Passkeys

Passkeys ist ein Verfahren mit digitalen Schlüsseln zur Authentifizierung ohne Passwort von Nutzern an Online-Diensten und Webseiten. Die Idee ist, von wissensbasierter Authentifizierung (mit einem Passwort) zu einer besitzbasierten Authentifizierung überzugehen. Dafür werden Geräte verwendet, die wir immer bei uns führen oder sehr wahrscheinlich den ganzen Tag über immer wieder benutzen.

An der Technik und den Verfahren hinter Passkeys wird bereits seit 2012 entwickelt, mit dem Ziel, ein modernes, passwortloses Authentifizierungsverfahren zu entwickeln. Im Laufe der Jahre sind mehrere Standards mit den Namen U2F, FIDO und FIDO2, WebAuthn, CTAP und CTAP2 entstanden. Dahinter steckt die FIDO Alliance, an der viele große Online-Anbieter beteiligt sind.

Passkeys ist eine Erweiterung des FIDO2-Standards, was als sehr sicher gilt. FIDO2 ist jedoch für die meisten Nutzer zu kompliziert. Bei FIDO2 sind die Schlüssel für Accounts an ein Gerät gebunden. Wenn man dieses Gerät verliert oder es kaputt geht, dann sind damit auch die Zugangsdaten weg. Man kann zwar mehrere Geräte mit einem Account verbinden, allerdings steigt dabei der Aufwand, was die Nutzung verkompliziert. Passkeys macht es für die Nutzer leichter, die Zugangsdaten für einen Account über Betriebssysteme, Anwendungen und Geräte hinweg zu nutzen und zu synchronisieren. Beispielsweise im Rahmen eines Passwort-Managers oder Betriebssystem-Funktionen.

• FIDO2 - Fast IDentity Online Version 2
• WebAuthn - Web Authentication

Probleme von Passwörtern zur Authentifizierung

Passkeys soll die Nutzung von Passwörtern langfristig ablösen. Doch warum eigentlich?

• Passwörter kann man verlieren oder vergessen.
• Passwörter können geklaut werden.
• Sichere Zugänge mit Passwörtern benötigen zusätzlich eine Zwei-Faktor-Authentifizierung.

Passwörter sind ein sehr altes Konzept, dass es schon vor Computern und dem Internet gab. Mit der Nutzung des Internets wurde das Klauen von Passwörtern, mit denen die Zugänge von Online-Dienste gegen Fremdnutzung abgesichert werden, für Kriminelle interessant. Deshalb muss man sich immer gegen Hacking und Phishing wehren. Mit Hilfe der Zwei-Faktor-Authentifizierung wurde das alte Verfahren „Passwort“ in der Online-Welt „sicherer gemacht“. Das Problem dabei, es ist kompliziert und der Nutzer bleibt trotzdem die Schwachstelle.

Was ist ein Passkey genau?

Ein Passkey besteht im Prinzip aus einem Schlüsselpaar, weshalb man auch Passkeys dazu sagt. Das Schlüsselpaar wird kryptografisch erzeugt. Das heißt, anders als bei Passwörtern gibt es bei der Authentifizierung mit einem Passkey kein gemeinsames Geheimnis (Shared Secret), wie das Passwort, das Dienst und Nutzer kennen und von einem Angreifer abgefangen oder geklaut werden kann.
Ein Passkey besteht aus einem privaten und einen öffentlichen Schlüssel. Den privaten Schlüssel hat nur der Nutzer, der ihn sicher aufbewahrt (speichert). Den öffentlichen Schlüssel bekommt der Online-Dienst bei der Registrierung und verknüpft ihn mit einem Account oder Nutzer.
Mit dem öffentlichen Schlüssel kann der Online-Dienst verifizieren, dass ein Nutzer den privaten Schlüssel besitzt, ohne den privaten Schlüssel zu kennen. Das Verfahren, dass hier angewendet wird, stammt aus der asymmetrischen Kryptografie.

• Asymmetrische Kryptografie

Wie und wo wird der private Schlüssel des Nutzers gespeichert?

