Sichere Authentifizierung: Werden Passkeys das Passwort ablösen?

Kennwörter sind zum größten Ärgernis unseres digitalen Lebens geworden.

Obwohl jeder weiß, dass ein sicheres Passwort aus mindestens 12 Zeichen mit Groß- und Kleinbuchstaben, Zahlen und Symbolen bestehen sollte, ist Bequemlichkeit für jeden, der kein fotografisches Gedächtnis hat, wichtiger als Sicherheit.

Viele von uns verwenden heimlich das gleiche Passwort für mehrere Websites, um sich nicht Dutzende von individuellen Kennwörtern für jede Website und jedes Gerät merken zu müssen. 

Sollte jedoch Ihr Lieblingsshop im Internet von einer Datenpanne betroffen sein, werden Hacker versuchen, Ihre Anmeldedaten für beliebte Dienste wie Amazon, Netflix, PayPal und so weiter zu verwenden.

Wer seine E-Mail-Adresse auf der Have I Been Pwned-Website eingibt, wird staunen, wie viele Datenschutzverletzungen mit seiner E-Mail-Adresse verbunden sind.

Daher entscheiden sich viele Benutzer für eine mehrstufige Authentifizierung und einen Passwort-Manager, der ihnen die ganze Arbeit abnimmt. Aber auch diese Methoden können ihre Nachteile haben.

Zum Thema: Sicheres Passwort erstellen: 5 Expertentipps zur sofortigen Anwendung

Wichtigste Erkenntnisse

  • Trotz aller Bemühungen führen Passwörter oft zur Wiederverwendung, Frustration und Kompromittierung, da Nutzer tendenziell die Bequemlichkeit über die Sicherheit stellen.
  • Passwort-Manager bieten zwar eine Lösung, doch die jüngsten Sicherheitsverletzungen bei beliebten Plattformen wie LastPass zeigen, dass ein neuer Ansatz für die Online-Authentifizierung entwickelt werden muss.
  • Passkeys, bei denen biometrische Daten oder Geräte-PINs zum Einsatz kommen und die von Unternehmen wie Apple, Google und Microsoft gefördert werden, stellen eine potenzielle Revolution in der Online-Sicherheit dar, indem sie die Abhängigkeit von herkömmlichen Passwörtern abschaffen.
  • Ihre breite Einführung ist jedoch mit Herausforderungen wie Interoperabilität, Datenschutz und -sicherheit verbunden.

Sind Passwort-Manager wirklich so sicher?

Seit 2015 hat der Passwort-Manager LastPass eine Reihe von Sicherheitsverletzungen erlitten, bei denen E-Mails und Master-Passwörter von Benutzern offengelegt wurden.

Bei einer größeren Datenpanne im Jahr 2022 wurden Kundendaten und Vault-Informationen von Usern kompromittiert.

Die Enthüllung gestohlener verschlüsselter Backups und des potenziellen Zugangs zu Verschlüsselungsschlüsseln bei diesen Verstößen verdeutlicht einen besorgniserregenden Trend im Bereich der Cybersicherheit.

Die weit verbreitete Gewohnheit der Wiederverwendung von Passwörtern wurde als Ursache für die Kompromittierung des Passwort-Managers von Norton LifeLock verantwortlich gemacht. Zusammengenommen ergeben diese Vorfälle ein ziemlich beunruhigendes Bild.

Sind Passwort-Manager im Jahr 2024 sicher? Das hängt ganz davon ab, wie man sie einsetzt. Sollte man als Standard-Passwort für alle Konten so etwas wie 123456 gewählt und keine Multifaktor-Authentifizierung aktiviert haben, ist die Stabilität des Passwort-Tresors irrelevant.

Bei derart vorhersehbaren Anmeldedaten ist es nur eine Frage der Zeit, bis ein Unbefugter sie entschlüsselt. Die Sicherheit eines Passwort-Managers wird maßgeblich davon beeinflusst, wie verantwortungsbewusst und klug er vom Einzelnen genutzt wird.

Fazit: ein neuer Ansatz muss her.

Zum Thema: Die besten Passwort Manager 2024 – Test & Vergleich

Von Passwörtern zu Passkeys: die Zukunft der sicheren Authentifizierung

Passkeys stellen einen revolutionären Wandel in der Online-Authentifizierung dar und signalisieren ein mögliches Ende der traditionellen Passwort-Ära, die wir so sehr hassen.

Zur Gewährleistung der Sicherheit beim Zugriff auf Online-Konten kommen bei diesen innovativen passwortlosen Lösungen biometrische Daten oder Geräte-PINs zum Einsatz.

Im Unterschied zu herkömmlichen Passwörtern verlassen sich Passkeys nicht auf potenziell schwache und häufig wiederverwendete Anmeldedaten. So bilden sie einen robusten Schutz gegen die Schwachstellen, die passwortbasierte Systeme plagen.

Um das Potenzial von Passkeys zur Verbesserung der Online-Sicherheit zu verstehen, sollte man ihre Funktionsweise kennen.

Ein Passkey ist eine Kombination aus einem privaten kryptografischen Schlüssel, der lokal auf dem User-Gerät gespeichert ist, und einem öffentlichen kryptografischen Schlüssel im Besitz des Dienstanbieters.

Beim Einloggen in ein Konto mit aktivierten Passkeys fordert der Server den Authentifikator des Nutzers (z. B. ein Telefon oder einen Computer) heraus.

Daraufhin antwortet der Authentifikator mit dem privaten Schlüssel und bestätigt die Identität des Benutzers, ohne dass ein herkömmliches Passwort erforderlich ist.

