Von Passwörtern zu Passkeys: Neue Ära der Authentifizierung
Ein Account ohne Passwörter? Mit Passkeys kein Problem! Hierbei handelt es sich um ein modernes, sicheres und gleichzeitig komfortables Authentifizierungsverfahren, das kryptografische Schlüssel nutzt.
Allerdings sind Passkeys nicht gleich Passkeys: Single-Device-Passkeys sind an die Hardware gebunden, auf der sie erstellt wurden. Bedeutet: Das Gerät mit dem Schlüssel muss der Nutzer daher immer mit sich führen. Möchten mehrere Personen auf einen Account zugreifen, gestaltet sich dies schwierig. Die synchronisierbaren Multi-Device-Passkeys könnten dazu beitragen, einige der Herausforderungen zu lösen, die durch die Verwendung von Mobiltelefonen als Sicherheitsschlüssel auftauchten, indem eine nahtlosere Geräteüberstellung und die Wiederherstellung von Geräteverlust oder -zerstörung ermöglicht werden. Dies geht allerdings auf Kosten der Sicherheit. Doch es gibt Wege, das Passkeys -Risiko zu minimieren.
Die Authentifizierung mit Passkeys, ein Vorschlag der FIDO Alliance (Webseite), erfordert keine unsicheren Passwörter, die anfällig für Angriffe wie Phishing sind. Bei dieser Methode werden ein Public- sowie ein Privat-Key erzeugt. Während der Public-Key auf dem Server gespeichert wird und keine geheimen Informationen enthält, befindet sich der Private-Key auf dem Endgerät des Nutzers und kann nicht ohne Weiteres extrahiert werden. Ziel war es, die Authentifizierung ebenso sicher wie einfach für die Nutzer zu machen. Immerhin: Es ist nicht mehr nötig, auf Passwortrichtlinien zu achten.
Noch dazu ist die Multi-Faktor-Authentifizierung (MFA) bei Passkeys quasi integriert: Denn einerseits muss sich das Endgerät, auf dem der Passkey gespeichert ist, im Besitz des Nutzers befinden, und andererseits braucht es für die Authentifizierung einen biometrischen Faktor. Zudem ist jeder Berechtigungsnachweis an eine echte URL gebunden, die als legitim oder nicht legitim verifiziert werden kann, und sie ist auch auf einen real existierenden Menschen registiert, wodurch Bots nicht eindringen können. Beliebte Angriffstechniken wie Passwort-Spray oder Phishing funktionieren aufgrund der passwortlosen Authentifizierung nicht mehr. Darüber hinaus ist es Nutzern nicht gestattet, sich bei einem illegalen Dienst oder einer illegalen Website zu authentifizieren – Angreifern wird der Zugriff verweigert und sie sind nicht in der Lage, einen FIDO-aktivierten Passkey zu manipulieren.
Passkey ist nicht gleich Passkey!
Wie bereits beschrieben, ermöglichen Passkeys, von denen zwei Arten existieren – synchronisierte und gerätegebundene – einen Übergang zur passwortlosen Authentifizierung, welche im Vergleich zur Kombination von Benutzername und Passwort ein Plus an Sicherheit und Effizienz bietet. Während sich der gerätegebundene Passkey auf einem USB-Stick oder einer anderen Hardware befindet, die von den Alltagsgeräten getrennt ist, handelt es sich bei synchronisierten Passkeys um kopierbare Login-Daten, die auf einem Smartphone, Tablet oder einem Laptop gespeichert sind, von wo aus sie mit verschiedenen Geräten geteilt werden können. Allerdings gibt bei den synchronisierten Passkeys Szenarien, die diese Form der Authentifizierung angreifbar machen. So könnten etwa die Integrität der Lieferkette in Gefahr sein, wenn Mitarbeiter synchronisierte Zugangsdaten über Konten und Geräte hinweg gemeinsam nutzen.