Der private Schlüssel eines Passkeys ist geheim. Er wird sicher auf dem Endgerät gespeichert. Das kann ein sicherer Speicherbereich im Gerät sein. In der Regel ein Krypto-Chip. Denkbar wäre auch in einem Passwort-Manager. Sofern der Nutzer diesen privaten Schlüssel auf anderen Geräten nutzen möchte, kann das Speichern auch Ende-zu-Ende-verschlüsselt in der Cloud sein. In beiden Fällen kommt niemand an die Passkeys heran.

• Krypto-Chip

Wie richtet man sich als Nutzer einen Account mit Passkeys ein?

Die Einrichtung von Passkeys ist einfach, sofern der Online-Dienst das unterstützt. Am Anfang registriert sich der Nutzer gegenüber dem Online-Dienst wie gewohnt mit Benutzername und E-Mail oder Telefonnummer. Dabei bestätigt der Nutzer, dass er Passkeys auf dem Gerät zur Authentifizierung verwenden will. Voraussetzung ist lediglich, dass in der Software und dem Betriebssystem Passkeys unterstützt wird und aktiviert ist.
Man kann auch ein Smartphone als externen Passkey-Authenticator einrichten. Das Smartphone dient dann als physischer Sicherheitsschlüssel, das vorhanden sein muss, wenn der Nutzer sich gegenüber einem Online-Dienst per Passkey authentifizieren will. Beim Anlegen eines Passkeys für einen Online-Dienst zeigt der Browser einen QR-Code an, der mit der Kamera des Smartphones gescannt und die Kopplung bestätigt wird.
Anstelle eines Passworts hat der Nutzer für jeden Online-Dienst oder Account einen eigenen Passkey. Dieser Passkey wird auf dem Smartphone, Computer oder Tablet gespeichert.

Wie funktioniert die Authentifizierung mit Passkeys?

Wenn sich der Nutzer bei dem Online-Dienst per Passkey anmelden will, dann bekommt er dafür in der Anmelde-Maske, in der normalerweise Benutzername und Passwort einzugeben sind, auch einen Passkey-Login-Button zu sehen. Wenn der Nutzer darauf klickt, muss der Nutzer die Anmeldung mit dem Passkey durch Eingabe einer kurzen PIN, Fingerabdruck oder einem anderen lokalen Authentifizierung bestätigen. Oder er muss einen QR-Code scannen und bestätigen, dass der den Passkey verwenden will. Dabei wird die PIN oder das biometrische Merkmal nur zur Freigabe des Passkeys auf dem Gerät (Geräte-Authentifizierung) verwendet und zu keinem Zeitpunkt übertragen.
Der Online-Dienst schickt dem Client oder der Software des Nutzers zufällige Daten, die sogenannte Challenge. Die werden vom Gerät des Nutzers mit dem privaten digitalen Schlüssel signiert. Der Dienst kann mit Hilfe des öffentlichen Schlüssels zweifelsfrei feststellen, dass die Daten mit dem dazugehörigen privaten Schlüssel signiert wurden. Danach ist der Nutzer angemeldet.

Dieses Verfahren stammt aus der Public-Key-Kryptografie und hat sich seit Jahrzehnten in ähnlicher Form zum sicheren Schlüsselaustausch bewährt und kommt zum Beispiel bei TLS zum Einsatz.

Feature: Schutz gegen Phishing

Die Gefahr bei der Nutzung von Passwörtern ist, dass der Nutzer dazu gebracht wird, seine Zugangsdaten auf einer fremden Webseite einzugeben. In der Regel durch eine täuschend echte E-Mail mit einem Link zu einer dazugehörigen Webseite. Das Verfahren dahinter nennt sich Phishing und ist ein großes Sicherheitsproblem unserer Zeit. Deshalb gibt es die Zwei-Faktor-Authentifizierung, bei der man nicht nur das Passwort „wissen“ muss, sondern im zweiten Schritt auch den „Besitz“ eines Geräts, in der Regel ein Smartphone, das man beweisen muss.

