In letzter Zeit hört man sehr viel über eine Zukunft ohne Passwörter, und es kann nicht schnell genug gehen. Derzeit haben Cyberkriminelle Zugriff auf Milliarden gefährdeter Anmeldedaten im Dark-Web. Man kann ohne Übertreibung sagen, dass es inzwischen kaum jemanden gibt, dem noch nie Passwörter in einer Datenschutzverletzung gestohlen wurden.
Um dieses Problem zu lösen, arbeitet die Cybersicherheitsbranche intensiv an der passwortlosen Authentifizierung und macht stetig Fortschritte. Eine der führenden Gruppen hierbei ist die FIDO Alliance („Fast IDentity Online“), die an der Entwicklung von Standards für die passwortlose Authentifizierung arbeitet. Vor Kurzem kündigte Apple seine eigene passwortlose Authentifizierung mit Passkeys an, und Google ist auch nicht weit davon entfernt.
Forscher von Digital Shadows haben 6,7 Milliarden einzigartige Logins – Kombinationen von Benutzernamen und Passwörtern – im Dark-Web gefunden. Diese Schatzkammer an Logins bedeutet ein hohes Risiko für viele Verbraucher, vor allem wenn man bedenkt, wie viele Menschen ihre Passwörter wiederverwenden. Daher wird sich die Einführung der Passkey-basierten Authentifizierung wahrscheinlich sehr schnell ausbreiten.
Befassen wir uns also näher mit Passkeys und inwiefern sie sich von Passwörtern unterscheiden.
Want to learn more about using Dashlane Password Manager at home or at work?
Check out our personal password manager plans or get started with a free business trial.
Was ist ein Passkey?
Einfach ausgedrückt: Ein Passkey ist ein passwortloses Login. Dieser neue Standard nutzt Public-Key-Verschlüsselung zur Authentifizierung Ihres Zugriffs auf Websites und Apps. Anstatt ein Passwort für Ihr Konto erstellen zu müssen, richten Sie einen „Authenticator“ ein, der einen Passkey generiert – zwei miteinander verwandte kryptografische Schlüssel. Der Authenticator kann Ihr Smartphone sein, ein anderes Mobilgerät oder ein Passwort-Manager, der Passkeys unterstützt.
Der Authenticator erfordert nach wie vor eine Form der Benutzerüberprüfung. Dies kann die Eingabe eines Master-Passworts oder eine biometrische Verifizierung (Face ID oder Touch ID) sein, um sowohl die Sicherheit als auch die Benutzerfreundlichkeit zu verbessern. Bei der biometrischen Authentifizierung brauchen Sie sich kein Passwort für Ihren Authenticator zu merken. Die biometrische Authentifizierung ist zudem sicherer und bequemer für Benutzer als die Eingabe eines Geräts oder App-Passworts.
Ihre Passkeys werden sicher in einem Tresor gespeichert, wie z. B. in der Keychain Ihres Geräts oder in Ihrem Passwort-Manager. Da alle Geräte synchronisiert werden können, können Passkeys nahtlos und bequem genutzt werden, und die allgemeine Benutzererfahrung mit Passkeys ist wesentlich besser als mit Passwörtern.
Wie funktionieren Passkeys?
Ihr Authenticator generiert öffentliche und private Schlüssel bei der Registrierung des Kontos oder wenn Sie Passkeys auf Konten aktivieren, die diese unterstützen. Der Dienstleister oder die Website und Ihr Authenticator kommunizieren durch den direkten Austausch von Schlüsseln.
Der öffentliche Schlüssel, der zum Speichern an den Web-Server gesendet wird, ist für Cyberangreifer nutzlos. Das ist ähnlich wie beim Benutzernamen – ohne Passwort nützt er nicht viel.
