Was Sie über Passkeys wissen sollten

Was ist ein Passkey?

Ein Passkey ist eine Methode zur passwortlosen Authentifizierung, die mehr Sicherheit und auch Bequemlichkeit bieten soll als herkömmliche Passwörter. Sie kann allein oder als sogenannter zweiter Faktor eingesetzt werden.

Zunächst etwas Hintergrund zu Verfahren der Authentifizierung: Wie beweist ein User gegenüber einem Webdienst, dass er tatsächlich zum Zugriff berechtigt ist? Hierzu muss ein Faktor oder Merkmal verwendet werden, das nur dieser User hat und das Unberechtigte nicht haben. Solche Faktoren können zu einer von drei Kategorien gehören:

• Wissen (der User weiß etwas, das andere nicht wissen, zum Beispiel ein Passwort)
• Haben (der User hat einen Gegenstand, auf den andere keinen Zugriff haben)
• Sein (der User hat eine persönliche Eigenschaft, die andere nicht haben).

Die Schwächen von Passwörtern sind allgemein bekannt: Sie können etwa vergessen, erraten oder gestohlen werden. Außerdem vernachlässigen Anwender häufig die Sicherheit, wenn sie sich einzigartige und komplexe Passwörter für jeden ihrer Webdienste merken sollen. Daher wird in den letzten Jahren mehr und mehr dazu übergegangen, Konten passwortlos abzusichern, also durch einen Faktor aus der Kategorie „Sein“ oder „Haben“. Zu ersterer zählen beispielsweise biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Stimmerkennung, zur zweiten etwa USB-Krypto-Sticks – auch die im Folgenden beschriebenen Passkeys, die nämlich an ein bestimmtes Gerät im Besitz des Anwenders gebunden sind.

So werden Passkeys verwendet

Bei einem Passkey verläuft die Authentifizierung des Users im Konto nun folgendermaßen: Statt sich mit einem Benutzernamen und einem Passwort bei einem Konto anzumelden, gibt der User auf der Anmeldeseite des Dienstes lediglich an, für welches Konto er sich per Passkey anmelden möchte, und nutzt dafür bestimmte Sicherheitsfeatures des dafür registrierten Geräts (z. B. den Fingerabdruck auf dem Smartphone). Ist dem Dienst bekannt, dass das verwendete Gerät dem betreffenden User gehört, lässt er die Anmeldung zu. Dafür muss auf diesem Gerät zuvor ein Passkey für den Dienst generiert worden sein, wofür ein sogenannter Authenticator zuständig ist. Als Authenticator können  Smartphone-Apps wie Google Passwortmanager, iCloud-Schlüsselbund oder Microsoft Authenticator, ein FIDO2-kompatibler USB-Security-Stick, aber auch Windows Hello oder ein Passwortmanager auf dem PC fungieren.

Passkeys: ein Blick unter die Haube

Wie funktioniert dies technisch? Die Grundlage ist die sogenannte Public-Key-Kryptografie. Hierbei handelt es sich um ein mathematisches Verfahren, bei dem zwei digitale Schlüssel generiert werden – ein privater und ein öffentlicher Schlüssel. Diese sind so benannt, weil der private Schlüssel stets von seinem Besitzer geheim gehalten werden muss, um die Sicherheit des Verfahrens zu gewährleisten. Der öffentliche Schlüssel dagegen kann, wie der Name schon sagt, öffentlich gemacht werden.

Die Public-Key-Kryptografie ist ein Verfahren der asymmetrischen Kryptografie. Das heißt, dass zur Ver- und Entschlüsselung jeweils unterschiedliche Schlüssel zur Anwendung kommen: Eine Zeichenkette, die mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden, und umgekehrt. Dies ist auch die technische Grundlage von Ende-zu-Ende-Verschlüsselung von E-Mails, von digitalen Signaturen, von HTTPS und anderen verbreiteten Verfahren im Internet, bei denen es auf lückenlose Sicherheit ankommt.

Die digitale Signatur, die auch beim Passkey eine Rolle spielt, funktioniert im Prinzip so: Eine Prüfsumme des zu signierenden Dokuments wird mit dem privaten Schlüssel des Signierenden verschlüsselt. Die Öffentlichkeit – jeder, der den zugehörigen öffentlichen Schlüssel hat – kann nun die Echtheit der Signatur prüfen, weil die Verschlüsselung durch den privaten Schlüssel nur durch den zugehörigen öffentlichen Schlüssel rückgängig gemacht werden kann.

Login per Challenge vom Server

Zurück zum Passkey: Nachdem der Authenticator des Users bei seiner Registrierung für einen Webdienst ein solches Schlüsselpaar generiert hat, verbleibt der private Schlüssel im Authenticator (also auf dem verknüpften Gerät im Besitz des Users). Der öffentliche Schlüssel dagegen wird an den Server des Dienstes geschickt, auf dem das Konto des Users liegt. Dieser öffentliche Schlüssel muss nicht geheim gehalten und kann also einfach im Klartext übermittelt werden.

