Während die Komplexität im digitalen Zeitalter zunimmt und immer schneller neue Entwicklungen auf den Markt drängen, ist das traditionelle Passwortsystem in die Jahre gekommen. Seine Schwachstellen werden immer deutlicher und immer öfter von Angreifern ausgenutzt. In diesem Artikel bieten wir Einblicke in die Entwicklung von Passwörtern zu den immer mehr aufkommenden Passkeys. Wir erklären, wie sie ihre Online-Sicherheit und Benutzererfahrung revolutionieren können.
Das Problem mit Passwörtern
Seit Jahren sind Passwörter der Eckpfeiler der digitalen Sicherheit. Doch ihre Wirksamkeit wurde kontinuierlich durch menschliche Fehler und ausgefeilte Cyber-Bedrohungen untergraben. Von der Erstellung schwacher Passwörter bis zu den Gefahren von Phishing-Angriffen sind die Risse im Fundament unübersehbar.
MFA: Die Zwischenlösung zu einer passwortlosen Welt
Um die Mängel von Passwörtern anzugehen, wurde die Multi-Faktor-Authentifizierung (MFA) eingeführt. MFA verbessert mehr Sicherheit, indem sie von Benutzern verlangt, zwei oder mehr Verifizierungsfaktoren anzugeben, um Zugang zu ihren Konten zu erhalten. Dies funktioniert, nach dem bewährten Prinzip von
- Something you know (etwas das sie wissen, wie ein Passwort)
- Something you have (etwas das sie besitzen, wie ein Smartphone)
- Something you are (etwas das sie sind, wie ein Fingerabdruck)
Während wir von traditionellen Passwörtern zu den sichereren und bequemeren Passkeys übergehen, dient die Multi-Faktor-Authentifizierung (MFA) als Zwischenschritt.
MFA reduziert das Risiko eines unbefugten Zugriffs erheblich. Es ist jedoch immer noch anfällig für verschiedene Arten von Angriffen. Es hängt von der verwendeten MFA-Technik ab, aber in der Regel schützt MFA nicht vollständig vor Phishing- oder Man-in-the-Middle-Angriffen. Bei der Verwendung von E-Mail-Verifizierungscodes oder SMS-basierter Authentifizierung gibt es auch technologiespezifische Angriffspunkte.
Um solche Angriffspunkte zu adressieren, hat sich MFA im Laufe der Jahre weiterentwickelt. Vielleicht erinnern Sie sich noch an die Liste der vorab generierten Einmal-Codes (Streichlisten), die Sie in den 90er Jahren und Anfang der 2000er Jahre von Ihrer Bank erhalten haben? Danach gingen Anbieter dazu über, proprietäre Hardware-Token und zeitbasierte Einmalpasswörter (TOTP) zu verwenden. Heute sind proprietäre Authentifizierungs-Apps beliebt. Ein anderer Ansatz besteht darin, die Notwendigkeit von MFA von bestimmten Risikometriken abhängig zu machen. Dies wird oft als adaptives MFA bezeichnet.
Das Gemeinsame aller dieser Technologien ist eine schlechte Benutzererfahrung. Die Anmeldung wird durch mehrere Schritte unterbrochen. In den meisten Fällen müssen die Nutzer mehrere Apps verwenden. Das Teilen von Authentifizierungsinformationen über verschiedene Geräte hinweg ist kompliziert und in einigen Fällen unmöglich. Das Wiederherstellen verlorener Anmeldeinformationen ist umständlich.
Als Ergebnis wird MFA von den Nutzern schlecht akzeptiert und nur verwendet, wenn sie dazu gezwungen sind. Passkeys zielen darauf ab, dies zu ändern und die Mängel von Passwörtern und MFA zu beheben oder zumindest stark zu verbessern.
Passkeys: Ein Wendepunkt
Passkeys sind eine sichere und benutzerfreundliche Methode der Authentifizierung. Als digitale Schlüssel beseitigen sie die Notwendigkeit für traditionelle Passwörter und bieten eine sicherere und benutzerfreundlichere Authentifizierungsmethode. Durch den Einsatz kryptographischer Techniken gewährleisten Passkeys einen sichereren und reibungsloseren Anmeldeprozess auf verschiedenen Geräten und Plattformen.
Wie Passkeys funktionieren
Passkeys funktionieren mithilfe eines sicheren, kryptographischen Protokolls. Wenn ein Benutzer ein Gerät registriert, erstellt dieses ein individuelles Paar kryptografischer Schlüssel: einen privaten Schlüssel, der sicher auf dem Gerät des Benutzers verbleibt, und einen öffentlichen Schlüssel, der auf dem Server gespeichert wird. Die Authentifizierung erfolgt, indem das Gerät nachweist, dass es den privaten Schlüssel besitzt, ohne ihn zu übermitteln, was eine sichere Anmeldung ohne Passwörter gewährleistet.
