Passkey-Authentifizierung: Ein Einblick in die Funktionsweise des Logins ohne Passwort

Tauchen Sie ein in die Ära der modernen Authentifizierung mit Passkeys: Erfahren Sie, wie Passkeys die Online-Welt revolutionieren können und erkunden Sie die technischen Backgrounds jener fortschrittlichen Sicherheitsmethode. Adieu Passwörter, adieu Phishing. Hallo neuartiger und origineller Login via Passkey! Simpel, schnell sowie sicher.

Im Jahr 2012 wurde die FIDO-Alliance erschaffen. Das Ziel: Einen lizenzfreien neuen Standard für die Authentifizierung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba und Amazon. Die Einrichtung hat eine neue Technologie erschaffen, die wir in dem Artikel genauer unter die Lupe nehmen möchten: Authentifizierung mittels Passkeys. Die Absicht der FIDO: Rasche Online-Ausweisung. Passwörter sollen abgeschafft plus Logins im Prinzip bequemer, jedoch simultan auch safer gemacht werden. Aber wie soll das bloß funktionieren?!

1. Passkey: Was ist das?

In einer aktuellen Analyse von 1Password gab jeder (!) Befragte an, schon einmal direkt sowie indirekt mit Phishing in Berührung gelangt zu sein. Insofern verwundert es keineswegs, dass der Großteil der Befragten eine sichere Login-Methode für ihre Online-Accounts für äußerst wichtig hält . Die Zwei-Faktor-Authentifizierung (2FA) klingt hier zwar in der Systematik nach einer guten Lösung, hat jedoch einen größeren Haken: Man kann sich unglaublich leicht selbst heraussperren aus seinen persönlichen Konten. Von dem temporären Aufwand mal ganz zu schweigen. Einfach sowie „smooth“ ist der 2FA-Login auf keinen Fall. Außerdem werden selbstverständlich ebenso Hacker immer smarter: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Maßnahmen gefunden, SMS abzufangen und auf diese Weise an den zweiten Faktor für eine Authentifizierung zu kommen. Tatsächlich geschützt wäre ein Login demnach bloß, wenn es gar keine Zugangsdaten gäbe, welche man ausspionieren könnte. Und genau an jener Stelle kommen Passkeys ins Spiel!

Passkeys, auch bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegensatz zu gewöhnlichen Passwörtern bieten diese eine zusätzliche Sicherheitsebene, indem sie eine physische Komponente in die Authentifizierung integrieren. Die Eingebung hinter Passkeys ist, dass der Nutzer Zugang zu all den eigenen Online-Konten im Netz hat, ohne dass man sich jedes Mal mit Loginnamen sowie Kennwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, welche ausspioniert werden könnten. Selbige wurden entwickelt, um eine passwortlose Registrierung bei Websites und Apps zu ermöglichen und das Benutzererlebnis einfacher wie auch phishing-sicher zu formen.

2. Aber wie funktioniert das?

Also, bei der Erstellung eines Accounts bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel generiert, die untereinander mathematisch verknüpft sind:

Ein öffentlicher Schlüssel – dieser wird mit dem Service, beispielsweise einer Internetseite oder einer App geteilt und dient dazu, Infos zu verschlüsseln, welche lediglich der private Schlüssel decodieren kann.
Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, vollkommen zufällig generierte Abfolge von Kennzeichen. Dieser private Schlüssel ist ausschließlich auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Gerätschaften, beispielsweise dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und auch kein Passwort mehr nötig.

3. Was ist technisch erforderlich?

Um Passkeys benutzen zu können, sind zwei Punkte technisch erforderlich: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um geschützt mit dem Webbrowser kommunizieren zu können. Der Online-Service, bei dem man sich anmelden will, muss hierüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Dies ist eine Verbindung, welche nötig ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, beglaubigen zu können.

Da Passkeys also auf den jeweiligen Geräten gelagert werden, drängt sich selbstverständlich sofort eine wesentliche Frage auf: Auf welche Weise lassen sich die Endgeräte vor unbekannten Zugriffen schützen? Denn in jenem Fall stünden einem Hacker Tür und Tor offen, sobald er ein fremdes Endgerät in der Hand hat. Aber glücklicherweise gibt es dafür bereits Lösungen: Denn die neumodernen Modelle von Geräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- sowie ebenso App-Entsperrung durch biometrische Scans an. Die populärsten sind Fingerabdruckscan sowie Face ID. So entsteht durch die Kombination aus Passkey plus biometrischen Daten eine extrem sichere Form der Authentifizierung.

4. amazon, Google, Facebook & Co.: Wer bietet Passkeys an?

Die Anwendung von Passkeys bietet eine ganze Reihe von Vorzügen für Nutzer und Firmen. Hierzu gehören eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine verbesserte Benutzererfahrung durch nahtlose Anmeldung sowie eine Reduzierung des Risikos von Phishing-Angriffen sowie Passwortdiebstahl. Einige Technologiereisen haben deshalb ebenfalls schon Passkeys implementiert – zuletzt mit allerhand Furore der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Anfang sein – Experten gehen davon aus, dass Passkeys sich zunehmend am Markt verbreiten und als Norm eingesetzt werden.

5. Fazit

Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos und physisch?

Bei Fragen zum Thema 2FA sowie Passkeys schreiben Sie uns gerne an.
Wir beraten und betreuen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!

Kontaktieren Sie uns noch heute!