Gestern war wieder der „Änder-dein-Passwort-Tag“. Früher war das Standard. Wer heute noch in einer Firma arbeitet, die das erzwingt, weiß, dass er eine unfähige IT-Abteilung hat. Aber so ein Tag ist eine gute Gelegenheit, sich zu fragen, ob man Passwörter überhaupt noch braucht.
Warum kein Passwort?
Die Kombination aus Benutzername/E-Mail-Adresse und Passwort ist nach wie vor das Rückgrat der Kontosicherheit im Internet. Dieses Prinzip ist jedoch sehr anfällig. Ist das Passwort zu einfach, kann es schnell geknackt werden. Ist das Passwort zu schwer, kann man es sich schlecht merken. Deshalb verwenden viele Menschen immer dasselbe Passwort. Auch deshalb sind Datenlecks so gefährlich. Die Voraussetzung eines einzigen Sicherheitsfaktors („Wissen“) ermöglicht zudem Phishing-Angriffe.
Passwortmanager sind ein Hilfsmittel, um den Passwort-Zoo überschaubar zu halten. Nur so können individuelle und sichere Passwörter für alle Accounts verwendet werden. Die Sicherheit dieser Passwortmanager hängt jedoch vom sicheren Master-Passwort ab. Außerdem haben Passwortmanager das „alle Eier in einem Korb“-Problem.
Vor einigen Jahren kamen daher Hardware-Schlüssel wie der Yubikey oder der Nitrokey auf. Damit sollten einfachere PINs (Faktor „Wissen“) mit einem externen Sicherheitsschlüssel (Faktor „Besitz“) kombiniert werden. Ich habe hier auch damit gespielt. Sie haben sich nur nie durchgesetzt. Man kann damit ein paar kritische Dienste absichern, aber Reichweite bekommen die nicht. Ich würde daher darauf nicht mehr setzen.
Was sind Passkeys?
Was geblieben ist, ist die FIDO-Allianz als Standardisierungsgremium für Passwortalternativen. Diese hat mit FIDO2 inzwischen einen Standard geschafft, der mit einigen Anpassungen unter dem Marketingbegriff Passkey oder auch passwortloses Anmelden bekannt wurde. Das System wurde benutzerfreundlicher gemacht und anstelle von zusätzlichen Hardwaredongeln wird mit dem Smartphone ein Gerät verwendet, das man sowieso besitzt.
Passkeys basieren auf dem bewährten Prinzip der getrennten Schlüssel. Es gibt einen öffentlichen Schlüssel, der dem Dienstanbieter bekannt ist, und einen geheimen Schlüssel im internen Speicher, der für die Anmeldung benötigt wird. Dies hat mehrere Vorteile gegenüber Passwörtern:
- Passkeys sind nie unterkomplex
- Passkeys können nicht vergessen werden
- Passkeys können nicht einfach durch Phishing abgegriffen werden
- Passkeys werden immer individuell für einen Account erstellt.
Passkeys beheben also die schlimmsten Schwachstellen von Passwörtern.
Funktionsweise
Das Konzept sieht das Smartphone als zentrales Medium zur Generierung und Verwaltung von Passkeys vor. Eine Anmeldung bei Webseiten mit einer Passkeyauthentifizierung ist natürlich auch am Desktop möglich, setzt dann aber eine Freischaltung am Smartphone voraus. Zur Identifikation ist entweder eine PIN oder ein biometrischer Abgleich notwendig. Also nichts, was moderne Smartphone-Nutzer nicht ohnehin schon kennen.
Apple und Google (Android & Chrome) bieten in ihren Softwarelösungen eine cloudbasierte Synchronisation der Passkeys an, wodurch diese Hürde entfällt. Auch Microsoft arbeitet an einer entsprechenden Lösung für Windows Hello. Auch hier ist eine biometrische Freigabe erforderlich. Moderne Hardware ist in der Regel mit Fingerabdruck- oder Gesichtserkennungsverfahren kompatibel und kann dafür genutzt werden. Das schließt andere Browser nicht aus. Firefox bietet ebenfalls Passkey-Unterstützung für Windows und macOS, nutzt dafür aber die entsprechenden Betriebssystemfunktionen (Apple Passwörter / Windows Hello).
