7 Minuten Lesezeit Mit Insights von Felix Huber Advanced Security Engineer felix.huber2@zuehlke.com Passwörter sind ein Sicherheitsrisiko. Passwörter sind wissensbasiert, eine fortwährende Herausforderung sich zu merken und werden daher oft für die unterschiedlichsten Dienste wiederverwendet. Passwörter können leicht abgefangen, gestohlen und missbraucht werden. Daher braucht es ein passwortloses Anmeldeverfahren. Im Folgenden erfahren Sie mehr über die Zukunft der passwortlosen Authentifizierung und den Mehrwert, den Passkeys für mehr Sicherheit und Benutzerfreundlichkeit bieten. Was sind Passkeys? Passkeys sind im Wesentlichen ein Ersatz für herkömmliche Passwörter, da sie moderne kryptografische öffentliche/private Schlüssel (key) anstelle eines gemeinsamen geheimen Wortes verwenden. Anstatt ein gemeinsames Geheimnis über das Netzwerk auszutauschen, wird eine Anfrage mit einem privaten Schlüssel signiert und an den Dienst gesendet, der die Authentifizierung anfordert (auch als die „vertrauende Partei“ [Relying Party] bezeichnet). Die Relying Party verifiziert die Signatur mittels des öffentlichen Schlüssels, den sie bei der Registrierung erhalten hat. Der private Schlüssel bleibt dabei geheim. Er verlässt niemals das Gerät (gerätegebundener Passkey [Device-Bound Passkeys]) oder das herstellerspezifische Ökosystem (synchronisierter Passkey [synced passkey]). Dieses Authentifizierungsparadigma verändert die Sicherheit der verwendeten Zugangsberechtigungen signifikant, da sie die definierten Perimetergrenzen niemals verlassen. Abbildung 1: Erstellen eines Passkeys unter Android (FIDO UI-Kit) Das Benutzererlebnis mit Passkeys ist für alle Geräte einheitlich ausgelegt. Abbildung 1 zeigt, wie ein Passkey durch die einfache Angabe des Benutzernamens oder der E-Mail-Adresse erstellt wird. Abbildung 2 zeigt das Interaktionsmuster beim Einloggen: eine einfache Fingerabdruck- oder Gesichtsverifizierung oder eine Geräte-PIN, mit der die Benutzer vertraut sind und der sie häufig begegnen. Bevor ein Authenticator in Form einer Hardware- oder Software-Komponente eine an in gestellte Anfrage signiert, wird bestätigt, dass die Relying Party mit der Domäne übereinstimmt, für die der Schlüssel erstellt wurde. Den Passkeys wird folglich eine sogenannte „Verifier Impersonation Resistance“ verliehen, also ein Verifizierungs- und Identitätsdiebstahlschutz. Sie werden dadurch resistent gegen Phishing. Außerdem erhalten Unternehmen durch Passkeys die Gewissheit, dass die Zugangsberechtigungen ihrer Benutzer auch dann sicher bleiben, wenn ihre Datenbank kompromittiert wird, da eine Relying Party lediglich das öffentliche Zertifikat eines Benutzers speichert. Passkeys können nicht vergessen oder falsch eingegeben werden, was die Anzahl der Passwortrücksetzungs-Tickets um 95% reduziert. Dadurch entfallen teure und potenziell unsichere Passwortwiederherstellungsverfahren. Weil Passkeys von Browsern entdeckt werden können, ergeben sich neue und einzigartige Möglichkeiten der Interaktion mit den Benutzern. Bald müssen Benutzer vielleicht nur noch den Authenticator (Plattform, Passwortmanager, USB-Gerät usw.) auswählen, anhand dessen sie sich mit ihrem gespeicherten Passkey authentifizieren wollen. Dazu müssen Unternehmen jedoch ihren Authentifizierungsprozess anpassen. Abbildung 2: iOS-Einlog-Aufforderung mit verschiedenen