Education·

Passkeys: die moderne Form der Authentifizierung

Für die Nutzer gehört es online zum Alltag, sich bei Diensten anzumelden und sich in ihr Konto einzuwählen. Lange Zeit waren dafür klassische Passwörter notwendig, die jedoch als unsicher und umständlich gelten. Mit den Passkeys existiert eine Alternative, die vieles vereinfacht und sowohl für die Anwender als auch für die Unternehmen bzw. Organisationen zahlreiche Vorteile in der täglichen Verwendung bietet.

Passkey

Einführung: Was sind Passkeys?

Authentifizierungen sind in der digitalen Welt notwendig, um die Onlinedienste und die Accounts der Nutzer zu schützen. Doch leider erweisen sich herkömmliche Methoden wie Passwörter häufig als sehr umständlich und benutzerunfreundlich. Sie sind sogar unsicher, weil in der Vergangenheit im Zusammenhang mit passwortgeschützten Konten Phishing-Angriffe immer wieder erfolgreich waren. Kryptografische Schlüssel sollen hier Abhilfe schaffen und eine sicherere und einfacher zu verwendende Alternative darstellen.

Die Schlüsselpaare lassen sich damit als eine Art Authentifizierungsmethode der nächsten Generation verstehen. Mit der Einführung dieser Technologie sind jedoch auch Herausforderungen verbunden, die es erst einmal zu überwinden gilt.

Technische Grundlagen

Bei Passkeys kommen statt der klassischen Passwörter kryptografische Schlüsselpaare zum Einsatz. Einer davon ist öffentlich, der andere privat. Ziel ist die Umsetzung eines sicheren, bequemen und effizienten Anmeldeprozesses.

Public-Key-Infrastruktur

Für die Funktion der kryptografischen Schlüssel spielt die Public-Key-Infrastruktur (PKI) eine entscheidende Rolle. Die Schlüsselpaare basieren auf dem Prinzip der asymmetrischen Kryptografie, das direkt aus der PKI abgeleitet ist. Dabei wird ein Schlüssel auf einem öffentlichen Server gespeichert, während der andere private Schlüssel immer auf dem Gerät des Nutzers verbleibt. Die PKI dient der Generierung dieser Schlüssel und deren Speicherung. Kommt es zu einer Verwendung des Schlüssels, sendet ein Server eine sogenannte Challenge (Herausforderung) an das Benutzergerät. Nur wenn dieses Gerät eine Signierung der Herausforderung mithilfe des privaten Schlüssels vornehmen kann, gelingt die Authentifizierung.

FIDO2-Protokoll

Die für die Implementierung des Passkey-Verfahrens erforderlichen Standards und Protokolle sind in FIDO2 definiert. Damit ist es möglich, die Schlüsselpaare in verschiedenen Anwendungen und auf verschiedenen Plattformen zu nutzen. FIDO steht für "Fast Identity Online". Es handelt sich hierbei um einen offenen und von der FIDO Alliance entwickelten Standard. Neben der Registrierung der Schlüssel und der Durchführung des Anmeldevorgangs stellt FIDO2 sicher, dass sich die Passkeys universell und daher mit verschiedensten Diensten im Internet einsetzen lassen. Das Protokoll dient also der Herstellung der erforderlichen Interoperabilität.

WebAuthn

FIDO2 besteht aus zwei wesentlichen Komponenten, eine davon ist WebAuthn (Web Authentication API). Das W3C (World Wide Web Consortium) ist für die Entwicklung dieses Standards zuständig. Über diese API ist es möglich, sich von einem FIDO-fähigen Gerät aus per kryptografischem Schlüssel zu authentifizieren. Die Aufgabe von WebAuthn besteht darin, eine Schnittstelle zwischen dem jeweiligen Authentifizierungsgerät wie etwa einem Smartphone und dem Webbrowser herzustellen. Sichere und passwortlose Authentifizierungen sind also direkt im Browser möglich. Zu den unterstützen Authentifizierungsgeräten gehören externe Hardware-Token, die sich zum Beispiel auf einem USB-Stick befinden sowie biometrische Sensoren.

CTAP

CTAP ist die zweite Komponente, aus der sich FIDO2 wesentlich zusammensetzt. Sie ist zuständig für die Kommunikation zwischen dem Authenticator wie etwa einem USB-Sicherheitsschlüssel und dem Client-Gerät wie etwa einem Smartphone. Die Verbindung lässt sich dabei über verschiedene Methoden herstellen wie etwa Bluetooth oder NFC für die Nahfeldkommunikation. Auch USB kommt infrage. CTAP soll daher mit einer Vielzahl von Geräten kompatibel sein und als Technologie die verschiedensten Einsatzszenarien abdecken. Dank CTAP kann sich jeder über ein externes Authentifizierungsgerät bei einem Online-Dienst anmelden und das auf sichere und unkomplizierte Weise ohne Passwort.

