Passkeys statt Passwortfrust?

„123456“ war auch im Jahr 2022 noch das beliebteste Passwort der Deutschen. Bei diesem Einfallsreichtum braucht es keine Hacking Skills oder Brute-Force-Attacken. Verständlich ist es dennoch, dass Menschen nach möglichst einfach zu merkenden Kombinationen suchen – sichere, weil komplexe Passwörter sorgen schließlich oft für Frust. Ingolf Rauh, Head of Product and Innovation Management bei Swisscom Trust Services, zeigt eine sichere Alternative, die dennoch ganz ohne „34FgHd!?#*A“ und Ähnliches auskommt.

Passwörter sind der größte Frustrationsgrund bei Online-Anmeldungen. 65 Prozent der Verbraucher fühlen sich durch die Verwaltung von unzähligen Nutzername-Passwort-Kombinationen überfordert, so eine aktuelle Studie im Auftrag von Okta. 75 Prozent wünschen sich mehr Kontrolle und Selbstverwaltung ihrer persönlichen Daten. Die Aufforderung zu Erneuerung von Passwörtern und hohe Anforderungen an Länge und Komplexität sorgen für zusätzlichen Frust. Der beliebteste Ausweg der Nutzer ist laut der Okta-Umfrage ein Login über Social Accounts.

Dadurch ergibt sich einerseits die Gefahr, dass die großen Anbieter bestehende quasi-Monopole im Netz noch weiter ausbauen können, andererseits wird ein solcher Account zu einer Art Master-Schlüssel für verschiedenste Online-Anwendungen eines Nutzers. Erbeuten Kriminelle einmal diese Credentials, können sie damit großen Schaden anrichten. Eine alternative Möglichkeit, die komfortabel für Nutzer, aber dennoch sehr sicher ist, sind Passkeys.

Was sind Passkeys?

Ganz allgemein handelt es sich um ein Verfahren der passwortlosen Authentifizierung. Anstelle eines Shared Secret zwischen Dienst und Nutzer, wie es das Passwort darstellt, kommt hier asymmetrische Kryptografie zum Einsatz. Der Nutzer verwahrt auf seinem persönlichen Gerät einen privaten Schlüssel und der Dienstanbieter erhält im Rahmen der Anmeldung für einen neuen Account den dazugehörigen öffentlichen Schlüssel. Die Authentifizierung läuft nun so ab, dass der Nutzer vom Anbieter ein Datenpaket, eine sogenannte Challenge, zur Signatur erhält. Diese wird dann automatisch mit dem privaten Schlüssel des Nutzers signiert. Kann der Anbieter sie wiederum entschlüsseln, heißt das, das Schlüsselpaar gehört zusammen und der Nutzer ist somit authentifiziert.

Diese Passkeys haben viele Vorteile – der offensichtlichste: Für Nutzer ist die Lösung wesentlich einfacher und komfortabler als Passwörter. Alle Vorgänge laufen automatisiert im Hintergrund ab und Anwender müssen dabei gar nicht selbst aktiv werden. Sie müssen keine Passwörter und Nutzernamen mehr eintippen, sich folglich auch keine Passwörter mehr merken und sich diese regelmäßig neu ausdenken. Dies vereinfacht Anmeldevorgänge überall im Netz ungemein. Damit haben Passkeys auch einen Vorteil für Online-Anbieter. Bisher schreckt viele Nutzer die Anlage immer neuer Nutzerkonten mit neuen Passwörtern oft ab. Wer weder auf Passwortmanager noch auf eine Anmeldung mit Google und Co zurückgreifen möchte, hat mit Passkeys eine einfache und sehr sichere Alternative.

