Tauchen Sie ein in die Welt der modernen Identitätsüberprüfung mit Passkeys: Erfahren Sie, wie Passkeys die Online-Welt revolutionieren können und erkunden Sie die technischen Hintergründe jener innovativen Sicherheitsmethode. Tschüss Passwörter, tschüss Phishing. Hallo neuer und innovativer Login via Passkey! Einfach, schnell sowie sicher.
In 2012 wurde die FIDO-Alliance gegründet. Ihr Ziel: Einen lizenzfreien modernen Standard für die Authentifizierung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören etliche „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine innovative Technologie erschaffen, die wir in diesem Artikel genauer unter die Lupe nehmen möchten: Identitätsüberprüfung mit Passkeys. Das Ziel der FIDO: Schnelle Online-Ausweisung. Passwörter sollten abgeschafft und Logins zwar bequemer, jedoch simultan auch safer gemacht werden. Aber wie soll das bloß gelingen?!
Bye Kennwörter: Was sind eigentlich Passkeys?
In einer gegenwärtigen Analyse von 1Password gab jeglicher (!) Befragte an, schon einmal direkt sowie indirekt mit Phishing in Berührung gekommen zu sein. Insofern verwundert es keineswegs, dass der Großteil der Teilnehmer eine geschützte Login-Methode für ihre Online-Accounts für äußerst wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) klingt hier zwar in der Systematik nach einer guten Lösung, hat aber einen größeren Haken: Man kann sich unglaublich simpel selbst aussperren aus den eigenen Konten. Von dem temporären Aufwand mal ganz abzusehen. Einfach sowie „smooth“ ist der 2FA-Login mitnichten. Außerdem werden natürlich auch Hacker immerzu smarter: Cyber-Kriminelle haben in der Vergangenheit schon Maßnahmen gefunden, SMS abzufangen sowie auf diese Weise an den zweiten Faktor für eine Authentifizierung zu gelangen. Wirklich sicher wäre ein Login demnach nur, wenn es gar keine Zugangsdaten gäbe, welche man ausspionieren kann. Und exakt an dieser Stelle kommen Passkeys ins Spiel!
Passkeys, ebenso bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegenteil zu herkömmlichen Passwörtern eröffnen diese eine erweiterte Sicherheitsebene, indem sie eine physische Komponente in die Authentifizierung integrieren. Die Eingebung hinter Passkeys ist, dass der Benutzer Zutritt zu all den eigenen Online-Konten im Internet hat, ganz ohne dass man sich ein jedes Mal mit Benutzernamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, welche ausspioniert werden könnten. Selbige wurden erschaffen, um eine passwortlose Registrierung bei Homepages sowie Apps zu gewähren und das Benutzererlebnis einfacher wie auch phishing-sicher zu formen.
Aber wie funktioniert das? Nun, bei der Erstellung eines Profils bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel erstellt, welche miteinander mathematisch verknüpft sind:
1. Ein öffentlicher Schlüssel – jener wird mit dem Service, beispielsweise einer Webseite oder einer Applikation geteilt und dient dazu, Infos zu verschlüsseln, die nur der private Schlüssel entschlüsseln kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine sehr lange, total beliebig generierte Abfolge von Kennzeichen. Jener private Schlüssel ist ausschließlich auf dem Gerät des Anwenders abgespeichert. Auf allen verknüpften Geräten, zum Beispiel dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und auch kein Zugangswort mehr notwendig.
Um Passkeys benutzen zu können, sind zweierlei Dinge technisch nötig: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um geschützt mit dem Webbrowser kommunizieren zu können. Der Online-Dienst, bei dem man sich einloggen will, muss darüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Dies ist eine Schnittstelle, welche unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.
Da Passkeys also auf den jeweiligen Geräten gelagert werden, drängt sich selbstverständlich auf Anhieb eine wesentliche Frage auf: Auf welche Weise lassen sich die Endgeräte vor fremden Zugriffen bewahren? Denn in diesem Fall stünden einem Hacker Tür wie Tor offen, sobald er ein fremdes Endgerät in der Hand hat. Aber zum Glück gibt es hierzu bereits Lösungen: Weil die modernen Modelle von Endgeräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- und auch App-Entsperrung über biometrische Scans an. Die populärsten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Kombination aus Passkey plus biometrischen Daten eine enorm sichere Form der Identitätsüberprüfung.
Gibt es Passkey nur bei Amazon?
Die Verwendung von Passkeys offeriert eine ganze Reihe von Vorteilen für Nutzer und Unternehmen. Dazu gehören eine erhöhte Sicherheit durch eine physische Authentifizierungskomponente, eine optimierte Benutzererfahrung durch nahtlose Anmeldung und eine Reduzierung des Risikos von Phishing-Attacken und Passwortdiebstahl. Einige Technologiereisen haben deshalb ebenfalls bereits Passkeys implementiert – zuletzt mit viel Aufsehen der Online-Marktplatz Amazon. Und dies wird voraussichtlich erst der Anfang sein – Experten gehen hiervon aus, dass Passkeys sich immer mehr am Markt ausbreiten und als Norm eingesetzt werden.
Was denken Sie: Ist die nahe Zukunft der Authentifizierung passwortlos plus physisch?
Bei Anliegen zum Thema 2FA sowie Passkeys sprechen Sie uns gerne an.
Wir beraten und unterstützen Sie auf Ihrem Weg hin zu einem geschützten Unternehmen!