Mit Passkeys auf Nummer sicher
Passwortlose Zukunft?

Hannover, 28. Februar 2023 – Weder sicher noch bequem – hat das klassische Passwort ausgedient? Es bietet auch mit der Zwei-Faktor-Authentifizierung keinen hundertprozentigen Schutz vor Phishing. Das IT-Profimagazin iX rät in seiner aktuellen deshalb zum FIDO2-Verfahren mit einem Schlüsselpaar für jeden Dienst.

Bislang benötigte man zum Einloggen stets einen Nutzernamen und ein Passwort. Anders beim FIDO2-Verfahren. Es beruht auf asymmetrischer Kryptografie und einem Challenge-Response-Verfahren. Was heißt das? Mithilfe eines sogenannten Authenticators wird für jeden Dienst und jeden Benutzer ein eigenes Schlüsselpaar erstellt. Der offene Schlüssel, Public Key genannt, wird an die Seite bzw. App übermittelt. Der private Schlüssel, auch Secret Key genannt, wird auf dem Gerät gespeichert. „Den Secret Key bekommt der Dienstbetreiber nie zu sehen, folglich kann er durch Angreifer auch nicht gestohlen werden“, erklärt iX-Experte Jürgen Schmidt. Dadurch ist auch die Identität des Dienstes sichergestellt, sodass es Fake-Diensten nicht mehr möglich ist, die Zugangsdaten abzufangen.

Für die Anmeldung schickt der Server eine Aufforderung an den Authenticator, der diese mit dem passenden geheimen Schlüssel signiert und an den Server sendet. Der Anwender muss diesen Vorgang autorisieren, zum Beispiel durch Berühren eines Sensors auf einem Token. „In fortgeschrittenen Szenarien wird die Berechtigung durch Gesichtserkennung oder Fingerabdruck nachgewiesen“, sagt Schmidt.

Bislang erzwangen die Sicherheitsansprüche dieser Methode, dass Anwender für jeden Dienst ein eigenes Schlüsselpaar für jedes Gerät generieren mussten. Hier versprechen Apple, Google und Microsoft Abhilfe: Durch Passkeys kann man alle Geräte für jeden Dienst über die Cloud synchronisieren. Apple setzt das schon um und auch bei Google läuft die Synchronisierung via Passwort Manager für Chrome und Android 9+, Microsoft will dieses Jahr nachziehen Das klingt nach einer schönen passwortfreien Welt, doch problematisch wird es, wenn man plattformübergreifend unterwegs ist: „Echte Passkey-Brücken zwischen Microsoft Apple und Google gibt es bislang nicht“, merkt Schmidt an.  Dennoch: die Zukunft wird wohl passwortlos sein ...

Für die Redaktionen: Auf presse-hm@heise.de:Wunsch schicken wir Ihnen gern die komplette Artikelstrecke  zur Rezension.