Praxis: Endlich ist das Passwort tot! – Passkey richtig einsetzen

Es ist uns altgedienten Internet-Nutzer:innen in Fleisch und Blut übergegangen: Wollen wir einen Dienst aufrufen, erscheint ein Anmelde- beziehungsweise Login-Formular, wir tragen die Mailadresse ein, unter der wir uns einst registriert haben, und tippen dann das festgelegte Passwort ein. So geht das nun schon seit mehr als 25 Jahren – auf die eine oder andere Weise. Und jede:r von uns hat auch schon mal ein Passwort vergessen und musste sich dann dem mehr oder weniger mühsamen Prozess der Neuvergabe aussetzen. Schlimmer noch: Nicht wenigen von uns wurde schon mal ein Passwort geklaut und zu sinistren Zwecken missbraucht. Die Gemeinde ist sich einig: Das Passwort muss sterben!

Ganz so einfach ist das nicht. Es gab schon immer gute Gründe, den einen oder anderen Inhalt oder diesen oder jenen Dienst nur nach eindeutiger Authentifizierung des:der Nutzer:in freizugeben. Dies entweder, weil kriminelle Geister sonst Schindluder mit den Daten treiben könnten – man denke nur ans Online-Banking! – oder weil der Betreiber der Websites oder des Services seine Inhalte oder Waren nur gegen Bezahlung anbietet.

Anonym und asynchron

Ein mir persönlich bekannter, hochrangiger Manager im Payment-Business hat schon vor vielen Jahren immer wieder darauf hingewiesen, dass es beim Bezahlen im Web grundsätzlich anonym und asynchron zugehe. Anonym meint in diesem Zusammenhang, dass der:die Verkäufer:in seine Kunden ja nicht sehen und deren Personalausweise oder Reisepässe nicht kontrollieren könne. Und weil die Bezahlung asynchron ablaufe – also nicht physische Ware gegen physisches Geld über die Ladentheke -, könne nur eine digitale Online-Authentifizierung vor massenhaftem Betrug schützen.

Authentifizieren per Fingerabdruck ist ein alter Hut (Foto per Pixabay)

Im Real Life muss sich beim Kauf über den Tresen niemand authentifizieren, weil Bargeld an sich anonym ist. Aber schon, wenn jemand per Kreditkarte beziehungsweise EC-Karte bezahlt, muss diese Person beweisen, dass sie die entsprechende Karte berechtigt einsetzt, dass sie ihr gehört und sie berechtigt ist, über das zugehörige Konto zu verfügen. Schon immer machen es sich die Kreditkarten-Companies in dieser Hinsicht recht einfach, weil sie einfach davon ausgehen, dass der Mensch, der die Karte vorlegt, schon berechtigt sein wird. Bei der EC-Karte zu einem Girokonto ist das anders; hier wird die Verfügung über das Konto durch die PIN abgesichert. Nur wer diese Geheimzahl kennt, kann damit bezahlen.

Damit jemand von einer berechtigten Instanz eindeutig identifiziert werden kann, wird in aller Regel ein Personalausweis, ein Reisepass oder ein sonstiges persönliches Dokument verlangt, das in der Regel mit einem Foto der betreffenden Person ausgestattet ist. Wer kennt nicht diesen Blick des Zöllners oder Immigration-Mitarbeiterin: Erst auf das Foto im Pass, dann auf den Mensch hinter der Trennscheibe. Auch das geht im Internet so nicht; beziehungsweise: entsprechende Verfahren haben sich in der digitalen Welt nicht bewährt.

Einschub: Wer sich gerade fragt, weshalb im Text bisher immer von „Authentifizieren“, aber nur einmal vom „Identifizieren“ die Rede ist… Im Bereich der Interaktion von Personen findet Identifizieren einfach nicht statt; im Polizeidienst spricht man deshalb von der Identitätsfeststellung, wenn es darum geht, herauszufinden, wer eine bestimmte Person ist. Beim Authentifizieren geht es dagegen darum, dass eine Person nachweist, dass sie zugangs- und/oder nutzungsberechtigt ist – dies gilt für physische Räume (Staaten, Firmengelände, Gebäude etc.) genauso wie für digitale Dienste und Aktionen.

