07.24

Passkey – der Nachfolger der klassischen Authentifizierung mit Username und Passwort?

Unsere Mitarbeiterin Mira hat sich mit dem Thema auseinandergesetzt und gibt euch einen Einblick:

In letzter Zeit bekomme ich häufiger die Aufforderung, die gerade getätigte Authentifizierung als Passkey zu speichern. In einem meiner abonnierten Newsletter wird Passkey als DER Phishingschutz schlechthin gefeiert und als Nachfolge zu klassischer Authentifizierung mit Username/Passwort.

Was ist eigentlich ein Passkey?

Passkey ist ein kryptographisches Verfahren, das seit einigen Jahren existiert und von Apple, Google und Microsoft aus kommerziellen Gründen beworben wird. Die Technologie basiert auf den Standards FIDO2 und WebAuthn, die seit 2018 entwickelt und standardisiert wurden. Bei Passkey wird ein asymmetrisches Schlüsselpaar generiert: Der private Schlüssel verbleibt auf dem Gerät, der öffentliche Schlüssel wird auf dem Server gespeichert. Wenn ich mich also einmal authentifiziert habe, übernimmt den Rest der Rechner und der Server. Ich brauche mir um die Authentifizierung keine Gedanken mehr zu machen.

Passkey soll die Authentifizierung erleichtern, indem Nutzer sich nicht mehr x verschiedene Passwörter merken müssen oder womöglich mit einem Passwort für alle Services anmelden („das hab ich schon 10 Jahre, das ist sicher, das errät keiner“). Andererseits sollen sie auch das Problem von Hardware-Token lösen, die nicht dupliziert werden können. Ich kann von meinem Nitro-/Yubi-/wasauchimmer-Key kein Backup machen, sondern muss immer einen zweiten Key mitregistrieren oder einen anderen Authentifizierungsweg einrichten, falls der Key verloren geht oder nicht mehr lesbar ist, aus welchen Gründen auch immer.

Ein großer Vorteil von Passkeys ist, dass Phishing unterbunden wird. Wenn ich mein Passwort auf einer Phishingseite eingebe, hat der Angreifer die Möglichkeit, sich damit bei meiner Bank anzumelden und mein Konto leerzuräumen. Mit Passkey geht das eben nicht, da dieser an meine Geräte gebunden ist. Der Angreifer mag meine Credentials haben (unangenehm genug), aber er kann damit nicht an mein Bankkonto/Amazon/whatever.

Passkeys werden über Dienste wie Apple, Google und Microsoft synchronisiert, was bedeutet, dass sie auf mehreren Geräten verfügbar sind. Diese Synchronisation erfolgt end-to-end verschlüsselt, sodass der private Schlüssel niemals im Klartext übertragen wird. Stattdessen wird der private Schlüssel verschlüsselt übertragen und auf dem Zielgerät sicher entschlüsselt und gespeichert. Dies gewährleistet, dass der Passkey sicher bleibt und nur auf autorisierten Geräten verwendet werden kann. Die Nutzung des Passkeys auf dem neuen Gerät erfordert in der Regel eine biometrische Authentifizierung oder die Eingabe einer PIN, um die Sicherheit weiter zu erhöhen. Wie sicher das tatsächlich ist, bleibt noch zu erforschen.

Passkeys sind praktisch und bieten erheblichen Schutz vor Phishing und anderen Angriffen. Sie sind jedoch nur so sicher wie das Gerät, auf dem sie gespeichert sind. Meistens wird zusätzlich ein biometrisches Merkmal oder ein PIN abgefragt, was die Sicherheit erhöht.