Passkey – eine Zukunft ohne Passwörter?

von Andreas Scheidmeir
Passkey - eine Zukunft ohne Passwörter

Passwörter sind in unserem digitalen Alltag allgegenwärtig. Sie erlauben den gesicherten Zugriff auf die eigenen sozialen Kanäle, das Online-Fotoalbum unserer Liebsten oder den Rechner am Arbeitsplatz. Doch sicher sind Logins mit Kennwort leider meistens nicht, da diese meist zu kurz sind, oft wiederverwendet werden oder bereits auf gehackten Passwort-Listen zu finden sind. Passwortmanager und Zwei-Faktor Authentifizierung verbessert die Sicherheit zwar, erhöht die Komplexität des Logins aber um weitere Schritte, die zusätzlich durch den Nutzer eingerichtet werden müssen.

Zukünftig soll diese Komplexität durch sogenannte Passkeys genommen werden und dabei eine höhere Sicherheit als die Kombination aus Passwort und Zwei-Faktor Auth bieten. In diesem Blogpost möchte ich einen Einblick in die Nutzererfahrung von Passkey geben und das dahinter liegende Verfahren grob vorstellen.

Was ist Passkey und wer steckt dahinter?

Wie das Wortspiel bereits andeutet, wird beim Passkey im Vergleich zu Password das Kennwort durch einen Schlüssel ersetzt. Um genau zu sein ein kryptografisches Schlüsselpaar, wie man es z.B. auch von SSL kennt. Das klingt im ersten Moment kompliziert (und technisch ist es das auch) aber von dieser Komplexität bekommt der Nutzer nichts mit, lediglich ein Nutzername muss gewählt werden und eine Bestätigung mittels biometrischen Scans oder Pin sind gefragt. Dabei wird automatisch pro Webseite oder App ein einzigartiges Schlüsselpaar erzeugt, bei dem der private Teil auf dem Gerät des Nutzers verbleibt. Etwas genauer beleuchte ich die Verfahren in den nächsten Abschnitten.

Apple ist mit der Veröffentlichung von macOS Ventura und iOS/iPadOS 16 Ende Oktober 2022 der erste große Hersteller, der Passkey offiziell unterstützt und bewirbt, aber Apple hat sich Passkey nicht selbst ausgedacht. Hinter der Technologie steht die FIDO-Allianz, ein industrieweiter Zusammenschluss, der seit 2013 an offenen und lizenzfreien Standards für die Authentifizierung im Internet arbeitet. Passkey ist die Frucht dieser Arbeit und große Teile dieser Technologie werden bereits seit längerem in Browsern und Betriebssystemen unterstützt. Wer schon einmal über fido-ready oder WebAuthn gestolpert ist, dem könnte das ein oder andere bekannt vorkommen. Der erweiterte Standard unter dem Namen Passkey soll nun weitreichende Unterstützung erhalten und vielleicht schon im kommenden Jahr eine echte Alternative zu klassischen Logins mit Passwort bieten.

Wie ist Passkey technisch umgesetzt?

In diesem Abschnitt möchte ich grob die technische Umsetzung von Passkey beleuchten, ohne zu sehr in die Tiefe zu gehen. Der Standard sieht zwei sogenannte Zeremonien vor: Registrierung und Authentifizierung.

Bei der Registrierung handeln Client und Server ein kryptografisches Schlüsselpaar aus, der private Schlüssel verbleibt auf dem Gerät, der öffentliche Teil wird auf dem Server gespeichert. Hier offenbart sich auch schon die erste Stärke von Passkey: Da es sich hier um ein asynchrones Verfahren handelt bringt es Hackern nichts, den Server zu knacken. Dabei erhalten sie nur Zugriff auf den sowieso öffentlichen Teil des Schlüssels, mit dem allein kein Zugriff auf das Nutzerkonto möglich ist. Der private Schlüssel ist auf dem Gerät geschützt und kann nur durch das gewählte Entsperrungsverfahren, das der Nutzer gewählt hat (z.B. FaceID, Finger-Scan oder PIN) freigegeben werden.

Die Authentifizierung läuft in mehreren Schritten ab.

