Januar 2024
Autor:in des Beitrags
Julian
Consultant
Veröffentlicht am
03.01.2024 von Julian
Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter

Passkeys: Die Schlüssel zu einer sichereren und passwortlosen Zukunft

Eigentlich müsste es doch einen riesigen Bedarf für eine Alternative zur Nutzung von Passwörtern geben.

Die Frequenz von Phishing-Attacken steigt immer weiter, es wird inzwischen sogar gängige Multifaktor-Authentifizierung umgangen (es grüßt Evilginx). Passwortmanager pflegen und nutzen ist auch nicht die angenehmste Beschäftigung – wie kommt es also, dass wir als erste Sicherheitsstufe eine mehr oder weniger zufällige Zeichenfolge mit unseren Fingern in ein Textfeld eintippen – und dann trotzdem die vierte proprietäre Authenticator-App installieren dürfen?

Gäbe es doch bloß einen offenen Standard, der direkt in die Betriebssysteme unserer alltäglichen Geräte eingebaut ist und von vielen Herstellern unterstützt wird…

Okay okay, ich lasse ja schon den Sarkasmus – fangen wir mal von oben an – wer (außer mir) will uns hier eigentlich erzählen, wie zukünftig Authentifizierung abzulaufen hat?

Schlüsselfigur – FIDO Alliance

Schon vor 15 Jahren war bekannt, dass Passwörter nicht zukunftsfähig sind. Die Allianz hat ihren Ursprung 2009 in Abstimmungen zwischen Zahlungsprovider PayPal mit einem Hersteller biometrischer Sensoren, um Zahlungen sicher authentifizieren zu können.

Über die Jahre kamen dann mehr und mehr Unternehmen mit an Bord, die den Wert eines gemeinsamen Authentifizierungsprotokolls sahen. Nennenswerte Früheinsteiger sind GoogleSamsung und Microsoft – wer aus der azurblauen Welt kommt, kennt auch eine sehr frühe Frucht der Allianz:

Windows Hello for Business ist nichts anderes als eine prototypische Implementierung der Richtlinien (auch wenn eine FIDO-Zertifizierung bis 2019 auf sich warten ließ).

Heute sind über 250 Organisationen Mitglieder der Allianz, die von und mit ihr definierten Standards sind inzwischen in unzähligen Webseiten und Diensten implementiert. Ich gehe davon aus, dass sich die Protokolle und Vorgaben immer weiter durchsetzen werden – wenn Benutzer etwas Gutes sehen, fordern sie es ein. Und was plattform- und unternehmensübergreifenden Support angeht, ist FIDO2 konkurrenzlos.

Aber was haben wir jetzt eigentlich wirklich von der Allianz?

Neue Schlüssel zum Schloss

(Wenn die Schlüsselwortspiele langsam unangenehm werden, habe ich schlechte Nachriten)

Wenn ich „FIDO2 Schlüssel” (oder auch „Key”) sage, denken viele – na ja einige – an USB-Dongles wie beispielsweise den YubiKey. Sie sind das weitläufigste und bekannteste Ergebnis der FIDO Alliance und versprechen Phishing-Resistenz UND einen einfacheren Anmeldeprozess. Anschließen, PIN eingeben oder Fingerabdruck scannen, angemeldet.

Die höhere Sicherheit kommt daher, dass die Kommunikation zwischen dem Endgerät und dem Dienstanbieter wirklich Ende-zu-Ende verschlüsselt erfolgt – kein Zwischenschalten möglich. Zusätzlich kann das zugrundeliegende “Geheimnis“ niemals abgegriffen werden, weil es immer in dem Dongle bleibt – im technischen Jargon sind die Schlüsselbegriffe “hardwaregestützte asymmetrische Verschlüsselung”.

Damit aus sehr technischen Begriffen etwas hoffentlich verständliches wird, wende ich mich an meine liebste Verbildlichung: Das Wachssiegel.

  1. Wenn sich John das erste Mal bei einem Dienst anmeldet, sendet ihm der Anbieter einen Umschlag mit Informationen zu seiner Person und dem vorgemerkten Konto, den er bestätigen muss. Im Schaubild ist der Dienstanbieter beispielhaft Apple, ein weiteres Mitglied der FIDO Alliance.
  2. John setzt einen Wachsstempel, der ein Bild (= Siegel) erzeugt, auf den Umschlag. Der genutzte Stempel erzeugt ein Negativ. Mit dem Siegel selbst kann ein Angreifer keine weiteren Kopien erstellen, er müsste erst eine exakte Reproduktion des Stempels fertigen.
  3. Der Dienst speichert das Siegel zu Johns Benutzerkonto. Der Stempel, der das Siegel erzeugt hat, bleibt aber immer sicher bei John zuhause.

