Passkeys: Die Zukunft des Logins – sicher, benutzerfreundlich und effizient

Die Herausforderung: Unsichere und umständliche Passwörter

Immer mehr Dienste und Anwendungen werden digitalisiert und in die Cloud verlagert. Angefangen bei Endnutzerdiensten wie Online-Shopping über Unternehmensportale, auf die Kundinnen und Kunden sowie Mitarbeiterinnen und Mitarbeiter von überall zugreifen können, bis hin zur Abgabe von Anträgen beim örtlichen Bürgeramt. Alle Dienste haben jedoch eines gemeinsam: Sie erfordern eine Anmeldung, die heute noch fast immer über Benutzername und Passwort erfolgt. Dabei ist darauf zu achten, dass bei der Anmeldung bzw. Einrichtung des Accounts ein besonders sicheres Passwort vergeben wird. Ansonsten ist die Sicherheit des Accounts von vornherein nicht gegeben.

Auswertungen eines Startups der Bonner Universität aus dem Jahr 2024 zeigen leider, wie viele unsichere Passwörter sich unter den Top 20 der meistgenutzten Passwörter in Deutschland befinden. Als Unternehmen kann man sich also nicht unbedingt darauf verlassen, dass die Nutzerinnen und Nutzer ein starkes Passwort vergeben. Einerseits kann es zwar durch die Durchsetzung entsprechend strenger Passwortrichtlinien dafür sorgen, dass keine zu schwachen Passwörter verwendet werden. Allerdings führt eine hohe Komplexität von Passwörtern auch dazu, dass man sich diese nicht mehr leicht merken kann. Eine gute Lösung hierfür ist der Einsatz eines Passwort-Managers, der allerdings auch ein entsprechend starkes Master-Passwort benötigt. Schlechte Lösungen sind dagegen, das Passwort unverschlüsselt aufzuschreiben und gegebenenfalls für mehrere Dienste zu verwenden. Zwar kann die Sicherheit durch einen zweiten Authentifizierungsfaktor, beispielsweise eine App, erhöht werden, aber auch dies führt wieder zu einer Erhöhung der Komplexität des Anmeldevorgangs.

Neben hohen Sicherheitsrisiken kann die Verwendung von Passwörtern auch ein echter Kostenfaktor sein, der durch häufiges Zurücksetzen von Passwörtern und daraus resultierendem Support einen hohen Verwaltungsaufwand in IT-Helpdesks verursacht.

Kurzum: Das Passwort hat ausgedient. Unternehmen brauchen eine Lösung, die Sicherheit, Effizienz und Benutzerfreundlichkeit vereint.

Die Lösung: Passwortlose Authentifizierung mit Passkeys

Wie funktionieren Passkeys?

Passkeys basieren auf einer asymmetrischen Kryptografie, welche mit zwei Schlüsseln arbeitet. Dieses Verfahren wurde bereits Mitte der 1970er Jahre entwickelt und wird seitdem in vielen Bereichen der IT-Sicherheit eingesetzt.

Bei der erstmaligen Einrichtung eines Accounts (Registrierung) wird automatisch ein öffentliches und ein privates Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird auf dem Server des Service Providers gespeichert. Der private Schlüssel verbleibt sicher auf dem Gerät des Accounts. Er wird in isolierten Hardwarekomponenten gespeichert, die speziell für die Speicherung sensibler Daten entwickelt wurden. Dabei spielt es keine Rolle, ob es sich um ein Smartphone, einen Laptop oder ein Tablet handelt - solange es sich um ein Gerät handelt, das eine halbwegs aktuelle Betriebssystemversion unterstützt. Bei der nächsten Anmeldung nach der Registrierung kann der Kontoinhaber dann durch eine biometrische Verifikation in Form eines Fingerabdrucks oder einer Gesichtserkennung oder beispielsweise durch die Eingabe einer Geräte-PIN Zugriff auf das Konto erhalten. Während des Anmeldevorgangs verbleibt der private Schlüssel auf dem lokalen Gerät und wird nicht an den Dienst übertragen. Der Server sendet eine so genannte Aufgabe an das Gerät. Das Gerät „löst“ die Aufgabe und sendet sie mit dem privaten Schlüssel signiert an den Dienst zurück. Anhand der Signatur kann der Dienst nun mit Hilfe des öffentlichen Schlüssels zweifelsfrei feststellen, dass es sich um den rechtmäßigen Accountinhaber handeln muss, da nur dieser den privaten Schlüssel besitzen kann.

So weit, so gut. Aber warum ist dieses Verfahren sicherer als die Verwendung von komplexen Passwörtern, die seit Jahrzehnten verwendet werden?