Dieses Verfahren, das als Signieren der Daten bekannt ist, bietet eine sicherere und Phishing-resistente Authentifizierungsmethode, die das Risiko der Kompromittierung von Anmeldedaten drastisch reduziert.

Google ist eines der großen Tech-Unternehmen, die Passkeys befürworten. Im letzten Jahr kündigte es die Einführung von Passkeys in seinem Blog als The Beginning of the End of the Password“ (dt. Der Anfang vom Ende des Passworts) an.

Trotz der verbesserten Sicherheit von Passkeys wird die Debatte darüber, ob sie Passwörter tatsächlich ersetzen werden, weitergeführt.

Die größte Herausforderung liegt in der Akzeptanz und der Interoperabilität über verschiedene Plattformen und Geräte hinweg. Nur eine Handvoll Websites unterstützt Passkeys, und es kann komplex sein, sie geräteübergreifend zu verwalten.

Während bei Passkeys die Notwendigkeit der Erinnerung an mehrere Passwörter entfällt und das Risiko von Phishing-Angriffen deutlich verringert wird, kann die Abhängigkeit von bestimmten Geräten für die Authentifizierung zu Problemen führen, sollte das Gerät nicht verfügbar oder mit einem anderen Betriebssystem inkompatibel sein.

Herausforderungen beim Übergang zu Passkeys

Während Passkeys einen bedeutenden Fortschritt in der Online-Sicherheit darstellen, bringen sie auch Herausforderungen mit sich, die es zu berücksichtigen gilt.

Der Übergang zu Passkeys bedeutet einen Kompromiss zwischen erhöhter Sicherheit und der Flexibilität herkömmlicher Passwortsysteme.

So schränken beispielsweise Passkeys, die an biometrische Daten oder gerätespezifische Anmeldeinformationen gebunden sind, die Möglichkeit ein, den Zugang mit vertrauenswürdigen Personen zu teilen – eine gängige Praxis in Familien oder Notfällen.

Diese Möglichkeit könnte sich auf Szenarien auswirken, in denen Eltern die Online-Aktivitäten ihrer Kinder überwachen oder den Zugriff auf gemeinsame Konten freigeben müssen.

Darüber hinaus wirft die Technologie berechtigte Bedenken hinsichtlich des Datenschutzes und der -sicherheit auf.

Die Übermittlung einzigartiger biometrischer Daten an Dienstanbieter geht mit der Gefahr des Missbrauchs oder der unbefugten Weitergabe von Daten einher.

Außerdem birgt der gerätespezifische Charakter von Passkeys das Risiko des Zugangsverlusts. Im Falle eines Diebstahls oder einer Änderung der Telefonnummer könnten die Nutzer von ihren Konten ausgesperrt werden.

Während die meisten Plattformen Wiederherstellungsoptionen für verlorene Passwörter anbieten, sind die entsprechenden Mechanismen für Passkeys, wie z. B. Wiederherstellungsschlüssel, noch nicht allgemein implementiert und erfordern proaktive Maßnahmen seitens der Nutzer.

Die vollständige Abschaffung von Passwörtern wird nicht über Nacht erfolgen. Es ist noch ein weiter Weg, bis die Unternehmen die FIDO-Industriestandards für die Entwicklung von Passkey vollständig übernehmen.

Auch wenn die üblichen Verdächtigen wie Apple, Google und Microsoft die Passkey-Technologie unterstützen und fördern, wird es einige Zeit dauern, bis die Hunderte von Websites und Anwendungen, die derzeit ein Passwort zur Anmeldung erfordern, darauf umgestellt sind.

Die derzeit begrenzte Unterstützung für Passkeys auf Websites und in Anwendungen bedeutet außerdem, dass Nutzer einen hybriden Ansatz aus herkömmlichen Passwörtern und Passkeys beibehalten müssen, was die digitale Sicherheitsstruktur verkompliziert. 

Obwohl Passkeys einen Schritt nach vorn bei der Sicherung von Online-Identitäten darstellen, erfordern ihre Umsetzung und Akzeptanz eine sorgfältige Navigation durch diese neuen Herausforderungen.

Fazit

Das Aufkommen von Passkeys ist eine bedeutende Abkehr von herkömmlichen Passwörtern. Der neue Ansatz zur sicheren Authentifizierung bietet eine schlankere, benutzerfreundlichere und sicherere Methode zum Schutz unserer Online-Identitäten.

Die Ablösung von Passwörtern durch Passkeys wird jedoch ein langsamer, schrittweiser Prozess sein, der eine Änderung des Nutzerverhaltens und eine Anpassung der Technologie erfordert.

Momentan stellt die Einführung von Passkeys, insbesondere für sensible Konten, einen klugen Schritt zur Erhöhung der Sicherheit dar.

Bis sie jedoch allgemeine Akzeptanz finden und zu einem nahtlosen Teil unserer digitalen Routine werden, ist die Beibehaltung solider Sicherheitspraktiken, wie die Aktivierung der Multifaktor-Authentifizierung und die Verwendung starker Passwörter, weiterhin unerlässlich.

Passkeys bieten eine vielversprechende Zukunft für die Cybersicherheit, aber diese Zukunft ist noch im Entstehen begriffen.

Verwandte Begriffe

Neil C. Hughes

Neil ist ein freiberuflicher Tech-Journalist mit über zwei Jahrzehnten IT-Erfahrung. Er wurde als einer der Top Voices in Technology von LinkedIn gefeiert und vom CIO Magazine und ZDNet für seine einflussreichen Einblicke anerkannt. Neil hat für Publikationen wie INC, TNW, TechHQ und Cybernews geschrieben und moderiert außerdem den beliebten Tech Talks Daily Podcast.