Die Sicherheit vieler digitaler Dienste und Netzwerke steht und fällt mit einem Passwort. Entsprechend beliebt sind Passwörter als Angriffsziel: Phishing-Attacken gehören zu den häufigsten Sicherheitsvorfällen in Unternehmen. Passkeys können Abhilfe schaffen.
Passwortsicherheit im Unternehmen stärken
Sichere Passwörter müssen lang, eindeutig und jederzeit verfügbar sein. Wenn sie verloren gehen oder in falsche Hände geraten, können sie großen Schaden anrichten.
Unternehmen können die Passwortsicherheit erhöhen, indem sie Passwortrichtlinien bezüglich Länge, Komplexität und Änderungshäufigkeit durchsetzen, ihre Mitarbeitenden sensibilisieren sowie Zwei- oder Mehrfaktor-Authentifizierungen einführen.
Zugriffsbeschränkungen wie das Least-Privilege-Prinzip, Monitoring zur Erkennung verdächtiger Aktivitäten und regelmäßige Sicherheitsaudits helfen darüber hinaus, Bedrohungen frühzeitig zu identifizieren und Schäden zu begrenzen.
Passkeys statt herkömmlichen Passwörtern nutzen
Fortgeschrittene Authentifizierungsmethoden sollen die Abhängigkeit von Passwörtern verringern und deren bekannte Schwächen beseitigen. Neben biometrischen Daten kommen dafür Passkeys in Frage.
Während Passwörter vom Anwendenden selbst erstellt werden, sind Passkeys kryptographisch erzeugte Schlüssel oder Zeichenketten, die oft von Algorithmen generiert werden. Sie sind in der Regel komplexer und länger als herkömmliche Passwörter. Passkeys können Teil von Authentifizierungsprotokollen wie FIDO2 sein, die auf asymmetrischer Verschlüsselung basieren, wobei ein öffentlicher Schlüssel zur Authentifizierung und ein privater Schlüssel zur Entschlüsselung verwendet wird.
Die FIDO Alliance ist ein offener Zusammenschluss vieler wichtiger Branchenakteure, der sich auf die Entwicklung offener, interoperabler Authentifizierungsstandards konzentriert, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit digitaler Dienste zu verbessern. [1] [2]
Authentifizierungsmethoden nach FIDO2
Zu Beginn und während der Entwicklung von FIDO wurde meist auf zusätzliche Hardware-Token mit Sicherheits-Chips gesetzt. Dies hatte den Nachteil, dass zusätzliche Anschaffungs- und Einrichtungskosten anfielen und oft die volle Unterstützung vieler populärer Dienste in der Software fehlte. Passkeys sind der nächste Schritt in einer langen Integrationsgeschichte. Statt neuer Hardware wird etwas genutzt, das inzwischen weit verbreitet ist: das eigene, meist mobile Endgerät.
Heutige Systeme sind mit Sicherheitschips und Biometrie ausgestattet. Das Passkeys-Konzept nutzt diese Funktionen in Verbindung mit der nun seit 2018 standardisierten Web Authentication-Funktion des W3C (WebAuthn), um eine einfachere und sichere Benutzeridentifikation zu realisieren. [3]
Grundlage ist die Verwendung von Public-Private-Kryptographie (asymmetrisch). Bei einer Neuregistrierung oder Umstellung auf Passkeys-Authentifizierung wird jeweils ein neues, zusammengehöriges Schlüsselpaar erzeugt. Der öffentliche Schlüssel wird beim Dienst hinterlegt, der private Schlüssel verbleibt auf dem persönlichen Endgerät des Users. Bei der Anmeldung sendet der angefragte Dienst eine Aufgabe unter Verwendung des öffentlichen Schlüssels. Auf dem Endgerät muss eine lokale Entsperrung mittels PIN oder Biometrie (z.B. Gesichtserkennung/Fingerabdruck) durchgeführt werden, um diesen Prozess zu starten. Die Aufgabe wird dann mit dem privaten Schlüssel gelöst und das Ergebnis zurückgesendet. [4]
Vorteile von Passkeys im Unternehmensbereich
Aufgrund ihrer kryptografischen Natur sind Passwörter äußerst schwer zu erraten oder zu knacken. Sie verhindern auch die Wiederverwendung von Passwörtern für verschiedene Dienste oder Plattformen. Als Teil von Authentifizierungsprotokollen wie FIDO2 bieten sie zudem Schutz vor Phishing- und Man-in-the-Middle-Angriffen, da sie nicht einfach abgefangen oder dupliziert werden können. Damit erhöhen Passkeys die Sicherheit von Daten und Systemen erheblich.
Im Gegensatz zu komplexen Passwortabfragen können Passkeys oft ohne großen Benutzereingriff verwendet werden. Sie können Teil von automatisierten Authentifizierungsprozessen sein, bei denen der User den Passkey gar nicht zu sehen bekommt. Komplexe Passwortabfragen und die Notwendigkeit, sich diese komplexen Zeichenketten zu merken, entfallen und die Benutzerfreundlichkeit steigt.
Aktuelle Unterstützung und Umsetzung von Passkeys
Auf Betriebssystemebene wird Passkeys seit 2022 von Google und Apple auf aktuellen Endgeräten unterstützt. Microsoft arbeitet an der Fertigstellung der Unterstützung in Windows für Ende 2023 bis Anfang 2024. Bei den verschiedenen Browsern, die für die meisten Nutzerinnen und Nutzer beim Zugriff auf Dienste im Vordergrund stehen, sind Microsoft Edge, Google Chrome und Safari bereits gut vorbereitet. Lediglich Firefox unterstützt bereits FIDO-Hardware-Tokens, aber noch nicht vollständig die erweiterten Funktionen von Passkeys. Positiv ist jedenfalls, dass die Liste der Dienste, die Passkeys unterstützen, immer länger wird. [5]
Über die großen Plattformen von Apple, Google und Microsoft können Passkeys-Registrierungen über mehrere Endgeräte sicher synchronisiert werden – auch dies ist eine wesentliche Weiterentwicklung gegenüber den FIDO-Tokens. Für den Zugriff auf Dienste von zusätzlichen oder fremden Endgeräten ist eine Anmeldung über Bluetooth oder auch QR-Codes vom eigenen Endgerät aus möglich.
Die Kombination aus breiter Unterstützung durch die „Big Player“ der Branche, der einfachen Nutzung vorhandener und verbreiteter Hardware wie Smartphones und dem Fokus auf eine möglichst gute User Experience erscheint sehr vielversprechend. Im Gegensatz zu Passwörtern existieren Passkeys nur auf dem eigenen Gerät und können nicht aufgeschrieben oder versehentlich von einem falschen Akteur abgefangen werden. Der Schutz vor Phishing und Missbrauch kann daher als sehr hoch eingeschätzt werden.
Das könnte Sie auch interessieren:
Infostealer erkennen, verstehen und abwehren
Credential Stuffing und Password Spraying: Sicherheitstipps für Service-Betreiber und User
Quellen:
[1] https://fidoalliance.org/overview/
[2] https://fidoalliance.org/overview/history
[3] https://www.w3.org/TR/webauthn-2/
[4] https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/
[5] https://passkeys.directory/