• Sehr geringes Phishing-Risiko: Da der Passkey an einen Dienst und dessen Account gebunden ist, kann das Passwort nicht versehentlich auf einer Phishing-Seite eingegeben werden. Damit ist auch das Risiko von Social-Engineering-Angriffen deutlich geringer.
• Keine Wiederverwendungsproblematik: Wie bereits beschrieben, sind Passkeys an einen Dienst gebunden. Es besteht daher nicht die Gefahr, dass derselbe Passkey für mehrere Dienste verwendet wird.
• Kein Leak möglich: Da nur der öffentliche Schlüssel dem Dienst bekannt ist, können bei einem Hack oder Leak des Dienstes keine sensiblen Informationen über die Anmeldung preisgegeben werden.

Sollte es in Zukunft doch einmal gelingen, einen Account zu kompromittieren, so sind die anderen Accounts weiterhin sicher, da ein Passkey nur den Zugang zu genau einem Account bei genau einem Dienst gewährt.

Hinter Passkeys steht die FIDO-Allianz. FIDO ist ein Akronym für Fast Identity Online. Zur Allianz gehören zahlreiche internationale Tech-Unternehmen. Das Bundesamt für Sicherheit und Informationstechnik (BSI) ist ebenfalls Mitglied und empfiehlt auf seiner Webseite mittlerweile auch die Nutzung von Passkeys als neuen Standard zur Authentifizierung.

Sicherung und Gerätesynchronisation

Es wurde mehrfach erwähnt, dass der private Schlüssel auf dem Gerät verbleibt. Nun stellen sich berechtigte Fragen: Was passiert, wenn ich mein Gerät verliere oder es kaputt geht? Was passiert, wenn ich mich mit einem anderen Gerät in mein Konto einloggen möchte?

Auch hierfür gibt es bereits Lösungen. Natürlich muss wie bei einem Passwort darauf geachtet werden, dass der private Schlüssel in irgendeiner Form gesichert wird, damit er bei Verlust des Gerätes, sei es durch Diebstahl oder Defekt, nicht ebenfalls verloren geht. Etablierte Passwortmanager wie KeePassXC unterstützen bereits die Verwendung und Speicherung von Passwörtern und können diese geräteübergreifend verfügbar machen. Möchte man sich nicht selbst um die Sicherung kümmern, bieten die großen Anbieter wie Google, Apple etc. auch die Sicherung und Synchronisierung über die Cloud an. Hier muss man allerdings bedenken, dass man dem Anbieter vertrauen muss, dass die Daten dort sicher gespeichert und geschützt werden. Außerdem bindet man sich ggf. an einen Anbieter, da eine Migration zu einem Konkurrenten ggf. nicht oder nur schwer möglich ist.

Möchte man sich am PC einloggen, hat den notwendigen Passkey dafür allerdings nur auf dem Smartphone und es gibt gerade keine Option zur Synchronisation der Geräte, so gibt der Dienst einem dennoch die Möglichkeit, die Anmeldung durchzuführen. Dafür müssen beide Geräte über eine aktive Bluetooth-Verbindung verfügen. Dann kann beim Anmeldevorgang über den PC das Smartphone als Anmeldegerät ausgewählt werden. Dort wird die Anmeldung wie sonst auch per biometrischer Verifizierung oder PIN-Eingabe freigegeben und der Zugriff am PC wird gewährt.

Wo Passkeys bereits im Einsatz sind

Große Technologieunternehmen wie Google, Apple und Microsoft bieten bereits die Nutzung von Passkeys an. Damit kann das Anmeldeverfahren bereits für die Anmeldung bei den hauseigenen Diensten genutzt werden. Microsoft bietet sogar das Löschen der im Account hinterlegten Passwörter an, so dass die unsichere Login-Methode direkt aus dem Account entfernt wird. Auch Anbieter wie eBay und PayPal unterstützen bereits die Nutzung von Passkeys. Immer mehr Unternehmen und Dienste folgen diesem Beispiel und bieten neben dem klassischen Passwort auch die Nutzung von Passkeys an.

Wie adesso unterstützt euch

Als IT-Dienstleister mit umfassender Expertise im Bereich digitale Identitäten und Authentifizierung begleiten wir euch gerne auf dem Weg zur passwortlosen Zukunft:

• Beratung & Strategie: Analyse der bestehenden Login-Prozesse und Entwicklung einer passwortlosen Roadmap
• Security & Compliance: Sicherstellung, dass die Lösungen sicher, datenschutzkonform und zukunftssicher ist
• Interoperabilität: Wir helfen, Passkeys in bestehende Systeme zu integrieren

Fazit

Passkeys bieten Unternehmen und Anwendern eine sichere, bequeme und kostengünstige Möglichkeit, Authentifizierung neu zu denken. Wer frühzeitig handelt, sichert sich einen möglicherweise entscheidenden Wettbewerbsvorteil und kann sowohl von höherer Sicherheit als auch von geringeren Kosten profitieren.