Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Damit werden Passwörter überflüssig und können nicht mehr gehackt werden.

Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

Hinweis v. 13.5.24:
Seit Februar hat sich einiges getan, u.a. unterstützt der Passwortmanager KeyPassXC mittlerweile Passkeys, so dass darüber eine Unabhängigkeit von Anbietern und ein Austausch über verschiedene Geräte hinweg grundsätzlich möglich ist, die vermutlich aber nur von einem Bruchteil der Anwender genutzt werden wird. Jedoch bleibt der Kritikpunkt bestehen, dass die Anbieter die Passkeys mit eigenen Tools verwalten wollen (und in ihrer Cloud speichern), eine leichtgewichtige, unabhängige und verlässliche Lösung zeichnet sich noch nicht ab.

  • Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

Die Idee hinter Passkeys:

  • Passkeys ersetzen Login mit Passwort.
  • Je Dienst/Webseite wird ein geheimer Schlüssel lokal auf meinem Gerät generiert und gespeichert. Der zugehörige öffentliche Schlüssel wird vom Webseiten-Betreiber statt des sonst üblichen Passwort-Hashs gespeichert.
  • Die geheimen Schlüssel werden vom Gerät bzw. seinem Betriebssystem mit derselben (biometrischen) Authentifizierungsmethode geschützt, mit der das Gerät entsperrt wird, z.B. Gesichtserkennung, Fingerabdruck oder PIN-Code. Bei MacOS und iOS werden sie im (Cloud-basierten)Schlüsselbund gesichert, bei Android und (betriebsystemübergreifend in Chrome) im Google-Passwortmanager.
  • Die Authentifizierung erfolgt durch das Signieren eines von Dienst/Webseite erzeugten Token mit dem privaten Schlüssel und die Verifizierung mit dem öffentlichen Schlüssel.
Pro Contra
·         Login und Passwort müssen nicht eingegeben werden

·         Einfache Freigabe durch biometrische Geräteentsperrung

·         Keine Übertragung geheimer Passwörter erforderlich

·         Webseiten speichern keine Passwörter/Hashes -> geringere Gefahr von Datenleaks bei den Webseiten

·         Kryptographisches, als sicher geltendes Verfahren (analog PGP und S-Mime)

·         Zugrundeliegende Technik  WebAuth / FIDO2  ist standardisiert und soll ausgereift sein

·        Authentifizierung ist „magisch“ und damit nicht transparent wie Login + Passwort

·         Implementierungen sind Geräte- und Betriebssystemspezifisch und damit zumeist proprietär und nicht überprüfbar

·         Passkeys werden auf dem Gerät/im Account* gespeichert – ohne dieses Gerät/Account* kein Zugriff auf passkeys (bislang kein Export)
->  Login + Passwort sind Geräte- und Anbieter-unabhängig
->  Google und Apple speichern die Passkeys im Account (in der jeweiligen Cloud)

·         Wer Zugriff auf Gerät/Account* erlangt, kann auf alle passkey-gesicherten Web-Dienste zugreifen -> auf Nutzerseite potentiell hackbar

·         passkeys sind -anders als Passwörter- im direkten Zugriff des Gerätes/Accounts* bzw. Betriebssystems.

·         Wegfall eines zweiten Faktors senkt Sicherheit

*) Passkeys werden Betriebssystem- bzw. Herstellerspezifisch verwaltet, eine einfache Nutzung auf mehreren Geräten bzw. eine Syncronisation der Passkeys ist derzeit nur innerhalb einer „Systemfamilie“ möglich:

  • Bei Android kommt der Google-Passwortmanager zum Einsatz,
  • Bei Apple (iOS/MacOS) werden sie im iCloud-Schlüsselbund gespeichert,
  • Für Windows wird Microsoft-Hello genutzt, Synchronisation wird bislang nicht unterstützt
  • Interoperabilität zwischen unterschiedlichen Geräten ist derzeit über QR-Code oder Bluetooth möglich, bei dem die erfolgte Passkey-Authentifizierung übertragen wird.

