{"id":25252,"date":"2023-11-01T10:16:00","date_gmt":"2023-11-01T09:16:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=25252"},"modified":"2023-10-24T10:23:16","modified_gmt":"2023-10-24T08:23:16","slug":"passkeys-statt-passwort-sicher-und-einfach-statt-riskant-und-kompliziert","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=25252","title":{"rendered":"Passkeys statt Passwort \u2013 sicher und einfach statt riskant und kompliziert"},"content":{"rendered":"\n

Autor\/Redakteur: Stephan Schweizer, CEO der Nevis Security AG<\/a>\/gg<\/p>\n\n\n\n

Passw\u00f6rter \u2013 f\u00fcr die meisten der rund 78 digitalen Nutzerkonten<\/a>, \u00fcber die jeder Deutsche heute im Durchschnitt verf\u00fcgt, sind sie ein Muss. Ein \u00e4u\u00dferst unbeliebtes Muss: Denn Passw\u00f6rter gelten nur dann als einigerma\u00dfen sicher, wenn sie aus mindestens zw\u00f6lf Zeichen langen Buchstabenfolgen bestehen, die mit Sonderzeichen und Zahlen gespickt sind.<\/p>\n\n\n\n

\"\"<\/a>
Quelle: Nevis Security AG<\/figcaption><\/figure>\n\n\n\n\n\n\n\n

Niemand will sich das alles merken. Und muss es auch nicht mehr. Denn mit FIDO-konformen Passkeys geh\u00f6ren sperrige Passw\u00f6rter der Vergangenheit an. Zahlreiche gro\u00dfe Player wie Apple oder Google setzen bereits auf die Technologie und verbinden so eine bessere User Experience mit h\u00f6herer Sicherheit. Passkeys bieten also gleich mehrere Vorteile, von denen Unternehmen profitieren, die ihren Kunden Online-Dienste anbieten.<\/p>\n\n\n\n

Sicherheitsprobleme mit Passw\u00f6rtern haben mehrere Ursachen: Ein gro\u00dfes Sicherheitsrisiko stellen tats\u00e4chlich die Nutzer selbst dar. Allen Empfehlungen zum Trotz, m\u00f6glichst lange und komplizierte Passw\u00f6rter zu verwenden, zeichnen die Lieblingspassw\u00f6rter der Deutschen ein anderes Bild. Auf den ersten drei Pl\u00e4tzen stehen laut Angaben des Hasso-Plattner-Instituts<\/a>, Deutschlands universit\u00e4rem Exzellenz-Zentrum f\u00fcr Digital Engineering, die Kombinationen \u201e123456\u201c, \u201epasswort\u201c und \u201e12345\u201c. F\u00fcr noch mehr Stirnrunzeln bei jedem IT-Security-Experten d\u00fcrften Ergebnisse des vom Login-Spezialisten Nevis beauftragten Sicherheitsbarometers 2022<\/a> sorgen. Von \u00fcber 1.000 befragten deutschen Verbrauchern ab 14 Jahren gaben mehr als die H\u00e4lfte an, im privaten Umfeld dasselbe Passwort f\u00fcr verschiedene Online-Konten zu verwenden. Kein Wunder, dass Hacker mit Brute-Force- und Phishing-Angriffen leichtes Spiel haben und fette Beute machen. Die Folgen der l\u00e4ngst nicht auf Deutschland begrenzten Passwortm\u00fcdigkeit sind fatal, wie folgendes Beispiel illustriert: Nutzer konnten im Jahr 2021 anhand einer von Cyberkriminellen ins Netz gestellten Sammlung von 3,2 Milliarden Passw\u00f6rtern pr\u00fcfen, ob ihre Daten darunter waren. Bei der Annahme, dass blo\u00df die H\u00e4lfte dieser Passw\u00f6rter f\u00fcr drei Accounts genutzt wird, h\u00e4tten Hacker Zugang zur 4,8 Milliarden Nutzerkonten. Auch wenn dieses Rechenbeispiel stark vereinfacht ist, bleibt die Zahl alarmierend.<\/p>\n\n\n\n

Um passwortgesch\u00fctzte Zug\u00e4nge besser zu sch\u00fctzen als nur mit einem m\u00f6glicherweise kompromittierten Passwort, haben Sicherheitsexperten Tools wie Passwortmanager oder die Zwei- oder Mehr-Faktor-Authentifizierung entwickelt. Der Haken: Sie bedeuten einen Mehraufwand beim Login, der zu Lasten des Nutzers geht.<\/p>\n\n\n\n

FIDO-konforme Passkeys l\u00f6sen das Passwortproblem<\/strong><\/strong><\/p>\n\n\n\n

Der einfachste Weg, um Passwort- und damit Identit\u00e4tsdiebstahl zu verhindern, ist der Verzicht auf Passw\u00f6rter beim Login-Prozess. Daf\u00fcr kommen nun vermehrt sogenannte FIDO-konforme Passkeys ins Spiel. Entwickelt wurden Passkeys von der FIDO-Allianz, das K\u00fcrzel steht f\u00fcr Fast Identity Online, einem Zusammenschluss mehrerer hundert Unternehmen und Organisationen. Ihr Ziel ist es, die Nutzung von Passw\u00f6rtern zu reduzieren und die Authentifizierungsstandards auf Desktop- und mobilen Ger\u00e4ten zu verbessern. Unter den Mitgliedern der Allianz sind Branchengr\u00f6\u00dfen wie Apple, Google, Microsoft und Paypal genauso wie das Bundesamt f\u00fcr Sicherheit in der Informationstechnik (BSI). Da hinter den Passkeys kein einzelnes Unternehmen steht, gelten sie als herstellerunabh\u00e4ngig und sehr sicher.<\/p>\n\n\n\n

