Mit Passkeys in eine passwortlose Zukunft

Phishing-Attacken zählen neben Betrugsfällen zu den häufigsten Cybervorfällen in der Schweiz. Passkeys machen den Weg frei in eine phishing-sichere und benutzungsfreundlichere Zukunft ohne Passwörter. So geht’s.

Text: Michael Bisig, publiziert am 26. Oktober 2023

Phishing-Angriffe sind allgegenwärtig. Cyberkriminelle stehlen und missbrauchen sensible Daten wie Kreditkartennummern oder Zugangsinformationen. Neben dem beschämenden und unangenehmen Gefühl, wenn Cyberkriminelle das eigene Benutzerkonto übernehmen, führt dies auch zu enormen wirtschaftlichen Schäden. Cyberattacken haben in der Schweiz in den letzten Jahren stark zugenommen und verursachen weltweit Schäden in Milliardenhöhe. Ein angemessener Schutz vor Cyberangriffen ist daher für jedes Unternehmen unverzichtbar geworden.

Zu den zentralen Massnahmen für die Gewährleistung der Cybersicherheit gehören der Schutz der Benutzerkonten und die Sensibilisierung der Mitarbeitenden. Ein einziges kompromittiertes Konto kann ausreichen, um ein Unternehmen nachhaltig zu schädigen und Systeme lahmzulegen.

Zwei-Faktor-Authentisierung als Schlüsselelement der Cybersicherheit

Benutzerkonten spielen somit oft eine zentrale Rolle bei Cyberangriffen. Sei es zur direkten Ausnutzung von Berechtigungen in Systemen oder indirekt zum Sammeln unternehmensinterner Informationen. Eindeutige und komplexe Passwörter tragen wesentlich zur Erhöhung der Kontosicherheit bei. In Kombination mit der Zwei-Faktor-Authentisierung (2FA), bei der ein zusätzlicher Identifikationsfaktor erforderlich ist, können Benutzende bereits heute einen erhöhten Schutz vor unbefugtem Zugriff realisieren. Studien belegen eindeutig, dass die Verwendung mehrerer Faktoren für die Authentisierung das Risiko einer Kompromittierung im Vergleich zur ausschliesslichen Verwendung eines Passworts signifikant reduziert.

Im Allgemeinen ist die Zwei-Faktor-Authentisierung per SMS oder Authenticator-App jedoch unpopulär, zeitaufwändig und kann bei Verlust des Smartphones leichter dazu führen, dass Benutzende aus ihren Konten ausgesperrt werden. Aus diesen Gründen wird die Zwei-Faktor-Authentisierung so einfach wie möglich gestaltet, was leider oft mit einer Verringerung der Kontosicherheit einhergeht. Darüber hinaus sind die üblichen Zwei-Faktor-Authentisierungsmethoden nicht geschützt vor Phishing-Angriffen, d.h. Cyberkriminelle können die Anmeldeinformationen abfangen und für einen unbefugten Zugang missbrauchen. Eine sicherere und benutzungsfreundlichere Alternative zur herkömmlichen Kontosicherung würde daher dem klassischen Abwägen zwischen Sicherheit und Benutzungsfreundlichkeit entgegenwirken.

Passkeys: Schluss mit Kompromissen

Im Gegensatz zu herkömmlichen Passwörtern arbeiten Passkeys mit einem kryptografischen Public-Key-Verfahren. Sie verfolgen somit einen grundlegend anderen Ansatz. Anstelle von Passwörtern verwenden Passkeys ein asymmetrisches Schlüsselpaar. Dieses besteht aus einem öffentlichen und einem privaten Schlüssel, wobei der private Schlüssel sicher auf den Endgeräten der Benutzenden gespeichert wird. Dieser Ansatz mindert die mit der passwortbasierten Authentisierung verbundenen Risiken. Das Speichern von Passwörtern wird durch den Besitz des privaten Schlüssels auf einem sicheren Gerät ersetzt.  

A passkey is a key pair consisting of a public key (grey) and a private key (orange). The private key is stored on end devices and can optionally be synchronised via the cloud. Users securely access websites or apps with the help of a passkey. Graphic: SWITCH
Ein Passkey ist ein Schlüsselpaar, das aus einem öffentlichen (grau) und einem privaten Schlüssel (orange) besteht. Der private Schlüssel ist auf Endgeräten hinterlegt und kann optional über die Cloud synchronisiert werden. Benutzende greifen mit Hilfe eines Passkeys sicher auf Webseiten oder Apps zu. Grafik: SWITCH

Richtig konfiguriert, ermöglichen Passkeys eine Zwei-Faktor-Authentisierung. Zusätzlich zum Besitz des Passkeys (1. Faktor) kann eine explizite Identifikation (2. Faktor) angefordert werden. Die Benutzenden werden bei entsprechenden Diensten aufgefordert, einen Passkey mit Fingerabdruck-, Gesichtserkennungs- oder PIN-Unterstützung zu verwenden. In der Regel geschieht dies mittels Notebook, Smartphone oder einem hardwarebasierten USB-Authenticator.  

