Support

Hallo, mein Name ist Tim Beck!

Ich stehe Ihnen gerne bei jedem Problem zur Seite! Gemeinsam finden wir eine Lösung.

Support

Hallo, mein Name ist Tim Beck!

Ich stehe Ihnen gerne bei jedem Problem zur Seite! Gemeinsam finden wir eine Lösung.

IT-Sicherheit

Passkey-Authentifizierung: Ein Einblick in die Funktionsweise des Logins ohne Passwort

Diesen Beitrag teilen:

Passkey-Authentifizierung: Ein Einblick in die Funktionsweise des Logins ohne Passwort

Tauchen Sie ein in die Welt der modernen Authentifizierung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt transformieren können und erkunden Sie die technischen Backgrounds dieser fortschrittlichen Sicherheitsmethode. Adieu Passwörter, tschüss Phishing. Hallo neuartiger und innovativer Login via Passkey! Einfach, schnell und sicher.

In 2012 wurde die FIDO-Alliance (https://fidoalliance.org) gegründet. Ihr Ziel: Einen lizenzfreien modernen Standard für die Identitätsüberprüfung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba wie auch Amazon. Die Einrichtung hat eine innovative Technologie entwickelt, die wir in dem Artikel genauer unter die Lupe nehmen möchten: Authentifizierung mittels Passkeys. Das Ziel der FIDO: Rasche Online-Ausweisung. Passwörter sollten abgeschafft plus Logins zwar bequemer, aber gleichzeitig auch sicherer gemacht werden. Aber wie soll das denn gelingen?!

Vom Passwort zum Passkey: Was steckt dahinter?

In einer aktuellen Studie von 1Password gab jeglicher (!) Befragte an, bereits einmal direkt sowie indirekt mit Phishing in Kontakt gelangt zu sein. Insofern verwundert es nicht, dass der Großteil der Teilnehmer eine geschützte Login-Methode für ihre Online-Accounts für sehr wichtig hält (https://1password.com/resources/passwordless-future-report). Die Zwei-Faktor-Authentifizierung (2FA) klingt da zwar in der Theorie nach einer guten Lösung, hat jedoch einen größeren Haken: Man kann sich unheimlich simpel selbst aussperren aus den eigenen Konten. Von dem zeitlichen Aufwand mal ganz abzusehen. Simpel sowie „smooth“ ist der 2FA-Login auf keinen Fall. Außerdem werden natürlich auch Hacker immerzu klüger: Cyber-Kriminelle haben in der Vergangenheit schon Methoden gefunden, SMS abzufangen sowie so an den zweiten Faktor für die Authentifizierung zu kommen. Tatsächlich geschützt wäre ein Login demnach bloß, wenn es überhaupt keine Zugangsdaten gäbe, welche man ausspionieren könnte. Und genau an dieser Stelle kommen Passkeys auf den Radar!

Passkeys, auch bekannt als Sicherheitsschlüssel oder auch Authentifizierungsschlüssel, werden immer mehr zu einem elementaren Glied moderner Sicherheitsinfrastrukturen. Im Gegenteil zu herkömmlichen Passwörtern bieten sie eine zusätzliche Sicherheitsebene, indem selbige eine physische Komponente in die Authentifizierung integrieren. Die Eingebung hinter Passkeys ist, dass der Benutzer Zugang zu all seinen Online-Konten im Netz hat, ohne dass man sich jedes Mal mit Loginnamen und Passwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, ohne Zugangsdaten auszukommen, die ausspioniert werden könnten. Sie wurden entwickelt, um eine passwortlose Registrierung bei Homepages sowie Apps zu ermöglichen sowie das Benutzererlebnis einfacher wie auch phishing-sicher zu gestalten.

