Du willst mehr Wissen über Passkeys?
Dieses Tutorial erklärt Dir die Funktion und wie Du Passkeys im Alltag verwenden kannst.
Starten wir!
Was sind Passkeys?
Passkeys sind eine Alternative für einen Nutzernamen und ein Passwort, wenn Du Dich bei einer Webseite oder App anmelden willst. Es handelt sich um eine schwache 1,5-Faktor-Authentifizierung. Statt einen Nutzernamen und Passwort einzugeben, gehst Du auf die Webseite, klickst auf Passkeys und bestätigst mit Deinem Finger oder Gesicht. Du bist eingeloggt. Diese Methode reduziert die Einlogzeit und verhindert die Verwendung von Passwörtern.
Funktion von Passkeys
Der erste Bestandteil ist ein Schlüssel (Private-Key), welcher auf Deinem Smartphone gespeichert ist.
Der Haustürschlüssel für jeden Account
Die Software erstellt einen öffentlichen Schlüssel und privaten Schlüssel zugleich, welche mathematisch zusammenhängen. Durch den mathematischen Zusammenhang und die Rechenleistung Deines Smartphones kannst Du Dich mit diesem Schlüssel ausweisen.
Diese Art der Authentifizierung gehört zu dem Typ „Besitz“. Den gespeicherten Schlüssel musst Du jederzeit (auf Deinem Handy) mitführen, um Dich einzuloggen.
Vermessung einmaliger Körpereigenschaften
Der zweite Bestandteil ist eine biometrische Authentifizierung.
Viele mobile Endgeräte wie Laptops und Handys überprüfen den Fingerabdruck Deines Fingers oder Deine Gesichtsstrukturen. Im Gegensatz zu dem Schlüsselabgleich ist die Biometrie ein „weiches“ Verfahren, weil hier keine 1:1 Übereinstimmung vorliegen muss.
Die Algorithmen sind im Jahr 2024 so gut, dass diese die Gesichter hinter alternde Haut, Make-up und klinische Masken erkennen. Hier muss z. B. Eine Übereinstimmung zu 95 % stattfinden, dass Du Dich einloggen kannst.
Der Algorithmus akzeptiert den Angreifer mit einer Fake-Maske von Deinem Gesicht nicht, weil natürliche Haut anders glänzt und Wärme abstrahlt. Physische Bilder und ein Bildschirm mit dem Gesicht lehnt der Algorithmus auch ab.
Die unendlichen Probleme mit Passwörtern
- Vergessen: Der Klassiker – Was war das Passwort nochmal? Unser Kopf ist nicht dafür geschaffen, sich kryptische Passwörter zu merken.
- Zu einfach: Wenn die meisten sich ein merkbares Passwort überlegen, verwenden diese zu einfachen Wörter, welche im Wörterbuch stehen oder persönliche Eigenschaften (Lieblingsessen, Namen des Freunds, Kennzeichen). Das ist eine ganz schlechte Idee.
- Weitergeben: Zugänge solltest Du niemals weitergeben. Jeder soll seinen individuellen Zugang erhalten, um Änderungen im Detail nachvollziehen zu können. Daran halten sich nur wenige.
- Breachable: Wenn eine Webseite gehackt wurde, schwirren im Darknet vielleicht Klartextpasswörter. Diese ermöglichen den Zugang zu anderen Webseiten.
- Wiederverwendung: Wenn Du ein Passwort wiederverwendest, dann kann das geklaute Passwort auf der Webseite A Dir zum Verhängnis auf der Webseite B werden.
- Lange Loginzeit: Das Tippen dauert ewig. Du hast das kryptische Passwort falsche eingetippt. Beginne erneut. Das nervt.
Was ist an Passkeys besser?
- Nicht erratbar: Die Passkeys sind lange Zeichenketten, welche Du lokal auf Deinem Handy speicherst.
- Schneller: Passwörter dauern länger.
- Phishing: Du kannst nicht versehentlich den Passkey auf Phishingseiten einsetzen, weil die Software die Passkeys nur in gültige URLs einfügt.
- Sync: Viele Anbieter von Passkeys erlauben die Synchronisation von Passkeys über eine Cloud. Diese sind Ende-zu-Ende verschlüsselt, sodass der Anbieter „keinen“ Zugriff auf den Passkeys im Server hat. Selbst ein Krimineller kann nicht auf die Passkeys bei einem Breach zugreifen.
Was sind Nachteile von Passkeys?
- Einige Anbieter erlauben es, Passkeys zu teilen. Das ist wegen der vorher genannten Gründen schlecht. Teile einfach Deine Passkeys nicht, um auf der sicheren Seite zu bleiben.