Authentifizierungsoptionen (diese spezielle Ansicht basiert auf dem FIDO Alliance UI-Kit) FIDO – Fast Identity Online Passkeys sind im Wesentlichen „FIDO Credentials“, die für die FIDO-Authentifizierung verwendet werden. Ausgehend von den bekannten Schwachpunkten von Passwortsystemen entwickelt fördert die FIDO (Fast Identity Online)-Allianz Standards, die Benutzern auf der ganzen Welt helfen werden, sich aus ihrer übermäßigen Passwort-Abhängigkeit zu befreien. Die Kerntechnologie hinter der FIDO-Authentifizierung basiert auf der asymmetrischen Kryptografie bei der ein Schlüsselpaar bestehend aus privatem und öffentlichem Schlüssel entsteht und setzt einen neuen Standard für sicheren Zugang in der digitalen Landschaft. Die FIDO-Authentifizierung gilt als Multi-Faktor-Authentifizierung. Die Schlüssel sind auf dem Gerät des Benutzers gespeichert (etwas, das der Benutzer „hat“) und können, wenn die Relying Party eine Benutzerverifizierung verlangt, vom Benutzer nur mit einem biometrischen Merkmal oder einer PIN (etwas, das der Benutzer „ist“ oder „weiß“) genutzt werden. Die Zusammenarbeit zwischen dem World Wide Web Consortium (W3C) und der FIDO Alliance gipfelte 2018 in der Einführung von FIDO2, was einen bedeutenden Meilenstein auf der Suche nach stärkeren und benutzerfreundlicheren Authentifizierungsverfahren darstellt. FIDO2 besteht aus WebAuthn und CTAP2 - „Client to Authenticator Protocol Version 2“. Mit CTAP2 wurde die Möglichkeit geschaffen Touch ID, Face ID und Windows Hello zur Authentifizierung zu nutzen und Passkeys auf der entsprechenden Plattform zu speichern (Plattform Authenticator). Dadurch können sich die Benutzer aus der Abhängigkeit von Authenticators Dritter befreien und stattdessen die vertrauenswürdige Implementation ihrer Plattform nutzen. CTAP2 wird von allen wichtigen Browsern und Betriebssystemen einschließlich Android, iOS, macOS und Windows unterstützt. Diese universelle Unterstützung und die zunehmende Verfügbarkeit von Plattform Authenticators bilden die Grundlage für eine rasche Verbreitung der FIDO-Authentifizierung und versprechen eine sicherere Online-Umgebung für Benutzer und Unternehmen gleichermaßen. Was sind Synced Passkeys? Im Mai 2022 kündigten Apple, Google und Microsoft Pläne zur Unterstützung von Synced Passkeys an. Wie oben beschrieben, können Synced Passkeys im Gegensatz zu Device-Bound Passkeys zwischen Geräten innerhalb des Ökosystems desselben Herstellers, wie zum Beispiel iCloud für Apple-Geräte, oder innerhalb eines Cloud-basierten Passwortmanagers synchronisiert werden. Obgleich diese Zugangsberechtigungen einen anderen Schutz erfordern als Device-Bound Passkeys, weisen sie dieselben Sicherheits- und Anwendungsmerkmale auf und bieten aufgrund ihrer ausgewogenen Balance zwischen Komfort und Sicherheit sowohl Endnutzern als auch Unternehmen signifikante Vorteile. Die folgende Abbildung fasst die Unterschiede zwischen Synced Passkeys und Device-Bound Passkeys zusammen: Abbildung 3: Synced und Device-Bound Passkeys im Vergleich. Quelle: https://fidoalliance.org/wp-content/uploads/2022/03/How-FIDO-Addresses-a-Full-Range-of-Use-Cases-March24.pdf Vor der Einführung von Synced Passkeys und plattform Authenticators (siehe Kasten zu CTAP2) waren physische externe Authenticators, wie zum Beispiel ein YubiKey, üblich. Diese externen Authenticators sind