Aber wie gelingt das? Nun, bei der Erstellung eines Profils bei einem Online-Dienst, welcher Passkeys fördert, werden zwei Schlüssel erstellt, die miteinander mathematisch verbunden sind:

  1. Ein öffentlicher Schlüssel – dieser wird mit dem Dienst, beispielsweise einer Internetseite oder einer Applikation geteilt und fungiert dazu, Infos zu verschlüsseln, welche nur der private Schlüssel decodieren kann.
  2. Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, total zufällig generierte Reihe von Zeichen. Dieser private Schlüssel bleibt einzig auf dem Gerät des Besitzers abgespeichert. Auf sämtlichen verknüpften Gerätschaften, beispielsweise dem Laptop oder Smartphone, ist demnach via Passkey-Login kein Benutzername und auch kein Passwort mehr notwendig.

Um Passkeys benutzen zu können, sind zwei Punkte technisch nötig: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um geschützt mit dem Webbrowser kommunizieren zu können. Der Online-Dienst, bei dem man sich einloggen will, muss darüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Das ist eine Schnittstelle, die unabdingbar ist, um sich mit dem Schlüsselprinzip, welchem sich Passkeys bedienen, beglaubigen zu können.

Da Passkeys also auf den entsprechenden Endgeräten gelagert werden, drängt sich natürlich auf Anhieb eine entscheidende Frage auf: Wie lassen sich die Geräte vor unbekannten Zugriffen schützen? Weil in diesem Fall stünden einem Hacker Tür und Tor offen, in dem Moment wo er ein fremdes Gerät in der Hand hat. Doch zum Glück gibt es dafür schon Lösungen: Weil die neumodernen Modelle von Endgeräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- sowie auch App-Entsperrung durch biometrische Scans an. Die bekanntesten sind Fingerabdruckscan und Face ID. So entsteht durch die Mischung aus Passkey plus biometrischen Daten eine enorm sichere Art der Authentifizierung.

Diese Anbieter setzen bereits auf Passkeys

Die Verwendung von Passkeys offeriert eine ganze Reihe von Vorteilen für Benutzer und Firmen. Hierzu gehören eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine optimierte User Experience durch nahtlose Einschreibung und eine Verkleinerung des Risikos von Phishing-Angriffen und Passwortdiebstahl. Manche Technologiereisen haben aus diesem Grund ebenfalls schon Passkeys eingeführt – zuletzt mit viel Aufsehen der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Start sein – Experten gehen hiervon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Standard eingesetzt werden.

Was meinen Sie: Ist die nahe Zukunft der Authentifizierung passwortlos plus physisch?

Bei Anliegen zum Thema 2FA sowie Passkeys schreiben Sie uns gerne an.
Wir informieren und unterstützen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!



Das sind wir

Das gibt’s nur bei uns:
Den NTB-Effekt.

Bei der Zusammenarbeit mit Dienstleistern geht es um weit mehr als um die Leistung an sich. Weil wir lieben, was wir tun, haben wir richtig Spaß an spannenden Projekten und gehen gerne in den Austausch mit Ihnen. Wir sehen uns mit unseren Kunden stets auf Augenhöhe und verfolgen das Ziel, täglich noch besser zu werden. Das können wir auch nicht zuletzt deswegen, weil wir ausgelastet, aber nicht überlastet sind!

NTB - Newsletter

Unser Experten­wissen einfach erhalten im NTB-News­letter.

Jetzt WhatsApp-Newsletter abonnieren

Unsere letzten Beiträge

NTB Expertentermin

Buchen Sie sich einen Beratungs­termin mit unseren IT-Experten.

Willkommen bei unserem exklusiven Service, der dir direkten Zugang zu maßgeschneiderten IT-Lösungen bietet. Erfahre in einem unverbindlichen, persönlichen Gespräch, wie wir deine Herausforderungen meistern und Wachstumschancen maximieren können. Hier sind fünf Vorteile, die dich erwarten:

Buche jetzt dein IT-Expertengespräch und erlebe, wie wir gemeinsam den Weg zu deinem digitalen Erfolg gestalten!