- Du brauchst ein Smartphone. Für Dich hört sich das trivial an, aber wenn man flächendeckend ausschließlich Passkeys per Gesetz einsetzt, muss sich jeder ein Smartphone kaufen (auch Technologie-Verweigerer und alte Omis). Des Weiteren musst Du Dir ein Smartphone alle 1 – 3 Jahre neu kaufen, weil die heutigen Hersteller kaum Sicherheitsupdates zur Verfügung stellen.
Tutorial – So erhältst Du Passkeys
Die drei Großen (Apple, Microsoft, Google) haben Passkeys zu einem Industriestandard gemacht.
Sie bieten die Grundlage an. Alle Services ermöglichen in ihren Geräten (iPhones, Android Phone) die Passkeys in den Sicherheitschips (Computer in einem Computer) zu speichern. Diese sind besonders gut geschützt.
Transferiere Deine Passkeys mit den Plattformen iCloud, OneDrive oder Google Drive zwischen Deinen Geräten. Weil die großen Drei eine riesige Marktmacht haben, können die meisten auf unseren Planeten Passkeys verwenden, wenn diese auf die neuste Version des jeweiligen Betriebssystems geupdatet haben. Voraussetzung ist ein Account bei einem der Anbieter:
Für Google geht das so
- 1. Melde Dich normal bei Google an
- 2. Gehe auf Account > Erstelle Passkey
- 3. Logge Dich aus
- 4. Logge Dich wieder ein
- 5. Wähle Passkeys aus.
- 6. Bestätige mit Deinem Fingerabdruck oder einer PIN
Was war nochmal mit FIDO und YubiKeys?
Die Allianz FIDO wollte die Zwei-Faktor-Authentifizierung mit extra Sicherheitsgeräten zum weltweiten Industriestandard machen.
Der YubiKey, ein solches Sicherheitsgerät, sieht aus wie ein USB-Stick.
Dieser speichert alle privaten Schlüssel. Der Verwender aktiviert mit einem Klick auf einen Button die Schlüssel. Diese Methode ist rein „technisch“ betrachtet, besser als ein Passwort, aber die FIDO Allianz muss eingestehen, dass sich die Methode sich nicht durchsetzt:
Jeder Cent zu viel
Ein solcher YubiKey kostet zwischen 20 und 70 €. Der Verlust des Keys führt auch zum Verlust des Zugangs. Deshalb muss jeder sich zwei YubiKeys kaufen, von denen einer ein Backup ist. Die meisten Internet-Nutzer haben nicht genug Geld oder den Willen die Geräte zu kaufen.
Tote Software, langsame Standards
Auf der anderen Seite haben die meisten neuen (und alten) Anwendungen den YubiKey nicht implementiert.
Die meisten Betriebssysteme ermöglichen die Anwendung des YubiKeys, aber die Anwendung haben nicht WebAuthn implementiert. Der Entwickler implementiert WebAuthn nicht so schnell wie ein einfaches Passwort-Management. Deshalb haben die meisten Anwendungen nur ein Passwort-Management implementiert.
Unnatürliche Motivation
Du musstest den YubiKey wie einen Haustürschussel überall mitnehmen.
Das macht diese Methode unnatürlich.
Die neue Methode erlaubt die Verwendung des Smartphones als ein Sicherheitsgerät, was die FIDO Allianz aus Sicherheitsgründen Jahre lang abgelehnt hat.
Unser Smartphone ist aber das einzige Gerät, welches wir permanent freiwillig mit uns herumtragen und darauf aufpassen.
Ein langweiliger USB-Stick, der fast nix kann, ist nicht so attraktiv.
Sind Passkeys die Revolution?
In meinen Augen sind Passkeys keine Revolution.
Passkeys werden beliebter sein als die FIDO Sticks, weil jeder bereits ein Smartphone besitzt.
Auf der anderen Seite verbreiten sich solche Standards unter den Entwicklern nicht so schnell. Ist eine Anwendung implementiert, dann passiert in der Regel nix mehr. Viele Unternehmen haben 40 Jahre alte Systeme im Einsatz, dessen Quellcode nicht mehr verfügbar ist oder keiner mehr versteht.
Passkeys sind eine neue Authentifizierungsmethode, die Jahrzehnte brauchen kann, damit diese bei allen Systemen zu einem Standard wird. Weil die Entwickler immer auch ein Passwortsystem implementieren muss, müssen die Geldgeber / Investoren / Manager Passkeys aktiv wollen.