Registrieren Anmelden
RegistrierenAnmelden
Banner Aktuelle IT-Sicherheit Online-Schulungen Rabatt
Breadcrumb-Navigation
Mit <kes>+ lesen

Passkeys : Wie steht es um den Standard für passwortlose Anmeldung?

Passkeys sollen ein passwortloses Anmelden auf allen Geräten ermöglichen. Das Verfahren wurde erstmals bereits 2022 angekündigt. Hat es sich durchgesetzt? Wie steht es um die Verbreitung in Deutschland? Welche Vor- und Nachteile zeigen sich?

Sven HillebrechtSecurity-ManagementSysteme und ihr Umfeld
Lesezeit 9 Min.
Quelle: Microsoft Copilot – Bild generiert von Adlon

In einer Zeit, in der die IT zum fünften Element unseres Lebens geworden ist, sind Passwörter unverzichtbar. Mit dem Fortschritt der Technik sowie steigenden Cyberbedrohungen hat der Schutz unserer digitalen Werte eine neue Bedeutung erlangt, allem voran bei mobilen Arbeitsplätzen. Gleichzeitig bringen Passwörter viele Herausforderungen mit sich: Sie öffnen Angreifern* Tür und Tor zu unseren Daten und Informationen. Tatsächlich gibt es jede Sekunde Tausende von Angriffen auf Passwörter und die Häufigkeit hat sich im letzten Jahr verdoppelt. Darüber hinaus sind sie in ihrer unübersichtlichen Vielzahl und Änderungsfrequenz schwer zu merken und bringen selbst in Kombination eines Passwortmanagers eine gewisse Komplexität im Handling mit (siehe auch [1]).

Um im Passwort-Dschungel zu bestehen, wird seit Jahren die passwortlose Authentifizierung forciert. Die letzten Entwicklungen in diesem Bereich sind Passkeys, die von der FIDO Alliance (Fast IDentity Online) getrieben wurden, einer IT-Sicherheitsorganisation, die im Februar 2013 offiziell gegründet wurde, um zusammen mit vielen verschiedenen Unternehmen offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln. Seit den ersten Tagen von Passkeys hat sich viel an ihrer Nomenklatur und Verfügbarkeit getan. Der Alliance ist es gelungen, dass sich Benutzer mit den geräteübergreifenden FIDO Anmeldedaten schnell und sicher auf jedem ihrer Systeme ohne Passwort anmelden können. Passkeys setzt sich dadurch immer mehr durch. Was sich jedoch noch verbessern ließe, ist das Wissen über Passkeys, ihre Funktionsweise sowie Vor- und Nachteile.

Funktionsprinzip

Passkeys sind eine passwortlose Authentifizierungsmethode, die Gesichtserkennung, Fingerabdrücke oder Geräte-PINs anstelle traditioneller Passwörter nutzt. Passkey ist keine Marke und kein Produkt, sondern ein Verfahren, das Onlinedienste einbinden und für den Login anbieten können (vgl. [2]). Diese Methode verspricht eine sichere und benutzerfreundliche Möglichkeit, um sich mit einem als Authenticator dienenden System auf verschiedenen Geräten anzumelden – sie ist widerstandsfähig gegen Phishing und Manipulationen.

Technisch basiert diese Methode auf Public-Key-Kryptografie (siehe auch Kasten „Die Kryptografie hinter Passkeys“), die sicherer ist als Passwörter, da keine gemeinsamen Passwörter übertragen werden. Stattdessen kommt in bekannter Manier ein Schlüsselpaar zum Einsatz: Der öffentliche Schlüssel (Public Key) wird auf dem Server gespeichert, während der geheime Schlüssel (Private Key) idealerweise auf dem Gerät des Benutzers verbleibt und niemals geteilt wird. Für die Authentifizierung muss das Clientgerät nachweisen, dass es den geheimen Schlüssel besitzt. Dies erfolgt durch eine Abfrage beim Entsperren des Geräts oder der App mithilfe von Biometrie, PIN oder Muster.

