Passkeys statt Passwortfrust
„123456“ war auch im Jahr 2022 noch das beliebteste Passwort der Deutschen. Bei diesem Einfallsreichtum braucht es keine Hacking Skills oder Brute-Force-Attacken. Verständlich ist es dennoch, dass Menschen nach möglichst einfach zu merkenden Kombinationen suchen. Passkeys bieten eine einfache Lösung.
Passwörter sind der grösste Frustrationsgrund bei Online-Anmeldungen. 65 Prozent der Verbraucher fühlen sich durch die Verwaltung von unzähligen Nutzername-Passwort-Kombinationen überfordert, so eine aktuelle Studie im Auftrag von Okta. 75 Prozent wünschen sich mehr Kontrolle und Selbstverwaltung ihrer persönlichen Daten. Die Aufforderung zu Erneuerung von Passwörtern und hohe Anforderungen an Länge und Komplexität sorgen für zusätzlichen Frust. Der beliebteste Ausweg der Nutzer ist laut der Okta-Umfrage ein Login über Social Accounts.
Dadurch ergibt sich einerseits die Gefahr, dass die grossen Anbieter bestehende quasi-Monopole im Netz noch weiter ausbauen können, andererseits wird ein solcher Account zu einer Art Master-Schlüssel für verschiedenste Online-Anwendungen eines Nutzers. Erbeuten Kriminelle einmal diese Credentials, können sie damit grossen Schaden anrichten. Eine alternative Möglichkeit, die komfortabel für Nutzer, aber dennoch sehr sicher ist, sind Passkeys.
Was sind Passkeys?
Ganz allgemein handelt es sich um ein Verfahren der passwortlosen Authentifizierung. Anstelle eines Shared Secret zwischen Dienst und Nutzer, wie es das Passwort darstellt, kommt hier asymmetrische Kryptografie zum Einsatz. Der Nutzer verwahrt auf seinem persönlichen Gerät einen privaten Schlüssel und der Dienstanbieter erhält im Rahmen der Anmeldung für einen neuen Account den dazugehörigen öffentlichen Schlüssel. Die Authentifizierung läuft nun so ab, dass der Nutzer vom Anbieter ein Datenpaket, eine sogenannte Challenge, zur Signatur erhält. Diese wird dann automatisch mit dem privaten Schlüssel des Nutzers signiert. Kann der Anbieter sie wiederum entschlüsseln, heisst das, das Schlüsselpaar gehört zusammen und der Nutzer ist somit authentifiziert.
Passkeys haben viele Vorteile
Der offensichtlichste Vorteil: Für Nutzer ist die Lösung wesentlich einfacher und komfortabler als Passwörter. Alle Vorgänge laufen automatisiert im Hintergrund ab und Anwender müssen dabei gar nicht selbst aktiv werden. Sie müssen keine Passwörter und Nutzernamen mehr eintippen, sich folglich auch keine Passwörter mehr merken und sich diese regelmässig neu ausdenken. Dies vereinfacht Anmeldevorgänge überall im Netz ungemein. Damit haben Passkeys auch einen Vorteil für Online-Anbieter. Bisher schreckt viele Nutzer die Anlage immer neuer Nutzerkonten mit neuen Passwörtern oft ab. Wer weder auf Passwortmanager noch auf eine Anmeldung mit Google und Co zurückgreifen möchte, hat mit Passkeys eine einfache und sehr sichere Alternative.
Daneben bedeutet das Fehlen des Shared Secret aber auch, dass bei einem Angriff auf den Server des Anbieters keine wertvollen Passwörter erbeutet werden können, sondern höchstens wertlose, weil öffentliche Schlüssel. Der Zusammenhang zwischen öffentlichem und privatem Schlüssel wird über komplexe, schwer umkehrbare mathematische Fragestellungen hergestellt. Die Komplexität wird dabei so hoch gesetzt, dass es selbst mit leistungsfähigen Computern nicht möglich ist, in reeller Zeit aus einem öffentlichen einen privaten Schlüssel zu errechnen. Nicht zuletzt sind Passkeys der beste Schutz vor Phishing. Für die Kriminellen gibt es hier nichts zu holen. Ihre Angriffe zielen schliesslich darauf ab, das Shared Secret zu erbeuten, das bei der Verwendung von Passkeys entfällt.