Passkey sign in Verfahren

Bei einem Loginversuch prüft der Server zunächst, ob für den gegebenen Nutzernamen ein öffentlicher Schlüssel vorliegt. Ist dies der Fall so sendet er dem Client eine Challenge, die nur mittels des passenden privaten Schlüssels gelöst werden kann. Am Client passieren nun mehrere Dinge: Da Passkey pro Webseite oder App eindeutig ist, werden Phishing-Attacken direkt erkannt. Passen Domäne und Schlüssel zusammen, muss der Nutzer sich nun über sein gewähltes Entsperrungsverfahren ausweisen. Ist dies erfolgreich so wird der private Schlüssel freigegeben, der Client löst die Server-Challenge und sendet die Antwort zurück. Dabei verlässt der private Schlüssel nie das Gerät des Nutzers. Wenn die Antwort valide ist, ist der Login erfolgreich und der Nutzer eingeloggt. All dies passiert im Bruchteil einer Sekunde.

Doch was ist, wenn der Nutzer sich auf einem anderen Gerät anmelden will, als mit dem ursprünglich registrierten?

In diesem Fall gibt es mehrere Möglichkeiten: Wenn es ein weiteres privates Gerät des Nutzers ist, kann dieses zusätzlich mit einem neuen Passkey registriert werden oder der bereits vorhandene Passkey wird auf das neue Gerät synchronisiert. Dies bietet z.B. Apple über den an der AppleID gekoppelten Schlüsselbund zwischen macOS und iOS bereits an.

Wenn man sich an einem fremden Gerät anmelden will, ist dies über einen QR-Code möglich, vorausgesetzt beide Geräte unterstützen Bluetooth. Im Folgenden nenne ich das Gerät, auf dem der private Schlüssel liegt, Authenticator. Der Server schickt in diesem Fall wie oben eine Challenge an den Client, der diese aber nicht selbst lösen kann. Dafür wird über einen QR-Code zwischen Client und Authenticator eine Ende-zu-Ende verschlüsselte Bluetooth-Verbindung aufgebaut, die gleichzeitig sicherstellt, dass beide Geräte in unmittelbarer Nähe sind. Nun muss der Nutzer am Authenticator die Anmeldung bestätigen und sich ausweisen. Auch hier verlässt der private Schlüssel nicht das Gerät des Nutzers, nur die Antwort wird weitergereicht und der Login am Client bestätigt.

Das klingt alles recht kompliziert, doch diese Komplexität ist bei der Verwendung für den Nutzer kaum zu spüren. Einen Blick auf die Nutzererfahrung wirft der nächste Abschnitt.

Wie funktioniert Passkey aus Nutzersicht?

Damit Passkey von Nutzer akzeptiert und genutzt wird, muss das Verfahren mindestens genauso einfach und schnell wie der klassische Login ablaufen. Im Folgenden zeige ich die Nutzererfahrung anhand der Seite WebAuthn.io im Apple-Kontext auf, da hier die offizielle Unterstützung vorliegt. Doch auch unter Windows ist das Verfahren bei eingerichtetem Windows Hello möglich.

Bei der Registrierung wählt man, wie gewohnt, einen Nutzernamen und bestätigt die Wahl. Daraufhin erscheint ein Systemfenster, das mittels Touch ID bestätigt wird. Das ist alles, was der Nutzer mitbekommt. Im Hintergrund wurde damit das Schlüsselpaar generiert und der private Teil im iCloud-Schlüsselbund abgelegt, sodass er auch z.B. auf dem iPhone verfügbar ist.

Passkey Registrierung in Safari

Nun kennt Safari den Passkey für die Seite und bietet ihn automatisch als Login-Option an. Bei Auswahl erscheint wieder das Systemfenster zur Bestätigung mittels Touch ID und der Login ist abgeschlossen. Das Verfahren läuft so schnell durch, dass man sich gar nicht bewusst ist, dass hier effektiv eine Zwei-Faktor Authentifizierung durchgeführt wurde: der 1. Faktor ist das physikalische Gerät, auf dem der private Schlüssel liegt, der 2. Faktor ist die Identifizierung des Nutzers, idealerweise durch ein biometrisches Verfahren. Durch die Synchronisierung des Passkey ist die Anmeldung auf dem Handy genauso möglich.