Jedes Mal, wenn John sich jetzt anmelden möchte, wird der erste Schritt übersprungen und der Dienstanbieter muss nur das Siegel auf dem Umschlag, mit dem ihm bekannten vergleichen. Selbst wenn bei dem Anbieter eingebrochen wird, ist der Stempel nicht vorhanden, mit dem sich der Angreifer als John ausgeben könnte.

Disclaimer: Es handelt sich um ein stark vereinfachtes Schaubild, in Realität ist alles Mathematik.

Die wichtigsten Unterschiede:

  • Die Informationen im Umschlag ändern das Siegel, sodass jede Nachricht anders aussieht
  • John hat ein “Siegel“ für jeden AnbieteDas Siegel ist “unzerstörbar“, wenn man den Brief in die Hand bekommt, kann man nicht die Inhalte lesen

Noch nicht ganz schlüssig

Wechseln wir aber aus der Theorie zur Realität – obwohl ich einen YubiKey besitze, muss ich gestehen, dass für mich die Benutzbarkeit noch so sehr zu wünschen übrig lässt, dass ich ihn fast nie verwende. Er kommt nur für meine administrativen Konten zum Einsatz, wo ich mehr Wert auf Sicherheit lege.

Die Nachteile eines solchen Dongles liegen auf der Hand: Ich muss zusätzliche Hardware mit mir herumtragen, die dann nur bei manchen Diensten funktioniert. Es ist auch sehr abhängig vom aktuellen Arbeitssetup, wie angenehm er zu nutzen ist. Wenn mein Laptop in meiner Dockingstation hinter meinen Bildschirmen steckt, ist der FIDO USB Key effektiv nicht zu gebrauchen. Um mich zu authentifizieren muss ich auf einen Knopf auf dem Dongle tippen (Abgebildet eine Dramatisierung).

 

Erschwerend kommt hinzu, dass die USB-Keys in ihrem Speicher limitiert sind. So ist mein YubiKey nur für maximal 25 Konten nutzbar. Wenn ich mehr über einen FIDO2 Key sichern will, muss ich mehr Hardware kaufen, und zwar eigentlich immer zwei Stück – denn was passiert, wenn einer meiner Keys verloren geht oder zerstört wird? Dann muss ich einen zweiten hinterlegt haben, um mein Benutzerkonto wiederherstellen zu können, sonst könnte ich ja gleich bei der unsicheren Anmeldemethode bleiben – und sonderlich günstig ist die Hardware nicht.

Kommen wir also schlüsselendlich zu keiner Lösung, die für jedermann nutzbar ist?

Der Key muss passen

Es ist nicht ganz richtig, den USB-Dongle als “FIDO2 Key“ zu bezeichnen – der eigentliche “Key“ ist dort nur gespeichert. Da sich aber der Wortgebrauch so etabliert hat, musste ein neuer Begriff her. Wollen wir jetzt also von den eigentlichen kryptographischen (= mathematischen) Schlüsseln sprechen, auf denen die Authentifizierung basiert, sagen wir “Passkey“. So sind also auf meinem YubiKey mehrere Passkeys für verschiedene Adminkonten.

Das bringe ich jetzt nicht an, weil ich gerne Semantik korrigiere (naja sagen wir “nicht nur”), sondern weil die Trennung eine praktische Auswirkung hat – wir können Passkeys auch an anderen Orten als USB-Dongles speichern, zum Beispiel direkt auf unserem Smartphone oder unseren Notebooks.

Microsoft hat Ende September 23 angekündigt, dass das Speichern und Nutzen von Passkeys für alle Versionen von Windows veröffentlicht wird. Wenn man also heute einen aktuellen Patchstand hat, kann das bereits bekannte Windows Hello nicht nur für Microsoft-Dienste genutzt werden, sondern für alle Dienste die “Device Bound Passkeys” unterstützen.

Noch attraktiver wird das Ganze, wenn die Passkeys in der Apple Keychain bzw. über das Google Chrome Profil verwaltet werden. Das erlaubt nämlich, dass zumindest innerhalb eines Ökosystems die Keys zwischen Geräten geteilt werden können. Alternativ nutzt man die Passwortmanager, die man aktuell besitzt als Passkeymanager. Somit können die genutzten “Stempel“ auf alle Plattformen mitgenommen werden.