Für Linux ist keine Out-of-the-Box-Implementierung integriert. Es sind auch keine Pläne bekannt, die Passwortspeicher entsprechend zu erweitern. Da es keine Linux-Smartphones gibt, ist das auch nicht weiter dramatisch. Nutzer können einfach auf Android ausweichen und darüber Passkeys erzeugen und freigeben. Will man Passkeys ohne Smartphone erzeugen und nutzen, benötigt man zusätzlich einen modernen Passwortmanager wie KeePassXC (ab Version 2.7.7.) und das entsprechende Firefox-Addon. Leider hat Linux auch hier Sicherheitsdefizite, da standardmäßig kein TPM zur Absicherung verwendet wird und biometrische Verfahren nicht sicher gespeichert werden können. Die KeePass-Datenbank sollte daher unbedingt zusätzlich mit einer Schlüsseldatei oder einem Hardwareschlüssel geschützt werden. Auch wenn dies die Vorteile von Passkeys wieder zunichte macht. Linux und Sicherheit ist leider keine einfache Sache mehr.
Ich habe gelesen dass…
Passkeys sind neu und Passwörter alt. Bornierte Alleshasser haben sich natürlich sofort darauf gestürzt. Da war anfangs sehr viel Halb- oder Unwahrheit im Unlauf und hat den Start von Passkeys zumindest in Deutschland massiv beeinträchtigt. Beliebte Angriffspunkte sind die Cloud-Sync-Funktion der großen Hersteller und die Bindung an ein Smartphone. Ersteres, weil die großen Hersteller böse sind und Smartphones gerne von Leuten als unsicher gebrandmarkt werden, die sie technisch nicht verstehen und die intime Kenntnis ihrer herkömmlichen Betriebssysteme mit Sicherheit verwechseln. Inzwischen ebbt die Pauschalkritikwelle aber ab und viele begreifen die Vorteile.
Wer auf solche Kommentare stößt, kann sie getrost ignorieren. Oft entlarven sie sich durch in diesen Kreisen beliebte Verballhornungen (Klaut, M$, Intelligenzphone etc.) selbst. Die Passkey-Synchronisation ist bei allen Anbietern durch zusätzliche Sicherheitsmaßnahmen wie Ende-zu-Ende-Verschlüsselung und die Speicherung auf dem Gerät zusätzliche Sicherheitsmodule wie TPM geschützt. Im direkten Vergleich zu Passwörtern haben Passkeys deutlich mehr Vorteile als Nachteile. Theoretisch überlegene Alternativen wie Yubikey sind leider an der Praxis gescheitert.
Fazit
Die Liste der Dienstanbieter, die Passkeys unterstützen wird stetig länger. Passkeys sind damit über jene Schwelle gekommen, die Hardwareschlüssel wie Yubikeys nie überschreiten konnten. Anstelle also sein Passwort zu ändern, sollte man prüfen, ob der Dienstanbieter nicht schon Passkeys unterstützt und diese anstelle nutzen.
Hallo Gerrit,
vielen Dank fuer den Artikel.
Du schreibst: „FIDO2 inzwischen einen Standard geschafft, der unter dem Marketingbegriff Passkey oder auch passwortloses Anmelden bekannt wurde“
Diese Aussage scheint irreführend, da sie den Leser schliessen lassen könnte, dass Passkey selbst ein Standard sei!
Ich verweise diesbezüglich auf: https://karl-voit.at/FIDO2-vs-Passkeys/
* Passkeys ist __kein Standard__!
Passkeys nutzt die gleichen Grundbausteine (wie FIDO2) aber da ist __nichts prüfbar__. Die gespeicherten Passkeys sind noch prüfbar (sofern der Zugriff darauf ermöglicht wird). Aber keinesfalls bezieht sich die Prüfbarkeit auf die Implementierung am Server oder das exakte Protokoll, denn hier kochen aktuell alle Hersteller ihre eigenen Süppchen und das noch **proprietär**.
* Passkey __schützt im Gegensatz zu FIDO2 nicht prinzipiell das Geheimnis__ und das ganz bewusst: optional können die Geheimnisse eine Cloud __synchronisiert__ werden… auch die dafür verwendete Software geheim bzw. **proprietär** und kann deshalb __nicht__ von unabhängigen Experten __geprüft__ werden
Der Vorteil von kryptographischen Schlüsseln steht ausser Frage (Beispiel SSH). Jedoch Passkeys mit dem Standard FIDO2 gleichzusetzen ist schlichtweg falsch und irreführend. Die derzeitige Praxis der proprietären Implementierung ist aus Sicherheits-Aspekten äusserst bedenklich. Passkeys sollten ausschliesslich zusammen mit einem FIDO2-Hardware-Token verwendet werden.
