Was das Schengener Informationssystem ist
Ohne das Schengener Informationssystem gäbe es keine Reisefreiheit in der EU. Doch welche Technik steckt dahinter – und wie intensiv wird das System genutzt?
Was hinter den neuen Passkeys steckt
Passkeys könnten schon bald die klassische Kombination aus Benutzername und Passwort ersetzen. Google, Microsoft und Apple haben sie schon eingeführt, doch was macht sie sicherer als Passwörter?
Im Mai 2023 hat Google den „Anfang vom Ende der Passwörter“ angekündigt. Seitdem können die rund zwei Milliarden bei Google registrierten Nutzer ihre Accounts mit Passkeys vor Missbrauch schützen. Doch viele von ihnen haben bis jetzt noch nie etwas von Passkeys gehört. Wir bringen Licht ins Dunkel.
Wo die Gefahren klassischer Passwörter lauern
Als Passwörter zum Schutz von Online-Konten eingeführt wurden, war die IT-Welt noch in Ordnung. Das vom Massachusetts Institute of Technology (MIT) Anfang der 1960er-Jahre entwickelte Compatible Time-Sharing System (CTSS) war der erste Computer, der sich von mehreren Anwendern benutzen ließ. Die User schützten ihre dabei eingeführten Accounts erstmals mit Passwörtern.
Es dauerte jedoch nicht lange, bis die erste Passwort-Attacke erfolgte. 1962 wollte der wissenschaftliche Mitarbeiter Allen Scherr den Computer länger nutzen, als es sein zugewiesenes Zeitkontingent erlaubte. Deshalb suchte er einen Weg, um an die Passwörter seiner Kollegen zu gelangen. Schließlich nutzte er eine der damals üblichen Lochkarten, um die im CTSS gespeicherten Passwörter auszudrucken und sich damit anzumelden.
Auch wenn Angriffe auf Passwörter heute ohne Lochkarten auskommen, gelten klassische Kennwörter mittlerweile als weitgehend überholt. Dafür gibt es mehrere gute Gründe. So verwenden die meisten Menschen einfache Passwörter, die sie sich leicht merken können. Damit sind sie aber auch leicht zu erraten oder mit Brute-Force-Attacken zu knacken. Komplizierte Passwörter kann sich hingegen kaum jemand merken. Sie kommen deshalb nur selten zum Einsatz.
Zudem neigen viele Nutzer dazu, ihre Passwörter mehrfach zu verwenden. Genau das macht die unzähligen Daten-Leaks der letzten Jahre und Monate so extrem gefährlich. Denn einmal erbeutete Daten ermöglichen aus der Ferne oft nicht nur das Einloggen bei einem einzelnen Dienst, sondern auch bei allen anderen, bei denen der User dieselbe Kombination aus Benutzerkennung und Passwort verwendet hat. Auf diese Weise haben Cyber-Angreifer schon viel Schaden angerichtet.
Welche Techniken die Passwortproblematik entschärfen
IT-Sicherheitsexperten sind sich der Passwortproblematik seit Langem bewusst. Sie haben daher eine Reihe von Verbesserungen entwickelt, um den Umgang mit Passwörtern sicherer zu gestalten. Diese reichen vom Einsatz von Passwort-Managern über die Multi-Faktor-Authentifizierung (MFA) bis hin zu zeitbasierten Einmalpasswörtern (TOTP). Wie wir aber bereits gezeigt haben, bietet selbst die viel gepriesene MFA keinen kompletten Schutz mehr. Fatigue-Attacken, Realtime-Phishing und der Diebstahl von Session-Cookies bedrohen sie.
Mehrere große Internetkonzerne, neben Google zum Beispiel auch Microsoft und Apple, haben sich deshalb zusammengeschlossen, um eine sichere Alternative – die sogenannten Passkeys – zu entwickeln.
Wie der Lösungsansatz der neuen Passkeys aussieht
Technisch basieren Passkeys auf dem FIDO2-Verfahren. Wie FIDO2 verwenden auch Passkeys eine Kombination aus privatem und öffentlichem Schlüssel. Es handelt sich also um eine asymmetrische Verschlüsselung. Wie bereits bei FIDO2 sendet der Server bei einer Anmeldung eine Challenge (Herausforderung) an den Client, der diese mit seinem privaten Schlüssel signiert und als Response (Antwort) zurücksendet. Anschließend validiert der Server die Antwort mit dem öffentlichen Schlüssel des Anwenders. Ist sie korrekt, gibt er die Anmeldung frei.
