wladimir1804 - stock.adobe.com
Passkeys: Sicheres Anmelden ohne Passwörter
Passkeys sollen das Passwort ersetzen, aber wie funktionieren sie? Wir klären, welche Unternehmen die neue Technik bereits unterstützen und erläutern die Vorteile des Ansatzes.
Die Probleme mit Passwörtern sind seit langem bekannt. Die meisten Menschen neigen dazu, schwache und sich leicht zu merkende Passwörter zu verwenden. Dadurch lassen sie sich aber relativ schnell durch Wörterbuch- oder Brute-Force-Attacken knacken. Komplex aufgebaute Passwörter kann sich aber kaum jemand merken. Schon gar nicht, wenn Sie für jede Anwendung, die Sie nutzen, ein separates Kennwort benötigen.
Passwörter werden daher häufig mehrfach verwendet, was ebenfalls Tür und Tor für ihren Missbrauch öffnet. Ein weiteres Problem mit Passwörtern ist, dass sie sich oft aus der Ferne für eine Anmeldung nutzen lassen. Da ist es dann gleichgültig, ob sich Kollege Müller vom Home-Office aus einloggen will oder ein Angreifer aus einem Land auf der anderen Seite der Erdkugel. Daher wird mit Benutzerkonten und Passwörtern ein reger Handel im Darknet betrieben. Hintertüren in Unternehmensnetze sind bares Geld wert.
Passwörter: Auf der Suche nach Alternativen
Es ist deswegen kein Wunder, dass die Sicherheitsbranche händeringend nach Alternativen sucht. Da werden Passwort-Manager, Biometrie, Zweifaktor-Authentifizierungen (2FA), Einmal-Passwörter (OTP, One-Time Password) und vieles mehr empfohlen. Aber selbst die als Allheilmittel gepriesene 2FA ist mittlerweile in die Kritik geraten, weil sie durch Fatigue-Attacken, Realtime-Phishing und Cookie-Klau umgangen werden kann.
Nun hat Google im Mai 2023 mit der Einführung von Passkeys „den Anfang vom Ende der Passwörter“ verkündet. Dabei ist der Internetkonzern erst relativ spät zur Passkeys-Gemeinde gestoßen. Apple und Microsoft unterstützen sie bereits seit längerem. Google bietet Passkeys aber jetzt gleich für mehr als zwei Milliarden Accounts weltweit an. Ihre Besitzer benötigen damit in Zukunft – prinzipiell – kein Passwort und auch keinen zweiten Authentifizierungsschritt mehr, um sich bei einem der Google-Dienste anzumelden. In der Realität traut sich der Konzern aber noch nicht, diesen Schritt mit aller Konsequenz zu gehen. Aber dazu später mehr.
Was sind Passkeys und wie funktionieren sie?
Passkeys sind eine vergleichsweise junge Methode, um sich von einem Endgerät aus auf Webseiten, an entfernten Servern oder bei Anwendungen anzumelden. Technisch basieren sie mit ihrer Kombination aus öffentlichen und privaten Schlüsseln auf dem asynchronen Verschlüsselungskonzept (siehe auch Wie unterscheiden sich Passkey und Passwort?)
Das neue Versprechen der Techkonzerne klingt viel versprechend: Statt umständlich mit Passwort können sich Passkey-Nutzer in Zukunft genauso einfach anmelden, wie sie es bereits von ihren Smartphones gewöhnt sind, also nur mit schnellem Fingerabdruck, Gesichtsscan oder einer PIN. Möglich wird das durch einen privaten Schlüssel, der auf dem Endgerät gespeichert wird. Der dazu passende öffentliche Schlüssel liegt bei dem Dienst, mit dem sich der Anwender verbinden will.
Bei einer Login-Anfrage tauschen die beteiligten Computer eine Herausforderung („Challenge“) aus, die auf dem öffentlichen Schlüssel basiert. Sie kann nur auf dem Endgerät des Nutzers, auf dem der private Schlüssel gespeichert ist, gelöst werden. Anschließend erzeugt das Gerät eine digitale Signatur, die es an den Dienst schickt. Erst jetzt erfolgt die Login-Freigabe.