Schlüsselspiele (Praxis)

Das ist jetzt alles vielleicht etwas schwer vorstellbar, schauen wir es uns also einmal Live an. Das geht heute beispielsweise schon bei Adobe, GitHub, PayPal und bald schon bei Entra ID / Office365:

Selbes Gerät

Hier möchte ich auf meinem privaten Handy in der PayPal App kein Kennwort mehr eingeben müssen. Nachdem ich zu der entsprechenden Stelle im Menü der App navigiert habe (aktuell Konto > Login & Sicherheit > Passkey), drücke ich den Knopf zum Registrieren und werde aufgefordert, einen Passkey zu erstellen (PayPal erlaubt leider keine Screenshots). Der Passkey wird mit meinem Screenlock verschlüsselt.

Und das war es schon. Das nächste Mal, wenn ich mich bei PayPal anmelden will, wird mir automatisch mein Passkey vorgeschlagen und ich bin angemeldet:

Handy als Authenticator

Handy und Endgerät müssen Bluetooth aktiv haben, damit sie kommunizieren können (Für Interesserte: CTAP)

Will ich einen vollwertigen Yubikey-Ersatz nutzen, muss ich in der Lage sein, mich z.B. über einen Passkey von meinem Handy an meinem Windows Notebook bei einer Webseite anzumelden.

Auch das geht schon, wenn ich mich z.B. in der Arbeit an meinem privaten GitHub Account anmelden möchte, wähle ich aus, dass ich mich mit Passkey anmelden will. Weil Windows in seinem eigenen Speicher keinen zugehörigen Schlüssel findet, bietet er mir die Option, mich mit einem externen Endgerät anzumelden. Dazu wird mir ein QR-Code angezeigt.

Ich scanne den QR-Code mit meiner Kamera, bestätige die Anmeldung per FaceID und bin eingeloggt.

Wer einfach mal ausprobieren will, wie es sich anfühlt, kann dies auf Testseiten, wie beispielsweise Passkeys.io tun. Noch besser wäre es natürlich sich zu informieren, ob vielleicht einer der meistgenutzten Dienste bereits Passkeys unterstützt.

Passt noch nicht perfekt

Auch wenn Passkeys ein wichtiger Schritt in die richtige Richtung sind, sind wir noch nicht ganz da. Es gibt zwar schon viele, und vor allem auch große Dienste, die Passkey-Support eingeführt haben, aber leider noch lange nicht alle. Wir werden also noch eine Weile im Mischbetrieb arbeiten, aber ich werde jeden Passkey mitnehmen, den ich kriegen kann.

Auch ist die Implementierung nicht immer optimal – in meinem PayPal Beispiel muss ich z.B. immer noch einen MFA-Code eingeben, denn wenn man dort MFA abschaltet, würde das auch für die Passwort-Anmeldung gelten (Stand Dezember 2023).

Aus Sicherheitsperspektive bin ich persönlich auch nicht immer Fan von den übertragbaren Passkeys. Sie vereinfachen zwar die Handhabung, eröffnen aber einen meiner Meinung nach zu großen Angriffsvektor in der Wiederherstellung. Das lässt sich allerdings bei guter Implementierung leicht regeln – das Protokoll sieht vor, dass ein gerätegebundener Passkey erzwungen werden kann.

Abschließende Gedanken

Wir sehen also, während Passkeys noch kein Allheilmittel sind, haben sie das Potential unsere Anmeldungen einfacher und sicherer zu gestalten. Es müssen aber leider zuerst mehr und mehr Dienste die entsprechenden Protokolle implementieren und die Hersteller müssen die Synchronisation zwischen unseren Endgeräten ermöglichen. Für mich ist es aber Anregung genug, endlich meinen Passwortmanager zu migrieren – damit zumindest der Masterkey nicht mehr anfällig ist.

Wollen Sie Ihren Weg in die passwortlose Zukunft beschleunigen, ist es ein sehr guter Schritt, die eigenen Applikationen hinter einem zentralen Identitätsanbieter zu sammeln. Microsoft Entra ID ist ein solches Produkt und ist in den meisten M365-Lizenzen bereits enthalten – so können nicht nur Benutzerinformationen vereinheitlicht werden, sondern auch Anmeldungen um neue Technologien oder Sicherheitsprüfungen erweitert werden, ohne dass die eingesetzte Software diese neuen Mechanismen unterstützt.

Jetzt Blogbeitrag teilen
Xing LinkedIn Facebook Twitter