PS: Die Nutzung von „Verballhornungen“ mag zwar etwas über die Einstellung des Nutzers aussagen, jedoch nicht über die Richtigkeit eines Kommentars. Hast Du es wirklich nötig, Kommentare (und vielmehr den Kommentator) auf diese Weise zu diskreditieren anstatt mit Fakten/Gegenargumenten das Gegenteil zu beweisen?
Zum Standard: Ja, Passkeys sind ein angepasster FIDO-Standard. Es wurden praktisch alle Hindernisse für eine breitere Nutzung durch bessere Lösungen ersetzt. Z.B. Hardwarestick gegen Smartphone, Synchronisation über Gerät hinweg etc. Sie kommen aber nicht aus dem luftleeren Raum oder von irgendwelchen dunklen Mächten, sondern stammen direkt von der FIDO Alliance (ja die besteht u.a. aus Konzernen, aber so what?): https://fidoalliance.org/passkeys/ Das wird gerne unterschlagen, wenn man einfach nur Microsoft, Google, Apple oder „Megacorps“ schreibt. Passkey ist kein FIDO hat für mich das Niveau von GNU und Linux.
Dein Argument ist also im Kern die fehlende Open-Source-Implementierung der Umsetzung und die teilweise proprietäre Cloud-Synchronisation? Dem stimme ich nicht (mehr) zu. Open-Source wäre immer wünschenswert, aber wenn wir warten, bis etwas Open-Source entwickelt wird, sich in der konservativen Community durchsetzt und marktreif wird, dann verharren wir ewig im Status Quo. Ich bin da mittlerweile ziemlich pessimistisch.
Grundsätzlich fände ich es ja auch schön, wenn sich Sticks wie der Yubikey durchgesetzt hätten. Ich habe einen, ich habe hier darüber geschrieben, ich fand die toll. Aber ich akzeptiere die Realität und die zeigt, dass sich diese Sticks nicht über bestimmte, eng begrenzte Bereiche hinaus durchsetzen.
Zum letzten Punkt: Ich finde diese lächerlichen Verballhornungen derart nervig, dass ich tatsächlich solche Kommentare gar nicht mehr lese. Ich kann mich also nicht mit ihnen auseinandersetzen.
Das Argument „Passkeys sind überlegend, weil sie gut sind“ ist auf keiner Weise überzeugend. Passkeys haben gravierende Nachteile: sie sind kompliziert, erfordern ein zusätzliches Gerät und forcieren Einsatz der Biometrie. Langfristig wird das sich nicht durchsetzen, man wird bei Kombination Login/Passwort bleiben.
Nein, sie sind nicht wirklich kompliziert, wenn man ein Standard-Betriebssystem (Windows, macOS) oder einen proprietären Browser (Chrome) verwendet. Das zusätzliche Gerät brauche ich auch nur, wenn mein System keine biometrischen Funktionen unterstützt oder ich keine Synchronisation wünsche. Biometrische Funktionen sind heute für die meisten Menschen Standard.
Ergo: Kompliziert ist es nur für Linux-Anwender oder Verfechter reiner Open-Source-Lösungen. Von diesen Anwendern erwarte ich aber, dass sie in der Lage sind, eine steilere Lernkurve für mehr Sicherheit zu meistern.
„Beliebte Angriffspunkte sind die Cloud-Sync-Funktion der großen Hersteller und die Bindung an ein Smartphone. “
In Deinemn(in diesem Abschnitt eher unsachlichen) Aussagen führst Du nicht an, warum man nicht durch Apple/Google/Microsoft in deren Käfig gebunden wird, sobald man sich für eine Passkey-Lösung per Android/iOS etc. entschieden hat. Wäre schön, wenn man sich so weit aus dem Fenster lehnt, deutlicher zu schreiben, wie man die Herstellerbindung ablegen kann, wenn das funktioniert.
„Theoretisch überlegene Alternativen wie Yubikey sind leider an der Praxis gescheitert.“
Keine Ahnung, wie Du zu dieser Aussage kommst, aber ich arbeite gern damit und habe damit die Bindung an einen Hersteller bei den Betriebssystemen überwinden können.
Komplexität bei Passkeys etc: gering bis gar nicht. Gebe aber zu, dass es viel zu weniger Anbieter von Passkeys-Zugängen in meinem Interessensgebiet gibt.
„Ersteres, weil die großen Hersteller böse sind und Smartphones gerne von Leuten als unsicher gebrandmarkt werden, die sie technisch nicht verstehen… “
Keine Ahnung, wie sehr Du Dich mit IT-Sicherheit und insbesondere mobilen Geräten (Forensik?) beschäftigst, vorsichtig würde ich bei solchen Aussagen an Deiner Stelle auf jeden Fall sein. Beruflich bin ich immer wieder fasziniert, was alles doch möglich ist…
Ich habe ehrlich gesagt etwas Mühe den Kommentar zu verstehen.
