Ingo CarowPasswörter waren lange Zeit eine sinnvolle Option um sich online anzumelden. Hat man hierbei einige Grundregeln beachtet – wie z. B. nicht für jeden Dienst das gleiche Passwort zu verwenden – war diese Methode auch relativ sicher. Wurden die Kundenpasswörter beim Dienstleister auf dem Server mit unsicheren Methoden gespeichert, konnten diese bei einem Servereinbruch kopiert werden. Diese meist massenhaft abgegriffenen Passwörter wurden dann zu Listen zusammengestellt und für die Übernahme von fremden Konten missbraucht. Ob die eigenen Passwörter schon auf solchen Listen stehen, kann man unter https://haveibeenpwned.com/Passwords überprüfen.
Es gibt verschiedene Methoden, um die Verwendung von Passwörtern sicherer zu machen. Dazu gehören die Verwendung von möglichst langen Passwörtern mit unterschiedlichen Sonderzeichen und die 2-Faktor Authentifizierung (2FA). Bei Letzterem wird z. B. die Übermittlung einer Zusatzinformation auf ein weiteres Gerät beim Login abgefragt. So kann beispielsweise eine SMS auf ein Handy geschickt oder mit einer App ein Time based One Time Password (TOTP) erzeugt werden.
Neben unsicheren oder wiederverwendeten Passwörtern gibt es aber auch noch weitere Probleme. Passwörter können u. a. durch Phishing E-Mails und der Aufforderung sein Passwort auf einer anderen Seite einzugeben, abgegriffen werden.
Login mit FIDO2
Ein sicheres aktuelles Authentifizierungsverfahren bietet FIDO2 (Fast IDentity Online). Dabei wird der Schlüssel zur Authentifizierung an Hardware wie ein Sicherheitschip im PC, ein Smartphone oder auch Hardwarekeys gebunden. Das System nutzt ein kryptographisches Public/Private Key Verfahren.
Während der Registrierung bei einem Dienst erstellt das Gerät des Kunden ein neues Public/Private Schlüsselpaar. Der öffentliche Teil des Schlüssels wird dann zum Onlinedienst hochgeladen und dort gespeichert. Der private Schlüssel verbleibt auf dem Gerät.
Bei einem späteren Login bekommt das Mobilgerät eine kryptografische „Challenge“ übermittelt. Dieses signiert sie mit ihrem privaten Key und sendet das Ergebnis wieder zurück zum Onlinedienst. Der private Key verlässt dabei nie das Gerät des Kunden. Der Dienst kontrolliert dann die Richtigkeit der Antwort mit dem gespeicherten Public Key.
Pro Domain wird bei diesem Verfahren ein neuer Passkey erstellt und bleibt mit dieser verbunden. Voraussetzung für die Anmeldung mit Passkeys ist die Verwendung eines unterstützten Browsers. Zur Zeit unterstützen nur Chrome, Edge und Safari diese Methode. Für den Firefox ist die Unterstützung für Passkeys leider erst für das Ende des Jahres 2023 angekündigt.
Einrichtung eines Kontos mit Passkeys
Seit diesem Jahr unterstützen bereits einige Dienste Logins mit Passkeys. Im Folgenden beschreibe ich die Umstellung eines Google Kontos von Passwörtern auf Passkeys.
Zunächst meldet man sich mit der gewohnten E-Mail/Passwort Kombination am Google Konto an. Durch Klicken auf seinen Avatar kommt man zu den Kontoeinstellungen. Unter dem Menüpunkt „Sicherheit“ scrollt man zum Abschnitt „So melden Sie sich in Google an“.
Hier sind unter anderem alle Möglichkeiten der Anmeldung aufgeführt und lassen sich einstellen. Ganz unten in diesem Bereich befindet sich ein neuer Button „Passkeys“. Klickt man diesen an, kommt man zur Einrichtungsseite für Passkeys.
Mit „Passkey erstellen“ erscheint ein Modal auf dem noch einmal erklärt wird, wie der Anmeldevorgang mit Passkeys auf den verschiedenen Geräten funktioniert.
Hier hat man die Auswahl, einen Key für das aktuell genutzte Gerät oder für ein anderes zu erstellen. Da ich meinen Schlüssel mit meinem Handy verbinden wollte, habe ich hier die Option „Anderes Gerät verwenden“ ausgewählt.
Hierzu wird ein QR-Code erzeugt, den man mit der Photoanwendung des Mobilgerätes scannt und auf den dort erscheinenden Link „Passkey erstellen“ klickt. Nach Bestätigung der Abfrage wurde ein Passkey auf dem Smartphone erzeugt und abgespeichert.
Wartet man zu lange mit der Prozedur der Erstellung erhält man von der Googleseite eine Fehlermeldung und muss den Vorgang wiederholen. Hat alles geklappt bekommt man eine entsprechende Erfolgsmeldung und kann sich von nun an ohne Passwort anmelden.
Dazu muss man auf der Anmeldeseite nur noch seinen Namen eingeben und auf der Folgeseite die Verwendung eines Passkeys mit Klick auf „Weiter“ bestätigen. In der Folge erscheint auf dem Handy eine Abfrage für den Login, welche man mit der eingestellten Methode freigibt (PIN, Fingerabdruck oder FaceID).
Man kann jederzeit in den Googleeinstellungen seine Passkeys auch wieder entfernen und die Anmeldemethode lässt sich ebenfalls wieder auf eine andere umstellen.
Fazit zum Passkey Login
Auch wenn zur Zeit nur die großen Anbieter wie Google und Microsoft Logins mit Passkeys anbieten, werden es in Zukunft sicher noch mehr in ihre Systeme integrieren. Ein guter Zeitpunkt also, diese Login-Methode einmal auszuprobieren.
Links zum Thema
https://www.heise.de/hintergrund/Bestandsaufnahme-Passwort-Nachfolger-Passkeys-9048722.html
https://www.heise.de/select/ct/2023/11/2308113433871041484
https://security.googleblog.com/2023/05/so-long-passwords-thanks-for-all-phish.html
https://support.google.com/accounts/answer/13548313?hl=de
https://de.wikipedia.org/wiki/FIDO2
https://fidoalliance.org/fido2
https://fidoalliance.org/how-fido-works
Ralf Schukay
Marcus Krautkrämer
