Passwörter sind mühsam und unsicher. Ersetzt werden sie deshalb durch Passkeys. Wir erklären, wie Passkeys funktionieren – und weshalb ein Passwort-Manager weiterhin Sinn hat.
Illustration Kaspar Manz / NZZ
Das Passwort ist nicht für Menschen gemacht. Weder für die Anwender, die die immergleichen, viel zu kurzen Passwörter verwenden und sich diese trotzdem nicht merken können, noch für die Website-Betreiber, die diese Passwörter unverschlüsselt oder schlecht geschützt in ihren Datenbanken ablegen, als Selbstbedienungsbuffet für sämtliche Hacker.
Natürlich gibt es genügend Ratschläge, wie man es besser machen könnte. Die meisten davon setzen Selbstdisziplin voraus und die Bereitschaft, sich selbst das Leben schwerzumachen. Kaum jemand hat Lust darauf.
Passwörter sind ein Konzept aus einer Zeit, in der man sich höchstens auf einem Gerät einloggen musste. Diese Zeiten sind vorbei.
Seit gut zehn Jahren versucht eine Allianz von Tech-Konzernen, dem Passwort den Garaus zu machen. Sie hat ein Protokoll entwickelt, das den Faktor Mensch fast vollständig aus der Gleichung entfernt. Fido nennt sich das: Fast Identity Online. Bisher haben sich fast ausschliesslich IT-Sicherheitsexperten dafür interessiert.
Doch schon bald könnte eine passwortlose Ära anbrechen: Microsoft, Google und Apple haben diesen Frühling angekündigt, das Fido-Protokoll in ihren Betriebssystemen zu unterstützen und ihm mit ihrer Marktmacht zum Erfolg zu verhelfen. Apple ist der erste Konzern, der Ende Oktober die entsprechend angepassten Betriebssysteme veröffentlicht hat.
In iOS 16 und macOS Ventura werden nun diese Multi-device Fido Credentials unterstützt. Ein eher sperriger Begriff, weshalb – in Entsprechung zum gängigen «Passwort» – stattdessen der Name «Passkey» verwendet wird. Damit wird zum Ausdruck gebracht, dass die Authentifizierung mittels kryptografischer Schlüssel erfolgt. So kryptisch das klingen mag: Im Alltag sollte das Einloggen mit Passkeys deutlich einfacher sein als mit Passwörtern.
So können Sie sich mit einem Passkey einloggen
Auf einer Website oder in einer App kann man wie gewohnt den Nutzernamen eingeben.
Unterstützt die Website Passkeys, werden diese vom Browser zur Auswahl vorgeschlagen.
Mit dem Fingerabdrucksensor wird man authentifiziert und wird sichergestellt, dass man als Besitzer des Smartphones den Log-in-Prozess ausgelöst hat.
Und damit ist man eingeloggt.
So funktionieren Passkeys
Passkeys verwenden sogenannte Schlüsselpaare, mit jeweils einem privaten und einem öffentlichen Schlüsselteil. Mithilfe des öffentlichen Schlüssels kann über einen kryptografischen Prozess überprüft werden, ob jemand im Besitz des privaten Schlüsselteiles ist.
Das Smartphone sendet eine Anfrage an den Server, dass es sich einloggen möchte.
Der Webserver antwortet mit einer Challenge – eine Art Rätselaufgabe.
Als Benutzer muss man nun den Schlüssel auswählen, den man verwenden möchte.
Der Fingerabdruck wird überprüft und der private Schlüssel wird entschlüsselt.
Mit dem privaten Schlüssel wird das Rätsel gelöst – es ist nun «signiert» und wird zurück an den Webserver geschickt.
Mithilfe des öffentlichen Schlüssels überprüft der Webserver, ob das Rätsel korrekt gelöst wurde – und ob der Benutzer effektiv im Besitz des privaten Schlüssels ist.
Wenn die Prüfung erfolgreich war, wird der Benutzer eingeloggt, und er kann die App verwenden.
Wie sicher sind Passkeys?
Passkeys haben mehrere Eigenschaften, die dazu beitragen, dass sie deutlich sicherer sind als Passwörter.
Vorteil 1: Jeder Schlüssel ist an einen Domain-Namen gebunden
Ein Schlüssel, der für linkedin.com erstellt wurde, wird nur auf Linkedin funktionieren, aber nicht auf der ähnlich aussehenden Domain l1nked1n.com. Der Browser wird in diesen Fällen einfach melden, dass für diese Domain kein Passkey vorhanden ist. Phishing – also der Versuch, unter Verwendung von nachgebauten Websites unter plausibel klingenden URL an die Passwörter von Menschen zu kommen – wird damit ein Riegel geschoben.
