14. Mai 2024

Die Evolution der Authentifizierung: Von Passwörtern zu Passkeys

Die Evolution der Authentifizierung: Von Passwörtern zu Passkeys

14. Mai 2024

Tauchen Sie ein in die Welt der neumodernen Authentifizierung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt transformieren können und entdecken Sie die technischen Hintergründe dieser innovativen Sicherheitsmethode. Adieu Passwörter, tschüss Phishing. Hallo neuartiger und innovativer Login via Passkey! Simpel, schnell und sicher.

In 2012 wurde die FIDO-Alliance erschaffen. Ihr Ziel: Einen lizenzfreien modernen Standard für die Authentifizierung im Web entwickeln (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine neue Technologie entwickelt, welche wir in dem Artikel unter die Lupe nehmen möchten: Authentifizierung mittels Passkeys. Die Absicht der FIDO: Schnelle Online-Identifizierung. Passwörter sollen abgeschafft und Logins zwar bequemer, aber simultan auch sicherer gemacht werden. Doch wie soll das denn funktionieren?!

Die Bedeutung von Passkeys

In einer gegenwärtigen Analyse von 1Password gab jeder (!) Befragte an, schon einmal direkt oder indirekt mit Phishing in Kontakt gelangt zu sein. Insofern verwundert es nicht, dass der Hauptanteil der Teilnehmer eine sichere Login-Methode für deren Online-Accounts für äußerst wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) erscheint hier zwar in der Theorie nach einer guten Option, hat aber einen größeren Nachteil: Man kann sich unheimlich leicht selbst aussperren aus den persönlichen Konten. Von dem zeitlichen Aufwand mal völlig abzusehen. Einfach und „smooth“ ist der 2FA-Login mitnichten. Außerdem werden selbstverständlich auch Hacker immerzu smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren bereits Maßnahmen gefunden, SMS abzufangen und auf diese Weise an den zweiten Faktor für die Authentifizierung zu kommen. Wirklich geschützt wäre ein Login also nur, wenn es gar keine Zugangsdaten gäbe, die man ausspionieren kann. Und genau an jener Stelle kommen Passkeys auf den Radar!

Passkeys, ebenso bekannt als Sicherheitsschlüssel oder auch Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Bestandteil moderner Sicherheitsinfrastrukturen. Im Gegenteil zu gewöhnlichen Passwörtern bieten sie eine erweiterte Sicherheitsebene, indem selbige eine physische Einzelheit in die Authentifizierung einbeziehen. Die Eingebung hinter Passkeys ist, dass der Nutzer Zutritt zu all seinen Online-Konten im Internet hat, ohne dass man sich jedes Mal mit Loginnamen und Kennwort einloggt. Erklärtes Ziel der sogenannten Passkey-Technologie ist es, ohne Zugangsdaten auszukommen, die ausspioniert werden können. Sie wurden entwickelt, um eine passwortlose Anmeldung bei Homepages und Apps zu ermöglichen und das Benutzererlebnis bequemer wie auch phishing-sicher zu formen.

Doch wie funktioniert das? Nun, bei der Erstellung eines Accounts bei einem Online-Dienst, der Passkeys unterstützt, werden zwei Schlüssel generiert, die miteinander mathematisch verbunden sind:

  1. Ein öffentlicher Schlüssel – dieser wird mit dem Service, beispielsweise einer Webseite oder einer Applikation geteilt und dient dazu, Informationen zu codieren, welche lediglich der private Schlüssel decodieren kann.
  2. Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine äußerst lange, total beliebig generierte Abfolge von Kennzeichen. Jener private Schlüssel bleibt einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Gerätschaften, zum Beispiel dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und ebenfalls kein Zugangswort mehr nötig.

Um Passkeys verwenden zu können, sind zweierlei Dinge technisch nötig: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um sicher mit dem Webbrowser im Austausch stehen zu können. Der Online-Dienst, bei welchem man sich anmelden will, muss hierüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Das ist eine Schnittstelle, die nötig ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.

Da Passkeys demzufolge auf den jeweiligen Endgeräten gespeichert werden, drängt sich selbstverständlich auf Anhieb eine entscheidende Frage auf: Wie lassen sich die Endgeräte vor fremden Zugriffen bewahren? Denn in diesem Fall stünden einem Hacker Tür wie Tor offen, in dem Moment wo er ein fremdes Gerät in die Finger bekommt. Aber glücklicherweise gibt es dafür bereits Lösungen: Weil die modernen Modelle von Geräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- sowie auch App-Entsperrung über biometrische Scans an. Die bekanntesten sind Fingerabdruckscan sowie Face ID. Auf diese Weise entsteht durch die Mischung aus Passkey und biometrischen Daten eine extrem sichere Form der Authentifizierung.

Amazon, Google, Facebook & Co.: Wer bietet Passkeys an?

Die Anwendung von Passkeys offeriert eine ganze Reihe von Vorteilen für Benutzer und Firmen. Hierzu gehören eine höhere Sicherheit durch die physische Authentifizierungskomponente, eine verbesserte User Experience durch nahtlose Anmeldung sowie eine Verkleinerung des Risikos von Phishing-Angriffen und Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund ebenfalls bereits Passkeys eingeführt – zuletzt mit viel Aufsehen der Online-Marktplatz Amazon. Und dies wird voraussichtlich erst der Anfang sein – Experten gehen hiervon aus, dass Passkeys sich immer mehr am Markt ausbreiten und als Standard eingesetzt werden.

Was denken Sie: Ist die nahe Zukunft der Authentifizierung passwortlos plus physisch?

Bei Anliegen zum Thema 2FA sowie Passkeys schreiben Sie uns gerne an.
Wir beraten und unterstützen Sie auf Ihrem Weg hin zu einem geschützten Unternehmen!

Please select listing to show.
Please select listing to show.
Please select listing to show.
Please select listing to show.