Daneben bedeutet das Fehlen des Shared Secret aber auch, dass bei einem Angriff auf den Server des Anbieters keine wertvollen Passwörter erbeutet werden können, sondern höchstens wertlose, weil öffentliche Schlüssel. Der Zusammenhang zwischen öffentlichem und privatem Schlüssel wird über komplexe, schwer umkehrbare mathematische Fragestellungen hergestellt. Die Komplexität wird dabei so hoch gesetzt, dass es selbst mit leistungsfähigen Computern nicht möglich ist, in reeller Zeit aus einem öffentlichen einen privaten Schlüssel zu errechnen. Nicht zuletzt sind Passkeys der beste Schutz vor Phishing. Für die Kriminellen gibt es hier nichts zu holen. Ihre Angriffe zielen schließlich darauf ab, das Shared Secret zu erbeuten, das bei der Verwendung von Passkeys entfällt.

Fragen der Praxistauglichkeit

In der Theorie klingt das Verfahren sehr einleuchtend. Doch denkt man an die Nutzung im Alltag, tauchen schnell Fragen auf. Mit Nutzername und Passwort kann man sich beispielsweise aus jedem Internetcafé der Welt in den eigenen E-Mail-Account einloggen. Ob das aus Sicherheitsaspekten empfohlen wäre, sei dahingestellt – möglich ist es aber ohne Probleme. Bei einem gerätegebundenen Verfahren wie den Passkeys geht dies nicht in der Form. Doch es gibt einen ziemlich einfachen Workaround: Man nutzt einfach ein Smartphone als zentrale Ablage für die Schlüssel. Natürlich muss dieses dann mit starken Sicherheitsmechanismen versehen sein, beispielsweise Fingerabdrucksensor oder andere biometrische Merkmale. Die Authentifizierung an einem beliebigen Gerät funktioniert dann, indem der Nutzer bei der Anmeldung einen QR-Code vom Screen des Geräts mit seinem Telefon scannt, dieses entsperrt und damit den Passkey-Prozess auslöst.

Natürlich können Mobiltelefone verloren gehen, gestohlen oder zerstört werden. Für diesen Fall braucht es auch Wiederherstellungsverfahren, beziehungsweise ein Zurücksetzen des Kontos muss möglich sein. Das kann beispielsweise über einen anderen Account funktionieren, ähnlich wie wenn man heute ein Passwort vergessen hat. Google und Apple haben auf ihren Systemen dafür noch Synchronisationsmechanismen aufgebaut, die alle Smartphones und Tablets synchron halten in Bezug auf die einzusetzenden Passkeys, ohne dass dabei Google oder Apple in den Besitz dieser gelangen. Der private Schlüssel verbleibt immer auf dem Gerät.

Die Verbindung von realer und digitaler Identität

Fast überall im Netz, wo heute neue Accounts angelegt werden, entsteht dadurch eine neue digitale Identität, die nicht mit der realen Identität des Nutzers verknüpft ist. Auf technischem Wege sind natürlich Rückschlüsse darauf möglich, wer hinter einem bestimmten Nutzernamen steckt. Eine initiale Verknüpfung von realer und digitaler Identität findet in der Regel im Netz aber nicht statt. Für einige Fälle ist allerdings genau das vorgeschrieben, beispielsweise bei der Eröffnung eines Online-Banking-Kontos oder zur Nutzung von qualifizierten elektronischen Signaturen. Können Passkeys auch hier zum Einsatz kommen?

Prinzipiell ja, denn das Authentifizierungsverfahren spielt auf der technischen Ebene für diese Verknüpfung keine Rolle. Anbieter wie Banken oder Trust Service Provider müssen in diesen Fällen nach bestimmten gesetzlich geregelten Verfahren die Identität neuer Nutzer prüfen und eine daran gekoppelte, sichere digitale Evidenz erstellen. Mit welchem Verfahren (Passwort + Multi-Faktor-Authentifizierung oder eben Passkey) sich die Anwender anschließend beim Dienst anmelden oder eine Signatur freigeben, ist unerheblich. Soweit die Theorie. Swisscom Trust Services hat dieses Verfahren bereits für die Nutzung ihrer Signaturen zugelassen und bereits mit dem ersten Partner im Einsatz. Für die Aktivierung des Passkeys reicht dann einfach ein Fingerprint, Face Recognition oder eine PIN, die auch sonst zum Entsperren eines Smartphones oder PCs genutzt wird.

