Im Jahr 2012 wurde die FIDO-Alliance gegründet. Das Ziel: Einen lizenzfreien modernen Standard für die Authentifizierung im Web entwerfen (FIDO = Fast IDentity Online). Der amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, darunter Google, Microsoft, Apple, Samsung, Alibaba und Amazon. Die Einrichtung hat eine innovative Technologie entwickelt, welche wir in dem Artikel genauer unter die Lupe nehmen wollen: Authentifizierung mittels Passkeys. Das Ziel der FIDO: Schnelle Online-Identifizierung. Passwörter sollen abgeschafft und Logins im Prinzip bequemer, aber simultan auch sicherer gemacht werden. Aber wie soll das bloß gelingen?!
Warum sind Passkeys wichtig?
In einer gegenwärtigen Analyse von 1Password gab jeglicher Befragte an, schon einmal direkt sowie indirekt mit Phishing in Berührung gelangt zu sein. Da verwundert es keineswegs, dass der Hauptanteil der Befragten eine sichere Login-Methode für deren Online-Accounts für sehr wichtig hält.
Die Zwei-Faktor-Authentifizierung (2FA) erscheint da zwar in der Theorie nach einer guten Option, hat jedoch einen größeren Haken: Man kann sich unglaublich simpel selbst heraussperren aus den persönlichen Konten. Von dem temporären Aufwand mal völlig abzusehen. Einfach sowie „smooth“ ist der 2FA-Login auf keinen Fall. Darüber hinaus werden selbstverständlich ebenso Hacker immer smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Methoden gefunden, SMS abzufangen sowie so an den zweiten Faktor für die Authentifizierung zu gelangen. Wirklich geschützt wäre ein Login demnach bloß, wenn es gar keine Zugangsdaten gäbe, die man ausspionieren könnte. Und exakt an jener Stelle kommen Passkeys auf den Radar!
Passkeys, auch bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden immer mehr zu einem elementaren Bestandteil moderner Sicherheitsinfrastrukturen. Im Gegensatz zu herkömmlichen Passwörtern eröffnen sie eine erweiterte Sicherheitsebene, indem sie eine physische Einzelheit in die Authentifizierung einbeziehen. Diese Eingebung hinter Passkeys ist, dass der Benutzer Zugang zu all seinen Online-Konten im Netz hat, ganz ohne dass man sich jedes Mal mit Benutzernamen und Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, ohne Zugangsdaten auszukommen, welche ausspioniert werden können. Selbige wurden entwickelt, um eine passwortlose Registrierung bei Websites sowie Apps zu gewähren sowie das Benutzererlebnis einfacher wie auch phishing-sicher zu gestalten.
Wie funktionieren Passkeys?
Nun, bei der Generierung eines Accounts bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel generiert, die untereinander mathematisch verknüpft sind:
1. Ein öffentlicher Schlüssel
- Dieser wird mit dem Dienst, beispielsweise einer Webseite oder einer App geteilt und dient dazu, Infos zu codieren, welche nur der private Schlüssel entschlüsseln kann.
2. Eine privater, asymmetrischer Krypto-Schlüssel
- Dies ist eine sehr lange, vollkommen zufällig generierte Reihe von Kennzeichen. Dieser private Schlüssel ist einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Geräten, zum Beispiel dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und auch kein Zugangswort mehr nötig.
Um Passkeys benutzen zu können, sind zweierlei Dinge technisch nötig: Das Endgerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um sicher mit dem Browser kommunizieren zu können. Der Online-Service, bei welchem man sich anmelden will, muss hierüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Dies ist eine Schnittstelle, welche nötig ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, beglaubigen zu können.
Da Passkeys also auf den jeweiligen Endgeräten gelagert werden, drängt sich selbstverständlich auf Anhieb eine entscheidende Frage auf: Wie lassen sich die Endgeräte vor fremden Zugriffen bewahren? Weil in jenem Fall stünden einem Hacker Tür wie Tor offen, sobald er ein fremdes Gerät in die Finger bekommt. Doch glücklicherweise gibt es dafür schon Lösungen: Weil die neumodernen Modelle von Geräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- und auch App-Entsperrung über biometrische Scans an. Die populärsten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Kombination aus Passkey und biometrischen Daten eine extrem sichere Art der Authentifizierung.
Welche Vorteile für Unternehmen gibt es?
Die Anwendung von Passkeys offeriert eine ganze Reihe von Vorzügen für Benutzer und Unternehmen. Dazu gehören eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine optimierte User Experience durch nahtlose Einschreibung und eine Verkleinerung des Risikos von Phishing-Angriffen und Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund ebenfalls schon Passkeys implementiert – zuletzt mit viel Furore der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Start sein – Experten gehen davon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Norm eingesetzt werden.
Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos und physisch?
Bei Anliegen zum Thema 2FA und Passkeys rufen Sie uns an, schreiben Sie eine E-Mail oder buchen Sie direkt ein kostenloses Beratungsgespräch.
Wir beraten und unterstützen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!
René Tomaschek
Vertrieb & Prokurist
+49 (421) 6 99 01-0
info@12systems.de
