Google will Passwörter abschaffen und durch Passkeys ersetzen – so funktioniert das neue FIDO-System
Google hat den Passwörtern schon vor vielen Jahren den Kampf angesagt und hat an unterschiedlichen Lösungen gearbeitet, um die Passwort-Problematik für die Nutzer in den Griff zu bekommen. Mit der kürzlichen Ankündigung der Passkeys, die von einer sehr breiten Industrievereinigung unterstützt werden, könnte man das innerhalb kürzester Zeit umsetzen. Wir erklären euch, wie die Passkeys funktionieren und warum sie das Passwort ersetzen können.
Die Kombination aus Benutzername und Passwort ist seit Jahrzehnten der Standardschlüssel zum Login in Onlinedienste. Abwandlungen gibt es praktisch nicht, sodass zur Erhöhung der Sicherheit viele Jahre immer aufwendigere Passwörter von den Nutzern gefordert wurden: Mehr als acht Zeichen, mindestens eine Ziffer, mindestens ein Sonderzeichen, wenigstens einen Großbuchstaben, keine Zahlenfolgen,… ihr kennt das. Mit Blick auf Brute-Force-Methoden mag das sinnvoll erscheinen, aber man hat eher das Gegenteil erreicht.
Viele Nutzer denken sich EIN starkes Passwort aus, verwenden dieses Meisterwerk dann überall und sind beim Hack eines einzelnen Anbieters plötzlich stark gefährdet. Aber wer kann sich schon unzählige verschiedene Passwörter ausdenken und merken? Natürlich kann man sich eigene Muster schaffen, aber die Standardlösung war der Passwortmanager. Doch dann kam die Zwei-Faktor-Authentifizierung mit der zusätzlichen Hürde des Smartphones und plötzlich werden viele Logins sehr viel aufwendiger, als sie eigentlich sein müssten.
Google will mit der FIDO-Allianz, die man selbst anführt, in der aber sehr viele IT-Größen wie Apple und Microsoft vertreten sind, das klassische Passwort und den Loginvorgang abschaffen. Für die Nutzer soll alles einfacher werden, aber natürlich nur unter der Voraussetzung, dass es mindestens genauso sicher wie die bisher verwendeten Technologien ist.
Passkeys sollen Passwörter ersetzen. Aber natürlich ergäbe es nur wenig Sinn, wenn man das eine durch das andere ersetzen würde, also steckt mehr dahinter. Denn Passkeys ersetzen nicht nur das Passwort, sondern die Kombination aus Benutzername und Passwort. Sie ersetzen die gesamte Hürde zum Zugang in das Onlinekonto, sodass nur noch eine einzige Information ausgetauscht werden muss, um in ein Konto zu gelangen.
Bei der Registrierung bei einem Onlineservice werden zwei kryptographische Schlüssel erstellt – ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche wird an den Onlinedienst weitergeleitet, wo dieser mit dem Konto des Nutzers verbunden wird. Der private Schlüssel verbleibt auf dem Gerät des Nutzers und wird dieses auch niemals verlassen. Dieser wird nur auf dem Gerät verwendet, um den Nutzer zu identifizieren. Dieser identifiziert den Nutzer und die von ihm verwendeten Methode zur Authentifzierung gegenüber des Geräts. Fingerabdruck, Gesichtsscan, PIN oder wieder ein Passwort.
Beim Login wird die Kombination aus beidem benötigt. Der Nutzer muss sich auf dem eigenen Gerät authentisieren (nicht immer), um sicherzustellen, dass es sich dabei um den Nutzer handelt. Vergleichbar mit dem Entsperren des Smartphones. Wird dies erfolgreich durchgeführt, kann der öffentliche Schlüssel abgerufen und an den Onlinedienst gesendet werden. Über diesen kann man sich dann ohne weitere Eingaben einloggen. Soweit die Theorie. In der Praxis zeigt sich allerdings das Problem, dass der Login dann nur auf diesem einen Gerät funktioniert.
Und hier kommen die Unternehmen im Hintergrund zum Einsatz, wobei allen voran Google, Apple und Microsoft die Plattformen bieten werden, um einen FIDO-Login zu ermöglichen.
Um den Geräte-übergreifenden Login zu ermöglichen, sollen die öffentlichen Schlüssel in der Cloud abgelegt und mit dem Konto des Nutzers verbunden werden. Vergleichbar mit den heute in der Cloud gespeicherten Passwörtern. Durch die Synchronisierung kann sich der Nutzer dann überall einloggen, wo das Konto von Google, Apple, Microsoft oder einem anderen Betreiber angemeldet ist. Dadurch gibt man zwar die Sicherheit theoretisch wieder aus der Hand, aber das ist bei den Passwortmanagern mit Cloud-Sync ähnlich gelagert.
Diese neue Lösung soll schon in den nächsten Monaten sehr vielen Nutzern angeboten werden, wobei die Plattformbetreiber bereits die notwendige Vorarbeit geleistet haben. Natürlich müssen auch die Onlinedienste dies unterstützen, aber ich denke, dass Google, Apple und Microsoft genügend Anreize (nett gesagt für „sanften Druck“) schaffen werden, um das schnell zu verbreiten. Und so könnte Googles Ankündigung „Hello passkeys, goodbye passwords“ schon sehr schnell Wirklichkeit werden.
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Teile diesen Artikel:
Hi Jens,
man gibt durch Cloud-Sync nicht zwangsläufig die Sicherheit aus der Hand. Die meisten Online-Passwortmanager speichern nur einen verschlüsselten Blob welcher durch eine lokale Javascript Library entschlüsselt wird. Dadurch verlässt das Master-Passwort nie das Endgerät.
Es gibt auch USB Dongle, genannt Fido-Key. Dann braucht’s weder online Dienste noch Lücken behaftete Software Lösungen..
Wieviele Milliseconds nach Einführung des System dauert es wohl, bis die Politik die zwangsweise Ausleitung der private Keys auf Polizeiserver verlangt?
So einem System traue ich persönlich noch weniger über den Weg, als ich der Stärke meiner eigenen in Passwortdatenbank geseicherter Passwörter traue.