Sendungshinweis
„Help“, das Ö1-Konsumentenmagazin, jeden Samstag um 11.40 Uhr in Radio Ö1 und als Podcast.
Die stetig wachsende Zahl an Cyberangriffen und Phishing-Attacken macht es deutlich: Das klassische Log-in-Verfahren mit Benutzernamen und Passwort ist hoffnungslos veraltet. Daran haben auch Sicherheitsfeatures wie die Zwei-Faktor-Authentifizierung (2FA) oder ellenlange Passwörter bestehend aus Buchstaben, Ziffern und Sonderzeichen nur wenig geändert. Ein aktueller Ansatz, um unsichere Passwörter in Zukunft überflüssig zu machen, sind so genannte Passkeys.
Passkeys werden nicht an fremde Server übertragen
Bei Passkeys handelt es sich um ein Verschlüsselungssystem, wie es Computerprofis bereits zum Codieren von E-Mail-Nachrichten einsetzen. Dabei wird ein Schlüssel generiert, der aus einem öffentlichen und einem privaten Teil besteht, erklärt Jan Schüßler vom deutschen Computerfachmagazin „c’t“. Der öffentliche Teil liegt auf dem Server des Onlinedienstes, bei dem man sich einloggen möchte, etwa bei einem Onlineshop. Der private Schlüssel verbleibt auf dem Endgerät der Anwenderinnen und Anwender, sei es nun ein PC, ein Smartphone oder ein Tablet.
Vergleichen kann man das etwa mit einem herkömmlichen Schlüssel in der analogen Welt. Passt etwa der Wohnungsschlüssel ins Schloss, erhält man Zugang zur Wohnung. In der digitalen Welt kann man mit dem privaten Schlüssel das Onlinekonto entsperren.
Apple und Google unterstützen Passkeys
Passkeys sind kein eigenes Programm oder eine App, die man installieren müsste. Es handelt sich um einen Dienst, der von Webanbietern, etwa einem Onlineshop oder einer Social-Media-Plattform, angeboten werden kann. Twitter tut das bereits. Beim Registrieren kann man dann einfach auswählen, dass man Passkeys zur Authentifizierung einsetzen möchte. Bereits vorhandene Onlinekonten können auf Passkeys umgestellt werden, wenn die Anbieter diese Möglichkeit in ihr Anmeldeverfahren integrieren.
Will man sich anschließend in seinen Online-Account einloggen, muss man keine E-Mail-Adresse und auch kein selbstgewähltes Passwort mehr auf der entsprechenden Webseite eingeben, so Schüßler.
Selbstgewählte Passwörter nicht mehr notwendig
Stattdessen werde man vom Anbieter aufgefordert, den Log-in zu bestätigen. Da der private Schlüssel auf dem Endgerät in einem abgesicherten Bereich fix gespeichert ist, könne diese Bestätigung mühelos über biometrische Daten erfolgen, sagt der „c’t“-Experte. Etwa mithilfe eines Fingerabdrucksensors oder mittels Gesichtserkennung. Das Einloggen in einen Online-Account wäre dann also ähnlich simpel, wie wenn man eine Zahlung über eine Banking-App freigibt.
Noch sind es nicht viele Onlineportale, die Passkeys zum Einloggen anbieten. Voraussetzung dafür, dass sich der Dienst generell durchsetzt, wäre, dass er von den großen Betriebssystemherstellern unterstützt wird. Die Zeichen dafür stehen aber günstig. Apple hat die Möglichkeit, Passkeys zu generieren, bereits in seine aktuellen Betriebssysteme eingearbeitet, und auch Google hat die Funktion mittlerweile integriert. Microsoft dürfte Passkeys voraussichtlich im kommenden Jahr in Windows zulassen.