Sichere Zonen für private Schlüssel
Mehr als den öffentlichen Schlüssel und die erzeugte Signatur bekommt eine externe Anwendung oder ein Dienstleister also nicht zu sehen. Der private Schlüssel und die eventuell verwendeten biometrischen Daten des Anwenders verbleiben dagegen auf seinem Gerät. Ein weiterer Vorteil ist, dass jeder Passkey einzigartig ist und nur mit dem jeweiligen Anwender und dem von ihm genutzten Dienst funktioniert.
Damit laufen klassische Cyberangriffe ins Leere. Zum Einen sind die erzeugten Schlüssel so komplex, dass sie als unknackbar gelten. Zum Anderen ist jeder Schlüssel nicht nur einmalig, sondern funktioniert auch nur an genau einer Stelle. Auch per Phishing auf gefälschten Webseiten lassen sich Passkeys nicht ausspähen, weil sie nicht wie ein Passwort eingegeben werden. Außerdem berücksichtigen sie die verwendete Domain. Ein Passkey für Google.de funktioniert daher nicht auf einer sehr ähnlich klingenden, aber gefälschten Google-Domain.
Eine zusätzliche Zweifaktor-Authentifizierung ist ebenfalls nicht mehr nötig. Eine Anmeldung per Passkey erfolgt bereits auf Basis zweier Faktoren: Einmal dem Passkey selbst, den nur der Anwender besitzt, plus der Authentifizierung per Fingerabdruck, Gesichtsscan oder PIN.
Google-Account auf Passkey-Anmeldung umstellen
Was zuerst ungewohnt und kompliziert klingt, ist in der Praxis erstaunlich einfach. Voraussetzung für zum Beispiel den Umstieg auf Passkeys bei Google ist ein Computer mit Windows 10 oder 11, macOS ab Ventura oder ChromeOS ab Version 109 beziehungsweise ein iPhone mit iOS 16 oder ein Handy mit Android ab Version 9. Auch ein Hardware-Sicherheitsschlüssel lässt sich nutzen, sofern er das FIDO2-Protokoll unterstützt.
Außerdem wird laut Google entweder der Chrome-Browser ab 109, Microsoft Edge ab 109 oder Apple Safari ab 16 benötigt. Es funktioniert aber auch mit Mozilla Firefox. Außerdem muss die Bildschirmsperre auf dem Endgerät aktiviert sein, damit niemand sich daran heimlich zu schaffen machen kann. Bluetooth wird nur dann benötigt, wenn das Smartphone genutzt werden soll, um sich mit seiner Hilfe sicher auf etwa einem Computer anzumelden.
Wenn diese Voraussetzungen erfüllt sind, klicken Sie auf http://g.co/passkeys und folgen den Anweisungen auf dem Bildschirm, um Passkeys für Ihr Google-Konto zu aktivieren. Danach können Sie sich per Windows Hello oder Ihrer Windows-PIN bei Ihrem Google-Konto authentifizieren.
Ausblick
Das Passkeys-Konzept wurde von der FIDO Alliance unter Beteiligung von Apple, Google und Microsoft entwickelt. Auch Ebay, Docusign und Paypal gehören zu den Unterstützern. Kritik gibt es allerdings an Apple, da der iPhone-Anbieter Passkeys in seiner iCloud speichert. Auch Google konnte sich bisher noch nicht endgültig vom Passwort verabschieden. Momentan ist Passkeys dort einfach eine weitere Methode, um sich einzuloggen. Ob und wann der Internetgigant die anderen Techniken abschaltet, ist offen.
Einen Überblick, über Dienste, die bereits die neuen Passkeys unterstützen, erhalten Sie im Passkeys.directory. Aktuell sind dort 56 Dienste verzeichnet, die Passkeys bereits implementiert haben. Firmen wie Adobe, Beyond Identity, Okta und Synology sind dort schon aufgeführt. Ihre bekannten Namen dürfen aber nicht darüber hinwegtäuschen, dass die Liste derzeit noch recht überschaubar ist.