Die zugrundeliegende Technologie von Passkey, den WebAuthn-Standard, gibt es schon seit einigen Jahren. In jüngster Zeit wurden jedoch erhebliche Fortschritte bei der Standardisierung erzielt. Insbesondere haben sich alle bedeutenden Browser- und Betriebssystemhersteller in der FIDO Alliance zusammengeschlossen und streben die Integration der Technologie in ihre Lösungen an. Dieser Zusammenschluss schafft nicht nur einen umfassenden Sicherheitsstandard, sondern gewährleistet auch eine starke Interoperabilität und damit eine verbesserte Benutzungsfreundlichkeit. In diesem Zusammenhang wurde der Begriff Passkey als Bezeichnung für die neue Technologie geprägt.  

Cloud-Synchronisierung von Passkeys

Wie in der obigen Grafik dargestellt, kann der zur Authentisierung benötigte private Schlüsselüber Cloud-Synchronisierung und Ende-zu-Ende-Verschlüsselung auf allen Endgeräten desselben Cloud-Kontos (z.B. Google oder Apple) synchronisiert werden. Durch die Registrierung eines Passkeys auf einem Endgerät wird dieser üblicherweise automatisch auf allen Endgeräten des Cloud-Kontos verfügbar. Solange die Benutzenden Zugriff auf die Cloud-Konten haben, sind damit auch die Wiederherstellungsverfahren, beispielsweise bei Verlust eines Smartphones, gesichert. Wie beschrieben, ist es auch möglich, Passkeys ohne Cloud-Synchronisierung zu registrieren, z. B. mit einem USB-Authenticator. Letztlich bedarf es einer individuellen Beurteilung, in welchen Fällen eine Cloud-Synchronisierung den Compliance-Anforderungen entspricht. Für Private wird diese Abwägung anders aussehen als für Unternehmen.

Die Anmeldung bei einem zuvor registrierten Dienst ist dann mit Hilfe eines Passkeys sehr einfach. 

Exemplary login with the help of a passkey. Graphic: SWITCH
Exemplarische Anmeldung mit Hilfe eines Passkeys. Grafik: SWITCH

Benutzende greifen auf einen Dienst zu, geben ihren Anmeldenamen ein und werden anschliessend nach einem biometrischen Nachweis oder einer PIN gefragt. Passkeys lösen also in der Tat viele Authentisierungshürden, mit denen man in der täglichen Online-Welt konfrontiert wird. Drei wesentliche Punkte sollen nochmals hervorgehoben werden:

  • Bessere Benutzungsfreundlichkeit
    Die Benutzererfahrung wird über viele Geräte auf verschiedenen Plattformen hinweg vertraut und einheitlich standardisiert. Passkeys machen es einem also leicht, sich einfach und sicher im Web zu bewegen.
  • Erhöhte Sicherheit 
    Passkeys basieren auf kryptografischen Technologien, die sich als resistent gegen Phishing und andere Angriffe erwiesen haben. Damit lässt sich die Kontosicherheit, ohne Zusatzaufwand, deutlich erhöhen.
  • Skalierbarkeit 
    Mit Passkeys kann der Bestand an Passwörtern verringert und auf einen einzigen vertrauenswürdigen Speicher beschränkt werden, der alle kryptografischen Schlüssel für den Nutzer verwaltet. Vorbei sind die Zeiten der Passwort-Notizbücher.

Die Technologie hat somit das Potenzial die Art und Weise wie wir uns im Web authentisieren, nachhaltig zu verändern und zu vereinfachen.

Browserunterstützung im Aufbau

Es sei aber auch gesagt, dass derzeit noch nicht alles Gold ist, was glänzt. Viele Browser und Betriebssysteme unterstützen den Standard bereits seit einigen Monaten, und so können Passkeys auf aktuellen Apple- und Android-Geräten registriert werden. Bedauerlicherweise gibt es immer noch gängige Browser- und Betriebssystemkombinationen, die den Standard noch nicht vollständig unterstützen. Firefox, zum Beispiel, unterstützt zum aktuellen Zeitpunkt nur beschränkt den Standard, welcher für Passkeys benötigt wird. Diese Einschränkungen beeinträchtigen die Early-Birds noch. Die Probleme werden jedoch nach und nach verschwinden.

Voller Neugier in eine passwortlose Zukunft

In der heutigen Welt ist ein angemessener Schutz sensibler Daten unerlässlich. Starke Passwörter bieten einen grundlegenden Schutz vor Cyberkriminellen, und in Kombination mit einem zweiten Faktor kann die Kontosicherheit signifikant erhöht werden. Die herkömmliche Zwei-Faktor-Authentisierung mit SMS oder Authenticator-Apps bleibt umständlich und nicht vollständig resistent gegen Phishing-Angriffe.  

Mit Passkeys etabliert sich eine neue Authentisierungsmethode, die den üblichen Kompromiss zwischen Sicherheit und Benutzungsfreundlichkeit überwindet und eine passwortlose, phishing-sichere Alternative zu Passwörtern bietet. Die SWITCH edu-ID, die digitale Identität der Schweizer Hochschulangehörigen, hat diese Funktion in den letzten Monaten implementiert und sammelt derzeit erste produktive Erfahrungen mit ausgewählten Benutzenden. Bis Passkeys in unserem Alltag vollständig etabliert sind, wird es wohl noch eine Weile dauern, aber die sichere Zukunft im Bereich der Authentisierung im Internet ist gewiss. 

Digitale Identität
Cyber Security

Michael Bisig

Team Leader Trust & Identity

Switch

Alle Beiträge ansehen