Dürfen wir uns auf eine passwortfreie Zukunft freuen? Was Sie über die FIDO-basierte Authentifizierung wissen sollten
Passwörter sind aus dem Leben im Internet nicht mehr wegzudenken. Ironischerweise erfüllen sie ihre einzige Aufgabe – nämlich unsere Konten vor unbefugtem Zugriff zu schützen – häufig weniger gut, als wir es uns wünschen würden. Woran liegt das? Nun, Passwörter sind für die meisten von uns eine überaus lästige Angelegenheit. Deshalb machen wir es uns gerne einfach, indem wir möglichst einfache Passwörter wählen und diese regelmäßig wiederverwenden. Dies öffnet Hackerangriffen Tür und Tor.
Passwort-Manager können einen Beitrag zur Lösung dieser Probleme leisten. (Falls Sie noch keinen Passwort-Manager verwenden, wird es daher höchste Zeit!) Letztendlich geht es jedoch stets darum, eine noch bessere Lösung zu finden.
Seit 2013 arbeitet die FIDO („Fast IDentity Online“) Alliance an Standards und Technologien, die genau das ermöglichen sollen. Das Ziel ist eine universelle, passwortfreie und phishingsichere Authentifizierung, für die keine spezielle Hard- oder Software erforderlich ist. Ist dies womöglich die Lösung, auf die wir alle sehnlichst gewartet haben?
Die bisherige Situation
Auf Grundlage der Arbeit von FIDO hat das World Wide Web Consortium (W3C) 2019 ein Protokoll mit der Bezeichnung WebAuthn empfohlen, das der passwortfreien Authentifizierung den Weg geebnet hat. Entsprechend verfügen heute alle modernen Browser über die Voraussetzungen zur Nutzung der FIDO-basierten Authentifizierung. Zu diesem Zweck kommt entweder ein in das System integrierter Authentifikator oder ein Hardware-Authentifikator wie YubiKey zum Einsatz.
Diese Form der Authentifizierung ist bereits seit einiger Zeit verfügbar, ist jedoch nicht frei von Nachteilen. Zum einen werden die erforderlichen Daten lokal gespeichert, entweder auf einem Hardware-Schlüssel (z. B. einem YubiKey) oder als Teil des Systems (z. B. TouchID auf MacBooks oder Windows Hello unter Windows). Zum anderen funktioniert diese Methode nicht ohne Weiteres auf allen Plattformen. Während YubiKeys beispielsweise plattformübergreifend zum Einsatz kommen können, gilt dies nicht für die in Systeme integrierten Authentifikatoren.
Was sich im Jahr 2022 geändert hat
Im März 2022 hat FIDO ein Whitepaper veröffentlicht, das einige Hinweise darauf enthielt, welche Pläne die drei führenden Plattform-Unternehmen – Apple, Microsoft und Google – verfolgten, um die passwortfreie Authentifizierung für Millionen von Menschen Wirklichkeit werden zu lassen. Am Welt-Passwort-Tag (5. Mai) erhielten wir schließlich die Antwort.
FIDO und die drei Plattform-Unternehmen wollen das Problem der fehlenden plattformübergreifenden Unterstützung für die FIDO-basierte Authentifizierung durch drei neue Vorschläge lösen:
- Verbinden des Desktop-/Laptop-Geräts mit dem Mobilgerät per Bluetooth. In diesem Szenario wird das Mobilgerät faktisch zum FIDO-Authentifikator. Dabei spielt es keine Rolle, ob es sich um ein Apple- oder Android-Mobilgerät handelt, und auch die Browser-/Desktop-Plattform-Kombination erfordert keine Berücksichtigung. Dadurch kann das Problem der fehlenden plattformübergreifenden Unterstützung möglicherweise gelöst werden. Sie könnten sich dann beispielsweise mit Ihrem iPhone in ein Windows-Gerät einloggen.
- Bereitstellen eines nahtlosen Browsing-Erlebnisses, das die reibungslose Registrierung und Anmeldung bei Websites über die bestehenden WebAuthn-Abläufe ermöglicht.
- Speichern der privaten WebAuthn-Schlüssel (inzwischen als Passkeys bekannt) in der Cloud in Abhängigkeit davon, welches Konto der Benutzer auf seinem Mobilgerät hat (z. B. iCloud Keychain oder Google-Konto).
Ist diese Lösung perfekt?
Die von FIDO vorgeschlagenen Änderungen bringen uns einer passwortfreien Zukunft zwar näher, werfen jedoch auch einige bisher unbeantwortete Fragen auf.
Wer verfügt über die Schlüssel?
Ein zentraler Knackpunkt ist die Frage, wer im Besitz der tatsächlichen privaten Schlüssel ist und die Kontrolle über diese hat: Ist es Apple, Google oder Microsoft? Nicht jeder ist bereit, diesen Unternehmen seine Anmeldedaten zu überlassen.
