentication Challenge”, eine von ihr dynamisch erzeugte Nachricht, welche das Benutzergerät (bzw. dessen Browser) mit seinem privaten Schlüssel signieren soll.
  2. Das Authenticator-Programm erkennt diese Aufforderung und bittet den Benutzer, sich mit seinen biometrischen Daten, z.B. Fingerabdruck, Gesichtsscan, zu autorisieren.
  3. Ist die Autorisierung erfolgreich, so signiert das Authenticator-Programm die “Authentication Challenge” und schickt diese signierte Version an die Webseite zurück.
  4. Die Webseite prüft anhand des öffentlichen Schlüssels, ob die Signatur der Challenge gültig ist. Im positiven Fall gewährt die Webseite dem Benutzer Zugriff.

Im Wesentlichen entspricht das Passkey-Verfahren einem digitalen Zertifikatsverfahren. Der öffentliche Schlüssel validiert, dass eine Nachricht mit einem ihm zugehörigen privaten Schlüssel signiert wurde (“Daumenabdruck”) und wertet das als positive Authentifikation des Benutzers.

Passkeys leben von digitalen Zertifikaten.

Vorteile von Passkeys

Sicherheit

Die Kombination aus der Public-Key-Kryptographie (einzigartigem privaten und öffentlichen Schlüsselpaar) und der biometrischen Authentifikation beseitigt das Problem der Passwort-Wiederverwendung, dem Ausspähen eines zweiten Faktors (es gibt ja keinen “Token”, den der Benutzer eingeben muss) sowie dem Passwort-Diebstahl von Servern (dort liegt ja nur der öffentliche Schlüssel vor, der ohnehin bekannt ist; jedoch nutzt dieser ohne privaten Schlüssel nichts).

Komfort

Das Passkey-Verfahren ist komfortabler für den Benutzer, da dieser keine Benutzernamen und Passwörter sich mehr merken muss, um sich bei einer Anwendung anzumelden.

Phishing-Resistenz

Passkeys werden in keiner Anwendung oder auf keiner Webseite gespeichert. Die Angriffsfläche für “Social Engineering” ist deutlich geringer.

Plattformunabhängigkeit

Da Passkeys ein Web-Standard sind, der von allen großer Internet Browser Herstellern implementiert wird, kann dieses Verfahren auf allen Endgeräten und allen Betriebssystemen genutzt werden. Es ist nicht einmal ein Passwort Manager zwingend mehr nötig, da die Funktionalität auch so gegeben ist.

Wann kommen Passkeys?

Wichtige Voraussetzung für den breiten Nutzen von Passkeys ist die Implementierung in allen gängigen Browsern sowie auf möglichst vielen Webanwendungen.

Windows 10, macOS Ventura und ChromeOS 109 sowie iOS 16 oder Android 9 sind minimale Grundvoraussetzung. Dazu kommt dann Chrome 109, Safari 16 oder Edge 109. Höhere Versionen funktionieren natürlich.

Ende 2023 bietet bereits PayPal die Möglichkeit an, sich über Passkey zu authentifizieren. Weitere werden folgen.

Es ist nicht die Frage, ob sich Passkeys durchsetzen, sondern wie lange die Anwendungsentwickler benötigen, um diesen neuen, sichereren Passwortstandard bei sich zu implementieren. Wir sind gespannt und setzen bereits auf diese Technologie.

Passkeys machen die Welt ein Stück sicherer.

Über Business Automatica GmbH:

Business Automatica senkt Prozesskosten durch Automatisierung manueller Tätigkeiten, hebt die Qualität beim Datenaustausch in komplexen Systemarchitekturen und verbindet On-premise Systeme mit modernen Cloud- und SaaS-Architekturen. Angewandte künstliche Intelligenz im Unternehmen ist dabei ein integraler Bestandteil. Zudem bietet Business Automatica auf Cybersicherheit ausgerichtete Automatisierungslösungen aus der Cloud.