In unserem Blog-Beitrag der vergangenen Woche „Doppelt hält besser: Zwei-Faktor-Authentisierung (2FA)“ haben wir bereits dargestellt, dass eine Anmeldung unter ausschließlicher Verwendung von Benutzernamen und Passwort mit Risiken behaftet ist. Während eine Zwei-Faktor-Authentisierung diesen Anmeldevorgang durch ein zusätzliches Merkmal absichert, stellt die Nutzung von Passkeys einen anderen Weg zur Anmeldung dar. Wie das funktioniert und was dabei zu beachten ist, erfahren Sie im nachfolgenden Beitrag.
Wie funktioniert die Anmeldung mit Passkeys?
Die Verwendung von Passkeys stellt eine passwortlose Anmeldemethode dar und basiert auf dem Verfahren der asymmetrischen Verschlüsselung. Hierbei wird zunächst ein Schlüsselpaar, bestehend aus einem privaten und einem öffentlichen Schlüssel, erzeugt. Der private Schlüssel verbleibt lokal auf dem jeweiligen Endgerät und ist zwingend geheim zu halten. Der öffentliche Schlüssel wird dem jeweiligen Dienst für die Durchführung des Anmeldevorgangs zur Verfügung gestellt. Damit ist die Anmeldung mit Passkeys einerseits grundsätzlich geräte- und nicht personenbezogen und erfordert andererseits für jeden Dienst ein eigenes Schlüsselpaar – ein Sicherheitsgewinn, wenn man bedenkt, wie viele Personen identische Passwörter für unterschiedliche Dienste nutzen.
Sofern die Verwendung von Passkeys für einen Dienst aktiviert und das benötigte Schlüsselpaar erstellt wurde, wird im Rahmen des Anmeldeverfahrens vom jeweiligen Dienst zunächst eine komplexe Rechenaufgabe an das jeweilige Endgerät übermittelt – keine Angst, die löst das jeweilige Endgerät für Sie! Aus der korrekten Antwort erstellt das Endgerät nun mittels des privaten Schlüssels eine digitale Signatur, welche wiederum an den jeweiligen Dienst gesendet wird. Der Dienst überprüft sodann anhand des öffentlichen Schlüssels, ob die digitale Signatur korrekt ist. Ist dies der Fall, ist die Authentifizierung erfolgreich abgeschlossen – alternativ wird der Zugriff auf den Dienst verweigert.
Im Übrigen ist auch im Rahmen des Passkey-Verfahrens die Zwei-Faktor-Authentisierung anzuwenden. Denn nur aus einer Kombination aus den Faktoren Besitz (des Endgeräts) und Wissen (Geräte-PIN) bzw. Biometrie (Fingerabdruck, Gesicht) wird sichergestellt, dass die Anmeldefunktion beispielsweise im Falle eines Geräteverlusts nicht durch Unbefugte missbraucht wird. Die Abfrage des zweiten Faktors erfolgt in der Regel automatisch im zeitlichen Zusammenhang mit der Lösung der komplexen Rechenaufgabe. Für die Nutzenden des Passkey-Verfahrens entsteht hieraus eine kaum spürbare Verzögerung.
Wo kann ich Passkeys nutzen?
Die Verbreitung von Anmeldeverfahren mittels Passkeys hat in den vergangenen Monaten deutlich zugenommen. So bieten bereits jetzt schon Apple, Amazon, Google, Microsoft, PayPal und eine Vielzahl weiterer Dienste das Passkey-Verfahren an. Eine Auflistung bekannter Diensteanbieter, die das Passkey-Verfahren nutzen, finden Sie hier. Übrigens kann das Passkey-Verfahren auch dann angewandt werden, wenn die Passkeys auf dem Smartphone abgelegt sind, aber eine Anmeldung an einem PC erfolgen soll. Durch Kommunikation per Bluetooth ist auch eine Anwendung über Gerätegrenzen hinweg möglich.
Was passiert, wenn ich mein Endgerät verliere?
Ein Nachteil der gerätebezogenen Authentifizierung wird im Falle eines Geräteverlustes deutlich. Nur wenn lokale Backups vorhanden sind oder Passkeys in einer Cloud synchronisiert wurden, kann rasch eine Wiederherstellung der Zugänge erfolgen. Darüber hinaus sind alternative Verfahren zum Identitätsnachweis und zum Generieren neuer Passkeys zu nutzen. In selteneren Fällen kann eine Kontaktaufnahme mit dem Diensteanbieter zur Wiederherstellung des Accounts erforderlich sein.
Vor- und Nachteile von Passkeys
Die Nutzung von Passkeys ist einfacher (kein Erfinden kreativer Passwörter), schneller und bequemer (kein lästiges Eintippen von kryptischen Zeichenfolgen bei der Anmeldung) sowie deutlich sicherer. Ein ausdrücklicher Vorteil des Passkey-Verfahrens besteht nämlich unter anderem in der Phishing-Resilienz, da der private Schlüssel seitens der Nutzenden im Gegensatz zu Passwörtern nicht einfach offengelegt werden kann. Die beliebte Betrugsmethode läuft damit in aller Regel ins Leere.
Ein gleichzeitiger Vor- und Nachteil ist, dass Accounts aufgrund des Gerätebezuges nicht mehr so leicht geteilt werden können. Was bezüglich des privaten Streaming-Dienstes einen echten Nachteil darstellen kann, ist im dienstlichen Kontext insbesondere für die IT-Abteilung und den Informationssicherheitsbeauftragten ein echter Segen. Ein deutlicher Nachteil ist wiederum, dass die Verwendung des Passkey-Verfahrens voraussetzt, dass jede Person einer Organisation über ein mobiles (dienstliches) Endgerät verfügt.
Fazit
Das Passkey-Verfahren mag zwar zunächst kompliziert erscheinen, die Vorteile – allen voran die Sicherheitsaspekte – überzeugen jedoch. Ein zeitnaher Umstieg sollte ernsthaft in Betracht gezogen werden. Die Tage des weit verbreiteten Passwortschutzes scheinen damit gezählt. Weitere Informationen zum Thema erhalten Sie auch in der Podcast-Folge „Passkey statt Passwort – was steckt dahinter?“ des Bundesamtes für Sicherheit in der Informationstechnik.
Über den Autor: Max Just, LL.M. ist Wirtschaftsjurist und als externer Datenschutz- und Informationssicherheitsbeauftragter beim DID Dresdner Institut für Datenschutz tätig. Neben diversen öffentlichen Stellen berät er ebenfalls verschiedene IT- und mittelständische Unternehmen. Im Silicon Saxony e.V. nimmt er die Funktion als Leiter des Arbeitskreises Privacy & Security wahr. Für Anregungen und Reaktionen zu diesem Beitrag können Sie den Autor gern per E-Mail kontaktieren.