FIDO-Protokolle legen großen Wert auf den Datenschutz der Nutzer, indem sie verhindern, dass Onlinedienste Informationen miteinander teilen oder Benutzer über mehrere Plattformen hinweg verfolgen. Zudem bleiben alle während des Authentifizierungsprozesses genutzten biometrischen Daten auf dem Gerät des Nutzers und werden weder über das Netzwerk noch an den Dienst gesendet. Für Benutzer verschwindet diese Komplexität im Hintergrund, sodass nur das einfache Entsperren erforderlich ist.

Passkey und die Zwei-Faktor-Authentifizierung

Auch Passkey benötigt einen zweiten Faktor für die Sicherheit. Ohne eine zusätzliche biometrische Hürde könnte jeder, der ein Smartphone findet oder ein Tablet stiehlt, die Zugänge des Eigentümers kompromittieren. Der Authenticator muss daher vor der Nutzung entsperrt werden, sodass Passkey sowohl auf den geheimen Schlüssel als auch auf Wissen (z. B. eine PIN) oder Biometrie (z.B. Gesichtsbild) basiert.

Dieser zweite Faktor wird ausschließlich gegenüber dem Authenticator präsentiert und nicht bei den Onlinediensten gespeichert. Für Benutzer ist der Aufwand gering, da sie etwa nur ihren Fingerabdruck scannen müssen, während die kryptografischen Berechnungen im Hintergrund erfolgen. Dadurch bietet Passkey hohen Komfort ohne Sicherheitsverlust.

Gerät verloren – und nun?

Falls das Gerät, auf dem die Passkeys hinterlegt wurden, verloren gegangen ist, lassen sich die Zugänge mit physischen Backups wiederherstellen – dasselbe gilt, wenn man seine Passkeys in eine Cloud synchronisiert hat.

Sollten keine Sicherheitskopien der Passkeys vorliegen, bieten einige Dienste weitere Möglichkeiten, um die eigene Identität nachzuweisen und so beispielsweise einen neuen Passkey für den Zugang zu erstellen. In seltenen Fällen kann es aber vorkommen, dass man sich nach dem Verlust eines Geräts nicht mehr einloggen kann – dann hilft nur, den Anbieter zu kontaktieren und den Account wiederherstellen zu lassen.

Die Kryptografie hinter Passkeys

Die kryptografischen Grundlagen von Passkey basieren auf dem sicheren und bewährten Web-Authentication- Protokoll (WebAuthn,[3]). Dieser Standard ist vor allem als zentraler Baustein von FIDO2 bekannt und verwendet asymmetrische Kryptografie zusammen mit einem Challenge-Response-Verfahren für sichere Authentifizierung. Für WebAuthn sind immer drei Komponenten erforderlich:

  • die Relying Party, bei der man sich authentifizieren möchte, beispielsweise eine Webseite oder ein Onlinedienst
  • der Client, der technisch die Schnittstelle zwischen der Relying Party, dem sich authentifizierenden Nutzer und dem Authenticator umsetzt – dieser Client ist in der Regel innerhalb des Browsers oder des Betriebssystems eines Mobiltelefons eingebettet
  • der Authenticator, der das erforderliche Schlüsselmaterial erzeugt, benutzt und sicher verwaltet – dies kann ein Hardware-Token sein, aber auch als Teil des Betriebssystems eines PCs, Tablets oder Smartphones oder als zusätzliche Software realisiert werden

Vor- und Nachteile

Vorteile in der Nutzung

  • Handhabung: Passkeys sind smarter als Passwörter, allein schon, weil man sie nicht vergessen kann.
  • Skalierbarkeit auf allen Geräten:Passkeys ermöglichen einen nahtlosen Zugriff, indem Benutzer denselben Passkey auf mehreren Geräten in einem bestimmten Ökosystem verwenden können. Im Gegensatz zu Passwörtern erstellen sie einen Passkey einmal und können ihn überall einsetzen.
  • Durchgängigkeit: Mit Passkeys kann man sich auf einem Mobilgerät bei einer App oder einem Dienst anmelden, egal welche Plattform oder welcher Browser genutzt wird.