Fragen der Praxistauglichkeit
In der Theorie klingt das Verfahren sehr einleuchtend. Doch denkt man an die Nutzung im Alltag, tauchen schnell Fragen auf. Mit Nutzername und Passwort kann man sich beispielsweise aus jedem Internetcafé der Welt in den eigenen E-Mail-Account einloggen. Ob das aus Sicherheitsaspekten empfohlen wäre, sei dahingestellt – möglich ist es aber ohne Probleme. Bei einem gerätegebundenen Verfahren wie den Passkeys geht dies nicht in der Form. Doch es gibt einen ziemlich einfachen Workaround: Man nutzt einfach ein Smartphone als zentrale Ablage für die Schlüssel. Natürlich muss dieses dann mit starken Sicherheitsmechanismen versehen sein, beispielsweise Fingerabdrucksensor oder andere biometrische Merkmale. Die Authentifizierung an einem beliebigen Gerät funktioniert dann, indem der Nutzer bei der Anmeldung einen QR-Code vom Screen des Geräts mit seinem Telefon scannt, dieses entsperrt und damit den Passkey-Prozess auslöst.
Natürlich können Mobiltelefone verloren gehen, gestohlen oder zerstört werden. Für diesen Fall braucht es auch Wiederherstellungsverfahren, beziehungsweise ein Zurücksetzen des Kontos muss möglich sein. Das kann beispielsweise über einen anderen Account funktionieren, ähnlich wie wenn man heute ein Passwort vergessen hat. Google und Apple haben auf ihren Systemen dafür noch Synchronisationsmechanismen aufgebaut, die alle Smartphones und Tablets synchron halten in Bezug auf die einzusetzenden Passkeys, ohne dass dabei Google oder Apple in den Besitz dieser gelangen. Der private Schlüssel verbleibt immer auf dem Gerät.
Die Verbindung von realer und digitaler Identität
Fast überall im Netz, wo heute neue Accounts angelegt werden, entsteht dadurch eine neue digitale Identität, die nicht mit der realen Identität des Nutzers verknüpft ist. Auf technischem Wege sind natürlich Rückschlüsse darauf möglich, wer hinter einem bestimmten Nutzernamen steckt. Eine initiale Verknüpfung von realer und digitaler Identität findet in der Regel im Netz aber nicht statt. Für einige Fälle ist allerdings genau das vorgeschrieben, beispielsweise bei der Eröffnung eines Online-Banking-Kontos oder zur Nutzung von qualifizierten elektronischen Signaturen. Können Passkeys auch hier zum Einsatz kommen?
Prinzipiell ja, denn das Authentifizierungsverfahren spielt auf der technischen Ebene für diese Verknüpfung keine Rolle. Anbieter wie Banken oder Trust Service Provider müssen in diesen Fällen nach bestimmten gesetzlich geregelten Verfahren die Identität neuer Nutzer prüfen und eine daran gekoppelte, sichere digitale Evidenz erstellen. Mit welchem Verfahren (Passwort + Multi-Faktor-Authentifizierung oder eben Passkey) sich die Anwender anschließend beim Dienst anmelden oder eine Signatur freigeben, ist unerheblich. Soweit die Theorie. Swisscom Trust Services hat dieses Verfahren bereits für die Nutzung ihrer Signaturen zugelassen und bereits mit dem ersten Partner im Einsatz. Für die Aktivierung des Passkeys reicht dann einfach ein Fingerprint, Face Recognition oder eine PIN, die auch sonst zum Entsperren eines Smartphones oder PCs genutzt wird.
Interessant wäre der Einsatz von Passkeys beispielsweise zum Auslösen von Signaturen in Umgebungen, in denen Mobiltelefone aus Gründen der Datensicherheit verboten sind oder SMS nicht zugestellt werden können. Bei den heute gängigen Verfahren wird das Mobiltelefon als zweiter Faktor zur Auslösung der Signatur verwendet. Diese Methode ist dementsprechend in kritischen Bereichen wie hochsicheren Rechenzentren, abgeschirmten Produktionsanlagen oder ähnlichen Umgebungen problematisch. Mit Passkeys, die sich entweder direkt auf Geräten oder auf separaten Datenträgern (z.B. USB-Stick) befinden, könnten Anwender auch dort qualifiziert signieren.
Autor: Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services