nur schwer zu verwalten. Sie sind nicht skalierbar, weil für jede Relying Party ein eigener Passkey erstellt werden muss und sie nur eine begrenzte Anzahl von Passkeys speichern können. Um nicht den Zugang zu Diensten zu verlieren, ist es bei externen Authenticators ratsam, Backup-Zugangsberechtigungen auf einem Backup-Authenticator zu erstellen. Das erhöht jedoch die Kosten und verringert auch noch die Benutzerfreundlichkeit, weil man sich merken muss, welcher Passkey auf welchem Authenticator liegt. Außerdem können sowohl der Haupt- als auch der Backup-Authenticator verloren gehen oder gestohlen werden. Diese Benutzerunfreundlichkeit in Verbindung mit der geringen Akzeptanz vertrauenswürdiger Parteien, die eine passwortlose Authentifizierung anbieten, haben zu einer geringen Verbreitung der passwortlosen Authentifizierung geführt. Da Synced Passkeys innerhalb des Ökosystems des Authentifizierungsanbieters gesichert sind, stellen sie im Vergleich zu Passwörtern einen bedeutenden Fortschritt in Sachen Benutzerfreundlichkeit und Sicherheit dar. Synced Passkeys verringern im Vergleich zu Device-Bound Passkeys das Risiko, dass Benutzer den Zugriff auf ihre Konten verlieren. Wiederherstellungsprozesse, die häufig das Ziel von Angreifern sind, dürften bei Synced Passkeys seltener benötigt werden. Aber das ist noch nicht alles ... Die Entwicklung endet nicht mit Synced Passkeys. CTAP2 unterstützt Verbindungen zu externen Authenticators über USB, NFC oder Bluetooth Low Energy (BLE). Im März 2023 wurde eine Erweiterung des Protokolls vorgeschlagen, um geräteübergreifende Authentifizierungsflüsse zu ermöglichen. Dieser Vorschlag wird bereits von Apple und Android unterstützt und erlaubt es den Benutzern, sich auf einem gemeinsam genutzten Computer (zum Beispiel in einer Bibliothek) sicher in ihre Konten einzuloggen, ohne die Preisgabe von privatem Passkey-Material zu riskieren. Abbildung 4 zeigt den geräteübergreifenden Fluss: (1) Der Client verlangt eine Authentifizierung (2) und präsentiert einen QR-Code, der dann (3) von einem Authenticator gescannt werden kann. Als Nächstes interagiert der Authenticator (4) mit dem Server, der eine Authentifizierung über das Internet verlangt, und (5) signiert die präsentierte Anfrage, um (6) den Besitz eines gültigen Passkeys nachzuweisen. Das Gerät, das den QR-Code präsentiert, prüft ständig, ob ein Authenticator die Anfrage signiert hat (6). Wenn ja, wird eine gültige Sitzung empfangen. Der geräteübergreifende Authentifizierungsfluss erlaubt die Verwendung von Authenticators mit Kameras zum Authentifizieren von Benutzern. BLE wird verwendet, um die physische Nähe zu bestätigen, damit der Authentifizierungsprozess sicher und unterbrechungsfrei bleibt. Abbildung 4: Geräteübergreifender Authentifizierungsfluss. (Eigenes Schaubild, inspiriert durch Sascha Preibisch, 2022, https://www.youtube.com/watch?v=et8vKy_ICog) Passkeys sind die Zukunft Passkeys werden schnell zum Standard für Verbraucheranwendungen, wie ihre Einführung bei branchenführenden Unternehmen beweist. Der Schlüssel für den dauerhaften Erfolg von Passkeys ist die Akzeptanz durch die Benutzer und die Einführung in Unternehmen, was wiederum durch die unbestreitbaren Vorteile von Passkeys gefördert wird. Die Cybersecurity and Infrastructure Security Agency (CISA) ermuntert alle Unternehmen, eine