Sicherheitsvorteile

  • Phishing-Resistenz: Passkeys blockieren Social-Engineering-Angriffe, da sie nur für die Website funktionieren, für die sie erstellt wurden – Fake-Websites bleiben außen vor, da ein entsprechendes Gegenstück des Passkeys fehlt.
  • Mehr Sicherheit vor Datendiebstählen: Datenbanken sind ein Hauptziel für Cyberkriminelle, da sie häufig Passwörter und andere persönliche Daten speichern. Da kein gemeinsam gespeichertes Passwort weitergegeben wird, sind die Server für Kriminelle, die Kundenanmeldeinformationen stehlen möchten, ein weniger interessantes Ziel.
  • Standardmäßig stark: Im Gegensatz zu Passwörtern sind Passkeys immer stark und können nie erraten oder gesehen werden, was sie weniger anfällig für Social- Engineering-Angriffe macht.

Vorteile für Sicherheitsverantwortliche

  • Integration: Unternehmen können mit Passkeys vorhandene Systeme und Verfahren einsetzen, die Benutzer kennen und täglich nutzen.
  • Imageförderung: Mit Passkeys wird die Kontosicherheit von Kunden und Mitarbeitern gefördert, was einen guten Eindruck hinterlässt.
  • Stärkung der „menschlichen Firewall“: Passkeys reduzieren den Aufwand in der Sensibilisierung von Mitarbeitern um ein Vielfaches.
  • Einfache Konfiguration: Die Umsetzung wird von den großen Tech-Konzernen nicht nur unterstützt, sondern mitentwickelt – das macht die Integration einfach.

Vorteile für Unternehmen

  • Erhöhung der Konversationsrate: Daten von Google zeigen, dass Benutzer, die sich mit Passkeys authentifizieren, mit viermal höherer Wahrscheinlichkeit konvertieren.
  • Weniger Passwörter, weniger Abbrüche: Über 80 % der Kunden brechen eine Kontenerstellung aufgrund komplizierter Passwortrichtlinien ab – Passkeys kann die Benutzerinteraktion und -bindung steigern, indem das mühsame (und unsichere) Eingeben von Zeichenfolgen entfällt.

Nachteile

  • Ohne Gerät keine Anmeldung: Das erforderliche Gerät mit dem speziellen Schlüssel muss stets griffbereit sein – geht zum Beispiel das Smartphone verloren, lassen sich Passkeys zwar eventuell wiederherstellen, aber es ist zunächst etwas Aufwand nötig.
  • Mindestanforderungen an Geräte:Passkeys benötigen neuere Betriebssystem- (Window 10, MacOS Venture oder iOS16 oder neuer) sowie Browserversionen (Edge 109, Safari 16, Chrome 109 oder neuer) [5].
  • Bedingter „Lock-in“:Das BSI kritisiert, dass Passkeys oft an bestimmte Produkte und Ökosysteme gebunden sind, was die plattformübergreifende Nutzung erschwert. Nutzer, die weder Apple-, Google- noch Microsoft- Produkte verwenden wollen, benötigen einfache Passkey-Alternativen – diese erscheinen zwar nach und nach auf dem Markt, bleiben jedoch neben den großen Anbietern häufig unbemerkt.
  • „Un-Teilbarkeit“: Eine Lösung für den Fall, dass mehrere Personen auf einen Account zugreifen müssen, ist derzeit erst in der Entwicklung. Das kann zu Einschränkungen im Berufs- oder Familienumfeld führen, da Passkeys an ein einzelnes Gerät gebunden sind.

Break-Glass-Accounts – ein wichtiges Sicherheitsnetz

Notfallzugänge, auch „Break-Glass-Accounts“ genannt, sind privilegierte Konten, die von Richtlinien befreit sind und nur in Ausnahmefällen aktiviert werden. Solche Situationen können durch falsche Konfigurationen, Hackerangriffe oder andere Gründe entstehen, die Administratoren aus der Verwaltung aussperren.

Ein Notfallzugang für Microsoft 365 dürfte im Unternehmenseinsatz als Muss im Sicherheits- Stack gelten. Ein Notfall-Admin unter Microsoft Entra ID (vormals Azure AD) ist ein spezielles Konto mit erweiterten Rechten für Notfälle, wenn normale Zugangswege nicht verfügbar sind. Es hat Global-Admin-Berechtigungen und soll verhindern, dass man aus dem eigenen Azure Active Directory (AD) ausgeschlossen wird. Solche Konten erfordern keine kostenpflichtige Lizenz und sind leicht einzurichten, aber im Notfall sehr nützlich –Microsoft empfiehlt, solche „Notfallzugriff“-Konten anzulegen (vgl. [4]).