Dass der Nutzer seine Anmeldedaten versehentlich auf einer Phishing-Webseite eingibt, wird mit Passkeys verhindert. Der erste Grund ist, dass der Nutzer seine Passkeys gar nicht kennt und da auch nicht rankommt. Das heißt, Passkeys verschiebt das Authentifizierungsmerkmal aus dem Bereich „Wissen“ (des Passworts) in den Bereich „Besitz“ (des Geräts auf dem Passkeys gespeichert ist), was durch ein beliebiges Authentifizierungsmerkmal (Pin, Passwort, Biometrie) gesichert ist.
Desweiteren wird zu keiner Zeit ein Authentifizierungsmerkmal übertragen, was der Angreifer „später“ für die Authentifizierung verwenden kann.

Der nächste Punkt ist der, dass nicht der Nutzer die Authentifizierung durch Eingabe der Anmeldedaten durchführt, sondern vom betreffenden Authenticator auf dem Client. Anders als der Nutzer fällt der Authenticator nicht auf Tricks wie Tippfehler-Domains herein. Wichtig ist nur, dass der Online-Dienst ein vertrauenswürdiges TLS-Zertifikat verwendet.

An der Stelle hat Passkeys bei der Registrierung vorgesorgt und in die Generierung des Schlüsselpaars die Domain der Website bzw. des Online-Dienstes einfließen lassen. Der Client meldet die Domain über das Client to Authenticator Protocol (CTAP2) an den Authenticator. Der Authenticator ist üblicherweise ein separater Prozess, mit dem der Angreifer nicht direkt kommunizieren kann. Ein Angreifer hat keine Chance, hier einzugreifen und die Domain zu manipulieren.

Bei der späteren Authentifizierung wird vom Authenticator erwartet, dass von der Webseite der korrekte öffentliche Schlüssel kommt. Wenn also der Nutzer aufgrund einer Phishing-Mail auf examp1e.com landet, kann der Client die Authentifizierung mit dem für example.com erstellten Passkey gar nicht durchführen.
Die Gefahr, dass der Nutzer seine Anmeldedaten versehentlich auf einer Phishing-Website eingibt, wird mit Passkeys erfolgreich eliminiert.

Feature: Discoverable Credentials / Resident Keys

Bereits FIDO2 ermöglichte es optional sogenannten Discoverable Credentials (auch Resident Keys genannt) zu unterstützen. Damit ist es möglich, auf die Eingabe eine Benutzernamens zu verzichten. Bei Passkeys wird dieses Leistungsmerkmal vorausgesetzt. Bei FIDO2 ist das nicht immer so. Der Benutzername kommt bei FIDO2 teilweise als zweiter Faktor zum Einsatz.

Feature: Passkeys synchronisieren

Erstellt man auf einem Smartphone einen Passkey, kann man sich im Idealfall auch mit anderen Geräten bei einem Online-Dienst einloggen.
Allerdings ist es denkbar, die Passkeys mit anderen Geräten oder Betriebssystemen zu synchronisieren, dass die Authentifizierung nicht immer zusätzlich mit dem Smartphone erfolgen muss.

Aber Achtung, das automatische Übertragung sämtlicher Passkeys von einem Ökosystem zu einem anderen (Apple/Android/Windows) ist in der Regel nicht möglich. Deshalb schränkt man sich mit der Nutzung von Passkeys auf ein Ökosystem ein.

Nachteile? Ja, nein, vielleicht

Im Gegensatz zu Benutzername und Passwort ist das Passkeys-Verfahren auf technische Hilfsmittel angewiesen. Das heißt, es Bedarf der Unterstützung vom Betriebssystem, vom Browser oder von einem externen Gerät. Allerdings ist auch bei der sicheren Nutzung von Passwörtern (erster Faktor „Wissen“) mit Hilfe der Zwei-Faktor-Authentifizierung ein Smartphone notwendig, um den zweiten Faktor („Besitz“) nachweisen zu können.
Ein Problem hat der Nutzer dann, wenn das Gerät als Hilfsmittel ausfällt, abhanden kommt oder regulär ersetzt wird. Dann müssten alle Passkey- und 2FA-Zugänge auf dem neuen Gerät neu eingerichtet werden. Das ist nicht praktikabel, bei der Anzahl an Zugängen, die man in der Regel hat.

