Neuapostolisches

Recklinghausen-Suderwich.  Das digitale Sicherheitsrisiko Nummer 1 ist immer noch ein schwaches oder mehrfach verwendetes Passwort. Und das gilt gleichermassen beim Handy, Tablett, Laptop, Computer oder bei Onlineportalen. Der Grund dafür ist nachvollziehbar, denn wer kann sich schon zwischen 20 und 50 Passwörter (durchschnittliche Anzahl Passwörter aktiver Handy- und Computernutzer) merken, die dann auch noch den Sicherheitskriterien entsprechen?

So ist es nicht verwunderlich, das im vergangenen Jahr die Anzahl der verwendeten Passwortmanager um 110 Prozent gestiegen ist. Um Passwortmanager, wie auch Passwörter selbst überflüssig zu machen, wird bereits seit Jahren nach alternativen Verfahren geforscht. Das Ergebnis der Forschungen sind Passkeys und wurden durch die „FIDO Alliance“ entwickelt, der neben Microsoft, Google und Apple etliche andere Unternehmen angehören.
Passkeys sind plattformübergreifende „Open Source“ und völlig herstellerunabhängig. Sie sind nach derzeitigem Stand Pishing-sicher, robust und somit ein sicherer Ersatz für Passwörter.

Passkeys sind über den aus Laptops bekannten „Secutity-Chip“ bereits deutlich hinausgetreten. Waren vorherige Verfahren noch an Hardware gebunden, ist heute eine Bindung an den Nutzer getreten.
Durch die Verwendung unveränderlicher und individueller Personenmerkmale kann heute eine solche Bindung hergestellt und verifiziert werden. Die bekanntesten Vertreter hierfür sind der Fingerabdrucksensor, Iris-Scan oder die Gesichtserkennung die bereits in einer Vielzahl Geräte integriert ist. Durch derartige Verfahren ist ein Gerät untrennbar mit dessen Eigentümer verbunden.
Dazu wird ein aus zwei (digitalen) Schlüsseln bestehendes Schlüsselpaar benötigt. Dieses besteht aus einem öffentlichen und einen privaten Schlüssel. Beide sind dir zugeordnet. Der private Schlüssel wird für die Anmeldung genutzt und ist so geheim, dass selbst der Server diesen niemals erfährt.

Dieses Anmeldeverfahren wird plattformübergreifend genutzt um den (angemeldeten) Benutzer an die entsprechenden Apple-, Microsoft- oder Google-Konten anzumelden oder den Bildschirmschoner zu deaktivieren.

Dies bedeutet in der Praxis dass du deine Geräte, Onlinedienste und Softwareprodukte miteinander verknüpfst. Das setzt jedoch voraus, dass deine Geräte über entsprechende Sicherheitsstandards verfügen, einen gesicherten Bildschirmschoner haben und für eine Web-Anmeldung Safari, Chrome oder Edge als Internetbrowser eingesetzt wird. Mozilla ist mit seinem Firefox noch nicht für diese Verwendung geeignet, arbeitet jedoch bereits an einer Integration.

Verwendest du ein Android-Smartphone oder ein Apple iPhone, erweitern sich deine Möglichkeiten noch, indem diese deinen Passkey als sogenannter „Authenticator“ an andere Geräte zur Anmeldung verwenden können, ohne deinen Passkey preiszugeben.

Während die Hersteller von Hardware (insbesondere mobiler Endgeräte) und Betriebssystemen (ausgenommen Linux) die Passkeys bereits auf breiter Front nutzen ist die Integration von Webseiten nur dort möglich, wo die Programmierer die „WebAuthn-API“ auf ihrer Webseite integriert haben. Auf Microsoft- und Googleseiten ist diese Integration bereits größtenteils erfolgt. Microsoft bietet dir sogar (als einziger Anbieter) die Option, dein Passwort aus deinem Account zu löschen, damit es nicht als „Hintertüre“ für Angreifer verwendet werden kann.

Der Weg ist bereitet, damit Passwörter künftig ausgedient haben. Bis es soweit ist muss jedoch die Akzeptanz, insbesondere bei den Anbietern von Web-Diensten, noch deutlich steigen. Als Nutzer solltest du nach Möglichkeit den Passkey verwenden. Wo dies nicht machbar ist, ist die Verwendung eines „sicheren“ Passworts in Verbindung mit einer 2-Faktor-Authentifizierung angeraten.