Passwörter adé? Wie sicher sind Passkeys?

Apple, Google und Microsoft führen Passkeys als Standard-Authentifizierung im Web ein. Moderne Browser unterstützen sie, bald auch Webshops und Dienste wie Facebook & Co.

• Passkeys kurz erklärt und ihre Pros und Cons.

Spoiler: Es gibt keine Empfehlung zur Nutzung. Warten wir es lieber ab.

Die Idee hinter Passkeys:

• Passkeys ersetzen Login mit Passwort.
• Je Dienst/Webseite wird ein geheimer Schlüssel lokal auf meinem Gerät generiert und gespeichert. Der zugehörige öffentliche Schlüssel wird vom Webseiten-Betreiber statt des sonst üblichen Passwort-Hashs gespeichert.
• Die geheimen Schlüssel werden vom Gerät bzw. seinem Betriebssystem mit derselben (biometrischen) Authentifizierungsmethode geschützt, mit der das Gerät entsperrt wird, z.B. Gesichtserkennung, Fingerabdruck oder PIN-Code. Bei MacOS und iOS werden sie im (Cloud-basierten)Schlüsselbund gesichert, bei Android und (betriebsystemübergreifend in Chrome) im Google-Passwortmanager.
• Die Authentifizierung erfolgt durch das Signieren eines von Dienst/Webseite erzeugten Token mit dem privaten Schlüssel und die Verifizierung mit dem öffentlichen Schlüssel.

Pro

Contra

·         Login und Passwort müssen nicht eingegeben werden ·         Einfache Freigabe durch biometrische Geräteentsperrung ·         Keine Übertragung geheimer Passwörter erforderlich ·         Webseiten speichern keine Passwörter/Hashes -> geringere Gefahr von Datenleaks bei den Webseiten ·         Kryptographisches, als sicher geltendes Verfahren (analog PGP und S-Mime) ·         Zugrundeliegende Technik  WebAuth / FIDO2  ist standardisiert und soll ausgereift sein

·        Authentifizierung ist „magisch“ und damit nicht transparent wie Login + Passwort ·         Implementierungen sind Geräte- und Betriebssystemspezifisch und damit zumeist proprietär und nicht überprüfbar ·         Passkeys werden auf dem Gerät/im Account* gespeichert – ohne dieses Gerät/Account* kein Zugriff auf passkeys (bislang kein Export) >  Login + Passwort sind Geräte- und Anbieter-unabhängig >  Google und Apple speichern die Passkeys in der Cloud im Account ·         Wer Zugriff auf Gerät/Account* erlangt, kann auf alle passkey-gesicherten Web-Dienste zugreifen -> auf Nutzerseite potentiell hackbar ·         passkeys sind -anders als Passwörter- im direkten Zugriff des Gerätes/Accounts* bzw. Betriebssystems. ·         Wegfall eines zweiten Faktors senkt Sicherheit

*) Passkeys werden Betriebssystem- bzw. Herstellerspezifisch verwaltet, eine einfache Nutzung auf mehreren Geräten bzw. eine Syncronisation der Passkeys ist derzeit nur innerhalb einer „Systemfamilie“ möglich:

• Bei Android kommt der Google-Passwortmanager zum Einsatz,
• Bei Apple (iOS/MacOS) werden sie im iCloud-Schlüsselbund gespeichert,
• Für Windows wird Microsoft-Hello genutzt, Synchronisation wird bislang nicht unterstützt
• Interoperabilität zwischen unterschiedlichen Geräten ist derzeit über QR-Code oder Bluetooth möglich, bei dem die erfolgte Passkey-Authentifizierung übertragen wird.

Da die Synchronisation über die Cloud-Technologie der Anbieter erfolgt, muss mensch darauf vertrauen, das sie dort sicher sind.

Aus Sicherheitssicht ist ein Anbieter-unabhängiges Verwalten der Passkeys zu empfehlen – es ist aber offen, ob dieses seitens der Anbieter überhaupt erwünscht ist und künftig angeboten wird.

Das Dilemma: Die Betriebssysteme verwalten die Passkeys in ihrer integrierten Sicherheitsarchitektur (in einem „secure kernel store“) und eine Öffnung über eine Schnittstelle (API) könnte die Sicherheit der Passkeys gefährden.

Davon abgesehen, dass die Anbieter gern die Kontrolle der Nutzer(daten) behalten wollen.

Mehr Sicherheit durch Passkeys?

Inwieweit die Vereinfachung durch passkeys wirklich zu mehr Sicherheit führt, muss abgewartet werden.

Mit Passkeys müssen Passwörter nicht mehr an Webseitenund -Dienste  übertragen werden, was eine signifikante Verbesserung ist. Auf der anderen Seite erhöht es die Abhängigkeit der Nutzer  von den Betriebsystem-Anbietern, die die Passkeys in der Cloud speichern. Und bislang fehlt ein sicheres Konzept für geräteübergreifende Passkeys.

Insofern keine Empfehlung pro passkeys an dieser Stelle.

Bislang gibt es nur wenig Erfahrungen, sicherheitstechnisch wurden passkeys scheinbar noch nicht häufig in Augenschein genommen, sie sind noch recht neu. Die meisten Beiträge im Netz hören sich stark nach Marketing-Sprech an.

Geleakte Passwort-(Hash)-Datenbanken sind ein Problem, aber mit Passkeys haben wir ein neues:

Hacker werden vermehrt die mit Sicherheitslöchern versehenen Geräte auf Nutzerseite angreifen, um die privaten passkeys auszulesen.

Dass dieses möglich ist, zeigen die Hacking-Erfolge der Sicherheitsbehörden mit Pegasus.

Und bei den gesyncten Passkeys in den  Google- und Apple-Accounts sind diese zusätzlich im Focus der Hacker.

Weitere Fragen:

• Wie können Passkeys bei Verlust/Diebstahl sicher zurückgesetzt werden? Bei Passwörtern kein Problem über die hinterlegte E-Mail-Adresse.
• Wenn der Apple-/Google-/Microsoft-Account gehackt wurde, ist Identitätsdiebstahl dank Passkeys dann einfacher als bisher?
• Wird es eine Unterstützung für Linux und andere Betriebssysteme geben?

Welche Alternativen gibt es?

Weitermachen wie bisher, dabei die Passwörter sicher verwahren und nicht „anderen“ überlassen:

• Die klassische Nutzung von Logins mit verschiedenen (!) Passwörtern, unterstützt durch Geräte- und Browserunabhängigen Passwortmanager (z.B. KeePassXC)
• Absicherung durch Multi-Faktor-Authentifizierung

Weitere Informationen

• heise magazine | c’t | – Passkeys: Einloggen ohne Passwort

• KeePassXC -Cross-platform Password Manager (lt. MacGadget möglicherweise künftig mit passkey-Unterstützung?)

Nachtrag vom 19. Februar 2024

Bei Google und Apple werden Passkeys über deren Passwort-Verwaltung innerhalb der Produktfamilie gesynct (ergänzt im Beitrag). Interoperabilität zwischen verschiedenen Geräten ist noch ein offenes Thema.

Die Unterstützung von Linux ist noch offen, siehe die Diskussion:

• GNU/Linux.ch – Passkeys (24.1.2024)