Was sind Passkeys?

Foto: artskill2k17 – shutterstock.com

Passwörter sind ein zentraler Aspekt der Sicherheitsinfrastruktur und -praxis. Aber auch eine wesentliche Schwachstelle, die in 81 Prozent aller Breaches eine Rolle spielt. Diese Unzulänglichkeiten haben die Suche nach alternativen Ansätzen befeuert – allgemein auch unter dem Begriff “Passwordless Authentication” bekannt.

Passkeys sind eine (Unter-)Form der passwortlosen Authentifizierung, die zunehmend an Bedeutung gewinnt. Auch wenn sie nicht narrensicher sind (sie können beispielsweise mit einem Gerät synchronisiert werden, auf dem ein unsicheres Betriebssystem läuft) – sie dürften in den kommenden Jahren zu einem essenziellen Bestandteil der Security werden. Dies gilt insbesondere, weil sie eine gute Grundlage für Enterprise Security bilden und für Kunden, Mitarbeiter und Partner wesentlich sicherer als Passwörter sind.

Passkeys vs. Passwörter

Das eigentliche Sicherheitsproblem bei Passwörtern besteht darin, dass es sich um Zeichenketten handelt, die Zugang zu gesicherten Ressourcen gewähren, ohne dabei zu berücksichtigen, wer in ihrem Besitz ist. Dass Cyberkriminellen im Darknet und über andere dunkle Kanäle immer mehr Anmeldedaten zur Verfügung stehen, ist eine alarmierende Entwicklung. Passkeys setzen zur Authentifizierung hingegen auf mehrere Faktoren, wobei der Schwerpunkt auf dem Device liegt, das mit einem weiteren Faktor verknüpft wird.

“Wenn Passwörter abgelöst werden, wird sich das Smartphone zu einem stärkeren ersten Faktor entwickeln. Das wird nicht nur das Benutzererlebnis verbessern, sondern auch die Sicherheit”, ist Matias Woloski, CTO und Mitbegründer von Auth0, überzeugt und ergänzt: “Passkeys sind allerdings nicht auf Smartphones beschränkt, sondern auch auf anderen Devices wie Tablets, Laptops und PCs verfügbar. Sowohl Apple als auch Google und Microsoft unterstützen Passkeys.”

Das ist ein Indiz für die hohe Akzeptanz von Passkeys, verrät aber auch etwas darüber, wie sie funktionieren: Neuere Varianten setzen auf Cloud Storage, um zwischen Geräten zu synchronisieren. In dieser Hinsicht wirkt sich der verwendete Provider (zum Beispiel Apple für die iCloud) auf das Passkey-Verhalten aus. Passkeys lassen sich reibungslos zwischen Devices im selben Ökosystem übertragen. An der Vereinfachung einer Ökosystem-übergreifenden Übertragung wird bereits gearbeitet.

Passkeys bei Apple, Google, Paypal & Co.

Wie bereits erwähnt, werden Passkeys von diversen großen IT-, Technologie- und Security-Unternehmen beziehungsweise -Anbietern unterstützt. Dazu gehören zum Beispiel:

• Adobe

• Apple

• Beyond Identity

• Dashlane

• NTT Docomo

• Docusign

• Github

• Google

• Microsoft

• NordPass

• Okta

• Paypal

• Shopify

• Yahoo! Japan

• Zoho

Passkeys – Funktionsweise

Der Device-Faktor besitzt eine offensichtliche Stärke: Es handelt sich um eine physische Einheit. Ein Hacker in Russland kann ein Smartphone eines Mitarbeiters in Berlin nicht so einfach stehlen. Natürlich kann ein Device gestohlen oder verlegt werden, dieses ist dann aber (mit ziemlicher Sicherheit) bereits gesperrt – und Passkeys verwenden es nur in Kombination mit einem zweiten Faktor. Ein großer Vorteil: Mit dem Smartphone interagieren die Mitarbeiter ohnehin regelmäßig, haben es also meist direkt zur Hand und sind an den (sicheren) Umgang damit gewöhnt. Zudem ist das Device mit weiteren, überprüfbaren Informationen verknüpft (etwa einem Vertrag beim Telefonanbieter).

Obwohl das physische Gerät den “Anker” für die Passkey-Sicherheit bildet, handelt es sich nicht um eine tatsächliche Hardwarekomponente, die den Passkey mit dem Gerät verknüpft. Vielmehr bildet es eine Brücke zwischen Gerät und Benutzeranwendungen, die über ein Betriebssystem oder einen Browser gesteuert wird.

Um dieses Verfahren sicher zu orchestrieren, fließt viel Arbeit ein: Die FIDO-Alliance ist das wichtigste Gremium hinter der Definition von Spezifikationen für Passkeys. Alle großen Cloud-Service-Provider und Passkey-Infrastruktur-Anbieter sind Mitglieder. In Kooperation mit dem W3C hat FIDO die WebAuthn-API eingeführt. Sie soll die Funktionsweise von Passkeys standardisieren und Bibliotheken für deren Verwendung sowohl im Front- als auch im Back-End bereitstellen.

Die physischen Geräteeigenschaften sorgen für eine starke Basissicherheit. Darüber hinaus gibt es mehrere sekundäre Faktoren, mit denen überprüft werden kann, ob der Benutzer der richtige Eigentümer des Geräts ist – zum Beispiel:

• biometrische Merkmale,

• Token,

• PINs, oder auch

• Passwörter.

Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.