Denn so simpel es ist, einen synchronisierten Zugangsschlüssel über die AirDrop-Funktion des IPhones an ein anderes Gerät weiterzugeben, so wenig direkte Kontrolle hat der Nutzer darüber. Hinzu kommt das Problem, dass das ausufernde Passkey-Ökosystem ein Unternehmen für mehrere Passkey-Anbieter öffnet, was die Nachverfolgung und das Vertrauen in die für die Compliance erforderlichen Anmeldeinformationen erschwert und zudem den Aufwand und die Kosten für den IT-Helpdesk erhöht. Bedeutet konkret: Haben die Mitarbeiter zahlreiche Passwörter auf verschiedenen Plattformen und Passwortmanagern, ist es für die Verantwortlichen schwer nachzuvollziehen, welcher Schlüssel wo gespeichert ist. Zu berücksichtigen sind außerdem die Supportkosten für die Aktivierung synchronisierter Passkeys, wenn beispielsweise nach Bekanntgabe eines Datenlecks bei einem Schlüsseldienstanbieter alle Passkeys entfernt und neu registriert werden müssen.
Welcher Passkey ist für wen geeignet?
Fakt ist, dass Passkeys eine echte Alternative für Passwörter sind, da sie auf modernen FIDO-Protokollen basieren und einen besseren Schutz gegen Phishing bieten. Allerdings sind nicht alle Passkeys gleich – Unternehmen sollten die Fallstricke, die insbesondere bei synchronisierten Passkeys drohen, vermeiden.
Ist etwa eine strenge Kontrolle der Benutzeridentität vonnöten, können synchronisierte Passkeys zu einem erhöhten Risiko führen. Denn sie sind in der Cloud gespeichert, lassen sich kopieren und sind an eine bestimmte Plattform gebunden.
Darüber hinaus können sie Unternehmen dazu veranlassen, Dritten zu vertrauen, die keine dedizierten Sicherheitsanbieter sind. Dies bedeutet auch, dass synchronisierte Passkeys nicht unbedingt die Sicherheits- und Regulierungsanforderungen auf Unternehmensebene erfüllen. Zudem ist es für Nutzer ein Leichtes, Funktionen zu aktivieren, die einfach Wege zur gemeinsamen Nutzung von Anmeldeinformationen bieten, wodurch sich die Gefahr einer Kompromittierung erhöht.
Gerätegebundene Passkeys hingegen, wie sie in modernen, tragbaren FIDO2-Sicherheitsschlüsseln, wie dem YubiKey, enthalten sind, bieten ein vergleichbar höheres Maß an Schutz und entsprechen den Compliance-Anforderungen für Unternehmen. Anders als synchronisierte Passkeys, sind gerätegebundene Passkeys in einem physischen Gerät gespeichert, können nicht kopiert werden und sind auch nicht an einen bestimmten Anbieter gekoppelt. Geht es um den Einsatz in Umgebungen mit erhöhten Sicherheitsanforderungen, sind gerätegebundene Passkeys daher die bessere Alternative, da in diesem Fall eindeutig ist, wo die Zugangsdaten gespeichert sind.
Fazit
Die Auswahl einer Passkey-Lösung beginnt mit einer Analyse der Risiko- und Risikotoleranz eines Unternehmens. Diejenigen, die ihren Fokus primär auf das Thema Sicherheit legen – etwa Organisationen im Bereich der Technologie, Regierung, Finanzen, Energie, Pharma oder Fertigung – werden sich eher für gerätegebundene Passkeys wie den YubiKey entscheiden. Organisationen oder Einzelpersonen, die ihr Sicherheitsniveau verbessern und die Vorteile der benutzerfreundlichen Authentifizierung nutzen möchten, jedoch gleichzeitig auch ein gewisses Risiko eingehen können, bevorzugen möglicherweise synchronisierte Passkey-Lösungen – trotz ihrer Schwachstellen.
