Passkeys sind die bequeme und sichere Alternative zu Passwörtern. Sie ermöglichen es Ihnen, sich mit Ihrem Fingerabdruck, per Gesichtserkennung oder mit Hilfe einer PIN einzuloggen. Demnächst bieten wir auch für Scopevisio die Möglichkeit an, einen Passkey einzurichten.
Cyberkriminalität: Gefahr durch Phishing
Passwörter sind ein beliebtes Ziel für Cyberkriminelle. Im Jahr 2022 verzeichneten 89 Prozent der Organisationen laut der FIDO-Alliance mindestens eine Phishing Attacke. Phising ist ein Neologismus – also eine Wortneuschöpfung – die sich aus den Begriffen Passwort und Fishing zusammensetzt. Bei dieser Art von Cyberkriminalität versuchen Betrüger, Passwörter von Benutzern auszuspionieren. Unternehmen riskieren durch Phishing-Attacken den Diebstahl vertraulicher Informationen, Systemschäden und sogar den Zusammenbruch ihrer Internetdienste. Zu den Hauptgefahren zählen aber finanzielle Schäden. Laut dem Bundesamt für Sicherheit in der Infomationstechnik (BSI) werden die „volkswirtschaftlichen Schäden von Cyber-Delikten, die mit gezielten Phishing-Attacken beginnen, […] in Deutschland pro Jahr mindestens auf einen zweistelligen Millionenbetrag geschätzt.“
Um das Risiko durch Phishing zu minimieren, nutzen User heute eine Zwei-Faktor-Authentifizierung und/oder einen Passwortmanager. Noch mehr Sicherheit versprechen jedoch Passkeys.
Was ist ein Passkey?
Ein Passkey ist ein Verfahren der Benutzerauthentifizierung, das den passwortlosen Login bei Websites oder Apps ermöglicht. Stattdessen nutzen Passkeys den Entsperrmechanismus eines Geräts (z. B. biometrische Daten – TouchID, FaceID – oder PIN).
Ein Passkey besteht aus einen virtuellen Schlüsselpaar. Ein öffentlicher Schlüssel wird an die Website bzw. App übermittelt. Ein privater Schlüssel bleibt auf dem Gerät, zum Beispiel dem Smartphone. Beim Login wird bestätigt, dass beide Schlüssel zusammenpassen. Dies funktioniert um Beispiel über TouchID, FaceID oder PIN. Ein Passkey ist immer auf einen einzigen Webdienst bezogen.
Warum Passkeys?
Passkeys sind im Gegensatz zu Passwörtern resistent gegen Phising und Hacking-Versuche. Passkeys sind außerdem einfach und schnell zu nutzen, da Anwenderinnen und Anwender sich keine Passwörter mehr merken muss.
Welche Dienste unterstützen Passkeys?
Immer mehr große IT-Unternehmen wie Google oder Microsoft entscheiden sich für das neue Verfahren. Eine Liste mit allen Diensten, die derzeit Passkeys unterstützen, findet sich unter www.passkeys.directory
Experten gehen davon aus, dass Passkeys in Zukunft Passwörter ersetzen werden.
Wie funktionieren Passkeys genau?
Bei der ersten Registrierung einer Website oder App wird ein „Schlüssel-Paar“ erzeugt, das nur für dieses Konto gültig ist. Dieses Schlüsselpaar besteht aus einem privaten und einem öffentlichen Schlüssel. Der öffentliche Schlüssel wird auf dem Server des Web-Dienstes gespeichert. Der private Schlüssel wird auf Ihrem lokalen Gerät wie etwa dem Smartphone hinterlegt.
Bei jeder weiteren Anmeldung prüft die Website, ob der öffentliche Schlüssel mit dem privaten Schlüssel übereinstimmt. Dafür sendet der Webdienst eine sogenannte Aufgabe (Challenge) an Ihr Gerät. Dieses löst die Aufgabe, indem es sie mit dem eigenen privaten Schlüssel digital signiert und zurück an den Dienst schickt. Dieser Vorgang wird dadurch ausgelöst, dass Sie Ihr Gerät auf die festgelegte Art und Weise entsperren (etwa durch Fingerabdruck oder „Wisch-Muster“). Der Webdienst prüft über den öffentlichen Key, ob diese Signatur wirklich von Ihnen stammt.
Der private Schlüssel und die biometrischen Daten bleiben ausschließlich auf dem lokalen Gerät gespeichert, das Sie für den Passkey nutzen. Der private Schlüssel wird niemals mit dem Webdienst geteilt. Anders als beim Passwort gibt es also kein „Shared Secret“, wie es beim Passwort der Fall ist, das sowohl Anbieter und als auch Nutzer kennen.
Wer hat Passkey entwickelt?
Passkey ist ein technologischer Standard des Word Wide Web Consortiums (W3C) und der FIDO Alliance (FIDO = Fast IDentity Online). Das W3C ein internationales Konsortium, das standardisierte Technologien für das World Wide Web entwickelt. Die FIDO Alliance wurde 2012 gegründet, um offene und lizenzfreie Industriestandards für die Authentifizierung im Internet zu entwickeln. In der Allianz haben sich Hunderte Unternehmen weltweit zusammengeschlossen. Zu den bekanntesten zählen Google, Apple, Microsoft, Amazon, Visa und Mastercard.
Gemeinsam haben Sie die Entwicklung von sicheren Authentifizierungsverfahren wie Passkey vorangetrieben. Ziel ist es, sowohl das Passwort als auch die traditionelle Multi-Faktor-Authentifizierung zu ersetzen.
Um die Sicherheit für unsere Anwenderinnen und Anwender zu erhöhen, werden auch wir demnächst für Scopevisio das Passkey-Verfahren anbieten.
