News

Die Zukunft der Passwörter: Passkeys

Erstellt durch DALLE-E-3

Das Prinzip von Passwörtern lässt sich bis ins 16. Jahrhundert zurückverfolgen. Im Laufe der Zeit haben Passwörter verschiedene Entwicklungsstadien durchlaufen. Heute gilt ein Passwort als „sicher“, wenn es Anforderungen wie mindestens 13 Zeichen, Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen erfüllt. Und für jeden Dienst auch noch ein eigenes, mit einem zusätzlichen Faktor wie OTP. Mittlerweile wird es schwierig, den Überblick über alle Logins zu behalten. Wer keinen Passwortmanager nutzt, verwendet dann oft für alles das gleiche Passwort, was dann dazu führt, dass wenn dieses Passwort öffentlich wird, alle anderen Logins in Gefahr geraten. Welcher Passwortmanager der Beste ist und wie die aktuellen Passworttresore im Vergleich abschneiden, haben wir hier schon einmal für euch getestet.

Die Verwendung eines Passworttresors und damit die Erstellung von individuellen, zufallsgenerierten Passwörtern für jeden Dienst ist ein großer Pluspunkt für die eigene Sicherheit. Leider können gezielte Phishing Angriffe, sogenanntes „Spear-Phishing“, oder Malware trotzdem mit gezielten Tricks an eure Passwörter kommen. Wie bereits erwähnt, wer einen Passwortmanager richtig einsetzt, schützt seine Logins zwar sehr gut, ein Restrisiko, dass Daten „geknackt“ werden, besteht aber trotzdem.

Passkeys, die neue Generation

Nun haben sich die großen Tech-Giganten Google, Apple & Microsoft zusammengetan und eine neue Generation von Passwörtern geschaffen. Die Rede ist von den sogenannten „Passkeys“. Passkeys sind, wie der Name schon erahnen lässt, digitale Schlüssel für Logins. Sie bieten den Vorteil, dass sie weder abgefischt noch versehentlich weitergegeben werden können. Wie Passkeys genau funktionieren, erklären wir im Folgenden.

Bei der Erstellung eines Passkeys für eine Website wird zunächst ein privater kryptographischer Schlüssel auf dem Gerät erzeugt und nach dem AES-256-Bit-Verfahren verschlüsselt. Dieser wird niemals weitergegeben und bleibt dauerhaft bei euch. Er kann z.B. in eurem Passwortmanager oder in einem Sicherheitsschlüssel gespeichert werden. Neben dem privaten Schlüssel wird ein weiterer, öffentlicher Schlüssel generiert. Dieser ist sowohl der Website, auf der ihr euch einloggen wollt, als auch euch selbst bekannt. Wollt ihr euch nun bei einem Dienst anmelden, sendet der Dienst eine sogenannte Challenge mit dem öffentlich bekannten Schlüssel an euer Gerät. Diesen öffentlichen Schlüssel signiert ihr oder euer Passwortmanager dann vollautomatisch mit eurem privaten Schlüssel. Nur euer privater Schlüssel kann eine gültige Signatur erzeugen.

Das hat zum einen den Vorteil, dass es in Zukunft kein Eingabefeld für Passwörter mehr gibt. Ihr klickt nur noch auf einen Button und der Rest passiert im Hintergrund. Zum anderen kann man auch nicht mehr auf Phishing reinfallen. Schließlich bleibt der private Schlüssel immer bei euch, d.h. er kann auch nicht über das Netz abgefangen werden.

Derzeit bieten nur eine handvoll Dienste Unterstützung für Passkeys an und nur der Passwortmanager 1Password hat bisher eine vollständige Integration dafür. Andere Passwortmanager wie Bitwarden sollen aber bald folgen. Es wird wohl noch bis 2024 dauern, bis die meisten Dienste und Passwortmanager volle Unterstützung bieten, aber Passkeys ist auf jeden Fall ein Schritt in die richtige Richtung. Eine Liste an Diensten die Passkeys bereits anbieten, findet ihr unter diesem Link: https://passkeys.directory/. Im folgenden Screenshot ein Beispiel von Github:

Passwortmanager erfüllen dann den Nutzen, euch sicher über jedes Gerät einloggen zu können. Sind private Schlüssel nämlich nur auf eurem PC oder Handy gespeichert und ihr habt eines davon zu Zeit nicht griffbereit, sind auch eure Logins futsch. Ein Beispiel-Szenario wäre, wenn ich mich auf der Arbeit in das Portal für den Dienstplan einloggen möchte, dieses Gerät aber nicht meinen privaten Schlüssel kennt. Nun nehme ich mein Handy, öffne Bitwarden und bestätige einfach den Login für dieses Gerät.

Fazit

Passkeys etablieren sich nachhaltig als bequeme und sichere Authentifizierungsalternative. Auch wenn Passwörter in naher Zukunft nicht gänzlich obsolet werden, ist die zunehmende Präsenz von Passkeys als Option unübersehbar und liegt auch im Interesse der Webseitenbetreiber. Diese Schlüssel adressieren effektiv aktuelle Sicherheitsherausforderungen wie Phishing.

Bereits heute ist es möglich, erste Passkeys zu erstellen und zu verwenden, und weitere Möglichkeiten werden kontinuierlich hinzugefügt, sobald weitere Websites diese Authentifizierungsmethode unterstützen. Die derzeitige Nutzung von Passkeys ist jedoch teilweise mit Einschränkungen verbunden. Beispielsweise ist der Transfer von Passkeys zwischen verschiedenen Ökosystemen wie Apple und Google derzeit nicht möglich, da es keine übergreifende Exportfunktion gibt. Daher die Empfehlung, auf einen Passwortmanager wie Bitwarden oder 1Password zu vertrauen, der genau diese Aufgabe sicher umsetzen kann. Windows-Nutzer dürften sich zudem daran stören, dass Windows Hello keine Synchronisierungsfunktion bietet. Bis alle gängigen Passwortmanager Passkeys vollständig unterstützen, wird es allerdings noch einige Zeit dauern. Lediglich 1Password hat in der Beta-Version seiner Software bereits eine Unterstützung für Passkeys implementiert. Bitwarden hat eine Unterstützung bis Ende 2023 in Aussicht gestellt.

About author

Ich bin Pascal alias. PaMaBa1806. Von Beruf bin ich Fachinformatiker für IT-Security, Moderator und Autor bei WindowsArea.de. Meine Leidenschaft ist es, mein Wissen weiterzugeben und zu teilen.
Related posts
News

Microsoft reduziert Systemanforderungen für Windows 11 24H2 LTSC: TPM für IoT nun optional

News

Darum ist Windows Recall kein Datenschutz-Albtraum

News

Elon Musk bezeichnet Windows Recall als "Black Mirror Episode" für Datenschutz

News

Microsoft zeigt Baldur's Gate 3 und Borderlands auf Snapdragon X Elite

0 0 votes
Wie findest du diesen Artikel?
Subscribe
Benachrichtige mich zu:
guest

0 Kommentare
Inline Feedbacks
View all comments