Vorteile

Passkeys bieten mit ihrer asymmetrischen Kryptografie eine ganze Reihe von Vorteilen für die Authentifizierung und könnten diesen Bereich damit maßgeblich beeinflussen.

Sicherheit

Zu den wichtigsten Vorteilen der kryptografischen Schlüssel gehört der Schutz vor Phishing-Angriffen. Private Schlüssel können die Resistenz deutlich erhöhen, weil sie das Gerät des Nutzers nie verlassen. Das vereitelt Phishing-Attacken bereits im Ansatz. Außerdem ist es nicht mehr möglich, dass Cyberkriminelle Passwörter stehlen, weil diese nicht notwendig sind. Auch Brute-Force-Angriffe laufen daher ins Leere. Insgesamt erhöht sich die Sicherheit bei Authentifizierungsvorgängen damit dramatisch.

Benutzerfreundlichkeit

Die Verbesserung der Benutzerfreundlichkeit ist einer der entscheidenden Vorteile dieser auf asymmetrischer Kryptografie basierenden Authentifizierungsmethode. Denn wer keine Passwörter erstellen muss, muss sich diese auch nicht mehr merken oder sie verwalten. Die Anmeldung vereinfacht sich deutlich, die Eingabe komplizierter Passwörter entfällt. Authentifizierungen gelingen deutlich schneller, was zum Beispiel gerade bei der Gesichtserkennung oder dem Scan des Fingerabdrucks der Fall ist. Zudem lässt sich die Technologie nahtlos in verschiedene Geräte und Plattformen integrieren. Damit fällt es leichter, eine einheitliche Nutzererfahrung über verschiedene Dienste hinweg zu gestalten. Auch Passwort-Resets und der damit zusammenhängende umständliche Vorgang gehören der Vergangenheit an.

Datenschutz

Für den Datenschutz erweist es sich als wesentlicher Vorteil, dass die Speicherung der privaten Schlüssel und zum Beispiel auch der biometrischen Daten nur lokal auf dem eigenen Gerät erfolgt. Das Risiko für Datenschutzverletzungen verringert sich, wenn die Daten die lokale Umgebung nie verlassen. Auch Passwortdatenbanken sind nicht mehr erforderlich. Diese waren in der Vergangenheit ein beliebtes Ziel von Angreifern, weil hier eine zentrale Speicherung von potenziell wertvollen Informationen erfolgt ist. Solche massiven Diebstähle im Zusammenhang mit der Kompromittierung von Datenbanken sind dank der neuen Technologie nicht mehr möglich. Weiterhin verringert sich die Menge an Daten, die Nutzer an verschiedene Dienste weitergeben müssen. Authentifizierungen sind jetzt durchführbar ohne die Preisgabe sensibler Daten.

Herausforderungen bei der Implementierung und Adoption

Zu den technologischen Hürden gehört, dass noch nicht alle Geräte und Plattformen kryptografische Schlüssel unterstützen. Daher ist es eventuell erforderlich, dass Unternehmen und andere Organisationen ihre Systeme aktualisieren, was entsprechende Investitionen erfordert. Wichtig ist auch, die erforderliche Akzeptanz bei den Nutzern herzustellen. Es ist daher bei der Umsetzung darauf zu achten, die Einstieghürden so gering wie möglich zu halten. Nicht zu unterschätzen sind die Gewohnheiten im Umgang mit Passwörtern. Selbst wenn diese umständlich sein mögen, kennen viele Nutzer eventuell keine anderen Methoden und zögern daher, auf ein anderes Verfahren für die Authentifizierung umzusteigen.

Ebenfalls zu beachten ist, dass die Anmeldung per Passkey-Methode nicht mehr möglich ist, wenn der Anwender sein Gerät verliert. Es sollten daher Mechanismen vorhanden sein, um in einem solchen Fall eine Wiederherstellung oder Übertragung der Schlüssel auf ein neues Gerät sicherstellen zu können.

Zukunftsperspektiven und mögliche Auswirkungen auf die IT-Sicherheitsbranche

Grundsätzlich ist mit der Einführung der Passkey-Technologie ein großes Potenzial für die IT-Sicherheitslandschaft verbunden und sie könnte diese grundlegend ändern. Die Vorteile in Hinblick auf eine einfachere Verwendung und höhere Effizienz beim Anmeldevorgang liegen auf der Hand. Der Einsatz dieser Authentifizierungsmethode bedeutet aber auch, dass eine Neuausrichtung der Sicherheitsstrategie erfolgen könnte. Denn von nun an gilt es vor allem die Endgeräte zu schützen. Denn hier sind die privaten Schlüssel gespeichert, ohne die eine Anmeldung nicht funktioniert. Phishing sollte in der Zukunft keine große Rolle mehr spielen. Stattdessen ist davon auszugehen, dass die Cyberkriminellen nach neuen Lücken für ihre Angriffe suchen und sich zum Beispiel auf die Manipulation der Endgeräte konzentrieren. Darauf muss sich die Branche einstellen.