Jetzt CSO-Newsletter sichern

Passkeys und Public-Key-Kryptographie

Das Device und der sekundäre Faktor werden vom Passkey-Dienst auf Ihrem Gerät verwendet, um ein asymmetrisches kryptografisches Schlüsselpaar für jede Website, App oder jeden Service zu erstellen. Der private Schlüssel wird dabei auf dem Device in einem Schlüsseltresor gespeichert – die authentifizierende App verfügt über den öffentlichen Schlüssel. Diese Anordnung weist gegenüber Passwörtern viele systembedingte Sicherheitsvorteile auf: Da nur der Public Key offengelegt wird, gibt es für kriminelle Hacker nichts zu holen – dieser ist für Angreifer unbrauchbar.

Wie Endnutzer Passkeys verwenden

Unter dem Strich ist die Erstellung eines Kontos und die Anmeldung mit einem Passkey einfacher als mit einem Passwort. Der Passkey wird auf dem Device für die jeweilige Webseite mit einem Fingerabdruck, Gesichtsscan oder einem anderen zweiten Faktor verwendet. Auch ein konventionelles Passwort könnte diese Rolle übernehmen. Einmal angemeldet, muss der Benutzer das Passwort bei späteren Anmeldungen nicht mehr angeben. Dabei wird der zweite Faktor niemals offengelegt.

Multi-Device-Passkeys

Die neuesten Spezifikationen für FIDO-Schlüssel funktionieren geräteübergreifend: Sobald ein Passkey für einen bestimmten Service eingerichtet ist, kann dieser über das Device mit einem anderen Gerät geteilt werden. Dazu müssen sich die Geräte in unmittelbarer Nähe befinden (oder in Reichweite einer drahtlosen Verbindung). Der Benutzer spielt eine aktive Rolle bei der Überprüfung der Gerätesynchronisierung. Auch der Remote-Cloud-Dienst für das jeweilige Gerät spielt hier eine Rolle.

Ein iPhone nutzt beispielsweise die Cloud von Apple, ein Android-Gerät die Google Cloud Platform (GCP) und Windows Microsoft Azure. Es gibt Bestrebungen, die gemeinsame Nutzung von Passkeys über verschiedene Anbieter hinweg zu vereinfachen. Das ist bislang vor allem ein manueller Prozess – etwa, wenn man von einem Android-Gerät zu einem Macbook wechseln möchte.

Passkeys – Vor- und Nachteile

Passkeys sind kryptografische Schlüssel – schwache Passwörter gehören damit der Vergangenheit an. Darüber hinaus geben Passkeys auch keine angreifbaren Informationen preis, womit viele Angriffsvektoren, die Passwörter betreffen ausgeschaltet sind. Gegen Phishing und Social Engineering sind Passkeys ebenfalls resistent: Die Infrastruktur übernimmt den Verifizierungsprozess selbst und kann nicht durch eine gute gefälschte Website getäuscht werden.

Bezüglich des Unternehmenseinsatzes bestehen einige Sicherheitsbedenken – speziell, wenn es darum geht, sicherzustellen, dass die Richtlinien für die Verwendung von Passkeys von den Mitarbeitern befolgt werden. Derzeit wird daran gearbeitet, im Fall von Verlust, Diebstahl oder Defekt eines Devices alle Passkeys auf einmal bei dem Cloud-Anbieter wiederherstellen zu können, bei dem sie gespeichert sind. Dies wäre äußerst hilfreich – bislang muss dazu bei jedem Service ein neuer Passkey angefordert werden. Positiv ist jedoch, dass ein gestohlenes Gerät keine Sicherheitslücke darstellt, da dieses für den Zugriff auf den Passkey entsperrt werden muss.

Passkeys implementieren

Wenn IT-Führungskräfte in Unternehmen darüber nachdenken, wie sie Benutzerfreundlichkeit und -sicherheit gleichermaßen verbessern und in ihre Prozesse und Infrastruktur tragen können, sollten sie Passkeys nicht außen vorlassen. Schließlich ist es auch kein Hexenwerk, Passkeys einzuführen – das Gros der Arbeit übernehmen gut definierte Bibliotheken und FIDO-Spezifikationen.

Für diejenigen, die für die Cybersicherheit von Softwareprojekten verantwortlich sind, stellt die Einführung von Passkeys sowohl eine Aufgabe als auch eine Chance dar: Support für Passkeys aufzubauen wird Aufwand erfordern, der sich nach dem Umfang der bestehenden Infrastruktur richtet. Glücklicherweise unterstützen zunehmend auch Security Services von Drittanbietern Passkeys, was deren Einsatz erheblich erleichtert.

Eine Applikation mit Passkey-Authentifizierung auszurüsten bedeutet, die Front- und Back-End-Komponenten zu modifizieren, um Standard-Authentifizierungs-Workflows wie Kontoerstellung und Anmeldung zu unterstützen.

WebAuthn-API

Im Browser kann die WebAuthn-API als Standardmechanismus zur Überbrückung zwischen Anwendungscode und Passkey-Unterstützung verwendet werden. Die WebAuthn-API ermöglicht es Entwicklern, einen neuen Passkey am Frontend zu generieren. Für die Erstellung des Passkey werden Informationen vom Backend-Server benötigt (wie die Benutzer-ID), die die spezifische Anwendung, den Benutzer und den Passkey miteinander verbinden. Einmal erstellt, sendet das Frontend den Public Key zur Speicherung und späteren Authentifizierung an den Server.

Inzwischen unterstützen die meisten Browser WebAuthn. Allerdings muss auch das Device selbst einen plattformbasierten Passkey-Authentifikator unterstützen. Das ist heutzutage jedoch bei den meisten Geräten der Fall. Die Unterstützung von Passkeys bedeutet auch, JavaScript-Code einzubinden, um die Authentifizierungsinteraktion zu händeln. Um die Anfragen im Backend zu verarbeiten, ist es möglich, die serverseitigen WebAuthn-Bibliotheken direkt zu verwenden. Die Nutzung von Open-Source-Bibliotheken kann das vereinfachen. (fm)

Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.