Während die Schlüssel im sicheren Cloud-Bereich gesichert werden, bleibt Ihr Apple-, Google- oder Microsoft-Konto der wichtigste Zugangspunkt. Bieten diese Plattformen Wiederherstellungsmethoden für den Fall, dass Sie nicht mehr auf Ihr Konto zugreifen können? Gibt es eine Möglichkeit, den Zugriff auf Ihre privaten Schlüssel wiederherzustellen? Haben die Benutzer ausreichend Vertrauen in die Sicherheit und den Datenschutz dieser Plattformen, um das Risiko einzugehen, die Abhängigkeit von einem bestimmten Ökosystem noch weiter zu erhöhen?
Bei der Wahl eines Identitätsanbieters – ganz gleich, ob es sich dabei um eines der Big-Tech-Unternehmen oder ein anderes Unternehmen handelt – sollten Sie darauf achten, ob der Anbieter über die technischen Möglichkeiten verfügt, auf Ihre privaten Daten zuzugreifen. Dashlane beispielsweise wurde mit einer Zero-Knowledge-Architektur entwickelt, sodass außer Ihnen selbst niemand Zugriff auf Ihre Daten hat. So können Sie sich absolut sicher sein, dass Ihre Daten immer und überall vor fremden Augen geschützt sind.
Der derzeit bekannte Plan von FIDO bietet diesbezüglich keine Wahl: Benutzer sind gezwungen, mit den drei großen Plattformen vorlieb zu nehmen, da diese die Standards, Hardware und Software kontrollieren, ohne die die Lösung nicht funktionieren würde.
Wie unterstützen Websites die FIDO-Authentifizierung?
Websites, auf denen sich die Benutzer mit einem Passwort authentifizieren können, müssen lediglich eine ziemlich einfache Implementierung unterstützen. Für die FIDO-Authentifizierung ist jedoch ein wesentlich komplexeres Setup erforderlich. Während viele große Technologieunternehmen diese Form der Authentifizierung sehr wahrscheinlich übernehmen werden, da sie ohne Weiteres ein Team von Technikern für die Vorbereitungen abstellen können, haben viele kleinere Websites diesen Luxus nicht.
Wir gehen davon aus, dass die Kosten, die Letzteren in diesem Zusammenhang entstehen, mit der Zeit zurückgehen werden, da mit zunehmender Verbreitung der Methode immer mehr Tools verfügbar gemacht werden. Auch rechnen wir damit, dass Benutzer in absehbarer Zukunft von einer Mischung aus Passkeys und Passwörtern Gebrauch machen werden.
Welche Möglichkeiten gibt es für den gemeinsamen Zugriff?
Unternehmen sind darauf angewiesen, Anmeldedaten auf sichere Weise für mehrere Mitarbeiter freigeben zu können. Mit Passwörtern ist der gemeinsame Zugriff auf ein Konto (z. B. ein Twitter-Konto für Marketingabteilungen) ziemlich einfach. Wir sind davon überzeugt, dass die Möglichkeit zum Teilen von Passkeys ein entscheidender Faktor für die erfolgreiche Verbreitung der neuen Methode sein wird und dass Passwort-Manager zu diesem Zweck hervorragend geeignet sind.
Wie kann ich zwischen verschiedenen Betriebssystemen wechseln?
Während Sie die Technologie auf Android oder iOS verwenden können, ist noch ungeklärt, was passiert, wenn Sie von einem System zum anderen wechseln wollen. Wird Apple die Übertragung der Schlüssel zu Google (Android) ermöglichen? Dies ist eine unserer Sorgen. So vielversprechend diese Technologie auch ist: Wir gehen davon aus, dass Benutzer nicht sehr erfreut wären, auf eine Plattform beschränkt zu sein, um von den Vorteilen profitieren zu können, und halten dies auch für keine gute Idee.
Was steht als Nächstes an?
Obwohl bereits häufiger eine passwortfreie Zukunft angekündigt wurde, ist nach wie vor nicht bekannt, wann genau diese vielgepriesene Zukunft eintreten wird. Die aktuelle Ankündigung klingt in diesem Kontext auf jeden Fall interessant und sogar praktikabel, beantwortet aber längst nicht alle Fragen.
Für eine wirklich tragfähige passwortfreie Zukunft sind offene Standards unabdingbar; die alleinige Kontrolle durch die großen Plattformen ist keine Option. Die große Frage ist, ob Verbraucher dazu gezwungen sein werden, ihre Passkeys bei einer der großen Plattformen zu speichern, statt selbst über Sicherheit und Datenschutz entscheiden zu können. Wahlmöglichkeiten auf Verbraucherseite sind der Schlüssel zur Akzeptanz und ein offenes Ökosystem bildet die Grundlage für technische Innovation – für eine sicherere, zuverlässigere und benutzerfreundlichere Erfahrung.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
Vielen Dank! Sie sind abonniert. Halten Sie Ausschau nach Updates direkt in Ihrem Posteingang.
