Das Ende des Passworts: Die Macht der Passkeys | Trust Blog

Passwörter stellen ein erhebliches Risiko für Unternehmen dar. Wenn sie zu trivial sind, können sie durch Brute-Force entschlüsselt, online in Bruchlisten angezeigt oder von Phishing abgegriffen werden. Dennoch werden sie auch weiterhin täglich im Jahr 2024 verwendet. Es ist an der Zeit, dass Sicherheitsexperten umdenken. Entdecken Sie das Potenzial von Passkeys!

Die sechs Ziffern «123456» stellen bis heute ein alarmierendes Sicherheitsrisiko dar, da sie das weltweit am häufigsten verwendete Passwort sind. Während Einfachheit weiterhin eine weitverbreitete Gewohnheit unter den Nutzern ist, bietet sie auch eine Möglichkeit für bösartige Akteure, die schwache Passwörter ohne raffinierte Hacking-Techniken ausnutzen können. Ferner können das Erstellen von starken und komplexen Passwörtern zu Frustrationen und unsicherem Verhalten führen, da Benutzer mit Zugangsdaten kämpfen, die schwer zu merken sind und oft mindestens aus acht Zeichen, Zahlen und Sonderzeichen bestehen.

Wie können Organisationen also hohe Sicherheitsniveaus für digitale Systeme gewährleisten, ohne die Bequemlichkeit zu beeinträchtigen? Die Antwort lautet Passkeys. Hier sind die wichtigsten Fakten." 

Was sind Passkeys?

Passkeys sind ein innovativer Ansatz zur Passwort-losen Authentifizierung, der asymmetrische Kryptographie verwendet. Während des Kontoerstellungsprozesses werden automatisch zwei übereinstimmende Schlüssel erstellt: ein privater Schlüssel auf dem Gerät des Benutzers und ein öffentlicher Schlüssel, den der Diensteanbieter erhält. Wenn der Benutzer auf sein Konto zugreifen möchte, sendet der Anbieter ein Datenpaket, eine sogenannte Herausforderung, das automatisch mit dem privaten Schlüssel des Benutzers signiert ist. Wenn der Diensteanbieter diese Signatur entschlüsseln kann, bestätigt dies, dass das Schlüsselpaar übereinstimmt und somit den Benutzer authentifiziert.

Die drei Hauptvorteile von Passkeys

Passkeys bieten zahlreiche überzeugende Vorteile gegenüber herkömmlichen passwortbasierten Systemen:

• Einfachheit und Bequemlichkeit: Benutzer müssen sich nicht mehr an komplexe Passwörter oder Benutzernamen erinnern. Authentifizierungsprozesse laufen reibungslos im Hintergrund ab und vereinfachen somit deutlich Web-Log-ins.
• Verbesserte Sicherheit: Durch das Fehlen eines gemeinsamen Geheimnisses gibt es keine wertvollen Passwörter, die Hacker im Falle eines Sicherheitsvorfalls stehlen könnten. Stattdessen könnten die öffentlichen Schlüssel erfasst werden, sind jedoch ohne ihre privaten Gegenstücke wertlos. Die Verschlüsselung, die öffentliche und private Schlüssel verknüpft, beinhaltet komplexe mathematische Probleme, die selbst mit leistungsstarken Computern schwierig zu knacken sind.
• Phishing-Widerstand: Passkeys eliminieren die häufigen Phishing-Angriffe, die darauf abzielen, Passwörter zu stehlen. Da kein gemeinsames Geheimnis erforderlich ist, können Kriminelle durch soziale Manipulation in Gesprächen nichts Wertvolles stehlen. Ein Passkey basiert nicht auf dem Geburtstag Ihres ersten Haustieres oder der Strasse, in der Sie aufgewachsen sind.

Verknüpfung von physischen und digitalen Identitäten

Passkeys erleichtern auch die Verknüpfung von physischen und digitalen Identitäten, eine wichtige Anforderung für Dienste wie Online-Banking oder die Verwendung qualifizierter elektronischer Signaturen. Swisscom Trust Services hat etwa diese Methode für ihre E-Signaturen genehmigt, die jetzt mit ihrem ersten Partner verwendet werden. In sicheren Umgebungen, in denen Mobiltelefone verboten oder unpraktisch sind, bieten Passkeys, die auf separaten Medien wie USB-Sticks gespeichert sind, eine zuverlässige Alternative für die Authentifizierung.

Praktische Umsetzung

Obwohl die Theorie hinter Passkeys solide ist, wirft ihre praktische Anwendung im täglichen Leben einige Fragen auf. Beispielsweise ermöglichen traditionelle Benutzername- und Passwortsysteme den Benutzern, sich von jedem Gerät auf ihre E-Mails einzuloggen. Passkeys hingegen basieren auf einem gerätebasierten Prozess. Ein praktischer Workaround besteht darin, ein Smartphone als zentrales Repository für diese Schlüssel zu verwenden, das mit starken Mechanismen wie Fingerabdrucksensoren oder anderen biometrischen Merkmalen gesichert ist. Die Authentifizierung kann dann erfolgen, indem ein QR-Code vom Bildschirm eines beliebigen Geräts gescannt wird, der den Passkey-Prozess auslöst.

Trotz möglicher Herausforderungen wie dem Verlust oder Diebstahl des Mobilgeräts sind Wiederherstellungsverfahren ähnlich wie bei Passwortrücksetzungen vorhanden, um eine Kontowiederherstellung über alternative authentifizierte Geräte zu ermöglichen.

Da digitale Bedrohungen sich weiterentwickeln, bieten Passkeys eine robuste Lösung zum Schutz der Integrität von persönlichen und Unternehmensdaten. Die Methode ist einfach und dennoch sicher und entfernt frustrierende Passwörter aus dem Alltag der Mitarbeiter. Swisscom Trust Services kann Passkeys als weiteres E-Signatur-Genehmigungsverfahren unter vielen anderen über seinen Multiple Authentication Broker integrieren, was den höchsten Flexibilitätsgrad für viele Benutzer bietet.