Unter macOS und iOS können vorhandene Passkeys in den Systemeinstellungen unter dem Menüpunkt Passwörter eingesehen werden.

Passkeys in macOS Systemeinstellungen

Die Anmeldung an einem Fremdgerät ist über den QR-Code auch mit wenig Aufwand möglich. Dabei wird im Browser (hier Chrome) die Option „Smartphone mit QR-Code verwenden“ gewählt. Der angezeigte QR-Code kann über die Handykamera abgescannt werden. Dabei wird automatisch erkannt, dass es sich um eine Passkey Anmeldung handelt und nach der Bestätigung mittels Face-ID ist der Browser eingeloggt. Voraussetzung hierfür ist, wie beschrieben, eine Bluetooth-Verbindung zwischen den beiden Geräten. Im Test zwischen einem Edge-Browser und Android Smartphone kam es hier zu Problemen, sodass keine Anmeldung möglich war. Die Ursache hier war, dass keine Verbindung zwischen den Geräten zu Stande kam und somit die Authentifizierung nicht möglich war. Im Erfolgsfall ist die Anmeldung auf Fremdgeräten schnell und einfach, dies kann aber eine Barriere für Passkey darstellen.

Und was bringt mir Passkey aktuell?

Aktuell unterstützen noch die wenigsten Seiten und Apps Passkey. In den USA bietet Paypal (ein Gründungsmitglied der FIDO-Allianz) als einer der ersten Anbieter Logins über Passkey an, außerhalb der USA muss man sich aber noch bis 2023 gedulden (siehe hier). Auch Windows und Google Android arbeiten an der offiziellen Unterstützung von Passkeys, auch hier ist eine Veröffentlichung im Jahr 2023 geplant.

Aber damit Passkey wirklich von Nutzern adaptiert wird, bedarf es auch der Unterstützung von Webseitenbetreiber, App-Entwicklern und Unternehmen, Passkey zu integrieren und bei seinen Nutzern zu bewerben. Da es sich bei Passkey nicht um einen Ersatz des klassischen Logins mittels Nutzernamen und Passwort handelt, sondern eine Alternative, die sich nahtlos in bestehende Anmelde-Masken integrieren lässt, kann bereits jetzt die Options angeboten werden, um Logins in Zukunft deutlich sicherer zu gestalten.

Chancen und Bedenken zu Passkey

Mit Passkey steht eine vielversprechende Zukunft für sichere Logins direkt vor der Tür. Sie sind einfach zu bedienen, die grundlegende Technologien ist industrieweit standardisiert und wird in vielen Teilen schon jetzt unterstützt. Lediglich der Login auf Fremdgeräten ohne Bluetooth ist damit nicht mehr möglich. Natürlich bietet Passkey auch keine Absolute Sicherheit. Die privaten Schlüssel müssen bei der Synchronisierung zwischen Geräten unbedingt Ende-zu-Ende verschlüsselt werden und wenn man den Zugriff auf die Geräte mit privatem Schlüssel verliert, ist man ausgeschlossen. Aber im Vergleich zum klassischen Login mit Nutzername und Passwort ist der Gewinn an Sicherheit enorm. Jetzt liegt es an den Entwicklern, diese neue Technologie möglichst bald für die eigenen Nutzer anzubieten.

Links

Zurück

© 2006-2024 exensio GmbH
Einstellungen gespeichert

Datenschutzeinstellungen

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell, während andere uns helfen, diese Website und Ihre Erfahrung zu verbessern.

Sie können Ihre Einwilligung jederzeit ändern oder widerrufen, indem Sie auf den Link in der Datenschutzerklärung klicken.

Zu den gesetzlichen Rechenschaftspflichten gehört die Einwilligung (Opt-In) zu protokollieren und archivieren. Aus diesem Grund wird Ihre Opt-In Entscheidung in eine LOG-Datei geschrieben. In dieser Datei werden folgende Daten gespeichert:

 

  • IP-Adresse des Besuchers
  • Vom Besucher gewählte Datenschutzeinstellung (Privacy Level)
  • Datum und Zeit des Speicherns
  • Domain
You are using an outdated browser. The website may not be displayed correctly. Close