„Passkey“ gewinnt immer mehr an Popularität als Methode, um die herkömmliche Authentifizierung mit klassischen Accountdaten, insbesondere Passwörtern, zu ersetzen. In diesem Beitrag erläutern wir, wie Passkeys funktionieren, welche Vorteile sie bieten und ob sie das Phishing-Problem endgültig lösen können.
Das typische Phishing-Problem
Ein typisches Phishing-Szenario sieht oft folgendermaßen aus: Ein Mitarbeiter klickt auf einen Link in einer vermeintlich legitimen E-Mail und gibt auf der daraufhin geöffneten Seite seine Zugangsdaten ein – vielleicht sogar zusätzlich einen MFA-Code. Dabei merkt er nicht, dass es sich um eine gefälschte Seite handelt. Dies passiert entweder aufgrund mangelnder Sensibilität oder einem kurzen Moment der Unachtsamkeit.
Abhängig von der Phishing-Webseite wird der Nutzer dann entweder auf eine andere Seite umgeleitet oder die Webseite hängt in einer Endlosschleife fest. Wird der Betrug erkannt, kann der Vorfall schnell an die IT-Abteilung gemeldet werden. Oft bleibt dies jedoch unbemerkt, und der Arbeitstag geht normal weiter. In jedem Fall hat der Angreifer möglicherweise zumindest kurzfristig Zugriff auf einen Mitarbeiteraccount oder hat die Zugangsdaten erbeutet.
Ab diesem Punkt kann der Angreifer den Angriff ausweiten, indem er beispielsweise weitere Phishing-Mails versendet, die aufgrund ihres internen Ursprungs weniger auffällig wirken. Oder er erhält bereits Zugriff auf wichtige Speicherorte oder Managementsysteme. Dies könnte zu weiteren Eskalationen führen, wie Lock-Outs, Datenexfiltrationen oder gar Vollverschlüsselungen. Wären die Accountdaten nicht in die Hände des Angreifers geraten, hätte sich dieses Szenario – wie viele andere auch – verhindern lassen.
Natürlich wäre es ideal, wenn Schulungen solche Fehler vollständig verhindern könnten. Schulungen erhöhen zwar die Sensibilisierung und verringern das Risiko erheblich, aber der menschliche Faktor bleibt bestehen. Eine vollständige Vermeidung solcher Vorfälle ist selten möglich. Die Strategie „Man müsste doch nur…“ ist daher wenig hilfreich. Dennoch kann die aktuelle Situation nicht einfach akzeptiert werden. Was also ist die Alternative?
Passwort vs. Passkey
Die klassische Authentifizierung über Accountdaten funktioniert im Wesentlichen so: Ein Nutzer gibt seinen Accountnamen und das zugehörige Passwort ein, das System überprüft die Richtigkeit. Diese Daten müssen irgendwo in einer Datenbank gespeichert sein. Um das Speichern von Klartextpasswörtern zu vermeiden, wird oft ein Hashwert des Passworts gespeichert, der mit dem eingegebenen Wert verglichen wird. Ist dieser Schritt erfolgreich, kann eine weitere Authentifizierung durch einen zweiten Faktor wie SMS, E-Mail oder eine Authentifikator-App erfolgen.
Multi-Faktor-Authentifizierung (MFA) erhöht die Sicherheit zwar erheblich, ist aber nicht fehlerfrei. Insbesondere SMS- oder E-Mail-basierte MFAs können von Angreifern, wenn auch mit erheblichem Aufwand, umgangen oder abgefangen werden.
Wie löst der Passkey dieses Problem?
Passkeys setzen auf ein anderes Konzept. Anstelle eines Passworts, das das System kennt, arbeitet der Passkey mit einem Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel wird dem System übergeben, während der private Schlüssel auf dem Gerät des Nutzers verbleibt.
Weder das Passwort noch der private Schlüssel selbst werden beim Anmeldevorgang an das System gesendet. Stattdessen wird eine mathematische Berechnung unter Verwendung des privaten Schlüssels durchgeführt, deren Ergebnis durch den öffentlichen Schlüssel verifiziert werden kann. Der private Schlüssel verlässt dabei nie das Gerät des Nutzers und bleibt in einem geschützten Bereich gespeichert, der selbst bei direktem Zugriff auf das System nicht einfach ausgelesen werden kann.
Selbst wenn ein Angreifer das Ergebnis der Berechnung und den öffentlichen Schlüssel kennt, kann der private Schlüssel nicht einfach daraus abgeleitet werden. Dadurch bringt es einem Angreifer wenig, eine legitime Seite zu simulieren, da das entscheidende Geheimnis nicht übertragen wird. Zudem sind Passkeys nur für registrierte Seiten gültig, sodass eine Phishing-Seite keinen erfolgreichen Anmeldevorgang ermöglichen kann.
Passkey vs. Security-/Hardware-Key
Ein wichtiger Unterschied besteht zwischen Passkeys und Hardware-Token (oder Security Keys). Der Passkey ist primär eine softwarebasierte Lösung, die passwortlose Authentifizierung ermöglicht. Dieser kann, muss aber nicht, auf einem dedizierten Hardware-Token gespeichert werden. Passkeys können auch über Dienste wie Windows Hello eingerichtet und durch Biometrie oder eine PIN geschützt werden.
Ein Hardware-Token hingegen ist in der Regel ein physisches Gerät, ähnlich einem USB-Stick, das als zweiter Faktor und/oder als Speicherort für Passkeys dient.
Ist Phishing damit Geschichte?
Wird Phishing durch Passkeys vollständig eliminiert? Nicht unbedingt, aber Passkeys bieten eine erhebliche Verbesserung in Bezug auf Sicherheit und Benutzerfreundlichkeit. Nutzer ersetzen mehrere Passwörter durch ein biometrisches Merkmal oder eine PIN, die sie sich merken müssen. Der Diebstahl des privaten Schlüssels ist dabei extrem schwierig, da er auf dem Gerät des Nutzers verbleibt.
Ein Risiko besteht jedoch in der Integration von Passkeys in Passwortmanager oder Cloudspeicher. Dies erleichtert potenziell den Zugriff für Angreifer, schafft aber auch zusätzliche Angriffsvektoren. Die Sicherheit hängt hier stark von den genutzten Diensten ab.
Können Passkeys Accounts perfekt absichern?
Obwohl Passkeys die Authentifizierung erheblich sicherer machen, schützen sie nicht vor allen möglichen Bedrohungen. Beispielsweise kann Malware auf einem infizierten Gerät zu einem Diebstahl von Session-Cookies und damit zu einer Accountübernahme führen.
Passkeys bieten jedoch eine deutlich verbesserte Sicherheit bei gleichzeitig höherer Benutzerfreundlichkeit und sind daher eine sinnvolle Alternative. Viele Dienste unterstützen mittlerweile Passkeys, auch wenn dies noch nicht flächendeckend der Fall ist.
Ob ein Nutzer zusätzlich einen Hardware-Token verwenden möchte, bleibt eine individuelle Entscheidung. Ein Verlust des Tokens und ein möglicher Lockout sind Risiken, die berücksichtigt werden müssen. Ein zweiter Token, der separat aufbewahrt wird, kann hier Abhilfe schaffen. Der großflächige Diebstahl von Accountdaten, wie es bisher der Fall war, dürfte mit Passkeys jedoch deutlich seltener werden.
Bildrechte: kostenloses Bild von Pixabay: Passwort Computer Schutz - Kostenloses Bild auf Pixabay - Pixabay
Inhaltslizenz: Zusammenfassung der Inhaltslizenz (pixabay.com)