Für den Zugang zum Notfall-Admin-Account lassen sich auch physische FIDO2-Token in verschiedenen Formfaktoren einsetzen (im Bild: YubiKeys der FIPS-140-Familie).
Foto: Yubico

Diese Zugangsmöglichkeit lässt sich auch mit FIDO2-Keys als MFA-Methode einrichten – entsprechende Dienstleister können dazu auch die passende ISO-Dokumentation liefern. So kann in einer kritischen Situation der Zugang zeitnah und kontrolliert ermöglicht werden.

Stand in Deutschland

Obwohl Passkeys noch verbessert werden müssen und nicht völlig „hackersicher“ sind, sehen viele Experten sie als künftigen Ersatz für die Zwei-Faktor-Authentisierung (2FA) und die ungeliebten Passwörter.

Passkeys verhindern keinen Datendiebstahl, machen es Betrügern aber zumindest heute noch schwer! Das BSI rät Verbrauchern schon jetzt: „Wenn ein vertrauter Diensteanbieter die Einrichtung eines Passkeys vorschlägt, können Sie die Technologie bedenkenlos nutzen und Ihr Passwort ersetzen.“

Mit gutem Beispiel gehen Google und Microsoft voran, die das Einloggen ohne Passwort bereits für ihre Dienste anbieten. Microsoft ist besonders konsequent und erlaubt seinen Nutzern sogar, das Passwort aus dem Account zu löschen, damit Angreifer es nicht als Hintertür missbrauchen können – zudem wurde aktuell ein Benutzer- Portal für die Passkey-Verwaltung eingerichtet. Genau so sollte eine passwortfreie Zukunft aussehen.

Fazit

Auch wenn bisher eine breite Akzeptanz seitens der Dienste fehlt, stehen die Chancen gut, dass sich Passkeys als Standard für die sichere Authentifizierung durchsetzen. Wie schön wäre eine Zukunft, in der man sich per Passkey einloggen kann und nicht dazu aufgefordert wird, ein langes und kompliziertes Passwort einzufügen, für dessen Sicherheit der Dienst nicht garantieren kann?!

Die FIDO-Alliance verbessert mit Passkeys den Sicherheitsstandard und die User-Experience gleichermaßen. Passkeys ermöglicht es Benutzern, sich auf dieselbe Weise anzumelden, wie sie ihr Mobilgerät entsperren.

Passkeys sind in der Sicherheitswelt vielfach beliebt, weil Sicherheitsverantwortliche und Anwender gleichermaßen von der Technologie profitieren. Eine Auseinandersetzung lohnt sich – gleich, ob man das Authentifizierungsverfahren in eigene Dienste integrieren oder Accounts von Dritten schützen will.

Sven Hillebrecht ist General Manager des IT-Beratungsunternehmens Adlon.

Literatur

[1] Norbert Luckhardt, Passwort 2020, <kes> 2020#2, S. 26, www.kes-informationssicherheit.de/print/titelthema-blockchain-nach-dem-hype/passwort-2020/ (kostenpflichtig)

[2] FIDO Alliance, Passkeys 101, Accelerating the Availability of Simpler, Stronger Passwordless Sign-Ins, undatiert, https://fidoalliance.org/passkeys/

[3] Jeff Hodges, J. C. Jones, Michael B. Jones, Akshay Kumar, Emil Lundberg (Hrsg.), Web Authentication: An API for accessing Public Key Credentials, Level 2, World Wide Web Consortium (W3C) Recommendation, April 2021, www.w3.org/TR/webauthn/

[4] Microsoft Learn, Verwalten von Konten für den Notfallzugriff in Microsoft Entra ID, Mai 2024, https://learn.microsoft.com/de-de/entra/identity/role-based-access-control/security-emergency-access

[5] Microsoft Support, Anmelden mit einem Schlüssel, undatiert, https://support.microsoft.com/de-de/account-billing/anmelden-mit-einem-schl%C3 %BCssel-09a49a86-ca47-406c-8acc-ed0e3c852c6d

Diesen Beitrag teilen:

Lesen Sie weiter

Diese Beiträge könnten Sie ebenfalls interessieren.