Zusätzlich verhindern mehrere Faktoren einen Missbrauch. So kommen Passkeys komplett ohne Passwörter aus. Stattdessen wird der private Schlüssel auf dem Endgerät des Anwenders meist biometrisch oder mit einer PIN geschützt. Dabei kommt in der Regel das Verfahren zum Einsatz, mit dem sich der Nutzer bereits an seinem Betriebssystem anmeldet.
Außerdem werden bei der Verwendung von Passkeys für jeden Dienst und jede Anwendung neue Schlüsselpaare generiert. Eine Mehrfachverwendung wie bei Passwörtern findet nicht statt. Da die Schlüssel an die verwendete Domain gebunden sind, funktionieren zudem gängige Phishing-Tricks wie sehr ähnliche Domainnamen nicht mehr.
Der wichtigste Unterschied zwischen FIDO2 und Passkeys ist, dass Letztere nicht mehr an ein einzelnes Gerät gebunden sind. Passkeys werden meist in einem Sicherheits-Chip oder einem speziellen Passwort-Manager abgelegt, sodass sie sich über mehrere Geräte hinweg synchronisieren oder sichern lassen. Ein separater Security-Token wie bei FIDO2 ist nicht erforderlich. Außerdem sind Passkeys mit dem WebAuthn-Standard kompatibel. Dies hat den Vorteil, dass Webseitenbetreiber nur eine Technik implementieren müssen, um sowohl Passkeys als auch FIDO2 zu unterstützen.
Wo die Vor- und Nachteile von Passkeys liegen
Passkeys reduzieren das Risiko kompromittierter Accounts, sie versprechen eine IT-Welt ohne Passwörter. Die flächendeckende Einführung dauert zwar lange, aber die Sicherheitsvorteile dieser neuen Authentifizierungstechnik überwiegen die Nachteile bei Weitem:
(+) Passkeys garantieren mehr Sicherheit als Passwörter, da sie viel schwieriger zu hacken oder zu erraten sind.
(+) Passkeys bieten einen höheren Komfort, da sich der Benutzer diese nicht mehr merken muss. Stattdessen reicht zum Beispiel sein Fingerabdruck aus, um sich sicher anzumelden.
(+) Passkeys sind resistent gegen Phishing, da für jede Domain und jede Anwendung automatisch ein neues Schlüsselpaar generiert wird.
(-) Passkeys sind allerdings noch nicht sehr weit verbreitet. So listet das Passkeys.directory erst 80 Unternehmen auf, die Passkeys implementiert haben (Stand: Herbst 2023).
(-) Passkeys können neue Hard- oder Software erfordern, was zusätzliche Kosten verursacht. Microsoft und Apple haben diese Technik aber bereits in ihre Betriebssysteme integriert, andere Anbieter werden folgen.
(-) Einige Unternehmen verwenden Hintertüren in ihren Implementierungen. So konnte sich zum Beispiel Google noch nicht dazu durchringen, komplett auf Passwörter zu verzichten. So gelingt es Angreifern, die sicheren Passkeys letztlich doch wieder zu umgehen.
Sie möchten sich näher über sichere Authentifizierungsmethoden informieren? Kontaktieren Sie uns! NCP hat eine langjährige Erfahrung beim Schutz von Daten im Internet und bei der Abwehr von Cyber-Attacken.
Das könnte Sie auch interessieren:
Grundlagen der Verschlüsselung
Verschlüsselung schützt vertrauliche Daten vor Spionage und Diebstahl. Es gibt aber Unterschiede zwischen symmetrischen, asymmetrischen und hybriden Verfahren.
Was vom dritten KRITIS-Dachgesetz zu erwarten ist
Die dritte Fassung des IT-Sicherheitsgesetzes betrifft zusätzlich bis zu 30.000 Unternehmen in Deutschland. Sie müssen künftig deutlich höhere Sicherheitsstandards einhalten.