Dies ist die gleiche Technologie und der gleiche Standard, der bereits seit mehreren Jahren von FIDO-Tokens (https://fidoalliance.org/) verwendet wird. FIDO-Token sind von verschiedenen Anbietern erhältlich. Die bekanntesten sind wahrscheinlich Yubikey und der Titan Key von Google. Diese Arten von Hardware-Tokens wurden eingeführt, um die Speicherung von Anmeldeinformationen manipulationssicher zu machen. Tatsächlich kann man sich Passkeys als virtuelle FIDO-Tokens vorstellen. Aber warum sollte man ein Hardware-Token virtualisieren? Die Antwort ist: Benutzererfahrung.
Vorteile von Passkeys
Neben erhöhter Sicherheit bieten Passkeys auch eine überlegene Benutzererfahrung auf Basis des WebAuthn-Standards. Der Anmeldeprozess mit Passkeys ist so reibungslos, dass er kaum auffällt. Sie können dies ganz einfach unter https://webauthn.io ausprobieren.
Registrierung eines Passkeys mit 1Password. Einfach auf „Speichern“ klicken.
Anmeldung mit Passkey über 1Password. Einfach auf „Anmelden“ klicken.
Passkeys werden in der von Ihnen genutzten Plattform gespeichert und geschützt. Das kann Ihr Microsoft-Konto, Ihr Google-Konto, Ihr Apple-Konto oder ein Passwortmanager sein, den Sie verwenden. Das bedeutet, dass Sie zur Entsperrung Ihrer Passkeys einfach den für Ihre Plattform konfigurierten Authentifizierungsmechanismus verwenden. Das kann FaceID sein, wenn Sie ein Apple-Gerät haben, oder Hello im Falle der Microsoft-Plattform.
Aber was ist, wenn ich ein Android-Telefon habe und an einem Mac arbeite? Auch das funktioniert. Sie können die auf Ihrem Telefon gespeicherten Anmeldeinformationen verwenden, um sich plattformübergreifend auf einer Website auf Ihrem Desktop anzumelden.
Verwenden Sie einen Passkey, der auf einem anderen Gerät gespeichert ist, indem Sie einen QR-Code scannen.
Aber was ist, wenn ich mein Gerät verliere? Auch dieses Problem ist gelöst. Ihre Passkeys sind mit Ihrem Benutzerkonto verknüpft und werden über die Cloud auf all Ihren Geräten synchronisiert.
Zusammenfassung der Vorteile:
- Erhöhte Sicherheit: Passkeys sind resistent gegen Phishing, benötigen keine geteilten Geheimnisse und reduzieren das Risiko, dass ihre Benutzerkonten missbraucht werden, erheblich.
- Nahtlose Benutzererfahrung: Sie vereinfachen den Anmeldeprozess und machen den Zugang zu Diensten schneller und bequemer, ohne die Sicherheit zu beeinträchtigen.
- Plattformübergreifende Unterstützung: Sie können Passkeys auf mehreren Plattformen verwenden.
Fazit
Passkeys haben das Potenzial, die Art und Weise, wie wir uns im Web authentifizieren, zu revolutionieren. Dies liegt nicht nur an ihrer überlegenen Sicherheit und Benutzererfahrung, sondern auch daran, dass sie plattformübergreifend einsetzbar sind und sich leicht wiederherstellen lassen.
Dennoch gibt es einige Dinge zu beachten, besonders bei Anwendungen mit hohen Sicherheitsanforderungen.
- Benutzer-Onboarding: Passkeys lösen die Herausforderungen des Benutzer-Onboardings nicht. Wenn Sie einen Passkey als Anmeldeinformation für eine Webseite registrieren, müssen Sie den Benutzer identifizieren. Diese Herausforderung ist nicht spezifisch für Passkeys, daher ist ein robuster Onboarding-Prozess für alle Arten von Anmeldeinformationen erforderlich.
- Abhängigkeit von der Plattformsicherheit: Wie oben erläutert, werden die Passkeys von den Plattformen verwaltet und geschützt. Daher müssen Sie dem Plattformanbieter vertrauen, dass er die Passkeys angemessen speichert und schützt. Obwohl dieses Sicherheitsniveau für die meisten Anwendungen mehr als ausreichend ist, könnte es bei höheren Sicherheitsanforderungen (z.B. E-Banking-Anwendungen) eine Überprüfung wert sein.
- Benutzerakzeptanz: Obwohl Passkeys überlegene Sicherheit und Benutzererfahrung bieten, könnten sich einige Benutzer gerade durch die Einfachheit irritiert fühlen. Sie könnten die Sicherheit in Frage stellen, weil ihnen der Login-Vorgang zu einfach erscheint (Hey, warum bin ich jetzt angemeldet? Ich habe doch gar kein Passwort eingegeben!).