Vorteil 2: Passkeys sind eine Form von Multi-Faktor-Authentifizierung
Der Vorteil von Passkeys besteht auch darin, dass damit die Bedingungen für eine Zwei-Faktor-Authentifizierung schon gegeben sind und nicht wie mit Passwörtern üblich zusätzlich eingerichtet werden müssen. Bei der Multi-Faktor-Authentifizierung wird über mehrere Wege verifiziert, ob eine Person wirklich diejenige ist, die sie vorzugeben scheint. Die gebräuchlichsten Möglichkeiten sind dabei abzufragen,
- ob jemand etwas weiss,
- ob jemand etwas besitzt,
- ob jemand eine ihm inhärente Eigenschaft besitzt.
Bei einem konventionellen Log-in gibt es nur einen Faktor: das Passwort, das man wissen muss.
Beim Geldabheben am Bancomaten braucht es schon zwei Faktoren: Zum einen muss man die Bankkarte dabei haben, und man muss deren PIN-Code kennen. Das eine ohne das andere ist wertlos.
Viele Log-ins funktionieren heutzutage so, dass der Besitz eines persönlichen Gerätes geprüft wird, indem der Wert eines Zufallszahlengenerators auf dem Smartphone abgefragt wird.
Mit Passkeys besteht ein Faktor im Besitz des privaten Schlüssels. Der zweite Faktor besteht in der Überprüfung des Fingerabdrucks oder der Gesichtserkennung – einer der Person inhärenten Eigenschaft.
In den meisten Fällen wird es also mit Passkeys nicht mehr nötig sein, zusätzlich mit einer weiteren App einen Zahlencode zu generieren und einzugeben.
Vorteil 3: Es werden keine privaten Daten übermittelt
Weder der private Teil des Schlüssels noch biometrische Daten – also etwa Fingerabdruck oder Gesichts-Scan – werden beim Einloggen übermittelt. Dies im Gegensatz zum Log-in mit einem Passwort, wo das Passwort (oder eine Repräsentation davon) an den Server geschickt und mit der auf dem Server gespeicherten Version abgeglichen wird.
Es ist auch nicht möglich, aus dem öffentlichen Teil des Schlüssels den privaten Teil abzuleiten. Für Hacker sind diese öffentlichen Schlüssel deshalb wertlos, und sie können problemlos auf den Webservern der Website-Anbieter gespeichert werden – sogar unverschlüsselt.
Die wirklich wertvolle Information ist der private Schlüssel, der sich auf den Geräten der Benutzer findet. Kriminelle können diese Schlüssel nicht mehr in grosser Menge stehlen, wie das heute bei zentral gespeicherten Passwörtern der Fall ist. Während ein Diebstahl aller auf einem Server gespeicherten Passwörter einem Fischzug per Schleppnetz gleicht, wäre der Angriff auf ein einzelnes Gerät eher Käpt’n Ahabs Jagd auf Moby Dick – ein ungleich mühseligeres und aufwendigeres Unterfangen.
So erstellen Sie einen neuen Passkey
Für jede Website, in die man sich einloggen möchte, wird jeweils ein neuer Passkey erstellt.
Zum Starten der Registration wird eine Anfrage an den Webserver gesandt.
Der Server reagiert mit einer Auflistung der Bedingungen, die der generierte Schlüssel erfüllen muss. Als Benutzer wird man gefragt, ob man einen Passkey erstellen und auf dem Gerät speichern möchte.
Anhand dieser Bedingungen wird nun auf dem Smartphone ein Schlüsselpaar generiert: mit einem öffentlichen und einem privaten Teil.
Der öffentliche Teil des Schlüssels wird an den Server übermittelt. Der private Teil wird selbst verschlüsselt im Speicher des Smartphones abgelegt.
Damit ist die Registration abgeschlossen, und man kann den Passkey nun verwenden, um sich auf der Website anzumelden.
Als Benutzerin oder Benutzer müssen Sie sich nicht mehr mit komplexen Regeln herumschlagen, um ein Passwort zu finden, das schwierig zu knacken ist.
