Passkeys – die Passwort-Alternative?

Was sind Passkeys?

Die passwortlose Authentifizierung erfolgt durch die Nutzung eines kryptografischen Schlüsselpaares, welches beim Registrierungsprozess im Authenticator generiert wird. Der öffentliche Schlüssel wird bei der Anwendung hinterlegt, während der private Schlüssel sicher im Authenticator verbleibt oder mit der Cloud synchronisiert wird. Die Authentifizierung erfolgt durch das Senden einer Challenge an den Authenticator, die nur mit dem privaten Schlüssel beantwortet werden kann. Der Schlüssel lässt sich als Softwarezertifikat speichern, sicherer ist jedoch die separate Speicherung in Hardware auf einer Chipkarte oder einem speziellen USB-Stick/NFC-Token. Auch moderne Smartphones und Notebooks mit einem Trusted Platform Module bieten einen sicheren Schlüsselspeicher. Die Wahl geeigneter Authenticators hängt immer vom jeweiligen Anwendungsfall ab. Softwarelösungen sind benutzerfreundlich und bieten ein gewisses Maß an Sicherheit, doch sollten Unternehmen mit hohen Sicherheitsanforderungen die Verwendung dedizierter Authenticators in Betracht ziehen.

Bei der Umstellung auf Passkeys sind neben der Wahl geeigneter Authenticators auch Faktoren wie Benutzerschulungen, die Entwicklung einer Account-Recovery-Strategie und mögliche Probleme beim Rollout der Authenticators zu berücksichtigen. Der Aufwand lohnt sich, denn letztendlich bedeutet dies mehr Cybersicherheit!

Der Login auf einer Web-Applikation ist hauptsächlich durch die gerade erklärte Methode der Passkeys sehr unkompliziert gestaltet worden. Der Nutzer braucht somit seinen Benutzernamen und/oder Passwort nicht mehr einzutragen, sondern muss beispielsweise nur seinen Fingerabdruck scannen, sein Gesicht (FaceID) benutzen oder ein Muster eingeben, um die jeweilige Website zu entsperren.

Vorteile der passwortlosen Authentifizierung

Zudem bieten Passkeys eine Menge an zusätzlichen Funktionen, weswegen sie sich von der herkömmlichen Anmeldemethode, z.B. Benutzer und Passwort, abheben.

Als Erstes ist der Aspekt der Sicherheit zu benennen. Passwörter können von Phishing-Angriffen, Brute-Force-Angriffen und anderen Arten der Cyberkriminalität betroffen sein. Die Verwendung biometrischer Merkmale oder physischer Sicherheitstokens, die schwerer zu fälschen oder zu stehlen sind, kann die passwortlose Authentifizierung deutlich sicherer machen.

Wie schon erwähnt ist die Einfachheit und Benutzerfreundlichkeit beim Thema Passkeys von großer Bedeutung. Wenn Unternehmensstrukturen komplexe Anforderungen an Passwörter haben, wird es für die Benutzer frustrierend, sich an verschiedene sichere Passwörter zu erinnern und diese regelmäßig zu ändern. Die passwortlose Authentifizierung trägt so zur Verbesserung der Benutzerfreundlichkeit bei, da es ein schwer fälschbares Merkmal ist.  Außerdem ist es möglich, sie in eine MFA-Lösung (Multi-Faktor-Authentifizierung) zu integrieren, die eine Vielzahl von Authentifizierungsfaktoren zur Steigerung der Sicherheit einsetzt. So kann die Authentifizierung zum Beispiel auf biometrischen Informationen und einem Sicherheitstoken beruhen.

Allerdings ist auch die hohe Skalierbarkeit nicht außen vorzulassen. Die Verwaltung von Passwörtern in Unternehmen mit einer großen Anzahl von Nutzern ist herausfordernd. Eine Authentifizierung ohne Kennwort vereinfacht definitiv das Management.

Herausforderungen in der Zukunft

Passkeys sind genauso wie jede neue Technologie mit neuen Herausforderungen, Schwierigkeiten und Angriffsarten verbunden.

Der private Schlüssel, der zur Authentifizierung benötigt wird, ist an das spezifische Gerät gebunden, auf dem er erstellt wurde. Wenn dieses Gerät verloren geht oder beschädigt wird und der Schlüssel nicht in der Cloud synchronisiert wurde, ist es nicht möglich, ihn wiederherzustellen. Dies kann problematisch sein, insbesondere für Nutzer, die keine Backup-Lösungen eingerichtet haben.

Es ist entscheidend, eine robuste Account-Wiederherstellungsstrategie zu haben, damit Nutzer auch dann Zugriff auf ihre Konten erhalten können, wenn sie den Zugang zu ihrem Authenticator-Gerät verlieren. Diese Strategie sollte verschiedene Optionen zur Wiederherstellung des Zugangs beinhalten, wie z.B. die Verwendung von Recovery-Codes, Backup-Authenticators oder anderen vertrauenswürdigen Methoden. Und auch wenn die Nutzung geteilter Accounts aus verschiedenen Gründen nicht länger sinnvoll erscheint, ist dies mit Passkeys nicht mehr möglich. Der Passschlüssel einer Person kann nicht mit einer anderen geteilt werden.

Praktische Umsetzung

Obwohl Passkeys theoretisch überzeugend sind, gibt es bei ihrer praktischen Anwendung im Alltag einige Herausforderungen. Im Gegensatz zu herkömmlichen Systemen mit Benutzernamen und Passwörtern, die den Zugang von jedem Gerät aus ermöglichen, sind Passkeys an ein bestimmtes Gerät gebunden. Ein praktikabler Ansatz besteht darin, ein Smartphone als zentrales Repository für Schlüssel zu nutzen, wobei das Smartphone durch sichere Mechanismen wie Fingerabdrucksensoren oder andere biometrische Merkmale geschützt ist. Die Authentifizierung erfolgt dann durch das Scannen eines QR-Codes auf dem Bildschirm eines beliebigen Geräts, wodurch der Passkey-Prozess initiiert wird.

Trotz potenzieller Probleme wie Verlust oder Diebstahl des Mobilgeräts gibt es Wiederherstellungsmechanismen, die ähnlich wie bei der Rücksetzung von Passwörtern funktionieren und den Zugang über alternative authentifizierte Geräte ermöglichen.

Mit der fortschreitenden Entwicklung digitaler Bedrohungen bieten Passkeys eine robuste Lösung zum Schutz persönlicher und Unternehmensdaten. Diese Methode ist sowohl einfach als auch sicher und erspart den Nutzern die Mühe, sich Passwörter merken zu müssen. Swisscom Trust Services kann Passkeys als eine von vielen E-Signatur-Genehmigungsoptionen über ihren Multiple Authentication Broker integrieren, was den Nutzern maximale Flexibilität bietet.

Verweise:

[1] Bundesamt für Sicherheit in der Informationstechnik (03.05.2024)
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Broschueren/Management_Blitzlicht/Management_Blitzlicht_Passkeys.pdf?__blob=publicationFile&v=2

[2] Google (03.05.2024)
https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/

[3] Swisscom (02.05.2024)
https://trustservices.swisscom.com/de/esignature-hub/trust-blog/das-ende-des-passworts-die-macht-der-passkeys