Passkey: Der Schlüssel zur modernen Authentifizierung

Tauchen Sie ein in die Ära der neumodernen Authentifizierung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt transformieren können und entdecken Sie die technischen Hintergründe dieser innovativen Sicherheitsmethode. Tschüss Passwörter, adieu Phishing. Hallo neuer und innovativer Login via Passkey! Simpel, schnell sowie sicher.

In 2012 wurde die FIDO-Alliance gegründet. Ihr Ziel: Einen lizenzfreien modernen Standard für die Identitätsüberprüfung im Web entwerfen (FIDO = Fast IDentity Online). Der amerikanischen Organisation gehören etliche „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Organisation hat eine neue Technologie entwickelt, welche wir in dem Artikel genauer unter die Lupe nehmen wollen: Identitätsüberprüfung mittels Passkeys. Das Ziel der FIDO: Rasche Online-Identifizierung. Passwörter sollen abgeschafft plus Logins zwar bequemer, aber simultan auch safer gemacht werden. Doch wie soll das denn funktionieren?!

Die Bedeutung von Passkeys

In einer gegenwärtigen Studie von 1Password gab jeder (!) Befragte an, bereits einmal direkt oder indirekt mit Phishing in Kontakt gelangt zu sein. Da verwundert es nicht, dass der Hauptanteil der Teilnehmer eine sichere Login-Methode für deren Online-Accounts für sehr wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) klingt da zwar in der Theorie nach einer guten Lösung, hat aber einen größeren Haken: Man kann sich unheimlich simpel selbst heraussperren aus den eigenen Konten. Von dem temporären Aufwand mal ganz abzusehen. Simpel sowie „smooth“ ist der 2FA-Login auf keinen Fall.

Darüber hinaus werden natürlich ebenso Hacker immerzu smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren bereits Methoden gefunden, SMS abzufangen sowie auf diese Weise an den zweiten Faktor für eine Authentifizierung zu kommen. Wirklich geschützt wäre ein Login also nur, wenn es gar keine Zugangsdaten gäbe, die man ausspionieren kann. Und exakt an jener Stelle kommen Passkeys ins Spiel!

Passkeys, auch bekannt als Sicherheitsschlüssel oder auch Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegensatz zu gewöhnlichen Passwörtern bieten sie eine erweiterte Sicherheitsebene, indem selbige eine physische Einzelheit in die Identitätsprüfung einbeziehen. Die Eingebung hinter Passkeys ist, dass der Benutzer Zutritt zu all den eigenen Online-Konten im Netz hat, ohne dass man sich jedes Mal mit Loginnamen und Passwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, die ausspioniert werden können. Selbige wurden erschaffen, um eine passwortlose Anmeldung bei Websites sowie Apps zu gewähren sowie das Benutzererlebnis bequemer wie auch phishing-sicher zu formen.

Doch wie funktioniert das? Nun, bei der Erstellung eines Profils bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel erstellt, die miteinander mathematisch verknüpft sind:

1. Ein öffentlicher Schlüssel – jener wird mit dem Dienst, sagen wir mal einer Webseite oder einer App geteilt und dient dazu, Infos zu codieren, welche nur der private Schlüssel decodieren kann.
2. Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine sehr lange, vollkommen beliebig generierte Reihe von Zeichen. Jener private Schlüssel ist ausschließlich auf dem Gerät des Besitzers abgespeichert. Auf sämtlichen verknüpften Gerätschaften, zum Beispiel dem Laptop oder Smartphone, ist demnach via Passkey-Login kein Benutzername und auch kein Passwort mehr notwendig.

Um Passkeys verwenden zu können, sind zweierlei Punkte technisch nötig: Das Endgerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um sicher mit dem Browser im Austausch stehen zu können. Der Online-Dienst, bei welchem man sich einloggen will, muss darüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Dies ist eine Schnittstelle, die nötig ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können.

Da Passkeys also auf den jeweiligen Endgeräten gespeichert werden, drängt sich selbstverständlich sofort eine entscheidende Frage auf: Wie lassen sich die Endgeräte vor fremden Zugriffen schützen? Denn in diesem Fall stünden einem Hacker Tür wie Tor offen, in dem Moment wo er ein fremdes Endgerät in die Finger bekommt. Doch zum Glück gibt es hierzu bereits Lösungen: Weil die modernen Modelle von Geräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- sowie ebenso App-Entsperrung durch biometrische Scans an. Die populärsten sind Fingerabdruckscan sowie Face ID. Auf diese Weise entsteht durch die Kombination aus Passkey und biometrischen Daten eine enorm sichere Art der Identitätsüberprüfung.

Die Verwendung von Passkeys offeriert eine gesamte Reihe von Vorteilen für Nutzer und Firmen. Dazu gehören eine höhere Sicherheit durch die physische Authentifizierungskomponente, eine verbesserte Benutzererfahrung durch nahtlose Anmeldung sowie eine Reduzierung des Risikos von Phishing-Attacken und Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund auch bereits Passkeys implementiert – zuletzt mit allerhand Furore der Online-Marktplatz Amazon. Und das wird voraussichtlich erst der Start sein – Fachleute gehen davon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Standard eingesetzt werden.

Was denken Sie: Ist die Zukunft der Authentifizierung passwortlos und physisch?

Du bist IT-Dienstleister: Du bist an unserem Blogartikel Plus Abo interessiert? Dann freuen wir uns auf Deine Kontaktaufnahme per Mail an info@itleague.de