Developer BlogDigital IdentityIT Security
71

Google, Apple & Co. sagen dem Passwort den Kampf an

Oliver Kullik Oliver Kullik
3 MIN LESEDAUER
0 KOMMENTARE
IN POCKET SPEICHERN
17.10.2022

Jeder der in der digitalen Welt unterwegs ist braucht sie jeden Tag: Passwörter. Sei es zur Anmeldung in Onlineshops, im Online-Banking, für Emailkonten oder Cloud-Dienste. Das Problem an Passwörtern ist, dass man sich diese merken muss oder zumindest in Passwortmanagern ablegen sollte, was für viele unbequem ist.

Deshalb neigen Benutzer dazu, einfache Passwörter zu verwenden oder dasselbe Passwort für unterschiedliche Dienste zu benutzen [8]. Laut einer Untersuchung durch das Hasso-Plattner-Institut (HPI) war das beliebteste Passwort im Jahr 2021 „123456“ [1]. Doch auch komplexe Passwörter zusammen mit Multifaktor-Authentifizierungen, beispielsweise per SMS, schützen nicht, wenn diese durch sogenannte Man-In-The-Middle-, Social Engineering– oder Phishing-Attacken abgefangen werden [2].

Bieten Passwörter überhaupt noch einen ausreichenden Schutz?

 

Wenn es nach der FastIDentityOnline (FIDO)-Allianz geht, können wir unsere Passwörter bald komplett vergessen [3]. Zu der Allianz gehören unter anderem neben Google, Apple und Microsoft noch weitere Technologiekonzerne aber auch das Bundesamt für Sicherheit in der Informationstechnik (BSI). Mit ihrem eigens entwickelten offenen Standard FIDO2 sollen Passwörter durch digitale Sicherheitsschlüssel, den sogenannten Passkeys, ersetzt werden. Als Grundlage dient die asymmetrische Verschlüsselung, auch Public-Key-Kryptographie genannt. Dabei wird für jeden Dienst an dem man sich anmelden möchte, ein separates Schlüsselpaar, bestehend aus einem privatem Schlüssel (Passkey) und einem öffentlichem Schlüssel, erzeugt.

 

So funktioniert die passwortlose Anmeldung über Passkeys

 

Der Registrierungsprozess:

Der FIDO2-Registrierungsprozess
Der FIDO2-Registrierungsprozess [5]
  1. Initialer Anmeldevorgang an einem Dienst wird gestartet.
  2. Das zu registrierende Anmeldegerät muss zuerst über die Eingabe eines Codes, Zahlenmusters, Fingerabdrucks, Gesichtsscans oder per Spracheingabe etc. entsperrt werden.
  3. Danach erzeugt das Gerät ein Schlüsselpaar: der private Schlüssel (Passkey) wird auf dem Gerät selbst gespeichert. Die Speicherung erfolgt auslesesicher auf einem Hardwarechip, einem sogenannten Trusted Platform Module (TPM) [4].
  4. Der öffentliche Schlüssel wird mit dem Benutzerkonto verknüpft und auf dem Server des Dienstes gespeichert [4].

 

Dabei ist es wichtig zu erwähnen, dass weder der private Schlüssel noch die zur Entsperrung des Gerätes notwendigen Code- oder Biometrie-Daten das Gerät verlassen. Damit man den soeben erzeugten Passkey auf all seinen Geräten für die Anmeldung verwenden kann, sollen diese in der Cloud gespeichert werden können. Sowohl Apple als auch Google haben erklärt, dass die Cloud-Synchronisierung der Passkeys Ende-zu-Ende verschlüsselt erfolgt, um den Zugriff Dritter auf diese sensiblen Daten auszuschließen [6].

 

Der Anmeldeprozess:

FIDO2-Anmeldeprozess
Der FIDO2-Anmeldeprozess [5]
  1. Steht eine Anmeldung an einem Dienst an, sendet dieser eine sogenannte Challenge an das registrierte Gerät.
  2. Das registrierte Gerät muss mit derselben Methode entsperrt werden, die zuvor bei der Registrierung verwendet wurde (Biometrie, Codes etc.).
  3. Auf dem Gerät wird der zum Dienst passende Passkey ausgewählt, die Challenge damit signiert und zurück an den Dienst gesendet.
  4. Mit dem beim Dienst hinterlegten öffentlichen Schlüssel wird die signierte Challenge überprüft und der Benutzer eingeloggt.

 

Der große Vorteil bei der Anmeldung über Passkeys ist der Schutz vor den gefürchteten Passwort-Leaks oder Phishing-Attacken. Selbst wenn der öffentliche Schlüssel, beispielsweise über eine gefälschte Webseite, abgefangen wird, wäre dieser ohne den dazugehörigen privaten Schlüssel wertlos [3]. Nur wenn der Passkey und der öffentliche Schlüssel zusammenpassen, ist eine Anmeldung möglich.

 

Aktueller Stand

Mit dem Update auf Apple’s iOS 16 kommen die Passkeys für Anmeldungen bereits zum Einsatz [4]. „Über den iCloud-Schlüsselbund (Keychain) werden die Passkeys mit allen Apple-Geräten des Nutzers synchronisiert.“ [7] Auch eine plattformübergreifende Anmeldung soll problemlos möglich sein. „Ein Windows- oder Androidgerät würde in dem Fall einen QR-Code anzeigen, der mit dem iPhone oder iPad abfotografiert wird. Bei erfolgtem Abgleich von Face ID oder Touch ID bestätigt das iPhone dem Server, dass die Login-Anfrage legitim ist.“ [7] Selbst bei Verlust aller registrierten Apple-Geräte kann über die iCloud eine Wiederherstellung der Passkeys erfolgen [7].

 

Wie man sieht, prescht Apple aktuell bei der passwortlosen Anmeldung vor. Es bleibt spannend, wann Google und Microsoft nachziehen, sodass wir unsere Passwörter womöglich in naher Zukunft getrost „vergessen“ können.

 

Quellen

[1] https://hpi.de/pressemitteilungen/2021/die-beliebtesten-deutschen-passwoerter-2021.html

[2] https://www.welt.de/wirtschaft/article238571845/So-wollen-Google-Apple-und-Microsoft-das-Passwort-abschaffen.html

[3] https://www.spiegel.de/netzwelt/web/weltpassworttag-fido-standard-soll-passwoerter-ersetzen-a-d06d46b1-00d9-4138-a92b-e84a0801efeb

[4] https://www.spiegel.de/netzwelt/gadgets/iphone-update-apple-macht-mit-ios-16-einen-schritt-in-eine-welt-ohne-passwoerter-a-f9623de5-0ba6-49d0-846b-309e74d33c52

[5] https://fidoalliance.org/how-fido-works/

[6] https://www.heise.de/news/Abschaffung-der-Passwoerter-Google-will-FIDO-Indentitaet-Ende-zu-Ende-sichern-7160044.html

[7] https://www.heise.de/news/Apple-verabschiedet-sich-vom-Passwort-So-sehen-Logins-in-Zukunft-aus-7134475.html

[8] https://www.heise.de/news/Passwort-Nachfolge-Apple-Google-und-Microsoft-unterstuetzen-erweitertes-FIDO-7076804.html

 

Zurück zur Übersicht

Kommentar verfassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

*Pflichtfelder

*