Interessant wäre der Einsatz von Passkeys beispielsweise zum Auslösen von Signaturen in Umgebungen, in denen Mobiltelefone aus Gründen der Datensicherheit verboten sind oder SMS nicht zugestellt werden können. Bei den heute gängigen Verfahren wird das Mobiltelefon als zweiter Faktor zur Auslösung der Signatur verwendet. Diese Methode ist dementsprechend in kritischen Bereichen wie hochsicheren Rechenzentren, abgeschirmten Produktionsanlagen oder ähnlichen Umgebungen problematisch. Mit Passkeys, die sich entweder direkt auf Geräten oder auf separaten Datenträgern (z.B. USB-Stick) befinden, könnten Anwender auch dort qualifiziert signieren.

Über die Swisscom Trust Services AG

[url=https://u7061146.ct.sendgrid.net/ls/click?upn=4tNED-2FM8iDZJQyQ53jATUTtneEuCnBD-2Fvi0Gf-2FiQHxo4m6-2FFdZRU-2FulYxroMQxA-2B0UOq_nFwKN9DufOYpQIHzbxdL1V9Dpq4TVq6Ka6PBU-2FPdqd0ZmsYIBn7v-2FDIhTQZ1OzrGWgxDB2VYrDexIBW1fqGSjOz1uTUyemlNwM5MrH9AoAU0zzkRlR8sbLOxUd7TbCP5BN4Qx-2FtIQN28rnMQDkWJk1uYw-2FkSZ44flYxnCcjc2147e-2FipXH0bN-2FTXaETyebsvPebudOyHbboFjkKcf6O4PSIauewFBcRdWpn77RsTL3jOWyWVLo6I3GakUiFauOQKkFSl7YuAOff079nQW8cvSklxMI8Lhd8cykC6TQyKsRwUHFdbm59YK8qmwJqPKs500rcUOl4AL1-2FTeYWRbtRp-2BmiDKWjabAljYmyx8Uo-2B1YY-3D]Swisscom Trust Services[/url] ist der einzige europäische Anbieter, der eine qualifizierte elektronische Signatur in den Rechtsräumen EU (eIDAS Signaturverordnung) und Schweiz (ZertES Signaturgesetz) zur Verfügung stellt. Als führender Anbieter von Vertrauensdiensten in Europa ermöglicht Swisscom Trust Services seinen Partnern und Endkunden, innovative Geschäftsmodelle umzusetzen, durch die Bereitstellung identitätsbasierter Services, die ohne Medienbruch komplett digital ablaufen können.

Der Signing Service erlaubt Partnern und Endkunden eine unkomplizierte Erweiterung der eigenen Business-Lösungen um eine elektronische Signatur unter Berücksichtigung branchenspezifischer Anforderungen und Compliance-Vorschriften. Dadurch entstehen Möglichkeiten, Prozesse rechtskonform zu digitalisieren, die bisher noch auf Papier erledigt werden mussten.

Dabei kann es um die Unterzeichnung verschiedener Verträge (etwa einen Arbeitsvertrag), den Abschluss einer Versicherung, Bankgeschäfte (Kontoeröffnung, Kreditantrag) oder das Abzeichnen von Protokollen gehen. Der Smart Registration Service ist die zentrale Komponente für Identifikation und Registrierung von Nutzern. Verschiedene Identifikationsmethoden (SRS Video, SRS Bank, SRS Direct oder SRS eID) werden in einem Service gebündelt und erlauben die einfache rechtskonforme Identifikation für elektronische Signaturen.

Die Swisscom Trust Services AG ist ein hundertprozentiges Tochterunternehmen der Swisscom, dem führenden Telekommunikationsunternehmen der Schweiz.

Firmenkontakt und Herausgeber der Meldung:

Swisscom Trust Services AG
Konradstrasse 12
CH8005 Zürich
http://trustservices.swisscom.com/

Ansprechpartner:
Toni Schwarz
Pressekontakt
Telefon: +49 (151) 193152-59
E-Mail: SwisscomDE@hotwireglobal.com
Romina Dashghachian
E-Mail: romina.dashghachian@hotwireglobal.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel