Eine der größten Schwachstellen vieler digitaler Systeme sind nach wie vor Passwörter. Sie sind oft zu einfach, werden mehrfach verwendet oder nicht sicher gespeichert. Um diese Probleme zu lösen, wurde mit Passkey ein neuer Standard für Authentifizierungsverfahren entwickelt, der traditionelle Passwörter ersetzen soll. In diesem Beitrag beleuchten wir die Funktionsweise von Passkeys, ihre Vorteile und die Risiken, die Unternehmen beachten sollten.
Was ist ein Passkey?
Ein Passkey ist ein kryptografischer Schlüssel, der anstelle eines herkömmlichen Passworts verwendet wird, um eine sichere Authentifizierung zu ermöglichen. Diese passwortlose Anmeldemethode basiert auf dem Verfahren der asymmetrischen Verschlüsselung, bei der zwei Schlüssel zum Einsatz kommen:
- Ein öffentlicher Schlüssel, der bei dem Website- bzw. Dienstanbieter gespeichert wird (statt des sonst üblichen Passwort-Hashs),
- und ein privater Schlüssel, der sicher auf dem Endgerät des Nutzers verbleibt.
Alternativ kann der private Schlüssel auch in der Cloud etwa des Betriebssystemanbieters gespeichert werden. Nur wenn beide Schlüssel zusammenpassen, wird der Zugang zum System gewährt.
Technisch geschieht dies wie folgt: Der Onlinediensts schickt bei einem beabsichtigten Login eine Rechenaufgabe an das Endgerät des Nutzers. Mithilfe des Ergebnisses der Berechnung ist der Anbieter des Dienstes in der Lage, unter Einsatz des öffentlichen Schlüssels den Nutzer zu authentifizieren. Hiervon bekommt der Nutzer jedoch nichts mit. Dieser muss sich lediglich mit einem biometrischen Merkmal (Fingerabdruck oder Gesichtserkennung) oder einer PIN identifizieren.
Im Gegensatz zu Passwörtern, die leicht gestohlen oder erraten werden können, verlässt der private Schlüssel bei einem Passkey niemals das Gerät des Nutzers (bzw. die relevante Cloud). Dies macht Phishing-Angriffe, bei denen Nutzer dazu verleitet werden, ihre Zugangsdaten preiszugeben, praktisch unmöglich. Auch die Verwendung schwacher oder mehrfach genutzter Passwörter entfällt, da Passkeys für jeden Dienst einzigartig und von hoher kryptografischer Stärke sind.
Dabei ist Passkey weder ein Produkt noch eine Marke, sondern eine Technologie, die durch verschiedene Anbieter (die Liste ist hier einsehbar) angeboten wird.
Vorteile von Passkeys für die Informationssicherheit
Die Einführung von Passkeys bringt erhebliche Vorteile im Bereich der Informationssicherheit mit sich. Hier sind die wichtigsten Aspekte im Überblick:
Minimierung der Angriffsfläche
Da der private Schlüssel auf dem Endgerät des Nutzers verbleibt und niemals an den Server des Anbieters des jeweiligen Dienstes übermittelt wird, sind klassische Passwortdiebstähle, wie sie bei Datenlecks von Online-Diensten vorkommen, nicht möglich. Dies reduziert die Gefahr von Identitätsdiebstahl erheblich.
Keine zentralen Passwortdatenbanken
Viele Datenschutzverletzungen geschehen, weil zentrale Passwortdatenbanken gehackt werden. Passkeys machen diese zentralen Speicher überflüssig, da private Schlüssel ausschließlich auf den Geräten der Nutzer gespeichert sind. Selbst im Falle eines erfolgreichen Angriffs auf den Server des Anbieters des Dienstes hat der Angreifer keinen Zugriff auf die Zugangsdaten.
Schutz vor Phishing
Phishing-Angriffe zielen oft darauf ab, Nutzer dazu zu bewegen, ihre Passwörter auf gefälschten Websites einzugeben. Da bei Passkeys die Authentifizierung automatisch zwischen dem Gerät und dem Server stattfindet und der private Schlüssel das Gerät dabei nicht verlässt, laufen solche Angriffe in der Regel ins Leere.
Benutzerfreundlichkeit und Sicherheit
Viele Benutzer verwenden aus Bequemlichkeit dasselbe Passwort für mehrere Dienste. Dies erhöht die Sicherheitsrisiken erheblich. Passkeys hingegen werden automatisiert für jeden Dienst separat erstellt und bieten so eine individuell abgesicherte Authentifizierung. Gleichzeitig entfällt der Aufwand, Passwörter sicher zu gestalten und sich diese Passwörter dann merken zu müssen.
Herausforderungen bei der Implementierung von Passkeys
Trotz der zahlreichen Vorteile gibt es auch Herausforderungen bei der Implementierung von Passkeys, die nicht außer Acht gelassen werden sollten:
Nutzerakzeptanz
Die Einführung eines neuen Authentifizierungsstandards kann im Unternehmen bzw. bei Kunden auf Widerstand oder Bedenken stoßen. Zwar wird die Nutzung von Passkeys als benutzerfreundlich beschrieben, dennoch erfordert sie eine Umgewöhnung, insbesondere für weniger technikaffine Nutzer.
Gerätebindung
Ein Passkey ist grundsätzlich gerätebezogen, was dazu führt, dass Nutzer für denselben Dienst gegebenenfalls mehrere Passkeys erstellen müssen (je einen pro Gerät). Teilweise ist es auch möglich, sich mit einem Passkey auf einem weiteren Gerät anzumelden: Hierfür wird in der Regel ein QR-Code mit dem Gerät gescannt, auf welchem der Passkey gespeichert ist, und die Anmeldung bestätigt. Die beiden Geräte müssen dabei über Bluetooth verbunden sein.
Je nach Kontext kann die Gerätebindung ein Hindernis oder ein Vorteil sein. Im privaten Kontext dürfte sie das – nicht unübliche – Teilen von Passwörtern insbesondere für verschiedene Streamingdienste erschweren. Dagegen dürften im Unternehmenskontext von Vorteil sein, dass das Teilen von Passwörtern und die Anmeldung von anderen – wie etwa privaten – Geräten erschwert wird.
Verlust von Geräten
Da der private Schlüssel üblicherweise auf dem Endgerät des Nutzers gespeichert ist, stellt sich die Frage, was passiert, wenn ein Gerät verloren geht oder gestohlen wird.
- Wenn man auch die Kombination aus Username und Passwort für den Dienst hat, kann man sich damit anmelden.
- Darüber hinaus kann ein – woanders gespeichertes – Back-up Abhilfe schaffen.
- In selteneren Fällen, insbesondere wenn keine der zuvor genannten Alternativen in Frage kommt, kann eine Kontaktaufnahme mit dem Diensteanbieter zur Wiederherstellung des Accounts erforderlich sein.
Bei einem Abhandenkommen des Geräts kann die Anmeldefunktion durch Dritte grundsätzlich nicht genutzt werden. Dies wäre nur möglich, wenn dieser im Besitz des zweiten Faktors wäre (bspw. PIN).
Bei einer Speicherung von Passkeys in der Cloud – was etwa bei Apple iCloud möglich ist – stellt sich das vorliegende Problem nicht, denn in einem solchen Fall bleiben die in der Cloud gespeicherten Passkeys auch bei einem Abhandenkommen des Geräts weiterhin verfügbar.
Fazit: Passkeys als Zukunft der Authentifizierung?
Passkeys bieten eine vielversprechende Alternative zu traditionellen Passwörtern. Sie erhöhen nicht nur die Sicherheit von Online-Konten, sondern tragen auch erheblich zum besseren Schutz der darin enthaltenen Daten.
Allerdings sollten Unternehmen die Herausforderungen, die mit der Einführung von Passkeys einhergehen, nicht unterschätzen. Eine sorgfältige Planung und die enge Zusammenarbeit mit Datenschutzbeauftragten und insbesondere dem Informationssicherheitsverantwortlichen sind unerlässlich, um den Übergang zu dieser neuen Technologie erfolgreich zu gestalten.
Zu beachten ist, dass Passkey eine vergleichsweise neue Technologie ist. Es obliegt jedem Unternehmen zu entscheiden, ob man sie als Early Adopter übernehmen oder zunächst abwarten will, bis sie erprobter ist.