Sowohl Apple wie auch Google und Microsoft haben angekündigt, dass die Passkeys jeweils im Benutzer-Account gespeichert und zwischen allen Geräten, auf denen man mit diesem Benutzer-Account angemeldet ist, synchronisiert werden. Damit kann man einen Schlüssel, den man beispielsweise auf dem iPhone erstellt hat, auch auf dem iPad verwenden – solange man auf beiden Geräten die iCloud-Keychain-Synchronisation eingeschaltet hat.
Sowohl Apple wie auch Microsoft versprechen, dass diese privaten Passkeys in der Cloud selbst wieder verschlüsselt sind – und zwar so, dass auch die Firmen selbst keinen Zugriff darauf haben. Google schweigt sich zu diesem Detail noch aus.
Wer verschiedene Betriebssysteme verwendet, wird weiterhin einen Passwort-Manager brauchen
Die Synchronisierung der Schlüssel funktioniert bei Apple, Google und Microsoft nur auf der jeweiligen Plattform. Wer Geräte verschiedener Anbieter hat – also etwa ein Android-Smartphone, ein iPad sowie einen Windows-Laptop –, kann davon nicht profitieren.
Für diese Funktion stehen schon die Anbieter von Passwort-Managern in den Startlöchern: Sowohl 1Password wie auch Dashlane haben in den letzten Wochen angekündigt, dass sie Passkeys unterstützen und plattformübergreifend synchronisieren werden.
Nicht immer will man sich mit seinem Cloud- oder Passwort-Manager-Benutzerkonto auf einem anderen Gerät anmelden. Für diese Fälle kann der Browser, auf dem man sich anmelden möchte, einen QR-Code anzeigen. Diesen kann man mit dem Smartphone scannen, und die Anmeldung dort abschliessen.
Wem die Synchronisation über die Cloud zu unsicher ist, der kann auch heute noch auf die Security-Keys zurückgreifen. Diese Hardware-Dongles waren die erste Implementation des Fido-Protokolls, die für das breite Publikum erhältlich waren. Sie gleichen USB-Sticks, die man am PC einstecken muss, um sich in eine Website einloggen zu können. Sie haben den Nachteil, dass sie – ähnlich wie ein physischer Schlüssel – immer mitgeführt werden müssen. Zudem ist es nicht möglich, sich ein Back-up dieser Schlüssel zu erstellen. Wer seinen Hardware-Key verliert oder beschädigt, verliert damit auch den Zugang zu den damit verknüpften Benutzerkonten.
Wo lassen sich Passkeys nutzen?
Wirklich profitieren von Passkeys kann man von dem Zeitpunkt an, wo alle eigenen Apple-Geräte auf die neusten Versionen ihrer jeweiligen Betriebssysteme aktualisiert worden sind: iOS 16 für iPhones, iPadOS 16 für die Tablets sowie macOS Ventura für Macs. Auch für ältere Versionen von macOS (macOS Big Sur und macOS Monterey) wird eine aktualisierte Version von Safari zur Verfügung gestellt, die Passkeys unterstützt.
Die Benutzer von Windows- und Android-Geräten müssen sich noch ein wenig gedulden: Microsoft verspricht, Passkeys in Windows 11 und Windows 10 ab 2023 zu unterstützen. Bei Google können inzwischen Entwickler in Vorabversionen von Google Chrome und von Google Play Services auf Android mit der Technologie experimentieren. Noch dieses Jahr sollen diese Features dann auch für alle anderen Benutzer verfügbar sein.
Über Nacht werden Passwörter trotz dieser Passkey-Offensive nicht verschwinden. Zwar werden spätestens nächstes Jahr die Voraussetzungen auf allen grösseren Plattformen für den breiten Einsatz von Passkeys geschaffen sein. Aber auch die Website-Betreiber müssen ihre Infrastruktur anpassen, und nicht alle werden die Ressourcen haben, diesen Schritt zu machen. Für solche Websites, die auf Passwörter setzen, ist es weiterhin empfehlenswert, einen Passwort-Manager zu verwenden.
Und auch bei Apple wird man sich in absehbarer Zukunft bei der iCloud – in der die Passkeys gespeichert werden – mit einem Passwort und einem Zahlencode anmelden müssen. Mindestens ein Passwort wird man sich also auch zukünftig merken müssen. Es sollte lang und kompliziert und mühsam sein.
https://www.nzz.ch/technologie/abschied-vom-passwort-wie-man-sich-in-zukunft-einloggen-wird-ld.1701475
