Tauchen Sie ein in die Welt der neumodernen Identitätsüberprüfung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt transformieren können und entdecken Sie die technischen Backgrounds jener innovativen Sicherheitsmethode. Tschüss Passwörter, adieu Phishing. Hallo neuer und origineller Login via Passkey! Simpel, schnell und sicher.
In 2012 wurde die FIDO-Alliance (https://fidoalliance.org) gegründet. Das Ziel: Einen lizenzfreien modernen Standard für die Authentifizierung im Web entwickeln (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine innovative Technologie erschaffen, die wir in diesem Artikel unter die Lupe nehmen möchten: Authentifizierung mittels Passkeys. Die Absicht der FIDO: Schnelle Online-Identifizierung. Passwörter sollen abgeschafft plus Logins zwar bequemer, jedoch gleichzeitig auch safer gemacht werden. Aber wie soll das denn gelingen?!
Die Bedeutung von Passkeys
In einer gegenwärtigen Studie von 1Password gab jeder (!) Befragte an, schon einmal direkt oder indirekt mit Phishing in Kontakt gelangt zu sein. Insofern verwundert es keineswegs, dass der Hauptanteil der Teilnehmer eine geschützte Login-Methode für deren Online-Accounts für sehr wichtig hält (https://1password.com/resources/passwordless-future-report). Die Zwei-Faktor-Authentifizierung (2FA) klingt hier zwar in der Theorie nach einer guten Lösung, hat aber einen großen Nachteil: Man kann sich unglaublich leicht selbst aussperren aus den persönlichen Konten. Von dem zeitlichen Aufwand mal ganz zu schweigen. Einfach sowie „smooth“ ist der 2FA-Login mitnichten. Außerdem werden selbstverständlich ebenso Hacker immer smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Methoden gefunden, SMS abzufangen sowie so an den zweiten Faktor für eine Authentifizierung zu kommen. Wirklich sicher wäre ein Login also bloß, wenn es überhaupt keine Zugangsdaten gäbe, welche man ausspionieren könnte. Und exakt an dieser Stelle kommen Passkeys auf den Radar!
Passkeys, ebenso bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden immer mehr zu einem elementaren Glied moderner Sicherheitsinfrastrukturen. Im Gegenteil zu gewöhnlichen Passwörtern bieten sie eine erweiterte Sicherheitsebene, indem selbige eine physische Einzelheit in die Authentifizierung einbeziehen. Diese Eingebung hinter Passkeys ist, dass der Benutzer Zugang zu all den eigenen Online-Konten im Internet hat, ganz ohne dass man sich ein jedes Mal mit Benutzernamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, welche ausspioniert werden können. Sie wurden erschaffen, um eine passwortlose Registrierung bei Homepages sowie Apps zu gewähren und das Benutzererlebnis bequemer wie auch phishing-sicher zu formen.
Doch wie gelingt das? Also, bei der Erstellung eines Profils bei einem Online-Dienst, der Passkeys fördert, werden zwei Schlüssel erstellt, die untereinander mathematisch verbunden sind:
1. Ein öffentlicher Schlüssel – dieser wird mit dem Dienst, beispielsweise einer Webseite oder einer App geteilt und dient dazu, Informationen zu verschlüsseln, die lediglich der private Schlüssel entschlüsseln kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine äußerst lange, vollkommen beliebig generierte Reihe von Zeichen. Jener private Schlüssel bleibt einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Gerätschaften, beispielsweise dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername sowie ebenfalls kein Zugangswort mehr nötig.
Um Passkeys verwenden zu können, sind zweierlei Punkte technisch nötig: Das Endgerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um sicher mit dem Browser kommunizieren zu können. Der Online-Dienst, bei welchem man sich einloggen will, muss darüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Dies ist eine Verbindung, die nötig ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, beglaubigen zu können.
Da Passkeys demzufolge auf den entsprechenden Endgeräten gespeichert werden, drängt sich selbstverständlich sofort eine wesentliche Frage auf: Auf welche Weise lassen sich die Endgeräte vor unbekannten Zugriffen bewahren? Denn in jenem Fall stünden einem Hacker Tür wie Tor offen, in dem Moment wo er ein fremdes Endgerät in der Hand hat. Doch glücklicherweise gibt es hierzu schon Lösungen: Denn die modernen Modelle von Endgeräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- und auch App-Entsperrung durch biometrische Scans an. Die populärsten sind Fingerabdruckscan und Face ID. So entsteht durch die Mischung aus Passkey und biometrischen Daten eine enorm sichere Form der Authentifizierung.
Amazon, Google, Facebook & Co.: Wer bietet Passkeys an?
Die Anwendung von Passkeys offeriert eine gesamte Reihe von Vorzügen für Nutzer und Unternehmen. Hierzu zählen eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine optimierte Benutzererfahrung durch nahtlose Einschreibung sowie eine Reduzierung des Risikos von Phishing-Angriffen und Passwortdiebstahl. Einige Technologieriesen haben deshalb ebenfalls schon Passkeys eingeführt – zuletzt mit allerhand Aufsehen der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Anfang sein – Experten gehen davon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Norm eingesetzt werden.
Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos und physisch?
Bei Anliegen zum Thema 2FA und Passkeys schreiben Sie uns gerne an.
Wir beraten und unterstützen Sie auf Ihrem Weg hin zu einem geschützten Unternehmen!