Der erste und wichtigste Schritt in diese Richtung war seinerzeit die Aufforderung, sich zu registrieren und dabei eine gültige Mailadresse anzugeben. Und weil kriminelle Elemente (früher) gern mit Hilfe von Fake-Adressen anonym bleiben woll(t)en, bekommt man heute meist einen Bestätigungslink an die angegebene Adresse geschickt, der anzuklicken ist. Außerdem führten die entsprechenden Instanzen das Passwort ein: Nur wer das kannte und fehlerfrei eintippte, bekam Zugang. Siehe oben: Passwörter gehen verloren oder werden gestohlen, und damit ist es Essig mit der Authentifizierung per Passwort.

Die Tipps zu optimalen Passwörtern und dem Umgang mit ihnen füllen Bände. Immerhin haben schlaue Menschen den Passwortmanager eingeführt, der in der Regel an den verwendeten Browser angeflanscht wird. Bedeutet: Ich kann für jeden Zugang ein anderes Passwort anlegen, das im Manager gespeichert wird. Um irgendwo irgendeines einzufügen, muss ich mir nur EIN Passwort merken (und es schützen) – damit wird der Passwortmanager dazu gebracht, das passende Kennwort einzufügen. Auch das ist nicht wirklich sicher, weil auch auf diese Weise eingefügte Passwörter ausgespäht werden können.

Alternative: FIDO und Passkey

Schon seit über zehn Jahren befassen sich Expert:innen mit alternativen, sicheren Methode der Authentifizierung. 2013 hat sich die FIDO-Allianz mit dem Ziel gegründet, nichtkommerzielle, offene Standards für die sichere Authentifizierung im Internet zu entwickeln. Das Akronym FIDO steht dabei für „Fast IDentity Online“ – hier stoßen wir auf das Wort „Identität“. Es geht darum, Personen eine (möglichst) fälschungssichere Identität im Internet zu ermöglichen, mit der er:sie Zugriffe auf Inhalte und Dienste authentifizieren kann.

FIDO-Logo (public domain per Wikimedia)

Der Digisaurier hat sich bereits vor sechs Jahren mit FIDO beschäftigt und den YubiKey getestet. Dieser – so nennt man diese Dinger heute – Sicherheitsschlüssel zählte zum OTP-Kosmos; OTP steht für „One Time Password“ und bedeutet, dass die übliche Eingabe von Mailadresse und traditionellem Passwort durch ein Passwort ersetzt wird, dass der YubiKey im Moment des Einloggens erzeugt.

Aus den Erfahrungen mit diesen USB-Sticks entstand das Konzept des Passkeys, das die übliche Methode (Mailadresse plus Passwort) ersetzen kann und mittelfristig ersetzen soll. Und das bedeutet, dass der:die Anwender:in beim Einloggen zunächst die registrierte Mailadresse angibt und sich dann per Passkey authentifiziert. Und den muss man sich nicht merken, weil es sich dabei um eine von mehreren Möglichkeiten handelt, nachzuweisen, dass man der:die ist, für den:die man sich ausgibt.

Biometrische Authentifizierung

Eine Variante ist die Authentifizierung über Biometrie, konkret: per Gesichts- oder Fingerabdruckerkennung. Wir kennen das von Apples Face ID und Touch ID, von Windows Hello und von Android. Anstatt ein Passwort einzutippen, genügt es, das Gesicht in die Kamera zu halten oder einen Finger auf den entsprechenden Sensor zu legen, um sich Zugang zu verschaffen.

Websites, Dienste und Apps, die für diese Authentifizierungsmethode eingerichtet sind, bieten das Login per Gesichts- oder Fingerabdruckerkennung an, sofern man bei den Einstellungen – meist im Bereich „Sicherheit“ – die entsprechende Option gewählt hat. Das heißt übrigens nicht, dass die traditionelle Methode, also Mailadresse plus Passwort, damit auf ewig abgeschaltet ist, weil man diese Einstellung jederzeit wieder ändern kann.

Anmeldeoptionen in Windows 11 (Screenshot)

Bei Windows 11 kann man dies unter „Konten – Anmeldung“ einstellen. Bei Hello stehen prinzipiell Gesichts- oder Fingerabdruckerkennung oder PIN zur Verfügung, die ersten beiden Optionen abhängig davon, ob ein Fingerabdrucksensor beziehungsweise eine kompatible Kamera vorhanden ist.