Phishing-resistente Authentifizierung einzuführen, und bestätigt, dass Passkeys die einzige weitverbreitete Authentifizierungsform sind. Die Sicherheitsvorteile von Passkeys sind eindeutig, und mit Synced Passkeys – insbesondere für Endnutzeranwendungen – ebnet die auf ein großartiges Benutzererlebnis ausgelegte Benutzerakzeptanz den Weg für Unternehmen, Passkeys für die interne Benutzerauthentifizierung zu verwenden. Wie kann Zühlke helfen? Zühlke steht an der Speerspitze dieses Wandels und nutzt sein umfangreiches Netzwerk von Cybersecurity- und User-Experience (UX)-Experten, um Unternehmen von den Schwachstellen herkömmlicher Passwortsysteme zu befreien. Unser ganzheitlicher Ansatz der Passkey-Implementierung umfasst insbesondere Folgendes: Beurteilung des Passkey-Bedarfs Ihres Unternehmens: Kundenspezifische Lösungen für die speziellen Sicherheits- und Nutzungsanforderungen Ihres Unternehmens. Beratung zu den regulatorischen und praktischen Aspekten: Beratung hinsichtlich des benötigten Grades an Authentifizierungssicherheit, um regulatorische und interne Sicherheitspflichten zu erfüllen. Verbesserung des Registrierungs- und Einlog-Erlebnisses: Registrierungs- und Login-Prozess mit Passkeys nicht nur sicher, sondern für die Benutzer auch komfortabel, was die Akzeptanz fördert. Beratung zu und Implementierung von Strategien zur Kontowiederherstellung: Entwicklung von Strategien, die eine ausgewogene Balance zwischen Sicherheit und Komfort bieten, ein unterbrechungsfreies Benutzererlebnis gewährleisten und gleichzeitig das Risiko eines unbefugten Zugriffs minimieren. Implementierung von Synced und Device-Bound Passkey-Unterstützung in Ihrem IDP-System: Integration von Passkey-Unterstützung in Ihre Identity-Provider (IDP)-Systeme für mehr Flexibilität und Sicherheit. Zühlke hat es sich zur Aufgabe gemacht, Unternehmen bei der Umstellung auf ein Authentifizierungssystem zu unterstützen, das mehr Sicherheit und Benutzerfreundlichkeit bietet. Durch die Integration von Passkeys können Unternehmen ihren Sicherheitsstatus deutlich verbessern und gleichzeitig ein großartiges Benutzererlebnis bereiten. Ansprechpartner für die Schweiz Dr. Raphael Reischuk Group Head Cybersecurity & Partner Raphael Reischuk ist Autor zahlreicher wissenschaftlicher Publikationen in verschiedenen Bereichen der IT-Sicherheit und Kryptographie, für die er mehrfach ausgezeichnet wurde. So wurde Raphael im Jahr 2021 von BILANZ und der Handelszeitung zu einem der Top 100 Digital Shapers in Switzerland ernannt. Raphael Reischuk ist Mitglied mehrerer internationaler Programmkomitees für Informationssicherheit und Vizepräsident des Cybersicherheitskomitees von digitalswitzerland; er ist Mitgründer und Vorstandsmitglied des Schweizerischen Nationalen Prüfinstituts für Cybersicherheit (NTC). Er ist seit 2017 bei Zühlke und leitet als Group Head den Bereich Cybersecurity mit Expertise in verschiedenen Branchen. Als erfahrener Informationssicherheitsexperte ist er angetrieben von Neugier, Innovation, Technologie, Engagement und einem starken Business-Fokus. Kontakt raphael.reischuk@zuehlke.com +41 43 216 6611 Schreiben Sie uns eine Nachricht You must have JavaScript enabled to use this form. Vorname Nachname E-Mail Telefonnummer Message Absenden Bitte dieses Feld leer lassen Schreiben Sie uns eine Nachricht Vielen Dank für Ihre Nachricht.