ArtikelAuthentifizierung

Passkeys statt Passwort – sicher und einfach statt riskant und kompliziert

Autor/Redakteur: Stephan Schweizer, CEO der Nevis Security AG/gg

Passwörter – für die meisten der rund 78 digitalen Nutzerkonten, über die jeder Deutsche heute im Durchschnitt verfügt, sind sie ein Muss. Ein äußerst unbeliebtes Muss: Denn Passwörter gelten nur dann als einigermaßen sicher, wenn sie aus mindestens zwölf Zeichen langen Buchstabenfolgen bestehen, die mit Sonderzeichen und Zahlen gespickt sind.

Quelle: Nevis Security AG

Niemand will sich das alles merken. Und muss es auch nicht mehr. Denn mit FIDO-konformen Passkeys gehören sperrige Passwörter der Vergangenheit an. Zahlreiche große Player wie Apple oder Google setzen bereits auf die Technologie und verbinden so eine bessere User Experience mit höherer Sicherheit. Passkeys bieten also gleich mehrere Vorteile, von denen Unternehmen profitieren, die ihren Kunden Online-Dienste anbieten.

Sicherheitsprobleme mit Passwörtern haben mehrere Ursachen: Ein großes Sicherheitsrisiko stellen tatsächlich die Nutzer selbst dar. Allen Empfehlungen zum Trotz, möglichst lange und komplizierte Passwörter zu verwenden, zeichnen die Lieblingspasswörter der Deutschen ein anderes Bild. Auf den ersten drei Plätzen stehen laut Angaben des Hasso-Plattner-Instituts, Deutschlands universitärem Exzellenz-Zentrum für Digital Engineering, die Kombinationen „123456“, „passwort“ und „12345“. Für noch mehr Stirnrunzeln bei jedem IT-Security-Experten dürften Ergebnisse des vom Login-Spezialisten Nevis beauftragten Sicherheitsbarometers 2022 sorgen. Von über 1.000 befragten deutschen Verbrauchern ab 14 Jahren gaben mehr als die Hälfte an, im privaten Umfeld dasselbe Passwort für verschiedene Online-Konten zu verwenden. Kein Wunder, dass Hacker mit Brute-Force- und Phishing-Angriffen leichtes Spiel haben und fette Beute machen. Die Folgen der längst nicht auf Deutschland begrenzten Passwortmüdigkeit sind fatal, wie folgendes Beispiel illustriert: Nutzer konnten im Jahr 2021 anhand einer von Cyberkriminellen ins Netz gestellten Sammlung von 3,2 Milliarden Passwörtern prüfen, ob ihre Daten darunter waren. Bei der Annahme, dass bloß die Hälfte dieser Passwörter für drei Accounts genutzt wird, hätten Hacker Zugang zur 4,8 Milliarden Nutzerkonten. Auch wenn dieses Rechenbeispiel stark vereinfacht ist, bleibt die Zahl alarmierend.

Um passwortgeschützte Zugänge besser zu schützen als nur mit einem möglicherweise kompromittierten Passwort, haben Sicherheitsexperten Tools wie Passwortmanager oder die Zwei- oder Mehr-Faktor-Authentifizierung entwickelt. Der Haken: Sie bedeuten einen Mehraufwand beim Login, der zu Lasten des Nutzers geht.

FIDO-konforme Passkeys lösen das Passwortproblem

Der einfachste Weg, um Passwort- und damit Identitätsdiebstahl zu verhindern, ist der Verzicht auf Passwörter beim Login-Prozess. Dafür kommen nun vermehrt sogenannte FIDO-konforme Passkeys ins Spiel. Entwickelt wurden Passkeys von der FIDO-Allianz, das Kürzel steht für Fast Identity Online, einem Zusammenschluss mehrerer hundert Unternehmen und Organisationen. Ihr Ziel ist es, die Nutzung von Passwörtern zu reduzieren und die Authentifizierungsstandards auf Desktop- und mobilen Geräten zu verbessern. Unter den Mitgliedern der Allianz sind Branchengrößen wie Apple, Google, Microsoft und Paypal genauso wie das Bundesamt für Sicherheit in der Informationstechnik (BSI). Da hinter den Passkeys kein einzelnes Unternehmen steht, gelten sie als herstellerunabhängig und sehr sicher.

Sichere Public/Private Key-Verschlüsselung

Für die Nutzung des FIDO-Passkeys ist ein sogenannter Authenticator erforderlich. Dabei kann es sich zum Beispiel um spezielle Hardware-Token oder das Smartphone des Nutzers handeln. Letzteres hat den Vorteil, dass die meisten Nutzer ihr Mobilgerät ohnehin immer mit sich führen. Eine zentrale Rolle bei der Authentifizierung via FIDO-Passkeys kommt der asymmetrischen Public/Private Key-Verschlüsselung zu. Bei jeder Registrierung kreiert der Authenticator einen öffentlichen und einen privaten Kryptoschlüssel, die zusammengehören. Der Private Key basiert auf einer zufälligen Zeichenfolge und verbleibt auf dem Gerät des Nutzers, während der Public Key beim jeweiligen Anbieter liegt. Außerdem erkennt der Authenticator, dass der Public Key nur von der Domain des jeweiligen Online-Dienstes zur Verfügung gestellt werden darf. Eine Anmeldung bei einer betrügerischen Website oder App ist somit gar nicht erst möglich. Beim Login-Prozess erfolgt ein Abgleich, ob Private Key und Public Key zusammengehören, und nur bei einem Match ist die Zugriffsanfrage erfolgreich. Dabei wird die Information hinter dem privaten Schlüssel jedoch niemals offengelegt oder weitergegeben, sondern lediglich dem Anbieter des Online-Dienstes der Nachweis erbracht, dass der Nutzer, der den Login anfordert, im Besitz des entsprechenden privaten Schlüssels ist. Da Passkeys zum Beispiel beim Online-Banking sicherstellen, dass Zahlungen nur vom berechtigten Kontoinhaber getätigt werden, werden sie auch zur Bestätigung von Transaktionen als zusätzlicher Sicherheitsfaktor eingesetzt. Die Bestätigung beziehungsweise Freigabe des Passkeys bei einem Login oder einer Transaktion kann komfortabel über eine biometrische Authentifizierung erfolgen, beispielsweise über den Fingerabdruckscanner oder die FaceID-Funktion des Smartphones. Insbesondere in Kombination mit der biometrischen Authentifizierung als zweitem Faktor ist ein Höchstmaß an Sicherheit für Benutzerkonten gewährleistet.

Deutliche Vorteile durch Passkeys

Für den Nutzer hat der Einsatz von Passkeys den großen Vorteil, dass der Risikofaktor Passwort obsolet und die Authentifizierung bei allen Diensten, die diese fortschrittliche Technologie nutzen, sehr leicht wird. Außerdem müssen sich die Verbraucher keine komplizierten Abfolgen von Buchstaben, Zahlen und Sonderzeichen ausdenken, merken und eingeben, was insbesondere auf mobilen Geräten umständlich ist. Große Player wie Apple, Google, Microsoft und PayPal erleichtern ihren Nutzern bereits das Einloggen mit Passkeys. Es ist davon auszugehen, dass in Zukunft weitere Dienste auf diese Authentifizierungsmethode umstellen werden. Schließlich machen sie damit nicht nur den Login sicherer, sondern bieten ihren Kunden auch ein komfortableres Nutzererlebnis – ein entscheidender Faktor, um im harten Wettbewerb um die Gunst der Konsumenten heute die Nase vorn zu haben.