Google hat den Passwörtern schon vor vielen Jahren den Kampf angesagt und an unterschiedlichen Lösungen gearbeitet, um die Passwort-Problematik für die Nutzer in den Griff zu bekommen. Mit dem vor wenigen Tagen angekündigten Start der Passkeys, die von einer breiten Industrievereinigung unterstützt werden, könnte man das innerhalb kürzester Zeit umsetzen. Wir erklären euch, wie die Passkeys funktionieren und warum sie das Passwort ersetzen können.
Die Kombination aus Benutzername und Passwort ist seit Jahrzehnten der Standardschlüssel zum Login in Onlinedienste. Abwandlungen gibt es praktisch nicht, sodass zur Erhöhung der Sicherheit viele Jahre immer aufwendigere Passwörter von den Nutzern gefordert wurden: Mehr als acht Zeichen, mindestens eine Ziffer, mindestens ein Sonderzeichen, wenigstens einen Großbuchstaben, keine Zahlenfolgen,… ihr kennt das. Mit Blick auf Brute-Force-Methoden mag das sinnvoll erscheinen, aber man hat eher das Gegenteil erreicht.
Viele Nutzer denken sich EIN starkes Passwort aus, verwenden dieses Meisterwerk dann überall und sind beim Hack eines einzelnen Anbieters plötzlich stark gefährdet. Aber wer kann sich schon unzählige verschiedene Passwörter ausdenken und merken? Natürlich kann man sich eigene Muster schaffen, aber die Standardlösung war der Passwortmanager. Doch dann kam die Zwei-Faktor-Authentifizierung mit der zusätzlichen Hürde des Smartphones und plötzlich werden viele Logins aufwendiger, als sie eigentlich sein müssten.
Google will mit der FIDO-Allianz, die man selbst anführt, in der viele IT-Größen wie Apple und Microsoft vertreten sind, das klassische Passwort und den Loginvorgang abschaffen. Für die Nutzer soll alles einfacher werden, aber natürlich nur unter der Voraussetzung, dass es mindestens genauso sicher wie die bisher verwendeten Technologien ist.
Passkeys sollen Passwörter ersetzen. Aber natürlich ergäbe es nur wenig Sinn, wenn man das eine durch das andere ersetzen würde, also steckt mehr dahinter. Denn Passkeys ersetzen nicht nur das Passwort, sondern die Kombination aus Benutzername und Passwort. Sie ersetzen die gesamte Hürde zum Zugang in das Onlinekonto, sodass nur noch eine einzige Information ausgetauscht werden muss, um in ein Konto zu gelangen.
Bei der Registrierung in einem Onlineservice werden zwei kryptographische Schlüssel erstellt – ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche Schlüssel wird an den Onlinedienst weitergeleitet, wo dieser mit dem Konto des Nutzers verbunden wird. Der private Schlüssel verbleibt auf dem Gerät des Nutzers und wird dieses auch niemals verlassen. Dieser wird nur auf dem Gerät verwendet, um den Nutzer zu identifizieren. Dieser identifiziert den Nutzer und die von ihm verwendeten Methode zur Authentifzierung gegenüber des Geräts. Fingerabdruck, Gesichtsscan, PIN oder wieder ein Passwort.
Beim Login wird die Kombination aus beidem benötigt. Der Nutzer muss sich auf dem eigenen Gerät authentisieren (nicht immer), um sicherzustellen, dass es sich dabei um den Nutzer handelt. Vergleichbar mit dem Entsperren des Smartphones. Wird dies erfolgreich durchgeführt, kann der öffentliche Schlüssel abgerufen und an den Onlinedienst gesendet werden. Über diesen kann man sich dann ohne weitere Eingaben einloggen. Soweit die Theorie. In der Praxis zeigt sich allerdings das Problem, dass der Login dann nur auf diesem einen Gerät funktioniert.
Und hier kommen die Unternehmen im Hintergrund zum Einsatz, wobei allen voran Google, Apple und Microsoft die Plattformen bieten werden, um einen FIDO-Login zu ermöglichen.
Um den Geräte-übergreifenden Login zu ermöglichen, sollen die privaten Schlüssel in der Cloud abgelegt und mit dem Konto des Nutzers verbunden werden. Vergleichbar mit den heute in der Cloud gespeicherten Passwörtern. Durch die Synchronisierung kann sich der Nutzer dann überall einloggen, wo das Konto von Google, Apple, Microsoft oder einem anderen Betreiber angemeldet ist. Dadurch gibt man zwar die Sicherheit theoretisch wieder aus der Hand, aber das ist bei den Passwortmanagern mit Cloud-Sync ähnlich gelagert. Außerdem werden die Schlüssel standardmäßig ebenfalls wieder verschlüsselt in der Cloud abgelegt.
Diese neue Lösung wurde schon im vergangenen Jahr in Android integriert, zum Ende des Jahres im Chrome-Browser und erst vor wenigen Tagen hat man diese Login-Möglichkeit für alle Google-Nutzer freigeschaltet. Natürlich müssen auch die Onlinedienste dies unterstützen, aber ich denke, dass Google, Apple und Microsoft genügend Anreize (nett gesagt für „sanften Druck“) schaffen werden, um das schnell zu verbreiten. Und so könnte Googles Ankündigung „Der Anfang vom Ende des Passworts“ schon sehr schnell Wirklichkeit werden.
Letzte Aktualisierung am 13.04.2024 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!