Im Mai dieses Jahres kündigte Google an, dass es ab sofort möglich ist, sich mit Passkeys in Google-Konten einzuloggen. Für die Nutzer bringt diese Neuerung viele Vorteile mit sich. Denn das Verfahren mit Passkeys ist nicht nur bequem, sondern auch sicher. Mit dieser Neuerung läutet Google das Ende des Passworts ein. Passkeys wurden von der FIDO-Allianz (Fast Identity Online) entwickelt und gelten daher als herstellerunabhängig und äusserst sicher. Passkeys basieren auf einem asymmetrischen Verschlüsselungsverfahren. Ein privater Schlüssel, der auf einer zufälligen Zeichenfolge basiert, verbleibt auf Ihrem Endgerät. Wenn Sie sich bei einem Webdienst anmelden möchten, sendet dieser eine Aufgabe (Challenge) an Ihr Gerät. Der private Schlüssel löst und signiert diese und sendet sie an den Dienst zurück. Dabei wird die Information hinter dem privaten Schlüssel nicht preisgegeben, sondern dem Anbieter des Webdienstes bewiesen, dass Sie im Besitz des privaten Schlüssels sind. Welche Vorteile das hat, erfahren Sie in diesem Blog.
Eine kurze Geschichte des Passworts
Das Passwort ist älter als man denkt. Nicht erst seit der Einführung von Computern und IT-Sicherheitssystemen gibt es Buchstaben- oder Zeichenfolgen bzw. Sicherheitsphrasen. Schon die alten Römer benutzten Losungen, Sprüche, um sich zu verifizieren und zu autorisieren. So konnte unterschieden werden, ob derjenige, der Einlass begehrte, Freund oder Feind war. Dieses Verfahren wurde von dem griechischen Historiker Polybius aufgezeichnet, der auch für die Polybios-Chiffre bekannt ist.
Schon damals wurden Parolen und Losungen regelmässig gewechselt, um dem Feind den Einlass so schwer wie möglich zu machen.
Aber nicht nur Zeichenfolgen wurden als Authentifizierungsmethode verwendet. So zeigte das Muster auf den Kilts an, wer zu welchem Clan gehörte. Entfernte Verwandte konnten so eindeutig identifiziert werden. In Verbindung mit einer Parole kann man von einer frühen Zwei-Faktor-Authentifizierung sprechen.
Allerdings zeigte sich schon damals, dass Parolen oder Losungen nicht unbedingt sicher waren. Wurden sie vom Feind abgehört, konnte er sich Zugang zu Räumen verschaffen, für die er nicht autorisiert war.
In den 1960er Jahren wurde am MIT das Compatible Time-Sharing System (CTSS) entwickelt. Mehrere Personen, die räumlich voneinander getrennt waren, konnten parallel auf einen Grossrechner zugreifen. Um zu verhindern, dass sich ein Fremder Zugang verschaffte, wurden Passwörter verwendet.
Passwörter reichen nicht mehr aus
Dass Passwörter nicht sicher sind, hat sich mittlerweile herumgesprochen. Laut unserem Sicherheitsbarometer 2022 verwendet mehr als die Hälfte der Befragten im privaten Umfeld dasselbe Passwort für verschiedene Online-Konten. Paradoxerweise sind gleichzeitig fast 40 Prozent der Studienteilnehmer besorgt, dass ihre privaten Daten nicht ausreichend geschützt sind.
Wie verheerend diese Passwortmüdigkeit sein kann, zeigt folgendes Beispiel: Im Jahr 2021 stellten Hacker eine Sammlung von 3,2 Milliarden Passwörtern ins Netz. Nutzer konnten prüfen, ob ihre Daten darunter waren. Geht man davon aus, dass die Hälfte dieser Sammlung für mindestens drei Accounts genutzt wird, haben Cyberkriminelle Zugriff auf 4,8 Milliarden Accounts. Allein diese Zahl sollte alarmieren, auch wenn es sich um ein vereinfachtes Beispiel handelt.
Schluss mit der Passwortmüdigkeit dank Passkeys
Der Einsatz von Multi-Faktor-Authentifizierung (MFA) macht Internet-Accounts sicherer. Denn neben einem Authentisierungsmerkmal werden weitere Faktoren benötigt, um Zugriff auf ein Konto zu erhalten. Diese Faktoren sind Wissen (Passwort oder PIN), Besitz (Endgerät) und Inhärenz (biometrische Merkmale wie Fingerabdruck oder Iris-Scan).
Der Faktor „Wissen“ kann unter Umständen ein Risiko darstellen, da Wissen absichtlich oder unabsichtlich weitergegeben werden kann.
Hier kommen Passkeys ins Spiel. Diese basieren auf FIDO2 und sind mit den meisten Websites kompatibel, die das Verfahren und die WebAuthn-API implementiert haben. Das Verfahren verwendet mehrere Faktoren, wobei der Schwerpunkt auf dem Endgerät (Device), wie z.B. einem Smartphone, liegt. Die Zeichenfolge hinter dem privaten Kryptoschlüssel - dem Passkey - verlässt niemals das Smartphone. Er kann also nicht weitergegeben werden. Wenn dann noch biometrische Verfahren als zweites Authentifizierungsverfahren hinzukommen, ist Ihr Konto sicher.
Passwortlos in die Zukunft
Passkeys werden mittlerweile von vielen grossen Unternehmen wie Apple, Google, Microsoft und bald auch PayPal angeboten. Es ist zu erwarten, dass auch andere Dienste nachziehen und diese Authentifizierungsmöglichkeit anbieten werden, da die Accounts ihrer Kunden nicht nur sicherer, sondern der Login auch benutzerfreundlicher wird.