Passkey per USB-Stick, NFC oder Bluetooth

Momentan im Aufwind ist der sogenannte Sicherheitsschlüssel als Passkey. Dabei handelt es sich um ein Dongle, das per USB oder NFC oder Bluetooth mit dem Device verbunden wird, auf dem man sich authentifizieren will. Solche Sticks kosten zwischen etwa 25 und 60 Euro; kann sich das Ding per NFC und/oder Bluetooth verbinden, ist er teurer. Wichtig bei der Auswahl: Soll der Sicherheits-Dongle auch am Smartphone verwendet werden (sehr empfehlenswert!), muss er neben dem obligatorischen USB-A-Stecker auch einen im USB-C-Format besitzen. Am einfachsten ist es jedoch, wenn der FIDO-Stick sich per NFC oder Bluetooth mit dem Gerät verbinden kann.

Ein sehr guter FIDO-Stick von Thetis (Foto: Digisaurier)

Bevor man solch ein auch Security-Token genanntes Device nutzen kann, muss man herausfinden, ob der gewünschte Dienst beziehungsweide die gewünschte App oder Website die Authentifizierung per FIDO-Stick ermöglicht; eine ständig aktualisierte Liste dieser Dienste, Websites und Apps findet sich hier. Dann muss der Sicherheitsschlüssel dort als Login-Methode registriert werden. Bei einigen Websites, Diensten und Apps hat der:die User:in jedes Mal die Wahl, sich traditionell per Passwort oder eben modern mit dem Passkey zu authentifizieren.

Technischer Hintergrund

Die entscheidende Rolle spielt der Authenticator (auch auf Deutsch „Authentikator“ genannt), denn er vermittelt zwischen dem verschlüsselten Passkey und der Anwendung. Bei modernen, für Windows 11 geeigneten Rechnern ist dies der Dienst „Hello“, der in einem Hardwaremodul steckt, in dem auch der für Windows erzeugte Passkey gespeichert ist. Bei Apples iOS übernimmt der sogenannte „iCloud-Schlüsselbund“ diese Rolle; die privaten Schlüssel werden dabei in der Cloud gespeichert. So ähnlich funktioniert es auch bei Android-Devices. Auch die modernen Versionen von Passwortmanagern bieten zunehmend die Funktion an, die privaten Schlüssel zu speichern.

Die FIDO2-Architektur (Abb. public domain via Wikimedia)

Basis ist immer die Ende-zu-Ende-Verschlüsselung der erzeugten Passkeys. Während die bei den Cloud-Lösungen prinzipiell gestohlen (aber in der Realität mit vernünftigen Aufwand nicht entschlüsselt) werden können, werden sie bei FIDO-Sticks im Gerät selbst auslesesicher gespeichert. Und hier liegt ein kleines Problem mit den Sicherheits-Dongles: Sie können nicht beliebig viele Passkeys speichern. Je nach Hersteller und Modell passen maximal 30 Passkeys auf einen Stick. Für den Moment dürfte das beinahe immer reichen. Je mehr Dienste, Websites und Apps das Login per Passkey erlauben, desto größer wird der Speicherbedarf. Entweder die Hersteller rüsten ihre Sticks auf, oder die:der Anwender:in muss mit zwei FIDO-Sticks arbeiten.

Zusammenfassung

Wer auf Passwörter verzichten will, braucht Passkey-Authentikatoren. In den Betriebssystem Windows, iOS und Android sind solche bereits enthalten. Moderne Passwortmanager bieten diese Funktion an; in Zukunft wird das Passkey-Verfahren auch bei diesen Anwendungen Standard sein. Zudem werden FIDO-Security-Sticks angeboten, die per USB, NFC oder Bluetooth mit dem jeweiligen Gerät verbunden werden.

Stand heute können alle Authentikatoren als sicher betrachtet werden. Die Wahrscheinlichkeit, dass irgendwelche böse Menschen einen Passkey stehlen und vor allem entschlüsseln können, ist wegen der Ende-zu-Ende-Verschlüsselung sehr gering.