Tauchen Sie ein in die Welt der modernen Identitätsüberprüfung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt revolutionieren können und entdecken Sie die technischen Hintergründe dieser fortschrittlichen Sicherheitsmethode. Tschüss Passwörter, adieu Phishing. Hallo neuartiger und origineller Login via Passkey! Simpel, schnell sowie sicher.
In 2012 wurde die FIDO-Alliance (https://fidoalliance.org) gegründet. Das Ziel: Einen lizenzfreien modernen Standard für die Identitätsüberprüfung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine innovative Technologie entwickelt, welche wir in diesem Artikel genauer unter die Lupe nehmen wollen: Identitätsüberprüfung mittels Passkeys. Die Absicht der FIDO: Schnelle Online-Ausweisung. Passwörter sollten abgeschafft und Logins im Prinzip bequemer, aber simultan auch sicherer gemacht werden. Aber wie soll das bloß gelingen?!
Passkey: Was ist das?
In einer gegenwärtigen Analyse von 1Password gab jeder (!) Befragte an, bereits einmal direkt sowie indirekt mit Phishing in Berührung gekommen zu sein. Insofern verwundert es keineswegs, dass der Großteil der Befragten eine sichere Login-Methode für deren Online-Accounts für äußerst wichtig hält (https://1password.com/resources/passwordless-future-report). Die Zwei-Faktor-Authentifizierung (2FA) erscheint hier zwar in der Theorie nach einer guten Lösung, hat aber einen größeren Haken: Man kann sich unglaublich simpel selbst aussperren aus seinen eigenen Konten. Von dem temporären Aufwand mal ganz abzusehen. Simpel und „smooth“ ist der 2FA-Login auf keinen Fall. Außerdem werden selbstverständlich ebenso Hacker immer smarter: Cyber-Kriminelle haben in der Vergangenheit schon Maßnahmen gefunden, SMS abzufangen sowie so an den zweiten Faktor für die Authentifizierung zu kommen. Tatsächlich geschützt wäre ein Login demnach nur, wenn es überhaupt keine Zugangsdaten gäbe, die man ausspionieren kann. Und exakt an jener Stelle kommen Passkeys ins Spiel!
Passkeys, ebenso bekannt als Sicherheitsschlüssel oder auch Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Bestandteil moderner Sicherheitsinfrastrukturen. Im Gegenteil zu herkömmlichen Passwörtern bieten diese eine zusätzliche Sicherheitsebene, indem selbige eine physische Komponente in die Authentifizierung integrieren. Die Eingebung hinter Passkeys ist, dass der Benutzer Zutritt zu all seinen Online-Konten im Internet hat, ohne dass man sich ein jedes Mal mit Loginnamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, die ausspioniert werden könnten. Sie wurden entwickelt, um eine passwortlose Anmeldung bei Homepages und Apps zu ermöglichen und das Benutzererlebnis einfacher wie auch phishing-sicher zu formen.
Doch wie gelingt das? Nun, bei der Erstellung eines Accounts bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel generiert, die miteinander mathematisch verbunden sind:
- Ein öffentlicher Schlüssel – dieser wird mit dem Dienst, sagen wir mal einer Internetseite oder einer Applikation geteilt und dient dazu, Informationen zu verschlüsseln, welche nur der private Schlüssel decodieren kann.
- Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, vollkommen beliebig generierte Reihe von Kennzeichen. Dieser private Schlüssel bleibt einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Geräten, zum Beispiel dem Laptop bzw. Smartphone, ist demnach via Passkey-Login kein Benutzername und ebenfalls kein Zugangswort mehr notwendig.
Um Passkeys verwenden zu können, sind zwei Punkte technisch erforderlich: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um sicher mit dem Webbrowser im Austausch stehen zu können. Der Online-Dienst, bei dem man sich anmelden will, muss darüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Dies ist eine Schnittstelle, welche unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.
Da Passkeys also auf den jeweiligen Endgeräten gelagert werden, drängt sich natürlich sofort eine wesentliche Frage auf: Auf welche Weise lassen sich die Geräte vor unbekannten Zugriffen bewahren? Weil in jenem Fall stünden einem Hacker Tür wie Tor offen, sobald er ein fremdes Endgerät in der Hand hat. Aber glücklicherweise gibt es hierzu schon Lösungen: Denn die neumodernen Modelle von Geräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- und ebenso App-Entsperrung durch biometrische Scans an. Die populärsten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Mischung aus Passkey plus biometrischen Daten eine enorm sichere Art der Authentifizierung.
Wo kann ich mich schon via Passkey einloggen?
Die Anwendung von Passkeys offeriert eine gesamte Reihe von Vorteilen für Benutzer und Firmen. Hierzu gehören eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine optimierte Benutzererfahrung durch nahtlose Einschreibung und eine Verkleinerung des Risikos von Phishing-Angriffen sowie Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund auch schon Passkeys eingeführt – zuletzt mit allerhand Aufsehen der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Start sein – Experten gehen davon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Standard eingesetzt werden.
Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos plus physisch?
Bei Anliegen zum Thema 2FA und Passkeys schreiben Sie uns gerne an.
Wir informieren und betreuen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!