Da die Synchronisation über die Cloud-Technologie der Anbieter erfolgt, muss mensch darauf vertrauen, das sie dort sicher sind.

Aus Sicherheitssicht ist ein Anbieter-unabhängiges Verwalten der Passkeys zu empfehlen – es ist aber offen, ob dieses seitens der Anbieter überhaupt erwünscht ist und künftig angeboten wird.

Das Dilemma: Die Betriebssysteme verwalten die Passkeys in ihrer integrierten Sicherheitsarchitektur (in einem „secure kernel store“) und eine Öffnung über eine Schnittstelle (API) könnte die Sicherheit der Passkeys gefährden.

Davon abgesehen, dass die Anbieter gern die Kontrolle der Nutzer(daten) behalten wollen.

Mehr Sicherheit durch Passkeys?

Inwieweit die Vereinfachung durch passkeys wirklich zu mehr Sicherheit führt, muss abgewartet werden.

Mit Passkeys müssen Passwörter nicht mehr an Webseiten und -Dienste  übertragen werden, was eine signifikante Verbesserung ist. Auf der anderen Seite erhöht es die Abhängigkeit der Nutzer  von den Betriebsystem-Anbietern, die die Passkeys in der Cloud speichern. Und bislang fehlt ein sicheres Konzept für geräteübergreifende Passkeys.

Insofern keine Empfehlung pro passkeys an dieser Stelle.

Bislang gibt es nur wenig Erfahrungen, sicherheitstechnisch wurden passkeys scheinbar noch nicht häufig in Augenschein genommen, sie sind noch recht neu. Die meisten Beiträge im Netz hören sich stark nach Marketing-Sprech an.

Geleakte Passwort-(Hash)-Datenbanken sind ein Problem, aber mit Passkeys haben wir ein neues:

Hacker werden vermehrt die mit Sicherheitslöchern versehenen Geräte auf Nutzerseite angreifen, um die privaten passkeys auszulesen.

Dass dieses möglich ist, zeigen die Hacking-Erfolge der Sicherheitsbehörden mit Pegasus.

Und bei den gesyncten Passkeys in den  Google- und Apple-Accounts sind diese zusätzlich im Focus der Hacker.

Weitere Fragen:

  • Wie können Passkeys bei Verlust/Diebstahl sicher zurückgesetzt werden? Bei Passwörtern kein Problem über die hinterlegte E-Mail-Adresse.
  • Wenn der Apple-/Google-/Microsoft-Account gehackt wurde, ist Identitätsdiebstahl dank Passkeys dann einfacher als bisher?
  • Wird es eine (native) Unterstützung für Linux und andere Betriebssysteme geben?

Welche Alternativen gibt es?

Weitermachen wie bisher, dabei die Passwörter sicher verwahren und nicht „anderen“ überlassen:

  • Die klassische Nutzung von Logins mit verschiedenen (!) Passwörtern, unterstützt durch Geräte- und Browserunabhängigen Passwortmanager (z.B. KeePassXC)
  • Absicherung durch Multi-Faktor-Authentifizierung

Weitere Informationen

Nachtrag vom 19. Februar 2024

Bei Google und Apple werden Passkeys über deren Passwort-Verwaltung innerhalb der Produktfamilie gesynct (ergänzt im Beitrag). Interoperabilität zwischen verschiedenen Geräten ist noch ein offenes Thema.

Die Unterstützung von Linux ist noch offen, siehe die Diskussion:

Zumindest können sie mit KeePassXC 2.7.7 auch in Linux verwaltet werden.

Nachtrag vom 13. Mai 2024

KeyPassXC 2.7.7s unterstützt Passkeys.

Viele Dienste können mit Passkeys genutzt werden.

Das BSI hat allgemeine, recht unkritische Infoseiten zu Passkeys erstellt:

Am Rande:

Die vom BSI verlinkte Liste von Diensten, die mit passkeys funktionieren, wird von 1Password publiziert, einem Online-Passwort-Manager.