Sichere Public\/Private Key-Verschl\u00fcsselung<\/strong><\/p>\n\n\n\n

F\u00fcr die Nutzung des FIDO-Passkeys ist ein sogenannter Authenticator erforderlich. Dabei kann es sich zum Beispiel um spezielle Hardware-Token oder das Smartphone des Nutzers handeln. Letzteres hat den Vorteil, dass die meisten Nutzer ihr Mobilger\u00e4t ohnehin immer mit sich f\u00fchren. Eine zentrale Rolle bei der Authentifizierung via FIDO-Passkeys kommt der asymmetrischen Public\/Private Key-Verschl\u00fcsselung zu. Bei jeder Registrierung kreiert der Authenticator einen \u00f6ffentlichen und einen privaten Kryptoschl\u00fcssel, die zusammengeh\u00f6ren. Der Private Key basiert auf einer zuf\u00e4lligen Zeichenfolge und verbleibt auf dem Ger\u00e4t des Nutzers, w\u00e4hrend der Public Key beim jeweiligen Anbieter liegt. Au\u00dferdem erkennt der Authenticator, dass der Public Key nur von der Domain des jeweiligen Online-Dienstes zur Verf\u00fcgung gestellt werden darf. Eine Anmeldung bei einer betr\u00fcgerischen Website oder App ist somit gar nicht erst m\u00f6glich. Beim Login-Prozess erfolgt ein Abgleich, ob Private Key und Public Key zusammengeh\u00f6ren, und nur bei einem Match ist die Zugriffsanfrage erfolgreich. Dabei wird die Information hinter dem privaten Schl\u00fcssel jedoch niemals offengelegt oder weitergegeben, sondern lediglich dem Anbieter des Online-Dienstes der Nachweis erbracht, dass der Nutzer, der den Login anfordert, im Besitz des entsprechenden privaten Schl\u00fcssels ist. Da Passkeys zum Beispiel beim Online-Banking sicherstellen, dass Zahlungen nur vom berechtigten Kontoinhaber get\u00e4tigt werden, werden sie auch zur Best\u00e4tigung von Transaktionen als zus\u00e4tzlicher Sicherheitsfaktor eingesetzt. Die Best\u00e4tigung beziehungsweise Freigabe des Passkeys bei einem Login oder einer Transaktion kann komfortabel \u00fcber eine biometrische Authentifizierung erfolgen, beispielsweise \u00fcber den Fingerabdruckscanner oder die FaceID-Funktion des Smartphones. Insbesondere in Kombination mit der biometrischen Authentifizierung als zweitem Faktor ist ein H\u00f6chstma\u00df an Sicherheit f\u00fcr Benutzerkonten gew\u00e4hrleistet.<\/p>\n\n\n\n

Deutliche Vorteile durch Passkeys<\/strong><\/p>\n\n\n\n

F\u00fcr den Nutzer hat der Einsatz von Passkeys den gro\u00dfen Vorteil, dass der Risikofaktor Passwort obsolet und die Authentifizierung bei allen Diensten, die diese fortschrittliche Technologie nutzen, sehr leicht wird. Au\u00dferdem m\u00fcssen sich die Verbraucher keine komplizierten Abfolgen von Buchstaben, Zahlen und Sonderzeichen ausdenken, merken und eingeben, was insbesondere auf mobilen Ger\u00e4ten umst\u00e4ndlich ist. Gro\u00dfe Player wie Apple, Google, Microsoft und PayPal erleichtern ihren Nutzern bereits das Einloggen mit Passkeys. Es ist davon auszugehen, dass in Zukunft weitere Dienste auf diese Authentifizierungsmethode umstellen werden. Schlie\u00dflich machen sie damit nicht nur den Login sicherer, sondern bieten ihren Kunden auch ein komfortableres Nutzererlebnis – ein entscheidender Faktor, um im harten Wettbewerb um die Gunst der Konsumenten heute die Nase vorn zu haben.<\/p>\n","protected":false},"excerpt":{"rendered":"

Passw\u00f6rter \u2013 f\u00fcr die meisten der rund 78 digitalen Nutzerkonten, \u00fcber die jeder Deutsche heute im Durchschnitt verf\u00fcgt, sind sie ein Muss. Ein \u00e4u\u00dferst unbeliebtes Muss: Denn Passw\u00f6rter gelten nur dann als einigerma\u00dfen sicher, wenn sie aus mindestens zw\u00f6lf Zeichen langen Buchstabenfolgen bestehen, die mit Sonderzeichen und Zahlen gespickt sind.<\/p>\n","protected":false},"author":81,"featured_media":25254,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[8,15078],"tags":[7378,17638,17637,17636,3753,36],"class_list":["post-25252","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-artikel","category-authentifizierung","tag-fido","tag-hasso-plattner-institut","tag-nevis-security","tag-passkey","tag-passwort","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25252","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/81"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=25252"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25252\/revisions"}],"predecessor-version":[{"id":25255,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/25252\/revisions\/25255"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/25254"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=25252"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=25252"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=25252"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}