Apple hat kürzlich seine Version der „Passkeys“ vorgestellt, die in nicht allzu ferner Zukunft Passwörter beerben sollen. Dabei geht das US-Unternehmen keinen Sonderweg, sondern setzt auf den offenen Standard der FIDO Alliance, den auch andere Branchengrößen wie Microsoft, Google, Facebook („Meta“) und Amazon unterstützen. Wie Passkeys funktionieren und was sie so viel besser als Passwörter macht, erklärt Jan Tißler in diesem Beitrag.

(Illustration: © bohlam, depositphotos.com)

Inhaltsverzeichnis

Warum brauchen Passwörter überhaupt einen Nachfolger?

Bevor ich Passkeys erkläre, sollte ich die Frage beantworten, warum wir nicht einfach bei Passwörtern bleiben. Haben sich die nicht bewährt?

Die kurze Antwort darauf ist: Nein, sie haben sich leider überhaupt nicht bewährt.

Und das ist ein Problem, denn sie sollen zunehmend wichtige und wertvolle Informationen schützen. Das gilt für ein Bankkonto, aber ebenso für einen E-Mail-Account: Über den lassen sich schließlich beliebige Passwörter zurücksetzen und anderer Schindluder treiben.

Kennst du schon die UPLOAD Content Academy? Hier lernst du Content-Marketing aktuell, praxisnah und umfassend. Du bekommst Lektionen in Text-, Audio- und Videoformaten sowie viele weitere nützliche Inhalte. Alles auf dem neuesten Stand, gemacht von Content-Profis. Klingt interessant? Mehr erfahren …

Deshalb werden Passwörter immer länger und komplizierter, um noch als sicher zu gelten. Die Cybersecurity-Spezialisten von Hive Systems empfehlen beispielsweise inzwischen, dass Passwörter mindestens 16 Stellen haben sollten.

Der Grund: Die allgemein verfügbare Rechenpower ist in den letzten Jahren enorm angestiegen. Hacker brauchen keine spezialisierten Computer, um eine Datenbank mit Zugangsdaten aus einem Website-Hack zu entschlüsseln. Stattdessen genügt ein handelsüblicher PC mit aktueller Grafikkarte: Die Recheneinheit darin eignet sich nicht nur für schick aussehende Spiele, sondern auch für solche Anwendungsfälle. Und sollte das doch zu langsam sein, kann man heute im Handumdrehen Computerleistung in der Cloud buchen, zum Beispiel bei den Amazon Web Services. 

Allein auf der Website HaveIBeenPawned lassen sich knapp 12 Milliarden Zugangsdaten durchsuchen, die bereits entfleucht sind. Tendenz steigend.

Deshalb führt heute kaum noch ein Weg an einem Passwort-Manager vorbei, erst recht für Unternehmen. Denn erst der sorgt dafür, dass man sich für jeden Login ein neues Passwort anlegt, dass es ausreichend lang und komplex ist und dass man es sich zugleich nicht merken muss. In Unternehmen und Organisationen lassen sich darüber außerdem Logindaten mit den Abteilungen und Mitarbeitenden teilen, die sie tatsächlich benötigen – und auch im Fall der Fälle wieder entziehen.

In der Realität ist das allerdings nicht immer und überall der Fall. Analysiert man Passwörter aus entsprechenden Hacks, werden weiterhin massenhaft unsichere Kombinationen wie „123456“ genutzt. 

Und selbst mit starken Passwörtern bleiben etliche Angriffspunkte. Phishing ist ein Ansatz, bei dem das Opfer auf eine täuschend echte Seite gelockt und so zur Preisgabe der Zugangsdaten verleitet wird. Keylogger, die Tastatureingaben aufzeichnen, sind ein anderes Beispiel. Oder Passwörter werden wie oben beschrieben durch einen Hackerangriff bekannt und landen in einer Datenbank auf dem Schwarzmarkt. 

Eine ergänzende Sicherheitsmaßnahme ist die Zwei-Faktor-Authentifizierung, bei der man neben dem Passwort über einen zweiten Weg bestätigt, dass dieser Login rechtens ist. Das kann beispielsweise über eine Textnachricht mit einem zusätzlichen Zugangscode geschehen. Aber auch dieses System hat seine Schwächen gegenüber möglichen Angriffen und ist nicht besonders anwenderfreundlich.

Was sind Passkeys?

Passkeys sind eine neue Methode, um sich gegenüber Websites und Apps als eine bestimmte Person zu identifizieren. In der Praxis soll es so funktionieren, wie du es heute bereits von persönlichen Geräten wie Smartphones kennst, bei denen du dich zum Beispiel über biometrische Verfahren wie Fingerabdruck- oder Gesichtserkennung anmeldest.

Dabei werden keine Zugangsdaten wie Benutzername und Passwort mehr angelegt, gespeichert oder übertragen. Das macht das System nicht nur bequemer, sondern zugleich deutlich sicherer.

Mehr dazu weiter unten.

Was ist die FIDO Alliance?

FIDO steht für „Fast Identity Online“. Die FIDO Alliance ist ein Verbund zahlreicher Unternehmen und hat sich zum Ziel gesetzt, bessere Wege der sicheren Anmeldung bei digitalen Diensten zu entwickeln. Sie wurde 2012 ins Leben gerufen und Anfang 2013 offiziell gegründet.

Dass die FIDO-Ideen jetzt mehr Dynamik entwickeln, hat vor allem mit zwei Dingen zu tun:

  1. Zum einen hat die Alliance zusätzliche namhafte Mitglieder wie Apple, Google und Microsoft gewonnen. Sie können mit ihrer Marktmacht dafür sorgen, einen solchen neuen Standard zu etablieren.
  2. Zum anderen hilft der technische Fortschritt seit FIDO-Gründung: So sind biometrische Anmeldeverfahren heute zunehmend alltäglich.