Der private Schlüssel hingegen muss geheim gehalten werden und wird nur auf Ihrem Gerät gespeichert. Wenn Sie versuchen, sich anzumelden, sendet der Server eine Herausforderung an den Authenticator (nach dem Zufallsprinzip ausgewählte Daten zum Nachweis, dass Sie tatsächlich die Person sind, die sich anmelden will). Der private Schlüssel löst die Herausforderung und sendet die Antwort zurück. Im Prinzip werden diese Daten mit dem privaten Schlüssel „signiert“.
Die Schlüssel sind mathematisch verwandt, d. h. wenn die signierten Daten an den Server zurückgesendet werden, kann der Server sie mit dem öffentlichen Schlüssel verifizieren. Er muss den Schlüssel jedoch nicht kennen, um ihn zu validieren.
Passkeys vs. Passwörter
Bei dem oben beschriebenen Verfahren werden keine geheimen Daten zwischen dem Server und Ihrem Authenticator ausgetauscht. Dies ist anders als bei der passwortbasierten Authentifizierung, wo Daten zu einem geheimen Passwort ausgetauscht werden, um die Korrektheit des Passworts zu prüfen. Und da Passkeys auf der Public-Key-Kryptografie basieren, sind sie auch nicht auf die Speicherung gemeinsamer Geheimnisse auf einem Server angewiesen.
Dies sind nur zwei der vielen Gründe, warum Passkeys sicherer sind als Passwörter. Zwar ist keine Authentifizierungsmethode vollkommen sicher, doch sorgen mehrere weitere Aspekte dafür, dass Passkeys sicherer sind als Passwörter:
- Sie können nicht erraten oder wiederverwendet werden.
- Sie sind nicht anfällig für Phishing. Da Passkeys für die App oder Website, für die sie erstellt werden, eindeutig sind, können böswillige Akteure Sie nicht dazu verleiten, den Passkey bei einer ähnlich aussehenden oder betrügerischen Website zu verwenden.
- Da Passkeys nur auf Ihrem Gerät gespeichert werden, können Cyberkriminelle Ihre Passkeys nicht stehlen, indem sie den Server oder die Datenbank des Anbieters hacken.
Werden Passkeys Passwörter ersetzen?
Es wird wahrscheinlich ein paar Jahre dauern, aber Passkeys werden voraussichtlich irgendwann Passwörter ersetzen. Derzeit unterstützen nur wenige Websites Passkeys, darunter PayPal, eBay, Microsoft und Best Buy.
Die FIDO Alliance arbeitet seit einiger Zeit an Standards zur passwortlosen Authentifizierung. Die wichtigste Entwicklung kam erst kürzlich, als das Technologiekonsortium eine Methode zur Speicherung kryptografischer Schlüssel ankündigte, die die Synchronisierung zwischen den Geräten ermöglicht. (FIDO bezeichnet Passkeys sogar als „FIDO-Anmeldedaten für mehrere Geräte“.) Dies bereitet den Weg für eine breitere Anwendung von Passkeys.
Wenn Passkeys erste einmal zum Standard werden, werden Sie sich auf völlig andere Weise bei Ihren Konten anmelden – und dies bedeutet einen riesigen Schritt für den Datenschutz.
Vor Kurzem hat Dashlane die integrierte Passkey-Unterstützung eingeführt und ist damit das erste Unternehmen in der Branche, das eine Passkey-Lösung im Browser anbietet. Dies ist ein natürlicher Schritt zur weiteren Vereinfachung der Sicherheit für Unternehmen und ihre Mitarbeiter.
Sie können sich bei allen Websites nahtlos mit Ihrer Dashlane-App anmelden, Ihre Passkeys in Dashlane speichern und sich automatisch bei Ihren Konten anmelden. Und dank unserer patentierten Zero-Knowledge-Architektur erhalten Sie eine zusätzliche Sicherheitsebene, da niemand außer Ihnen auf Ihre Logins zugreifen können (nicht einmal wir).
Erfahren Sie mehr über die neue Unterstützung für Passkeys bei Dashlane und wie wir die neue Ära der passwortlosen Authentifizierung einläuten.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
Vielen Dank! Sie sind abonniert. Halten Sie Ausschau nach Updates direkt in Ihrem Posteingang.