Bei einer Login-Anfrage des Users schickt nun der Server eine sogenannte Challenge an den Authenticator. Hierbei handelt es sich um ein kleines Datenpaket, das vom Authenticator mit dem privaten Schlüssel des Nutzers signiert und so zurück an den Server geschickt wird. Dieser kann die Echtheit der Signatur prüfen, indem er sie mit dem zugehörigen öffentlichen Schlüssel (der zuvor vom Authenticator auf dem Server deponiert wurde) entschlüsselt.

Um dies noch einmal hervorzuheben: Bei der Authentifizierung per Passkey muss zwischen Authenticator und Konto-Server niemals eine geheime Information (wie etwa ein Passwort) übermittelt werden. Also kann auch kein Geheimnis von einem Angreifer abgefangen und missbraucht werden. Und weil Passkeys domainspezifisch erstellt werden, können auch gefälschte Phishing-Seiten, selbst solchen mit sehr ähnlichen Domainnamen, nichts ausrichten.

Passwort trotz Passkey?

Trotzdem sind auch bei Passkeys geheime Informationen im Spiel – nämlich der private Schlüssel des Users. Dieser muss sorgfältig geheim gehalten werden, um die Sicherheit des Verfahrens nicht zu beeinträchtigen. Das heißt, dass der Authenticator selbst ebenfalls gegen unbefugten Zugriff abgesichert werden muss.

Und wenn dieser nun nur durch ein Passwort gesichert ist, etwa das Masterpasswort eines Passwortmanagers oder die PIN des Smartphones? Das Verfahren ist trotzdem sehr viel sicherer als Online-Passwörter, da der Passkey an das jeweilige Gerät gebunden ist und dieses erst in die Hände eines Angreifers geraten müsste. Trotzdem ist es insbesondere bei Mobilgeräten ratsam, andere Absicherungsverfahren zu nutzen, die nicht nur sicherer, sondern auch bequemer einsetzbar sind, insbesondere biometrische Zugangsverfahren.

Auch bei der Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) per Passkey sind Passwörter in der Regel immer noch im Spiel: Hierbei handelt es sich oft um einen herkömmlichen Login mit Benutzernamen und Passwort, der, wie bei MFA üblich, durch einen zweiten Faktor abgesichert wird. Dieser zweite Faktor ist dann ein Passkey von einem Authenticator, der genauso generiert wird wie zuvor beschrieben.

Passkeys als Authentifizierungsmethode der Zukunft

Ein Vorteil von Passkeys gegenüber dem FIDO2-Standard, auf dem sie aufbauen, ist es, dass sie einfach zwischen verschiedenen Geräten synchronisiert werden können. Die FIDO Alliance, eine Industrievereinigung, der unter anderem Google, Microsoft, Samsung oder das deutsche BSI angehören, entwickelt gemeinsam mit dem W3C möglichst sichere, aber einfach zu nutzende Standards für die passwortlose Authentifizierung, um die Online-Security zu verbessern; Passkeys sind das neueste Ergebnis dieser Bemühungen.

Große Anbieter wie Google oder Apple implementieren die Synchronisation in ihrem jeweiligen Ökosystem bereits, so dass ihre User einmal generierte Passkeys ohne zusätzlichen Aufwand von verschiedenen Geräten aus nutzen können. User müssen dabei allerdings darauf vertrauen, dass die privaten Schlüssel tatsächlich verschlüsselt übermittelt werden. Unternehmen mit höheren Sicherheitsanforderungen verzichten daher oft auf die Synchronisation von Passkeys zwischen verschiedenen Devices, um zu verhindern, dass sie durch Angreifer abgefangen werden. Solche Passkeys werden als device-bound bezeichnet.

Viele Experten sehen Passkeys als die Authentifizierungsmethode der Zukunft, denn sie sind einfach zu nutzen, sicher und erfreuen sich breiter Unterstützung. Die FIDO Alliance bietet mittlerweile auch eine Zertifizierung für Authentifizierungsverfahren an. Das soll sicherstellen, dass die Lösungen verschiedener Hersteller miteinander interoperabel werden und bleiben.

Aktuell unterstützen bereits verschiedene Plattformen die Anmeldung mittels Passkey, entweder als Login-Methode oder als Teil von Multi-Faktor-Authentifizierung. Vorreiter war wie so oft Google. Auch Microsoft, PayPal, Ebay und andere Internetriesen setzen schon seit einiger Zeit auf Passkeys. Und inzwischen verbreiten sich Passkeys auch bei kleineren Unternehmen, etwa im Bereich Online-Shopping.

Und auch bei Domain Factory steht Ihnen die Welt der Passkeys offen: Sie können das Verfahren auch in Ihrer Webanwendung implementieren, um Ihren Kunden komfortable und sichere Logins anzubieten.

Titelmotiv: Bild von Gerd Altmann auf Pixabay