Wie funktionieren Passkeys?

Wie bereits angedeutet, musst du dir nach den Plänen der FIDO Alliance für einen neuen Login künftig kein Passwort mehr ausdenken oder generieren lassen. Stattdessen kommuniziert die Website oder App direkt mit dem Betriebssystem deines persönlichen Geräts. Ein solches Gerät kann ein Smartphone, Tablet oder PC sein. 

Im Hintergrund entsteht dabei ein hochsicherer „privater Schlüssel“, der auf dem Gerät geschützt gespeichert wird und es nie verlässt. Außerdem gibt es einen „öffentlicher Schlüssel“, den die Internetseite oder Anwendung kennt. 

Beim nächsten Login muss dein Gerät dann beweisen, dass es den passenden privaten Schlüssel besitzt, ohne ihn zu übertragen. Es werden in diesem Moment also keine geheimen Informationen mehr ausgetauscht wie bei Passwörtern. Deshalb gibt es hier auch nichts mehr abzufangen. Phishing funktioniert ebenfalls nicht mehr so einfach wie bisher, da mit dem Passkey gespeichert wird, zu welcher Webadresse oder App er gehört.

Die Passkeys auf dem Gerät sollten idealerweise durch einen Mechanismus wie eine biometrische Identifizierung geschützt sein. Aber auch ein Masterpasswort oder eine PIN sind möglich. Nachteil in dem Fall ist, dass diese wieder bekannt werden könnten. Trotzdem ist das Sicherheitsniveau insgesamt deutlich höher als beim heutigen Passwort-System, weil Zugsangsdaten nicht mehr massenhaft öffentlich werden können. Jemand müsste es schon speziell auf dich und deine Geräte abgesehen haben. 

In der Praxis sollte das Anmelden auf Websites und in Apps dann deutlich simpler ablaufen als heute. Selbst das Anlegen einen neuen Zugangs soll praktisch nahtlos im Hintergrund geschehen.

Lesetipp: In einem englischsprachigen Artikel erfährst du mehr über die technischen Hintergründe und Apples Passkey-Umsetzung.

Was sind Nachteile der Passkeys?

Wenn du dich bei einer Website oder App mit einem Passkey anmelden willst, brauchst du zwingend mindestens ein persönliches Gerät. Schließlich bestätigt es, wer du bist. Willst du also beispielsweise ein fremdes Laptop nutzen, müsstest du beispielsweise trotzdem dein Smartphone für den Zugang zu abgesicherten Diensten zur Hand haben. Die Anmeldung wäre dann deutlich umständlicher, aber immerhin noch möglich.

Diese Situation wird dir zugleich bekannt vorkommen, wenn du heute bereits auf sichere Passwörter und einen Passwort-Manager setzt: Schließlich kennst du deine Passwörter nicht mehr auswendig. Auch hier brauchst du also in irgendeiner Form Zugriff auf deine gespeicherten Zugangsdaten, wenn du dich mit einem anderen Gerät anmelden willst. 

Gefällt dir dieser Artikel?

Dann trage dich jetzt ein ins „Update am Montag“ und du bekommst einmal wöchentlich:

Kein Spam! Bereits über 2.000 Leser:innen sind dabei.

Hier eintragen …

Allerdings kann es bei Passwörtern Workarounds geben, die mit Passkeys so nicht möglich sind: So könntest du z.B. ein Passwort zurücksetzen lassen, sofern du zumindest Zugriff auf die damit verbundene E-Mail-Adresse hast. Das geht bei Passkeys nicht, da Websites und Apps diese Daten nicht mehr gespeichert haben.

Besonders problematisch ist es, wenn du aus irgendeinem Grunde alle deine persönlichen Geräte verlierst. Dann musst du auf einem anderen Weg wieder Zugriff auf deine Passkeys bekommen. Die werden zwar in der Cloud gespeichert, damit sie auf allen verbundenen Geräten verfügbar sind. Aber sowohl Apple als auch Google haben erklärt, dass sie Ende-zu-Ende-verschlüsselt sein werden. Sprich: Auch diese Unternehmen haben keinen Zugriff darauf und können dir nicht direkt helfen. Sie müssen stattdessen andere Wege einrichten, damit du dich identifizieren und wieder Zugriff erlangen kannst.

Um solche Probleme zu vermeiden, ist es eine gute Idee, einen Kontakt für die Accountwiederherstellung einzurichten. Diese Person kann dir dann im Fall der Fälle helfen. Das ist auch wichtig im Todesfall oder wenn du etwa nach einem Unfall nicht ansprechbar bist.

Fazit

Passkeys sollen die wichtigsten Schwächen des Benutzername/Passwort-Modells hinter sich lassen, während sie zugleich einfach zu nutzen sind. Zwar haben sie wie beschrieben ihre eigenen Nachteile. Und es ist davon auszugehen, dass sich auch hier Sicherheitslücken finden werden. Aber das Schutzniveau ist trotzdem ungleich höher.


Dieser Artikel gehört zu: UPLOAD Magazin 103

Lohnt sich ein Corporate Blog eigentlich noch? Wann ist das der Fall? Was spricht dagegen? Welche Alternativen gibt es? Mit diesen Fragen beschäftigen wir uns im Titelthema. Außerdem in dieser Ausgabe: Passkeys erklärt, Tipps zu responsiven Anzeigen bei Google Ads, der aktuelle Stand bei Augmented Reality und eine Einführung ins „Fediverse“.

Schon gewusst? Mit einem Zugang zu UPLOAD Magazin Plus oder zur Content Academy lädst du Ausgaben als PDF und E-Book herunter und hast viele weitere Vorteile!

Beitrag weiterempfehlen: