Tauchen Sie ein in die Welt der neumodernen Identitätsüberprüfung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt transformieren können und erkunden Sie die technischen Hintergründe jener fortschrittlichen Sicherheitsmethode. Tschüss Passwörter, adieu Phishing. Hallo neuartiger und origineller Login via Passkey! Simpel, schnell und sicher.
Im Jahr 2012 wurde die FIDO-Alliance (https://fidoalliance.org) erschaffen. Das Ziel: Einen lizenzfreien neuen Standard für die Identitätsüberprüfung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören etliche „Big Player“ der Tech-Industrie an, darunter Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine neue Technologie erschaffen, welche wir in dem Artikel unter die Lupe nehmen wollen: Identitätsüberprüfung mit Passkeys. Die Absicht der FIDO: Rasche Online-Identifizierung. Passwörter sollen abgeschafft plus Logins zwar bequemer, aber gleichzeitig auch sicherer gemacht werden. Aber wie soll das denn funktionieren?!
Passkey: Was ist das?
In einer gegenwärtigen Analyse von 1Password gab jeglicher (!) Befragte an, schon einmal direkt oder indirekt mit Phishing in Kontakt gekommen zu sein. Da verwundert es keineswegs, dass der Hauptanteil der Teilnehmer eine sichere Login-Methode für deren Online-Accounts für sehr relevant hält (https://1password.com/resources/passwordless-future-report). Die Zwei-Faktor-Authentifizierung (2FA) erscheint da zwar in der Theorie nach einer guten Lösung, hat jedoch einen großen Haken: Man kann sich unheimlich leicht selbst heraussperren aus seinen eigenen Konten. Von dem temporären Aufwand mal ganz abzusehen. Simpel sowie „smooth“ ist der 2FA-Login mitnichten. Außerdem werden natürlich auch Hacker immer smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Methoden gefunden, SMS abzufangen sowie so an den zweiten Faktor für die Authentifizierung zu gelangen. Wirklich geschützt wäre ein Login demnach nur, wenn es überhaupt keine Zugangsdaten gäbe, welche man ausspionieren könnte. Und genau an jener Stelle kommen Passkeys ins Spiel!
Passkeys, ebenso bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden zunehmend zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegensatz zu gewöhnlichen Passwörtern eröffnen diese eine erweiterte Sicherheitsebene, indem sie eine physische Komponente in die Authentifizierung einbeziehen. Diese Eingebung hinter Passkeys ist, dass der Nutzer Zutritt zu all seinen Online-Konten im Netz hat, ohne dass man sich ein jedes Mal mit Loginnamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, ohne Zugangsdaten auszukommen, welche ausspioniert werden können. Selbige wurden erschaffen, um eine passwortlose Registrierung bei Websites sowie Apps zu gewähren und das Benutzererlebnis einfacher und phishing-sicher zu formen.
Aber wie gelingt das? Also, bei der Generierung eines Profils bei einem Online-Dienst, der Passkeys unterstützt, werden zwei Schlüssel erstellt, welche miteinander mathematisch verbunden sind:
1. Ein öffentlicher Schlüssel – jener wird mit dem Dienst, sagen wir mal einer Internetseite oder einer Applikation geteilt und dient dazu, Informationen zu codieren, welche ledigital der private Schlüssel entschlüsseln kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, vollkommen beliebig generierte Abfolge von Zeichen. Dieser private Schlüssel ist einzig auf dem Gerät des Anwenders abgespeichert. Auf allen verknüpften Geräten, beispielsweise dem Laptop oder Smartphone, ist demnach via Passkey-Login kein Benutzername und auch kein Zugangswort mehr notwendig.
Um Passkeys benutzen zu können, sind zwei Dinge technisch erforderlich: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um sicher mit dem Browser kommunizieren zu können. Der Online-Service, bei welchem man sich einloggen will, muss hierüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Dies ist eine Verbindung, die unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.
Da Passkeys demzufolge auf den jeweiligen Endgeräten gespeichert werden, drängt sich selbstverständlich sofort eine wesentliche Frage auf: Wie lassen sich die Endgeräte vor unbekannten Zugriffen schützen? Denn in diesem Fall stünden einem Hacker Tür und Tor offen, in dem Moment wo er ein fremdes Endgerät in die Finger bekommt. Aber zum Glück gibt es dafür schon Lösungen: Denn die modernen Modelle von Endgeräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- und auch App-Entsperrung durch biometrische Scans an. Die bekanntesten sind Fingerabdruckscan und Face ID. So entsteht durch die Kombination aus Passkey und biometrischen Daten eine extrem sichere Form der Identitätsüberprüfung.
Die Anwendung von Passkeys bietet eine gesamte Reihe von Vorteilen für Benutzer und Firmen. Dazu zählen eine höhere Sicherheit durch eine physische Authentifizierungskomponente, eine optimierte User Experience durch nahtlose Anmeldung und eine Verkleinerung des Risikos von Phishing-Attacken sowie Passwortdiebstahl. Einige Technologiereisen haben deshalb ebenfalls bereits Passkeys eingeführt – zuletzt mit viel Furore der Online-Marktplatz Amazon. Und das wird voraussichtlich erst der Anfang sein – Experten gehen davon aus, dass Passkeys sich immer mehr am Markt ausbreiten und als Standard eingesetzt werden.
Was denken Sie: Ist die nahe Zukunft der Authentifizierung passwortlos und physisch?
Bei Fragen zum Thema 2FA und Passkeys sprechen Sie uns gerne an. Wir beraten und betreuen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!
