Ist die Zukunft passwortlos? Über die Bedeutung von Passkeys

Tauchen Sie ein in die Ära der modernen Authentifizierung – mit Passkeys. Erfahren Sie, wie Passkeys die Online-Welt verändern und entdecken Sie die technischen Hintergründe dieser fortschrittlichen Sicherheitsmethode. Tschüss Passwörter, adieu Phishing. Hallo neuer und innovativer Login via Passkey! Simpel, schnell und sicher.

Im Jahr 2012 wurde die fido-Alliance gegründet. Ihr Ziel: Einen lizenzfreien modernen Standard für die Identitätsüberprüfung im World Wide Web entwickeln (fido = fast identity online). Der amerikanischen Organisation gehören etliche ‘Big Player’ der Tech-Industrie an, darunter Google, Microsoft, Apple, Samsung, Alibaba und Amazon. Die Einrichtung hat eine innovative Technologie erschaffen, die wir nachfolgend genauer unter die Lupe nehmen möchten: Die Identitätsüberprüfung via Passkeys. Die Absicht der FIDO: Rasche Online-Identifizierung. Passwörter sollen abgeschafft und Logins im Prinzip bequemer und sicherer gemacht werden.

Warum Passkeys?

In einer aktuellen Studie von 1Password gab jeder (!) Befragte an, bereits einmal direkt sowie indirekt mit Phishing in Berührung gekommen zu sein. Da verwundert es nicht, dass der Hauptanteil der Befragten eine geschützte Login-Methode für deren Online Accounts für sehr wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) erscheint hier zwar der Systematik nach als eine gute Option, hat aber einen großen Nachteil: Man kann sich unglaublich leicht selbst aus eigenen Konten aussperren. Zudem ist der 2FA-Login weder einfach noch besonders benutzerfreundlich. Und: Selbstverständlich werden auch Hacker immer klüger. Cyber-Kriminelle haben bereits Maßnahmen entwickelt, um SMS abzufangen und so an den zweiten Faktor für eine Authentifizierung zu gelangen.

Wirklich sicher wäre ein Login demnach nur, wenn es überhaupt keine Zugangsdaten gäbe, die man ausspionieren kann. Genau hier kommen Passkeys ins Spiel.

Passkeys – zu schön, um wahr zu sein?

Passkeys, auch als Sicherheits- oder Authentifizierungsschlüssel bezeichnet, werden zunehmend zu einem wesentlichen Bestandteil moderner Sicherheitsinfrastrukturen. Im Gegensatz zu herkömmlichen Passwörtern eröffnen sie – durch die Integration einer physischen Komponente in die Identitätsprüfung – eine zusätzliche Sicherheitsebene. Die Idee hinter Passkeys ist, dass Benutzer Zugriff auf alle eigenen Online-Konten haben, ohne sich jedes Mal auf herkömmlichem Weg einzuloggen. ‘Klassische Zugangsdaten’ wie Benutzernamen und Kennwort existieren nicht mehr und können deshalb auch nicht mehr ausspioniert werden. Somit werden Zugänge phishing-sicher.

Aber wie funktioniert das? Bei der Generierung eines Accounts über einen Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel erstellt, welche miteinander mathematisch verknüpft sind:

1. Ein öffentlicher Schlüssel – dieser wird mit dem Service, beispielsweise einer Webseite oder einer App geteilt und dient dazu, Informationen zu codieren, die nur der private Schlüssel decodieren kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine äußerst lange, völlig zufällig generierte Zeichenreihe. Dieser private Schlüssel bleibt ausschließlich auf dem Gerät des Anwenders gespeichert. Auf sämtlichen verknüpften Gerätschaften, beispielsweise dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und ebenfalls kein Passwort mehr nötig.

Um Passkeys benutzen zu können, sind zweierlei Dinge technisch erforderlich: Das Endgerät muss das ‘Client to Authenticator Protocol’ (CTAP2) fördern, um geschützt mit dem Browser kommunizieren zu können. Der Online Service, bei dem man sich anmelden möchte, muss darüber hinaus die ‘WebAuthentication standard API’ unterstützen (WebAuthn). Dies ist eine Verbindung, welche unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.

Da Passkeys also auf den jeweiligen Geräten gespeichert werden, drängt sich selbstverständlich sofort eine wesentliche Frage auf: Auf welche Weise lassen sich die Endgeräte vor unbekannten Zugriffen schützen? Stehen in diesem Fall Hackern nicht Tür und Tor offen, sobald er ein solches Endgerät in die Finger bekommt? Glücklicherweise gibt es hierzu bereits Lösungen: Moderne Geräte – egal, ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- und App-Entsperrung über biometrische Scans an. Die bekanntesten sind der Fingerabdruckscan und die Face ID. Durch die Mischung aus Passkey und biometrischen Daten entsteht so eine sehr sichere Form der Authentifizierung.

Fazit: Passkeys funktionieren!

Die Verwendung von Passkeys bietet eine ganze Reihe von Vorteilen für Benutzer und Unternehmen. Hierzu zählen eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine verbesserte Benutzererfahrung durch nahtlose Anmeldung und eine Reduzierung des Risikos von Phishing-Attacken und Passwortdiebstahl. Manche Technologieriesen haben aus diesem Grund auch bereits Passkeys implementiert – zuletzt mit viel Aufsehen der Online-Marktplatz Amazon. Und das ist vermutlich erst der Anfang – Experten gehen davon aus, dass Passkeys sich immer mehr am Markt verbreiten und als Norm etablieren. Was denken Sie: Ist die nahe Zukunft der Authentifizierung passwortlos und physisch?

Bei allen Fragen rund um die Themen 2FA und Passkeys sprechen Sie uns gerne an. Wir beraten und betreuen Sie auf Ihrem Weg hin zu einem geschützten Unternehmen.