Passwörter sind nötig, um die Identität bzw. die eigenen Konten im Netz zu schützen, haben aber viele Schwächen. Tatsächlich gibt es einen würdigen Nachfolger, der sicherer und einfacher ist. Worum handelt es sich dabei und können uns die Cloud-Anbieter damit unter die Arme greifen?
Viele Dienstleistungen im Netz erfordern eine Autorisierung, um sie zu benutzen. Um zu autorisieren, muss vorher ein Identitätsnachweis stattfinden – die Authentifizierung. Die seit vielen Jahrzehnten vorherrschende Methodik ist die Angabe eines Passwortes. Der Beweis der Identität ist damit durch Wissen erbracht.
Passwörter haben ausgedient
Das Konzept des Passwortes hat viele Schwächen. Denn das Passwort kann abgegriffen (Phishing), einem Dienstleister gestohlen (Datendiebstahl) oder auch vergessen oder mehrfach benutzt werden. Die Lösung dafür ist der Identitätsnachweis durch Besitz. Ein 2. Faktor setzt dies um, macht den Anmeldeprozess aber umständlicher. Der Standard FIDO2 von der FIDO Alliance löst dies eleganter durch asymmetrische Verschlüsselung.
FIDO2 benötigt Hardware und darin gespeicherte Schlüssel können nicht auf andere Hardware übertragen werden. Dies ist zwar sehr sicher, es sind aber Gründe gegen die Akzeptanz und eine ordentliche Verbreitung der Technik. Also wurde eine Erweiterung entwickelt: Passkeys. Dabei kann ein generierter, privater Schlüssel auch synchronisiert werden, z.B. über ein Konto bei Apple, Google oder Microsoft oder auch ohne Abhängigkeit zu einem Ökosystem-Anbieter per Passwortsafe-Dienstleister (Dashlane, 1password, Keeper, Bitwarden, …).
Der Besitz für den Identitätsnachweis wandert damit zu einem Dienstleister. Das mag skeptisch stimmen, jedoch haben diese die Expertise, Passkeys technisch richtig und sicher zu verwahren. Die Synchronisation geschieht verschlüsselt und Passkeys werden nur mit Nutzung eines zweiten Faktors (biometrische Marker, PIN, …) herausgegeben. Die Dienstleister können dabei auf ihre Erfahrungen im Umgang mit der Cloud zurückgreifen, welche ohnehin öffentlichen exponiert ist und daher richtig abgesichert werden muss.
Passkeys nehmen viel Verantwortung von Benutzenden ab und sind einfach und schnell angewendet. Es dauert in der Regel länger, ein sicheres Passwort (korrekt) einzugeben, als den Finger auf den Sensor zu halten oder eine PIN einzutippen. Benutzende müssen nur noch auf ihren Besitz aufpassen und es melden, falls sie diesen verlieren. Auch auf der Seite der Identitätsüberprüfung ist es ungleich einfacher. Es müssen keine Passwörter mehr geschützt werden. Gespeicherte, öffentliche Schlüssel von Benutzenden können entwendet werden und geben kein Geheimnis preis, mit welchen sich Angreifende beim Dienst anmelden können. Auch Phishing ist mit diesem Verfahren ausgeschlossen.
Unterstützung ist da
Auch wenn am Ende mit Passkeys keine absolute Sicherheit gewährleistet werden kann (das Risiko Mensch wird auch hiermit nicht behoben), sind Passkeys ungleich sicherer und einfacher in der Anwendung. Es macht entsprechend Sinn, dass wir diese Technologie schnell und flächendeckend einführen. Auf der Anwendendenseite ist dies weit fortgeschritten, weil viele Handy, Laptop oder Computer besitzen, die Passkeys unterstützen. Die Verwaltung der Passkeys ist wie erwähnt ebenfalls weit fortgeschritten. Was noch fehlt ist, dass die Applikationsseite das Loginverfahren per Passkey zu unterstützen beginnt.
Wer seine Dienste aus der Cloud anbietet, ist froh, wenn die Cloud-Anbieter beim Thema Passkeys unter die Arme greifen. Haben die Cloud-Betreiber also Unterstützung für Passkeys in ihre Dienstleistungen eingebaut? Bei den drei grössten sieht es gut aus:
- Google Cloud Identity Platform
- Amazon Cognito
- Microsoft Entra ID
Bei z.B. IBM Cloud oder Tencent Cloud lassen sich leider (noch) keine Informationen über Passkeys/FIDO2 finden.
Fazit
Passkeys sind sich schnell am Etablieren, einfach angewandt und massiv sicherer als Passwörter. Die Unterstützung dafür ist auch in der Cloud schon gross und wird wohl schnell ausgebaut. Wir sollten diese Technologie nutzen und sanft aber stetig zum Standard ausbauen. Ich empfehle, Passkeys direkt auf der Loginmaske bekanntzumachen und so zu fördern. Es gibt viele Seiten, die Passkeys sehr gut erklären.
So haben wir wieder Zeit für anderes, anstatt uns viele, lange Passwörter zu merken oder ein schlechtes Gewissen zu haben, weil wir es nicht tun.