Deshalb der warnende Hinweis:

Passwörter und Passkeys sollten NICHT in Online-Passwort-Managern gespeichert werden.

Dort sind sie in keinen guten Händen* – da die Daten nach einem Hack Dritten offenstehen, so wie bei lastPass bereits geschehen.

*) Die vertraulichen Zugangsdaten sollten nicht Dritten zugänglich sein,  und ein Online-Passwort-Manager ist eine dritte Partei. Diese unabhängigen Online-Dienste sind aus sicherheitstechnischer Sicht (noch) kritischer zu sehen als die „hauseigenen“ Online-Passwortmanager von Apple, Google und Microsoft.  Dort sind die Daten zumindest durch das Betriebssystem und im Account geschützt.

Autor: don't panic

Über das Pseudonym: "Don't panic" ist auf das Cover des legendären elektronischen Reiseführers durch die Galaxis gedruckt, damit ein Anhalter keine Angst verspürt. - The British author Arthur C. Clarke said Douglas Adams' use of "don't panic" was perhaps the best advice that could be given to humanity. cf. Wikipedia

3 Gedanken zu „Passwörter adé? Wie sicher sind Passkeys?“

  1. Die Argumentation ist nach weniger als einem Monat überholt: Passkeys sind jetzt Teil von KeepassXC 2.7.7. Damit fallen von den 6 Gegenargumenten („Contra“) 4 weg (Punkte 2-5). Es gibt die Möglichkeit Passkeys mit Open-Source-Software zu benutzen und sie nicht Google oder Apple anzuvertrauen. Weiterhin gilt, dass man Passwörter und Passkeys niemals aus der Hand geben sollte.

    https://keepassxc.org/blog/2024-03-10-2.7.7-released/

    1. Hallo Michael,

      Danke für den Kommentar – dass Passkeys von KeypassXC unterstützt werden ist eine gute Nachricht.

      Damit ist eine Anbieter-unabhängige Verwaltung der Passkeys grundsätzlich möglich.
      Voraussichtlich wird es aber immer wieder mal hakelig mit der Einbindung 🙁
      … und der Großteil der Anwender wird KeypassXC oder ähnliche Anbieter-unabhängige lokale Lösungen nicht einsetzen.

      Insofern bleiben wesentliche Kritikpunkte bestehen, auch wenn der grundlegende -die Anbieterabhängigkeit- damit ausgeräumt ist.

    2. Als wenn es so einfach wäre, und jetzt plötzlich alles funktioniert. Das ist weiss Gott nicht der Fall.
      Erstmal müssten die KeePass XC PlugIns überall einwandfrei integrierbar sein und auch funktionieren, um die Datenbanken systemübergreifend sychroniseren zu können, erst recht wenn selbst gehostet. Und bei Google Chrome auf Android funktioniert fast nur der eigene Password Manager richtig, da hier keine Plugins funktionieren/geplant sind. Die Integration der KeePass Android Apps ist ebenso stark verbesserungswürdig, da diese fast alle noch keine Passkeys unterstützen. Und Speichern „on-the-fly“ ist bei den Keepass Datenbanken auch nicht so einfach, wenn mehrere Instanzen zeitgleich darauf zugreifen sollen.

      Hier also direkt zum „umschwenken“ aufzurufen, ist viel zu verfrüht. Der Artikel ist in meinen Augen immer noch up to date.

      In meinen Augen möchten die grossen Anbieter durch Passkeys hier Ihre Präferenzen durchziehen, damit auch Ihre Browser genutzt werden und man sich hier komplett durchsetzt. Es entsteht automatisch eine starke Abhängigkeit. Siehe Beispielsweise Google Chrome. Und ganz sicher wird die Masse der User keinen so grossen Aufwand betreiben, um Alternative Passwort Manager in die Browser zu integrieren und zu konfigurieren, erst recht self-hosted, da das mit einem grossen Aufwand verbunden ist, und auch fehleranfällig ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert