Klingt gefährlich, aber ist es das denn?

Die Kombination Benutzername und Passwort ist ein wesentliches Schutzprinzip der IT-Sicherheit und aus vielen Köpfen nicht mehr wegzudenken. Dabei gibt es seit einigen Jahren bereits eine alternative Technologie, die auch in vielen verschiedenen Anwendungen bereits Einzug gehalten hat. Dabei handelt es sich um sogenannte „Passkeys“.

Bekannte Probleme von Passwörtern sind u.a., dass sie oftmals schwer zu merken sind und bei Datenleaks oder Phishing leicht gestohlen werden können. Das kann bei „Passkeys“ nicht passieren, denn hiermit ist ein passwortloses Anmelden gemeint.

Aber wie genau soll das funktionieren?

Will ein Nutzer auf einen Onlinedienst wie z.B. Google-Drive zugreifen, so gibt er für gewöhnlich als erstes seinen Benutzernamen in Form einer E-Mail-Adresse an. Normalerweise kommt nun das Passwort zum Einsatz, um zu verifizieren, dass es sich um das eigene Konto handelt. Heutzutage kann für diese Verifizierung auch ein Passkey genutzt werden.

Die Technologie muss dazu einmal im jeweiligen Account eingerichtet werden. Dies ist über die Sicherheitseinstellungen auf der Webseite oder in der App des Anbieters möglich. Ist die Funktion eingerichtet, wird im internen Speicher des jeweiligen Geräts (z.B. Smartphone, Tablet) ein sogenannter „geheimer Schlüssel“ hinterlegt. Zeitgleich wird ein passender öffentlicher Schlüssel erstellt, der bei dem Onlinedienst gespeichert wird. Diese Schlüssel sind die Grundlage für ein komplexes, kryptografisches Verfahren, das ab der Registrierung bei jeder Anmeldung der Person unbemerkt abläuft. Nach dem „Schlüssel-Schloss-Prinzip“ wird der Login nur freigegeben, wenn beide zueinander passenden Schlüssel angegeben und nochmal durch ein zusätzliches personenbezogenes Datum bestätigt werden.

Wenn sich die Person bei dem Dienst anmeldet, wird sie künftig gefragt, ob sie das Passwort oder den Passkey nutzen möchte. Fällt die Wahl auf den Passkey, dann wird dieser durch einen weiteren Sicherheitsfaktor, wie z.B. einen Fingerabdruck oder einen Gesichtsscan, bestätigt. Dies ist wichtig, damit sich Dritte keinen Zugang zu den Konten einer Person verschaffen können, falls z.B. das Handy gestohlen oder verloren wird. Im Anschluss tauschen der Diensteanbieter und das Gerät im Hintergrund alle notwendigen Daten und Berechnungen aus, ohne dass die Person weitere Eingaben machen muss. War dieser Vorgang erfolgreich, gibt der Plattformbetreiber den Zugang frei und der Login ist erfolgt.

Da immer pro Anwendung ein eigener geheimer Schlüssel konfiguriert wird, funktioniert dieser auch nur in dieser Anwendung und auch nur dann, wenn er von der richtigen Person, mit dem richtigen Benutzernamen und durch das richtige biometrische Datum ausgelöst wird. Zudem muss auch der richtige öffentliche Schlüssel passen, was nur dann der Fall ist, wenn es sich wirklich um die Seite des Anbieters handelt (keine Fake-Seite). Wenn eine Privatperson z.B. einer Phishing-Mail auf den Leim geht und sich auf einer gefälschten Google-Seite versucht anzumelden, funktioniert dies nicht. Der Login scheitert und die Täter erfahren nichts über das Angriffsziel oder dessen Daten.

Das Bundesamt für Sicherheit in der Informationstechnik spricht sich für Passkeys aus und schreibt dazu: „Weil Sie Ihr Passwort durch Passkey ersetzen, gibt es keine Information mehr, die man Ihnen stehlen könnte, die Sie eventuell verlieren oder die Unbefugte vielleicht erraten. Falls Ihnen ein Onlinedienst die Anmeldung mit Passkey anbietet, stellt das für Sie einen Gewinn an Sicherheit und Komfort dar.“

Dabei hebt das BSI insbesondere die folgenden Vorteile hervor:

  • Passkeys können nicht zu simpel oder zu kurz sein – Passwörter dagegen schon.
  • Passkeys können im Gegensatz zu Passwörtern nicht vergessen werden.
  • Passkeys werden schnell und automatisiert erstellt.
  • Es ist unwahrscheinlich, dass Passkeys durch Phishing oder Datendiebstahl verlorengehen.
  • Jeder Passkey schützt immer genau einen Account – so können nie mehrere Accounts gefährdet sein, sollte ein Passkey missbraucht werden.

Immer wieder kommt die Frage auf, wie nun eine Anmeldung funktionieren soll, wenn man sich von einem anderen Gerät, wie z.B. einem Desktop-Rechner aus anmelden möchte, der Schlüssel aber auf dem Smartphone ist. Hierbei ist es trotzdem möglich, sich über das Smartphone zu authentifizieren. Dazu kann der Nutzer am Computer das Smartphone als Anmeldegerät auswählen und erhält danach z.B. die Aufforderung, einen QR-Code vom PC-Bildschirm zu scannen. Hierbei wird der Login z.B. per Fingerabdruck bestätigt, als ob sich der Nutzer direkt am Smartphone anmelden würde. Ist der kryptografische Vorgang erfolgreich durchlaufen, gibt der Dienst den Account auf dem PC frei.

Beim Thema Passkeys sollte außerdem immer beachtet werden, dass z.B. im Fall eines Diebstahls des Handys, Backups in einer Cloud oder lokal sinnvoll sind, um die Anmeldeinformationen wiederherstellen zu können. Sollten keine Sicherheitskopien der Passkeys vorhanden sein, bieten einige Dienste weitere Möglichkeiten, die Identität nachzuweisen und so beispielsweise einen neuen Passkey für einen Zugang zu erstellen.

Weiterführende Informationen zum Umgang mit Passkeys finden Sie auf der Seite des BSIs unter nachfolgendem Link.

Quellenangaben:

  • Bundesamt für Sicherheit in der Informationstechnik (BSI), abgerufen am 21.11.2024 unter: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html

Autorin:

Sabrina Reinecke [SRE], externe betriebliche Datenschutzbeauftragte (TÜV-Zertifizierung)