An dieser Stelle hat das Passkeys-Verfahren einen Vorteil gegenüber allen anderen Verfahren. Man kann von den Passkeys ein verschlüsseltes Backup erstellen und separat oder auch in der Cloud speichern. Im Fall eines Verlusts oder Defekts eines Geräts, reicht es aus, mit dem Ersatzgerät sich an der Cloud anzumelden und zu synchronisieren oder das Backup auf dem neuen Gerät einzuspielen.
Eine weitere Rettungsmöglichkeit kann ein weiterhin gültiger Benutzername mit Passwort, auch in Kombination mit einer Zwei-Faktor-Authentifizierung, sein.

Für den schlimmsten aller Fälle, haben die meisten Online-Dienste eine einfache Recovery-Funktion, wenn alle eingerichteten Authentifizierungsverfahren nicht mehr greifen. Beispielsweise über einen Passwort-zurücksetzen-Link, der an die hinterlegte E-Mail-Adresse geschickt wird oder über einen Bestätigungscode per SMS oder E-Mail. Deshalb ist es äußerst wichtig, in allen Accounts die aktuelle E-Mail-Adresse und Mobilfunknummer hinterlegt ist, damit man sich wieder Zugang verschaffen kann. Desweiteren gilt es, veraltete Kontaktdaten zeitnah zu entfernen, da ansonsten der neue Eigentümer der alten E-Mail-Adresse oder Mobilfunknummer Zugriff auf einen damit registrierten Account bekommen kann.

Fazit

In der ursprünglichen WebAuthn-Spezifikation ist definiert, dass die privaten Schlüssel den sicheren Hardware-Speicher des Geräts nicht verlassen. Der Nutzer hat dann aber ein großes Problem, wenn er das Gerät verliert, es einen Defekt aufweist oder er das Gerät (veraltet) wechseln muss. Deshalb gibt es Passkeys. Bei Passkeys ist die Gerätebindung aufgeweicht. Hier ist es möglich, die privaten Schlüssel in der Cloud zu speichern und auf mehreren Geräten zu verwenden, was Sicherheitsexperten kritisch sehen.
Hierbei ist zu beachten, dass bei Passwort-Manager, im Gegensatz zu betriebssysteminternen Schlüsselverwaltungen oft ein Klartext-Export (CSV, TXT, PDF) möglich ist, um die Daten in einen anderen Passwort-Manager zu importieren. Ein Angreifer, der es schafft, diese Datei zu stehlen, hätte Zugriff auf alle Konten, ohne dass er eine zusätzlich gerätebindende Authentifizierung benötigt.
Die Nutzung von Passwort-Managern ist also weniger sicher, aber zusammen mit Passkeys immer noch sicherer, als jeder Login mit Passwort.

Passkeys sind viel sicherer als Passwörter und viel komfortabler als Passwörter mit Zwei-Faktor-Authentifizierung. Passkeys lösen ein großes Sicherheitsproblem unserer Zeit: das Phishing.
Damit die Nutzer Passkeys verwenden, muss die Passkey-Authentifizierung von möglichst vielen Diensten angeboten werden. Es wird allerdings noch viele Jahre dauern, bis alle großen und insbesondere kleinen Dienste Passkeys unterstützen werden. Online-Dienste hätten allerdings den Vorteil, dass sich viele Probleme und auch der Support-Aufwand rund um die Authentifizierung in Luft auflösen. Der Nutzer, der sowieso nur bestimmte Geräte für Online-Aktivitäten nutzt und per Pin, Passwort oder biometrisches Merkmal gesichert hat, muss dann nicht mehr seine digitalen Identitäten manuell verwalten.
Insbesondere, wer es bereits gewohnt ist einen Passwort-Manager zur Verwaltung seiner Zugangsdaten zu verwenden, wird Passkeys nicht mehr missen wollen.