Public-Key-Verschlüsselung nach dem FIDO-Standard
Apple, Google und Microsoft sind Teil der so genannten FIDO-Alliance (FIDO = Fast IDentity Online). Der Verband wurde im Juli 2012 ins Leben gerufen und im Februar 2013 offiziell gegründet, um zusammen mit verschiedenen Unternehmen offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln. Auch Onlineanbieter wie Amazon, Sony oder Twitter sind Teil der FIDO-Allianz. Man könne also wohl davon ausgehen, dass in Zukunft eine größere Zahl an Onlinediensten diese Authentifizierungsmöglichkeit anbieten wird.
Für jeden Onlinedienst, bei dem man sich mit dem Passkey-Verfahren registriert, werde ein eigener und einmaliger Passkey generiert. Anders als bei herkömmlichen Passwörtern sei es also auch nicht möglich, dass man aus Bequemlichkeit bei mehreren Internetdiensten den gleichen Passkey einsetzt, so Schüßler.
Hacker bleiben ausgesperrt
Für Angreifer, die versuchen, an Kunden-Log-ins zu kommen, wären Passkeys eine unüberwindbare Hürde, sagt Schüßler. Das System sei sicher und könne nach dem derzeitigen Stand der Technik nicht gehackt werden. Das liege vor allem daran, dass der private Schlüssel zu keinem Zeitpunkt das eigene Gerät verlässt und somit auch nicht von Cyberkriminellen, die sich eventuell in die Übertragungsleitung einklinken, abgefangen werden kann.
Der Anbieter des entsprechenden Internetdienstes sendet lediglich eine Anfrage an den PC oder das Mobilgerät, mit Hilfe des privaten Schlüssels werde dann eine entsprechende Antwort errechnet, so der „c’t“-Redakteur. Schließlich werde vom Server nur noch geprüft, ob die gesendete Signatur zum öffentlichen Teil des Passkeys passt.
Starke Gerätebindung als Nachteil
Diese Bindung an das eigene Gerät hat aber auch Nachteile. Bei fremden Rechnern ist das Einloggen schwieriger, weil der private Schlüssel dort ja nicht gespeichert ist. Um eine eindeutige Identifizierung zu gewährleisten, könne man in so einem Fall einen QR-Code mit dem Smartphone scannen. Über eine Bluetooth-Verbindung zwischen dem PC und dem Smartphone müsse außerdem sichergestellt werden, dass sich der rechtmäßige Smartphone-Nutzer auch tatsächlich in der Nähe des Rechners befindet, um auszuschließen, dass etwa ein Dieb versucht, sich aus der Ferne in das Kundenkonto eines Opfers zu hacken.
Passkey-Backup dringend erforderlich
Wer in Zukunft auf die Passkey-Technologie setzt, wird außerdem um ein paar klassische Passwörter nicht herumkommen. Da sich ein wichtiger Teil des Schlüssels ausschließlich auf den privaten Geräten der Anwenderinnen und Anwender befindet, sei ein Passkey-Backup besonders wichtig, sagt Schüßler. Die Sicherungen können etwa auf einem Cloud-Server hinterlegt werden. Für Anfang 2023 hat auch der Passwort-Manager 1Password eine Passkey-Unterstützung angekündigt.
Das Backup und das dazugehörige Passwort sollten jederzeit verfügbar und greifbar sein. Denn wenn das Backup-Passwort verlorengeht, verliert man in der Folge auch die Passkeys und damit den Zugang zu den entsprechenden Onlineportalen. Anders als bei herkömmlichen Passwörtern können die Internetdienste beim Entsperren der Zugänge keine Hilfe anbieten, weil auch die Unternehmen den privaten Teil des Zugangsschlüssels nicht kennen.
Phishing und Datenlecks aus der Welt schaffen
Noch sind Passkeys eher selten, sagt Schüßler. Langfristig soll die Technologie aber dabei helfen, aktuelle Probleme wie Phishing und Datenbanklecks aus der Welt zu schaffen. Das klassische Log-in-Verfahren werde zwar noch geraume Zeit auf dem Markt bleiben, weil es einfach und sehr verbreitet ist, doch je weniger Passwörter man in Zukunft nutzt, desto kleiner werde die persönliche Angriffsfläche, die man Hackern und anderen Cyberkriminellen anbietet, so der „c’t“-Fachredakteur.