Ein Mehr an Online-Sicherheit wird es bringen, wenn ein Großteil aller Webseiten, Online-Dienste und Apps Passkeys konsequent implementiert haben. Konsequent bedeutet, dass auf Passwörter zum Anmelden und Einloggen vollständig verzichtet wird.
Die Tendenz wird sein, dass man in einem bestehenden Account Passkeys anlegt, danach das Passwort entfernt und den Zugang vollständig „passwortlos“ betreibt. Aus Sicherheitsgründen ist diese Vorgehensweise ratsam, weil es sonst weiterhin für Hacker und Phisher interessant bleibt, an Passwörter und Zugangsdaten zu kommen.
Erstellt man einen Passkey für einen Online-Dienst, dann kann es passieren, dass der Dienst das ursprüngliche Passwort ohne Vorwarnung löscht. Das ist streng, sorgt aber dafür, dass Accounts bestmöglich abgesichert sind.

Auch wenn Passkeys viel sicherer als Passwörter sind, sollte nicht der Eindruck entstehen, dass Passkeys jetzt die sicherste Art der Nutzer-Authentifizierung ist. Wenn es auf maximale Sicherheit ankommt, dann ist ein Verfahren wie FIDO2 mit der festen Bindung der Schlüssel an ein Stück Hardware unschlagbar.

Kann man die privaten Schlüssel klauen?

Es ist sehr schwierig, die privaten Schlüssel der Passkeys zu stehlen. Grundsätzlich stecken hinter diesem Verfahren Betriebssystem-Funktionen und die Schlüssel werden in einem sicheren Bereich der Hardware gespeichert.
Denkbar wäre es, bei einem Passwort-Manager, der die privaten Schlüssel im Arbeitsspeicher ablegt. Auf den Arbeitsspeicher kann zumindest theoretische ein Trojaner zugreifen.

Wenn es tatsächlich gelingen würde, einen privaten Schlüssel zu stehlen, dann wäre es denkbar, sich mit einem Fremdgerät an dem dazugehörigen Passkey-gesicherten Account anzumelden. Da bei Passkeys jeder Account bei jedem Online-Dienst einen eigenen privaten Schlüssel hat, wäre das nur bei diesem einen Account möglich.

Weitere verwandte Themen:

• Authentifizierung im Netzwerk
• Nutzer-Authentifizierung im Internet
• FIDO2 - Fast IDentity Online Version 2
• WebAuthn - Web Authentication
• Asymmetrische Kryptografie

Netzwerktechnik-Fibel

Alles was Sie über Netzwerke wissen müssen.

Die Netzwerktechnik-Fibel ist ein Buch über die Grundlagen der Netzwerktechnik, Übertragungstechnik, TCP/IP, Dienste, Anwendungen und Netzwerk-Sicherheit.

Das will ich haben!

Artikel-Sammlungen zum Thema Netzwerktechnik

Collection: Netzwerk-Sicherheit

Was du über Netzwerk-Sicherheit wissen solltest.

eBook kaufen

Collection: Netzwerk-Grundlagen

Was du über Netzwerk-Grundlagen wissen solltest.

eBook herunterladen

Collection: IPv6

Was du über IPv6 wissen solltest.

eBook kaufen

Schützen Sie Ihr Netzwerk

Die TrutzBox enthält einen leistungsstarken Content-Filter, der Werbetracker blockiert und vor Schadcode auf bösartigen Webseiten schützt.
Alle Internet-fähigen Geräte, egal ob Desktop-PCs, vernetzte Produktionsanlagen und IoT-Geräte, werden vor Überwachung durch Tracker, Einschleusen von Schadsoftware und dem unbedachten Zugriff auf bösartige Webseiten geschützt.

• Sicheres Surfen mit Content-Filter und Blocker gegen Werbetracker
• Mehrstufige Sicherheitsarchitektur mit Stateful-Inspection-Firewall und Intrusion-Prevention-System
• Laufende Aktualisierung gegen neue Bedrohungen

Bestellen Sie Ihre TrutzBox mit integriertem Videokonferenz-Server jetzt mit dem Gutschein-Code "elko50" und sparen Sie dabei 50 Euro.

Mehr über die TrutzBox TrutzBox jetzt mit Gutschein-Code bestellen