Passkeys mit Open-Source-Software hatte ich doch exemplarisch mit KeePassXC beschrieben. Reicht das nicht?
Zur Hardware: Moderne iPhones oder Pixel-Geräte mit aktueller Software (bei Pixel gerne GrapheneOS als freies System) sind sicherer als normale PC-Hardware mit Linux oder Windows. Das ist doch überhaupt nicht strittig!?
Hallo,
„Passkeys mit Open-Source-Software hatte ich doch exemplarisch mit KeePassXC beschrieben. Reicht das nicht?“
Mir ging es nicht um Open-Source-Software sondern im ersten Abschnitt um die Kritik an den Kritikern, dass sie die Bindung an Smartphones kritisieren würden. In dem Abschnitt führst Du aber nur die (vermeintlich höhere) Sicherheit und eben nicht Kritik an die Bindung an die Smartphones (und dem jeweiligen Hersteller) als Punkt auf.
Mich würde aber interessieren, wie die Erfahrung bei einem Wechsel der Plattform ist, um diesen Kritikpunkt zu begegnen.
„Zur Hardware: […]“
De facto ist es eigentlich im Allgemeinen so, dass man – wenn erst einmal das Gerät (etwas llänger) nicht mehr im physischen Besitz (Zugriff) hat – kaum mehr dem Gerät vertrauen kann – egal ob Smartphone oder Notebook etc., wenn man wirklich so interessant ist. Kein (Consumer-)Gerät übersteht solche Angriffe. Aber das meinst Du sicher nicht.
Sicherheit wird ja bekanntlich mit den Schutzzielen Vertraulichkeit, Integrität und Verfügbarkeit verbunden. Wenn diese Verfügbarkeit bspw. sich auf die Backup-Funktion marktüblicher Smartphone-Betriebssystem bezieht und dabei bspw. die Übertragung der Daten (Passkeys?) auf neue Systeme betrachtet, so sehe ich wenigstens schon in diesem Punkt den Kritikpunkt an andere Kritiker hinterfragungswürdig an – auf jeden Fall wenn ich Deinen Wunsch der Betrachtung des „Spannungsfeld[s] digitaler Teilhabe und Sicherheit“.
Worauf willst du hinaus? Ich habe deinen Kommentar jetzt 3. Mal gelesen, aber durch die vielen Schachtelsätze verstehe ich ihn wohl nicht richtig.
Die Möglichkeiten zum Backup und Transfer von Passkeys sind dokumentiert. Auch ohne Cloud.
Ein modernes Smartphone mit z.B. GrapheneOS ist auch nach Verlust schwer zu knacken, lässt sich nur schwer auslesen und löscht sich u.U. schnell selbst. Das wurde jüngst wieder bestätigt. Das Sicherheitsniveau erreicht kein Desktopbetriebssystem. Aber darauf willst du nicht hinaus, oder?
o.k. Einfach:
– Mann hat iPhone. IPhone defekt. Backup in der iCloud (Standard Apple).
– Mann hat kein Geld für neues iPhone und will sich ein Android-Gerät leisten.
Geht das? Ja/Nein/Vielleicht (Voraussetzungen)
Hardware-Sicherheit ist tatsächlich nicht (bzw. hier) Thema.
Geht nicht, aber specs sind schon klar und Hersteller haben mitgezeichnet. Kommt also demnächst. https://fidoalliance.org/fido-alliance-publishes-new-specifications-to-promote-user-choice-and-enhanced-ux-for-passkeys/
I know 🙂
Für den Blog-Eintrag finde ich es aber wenigstens erwähnenswert, dass derzeit eine Herstellerabhängigkeit besteht. Ebenso zu erwähnen ist der Nachteil eines defekten Nitrokeys auch auf Smartphones zu übertragen – inkl. der ausbaufähigen Backupstrategie, sofern über die herstellereigenen Anwendung weitere verwendet werden (habe diesen Nachteil letztens nett miterleben dürfen).
Bzgl. einer etwaigen Umsetzung bin ich sehr neugierig. Die Kundenbindung würde damit aufgehoben werden, was sicherlich nicht interessant für das Geschäft ist.
Danke für Deinen Post zu Passkeys!
Polemische Spitzen sind ein Markenzeichen dieses Blogs. Ich lese darüber hinweg. Den Punkt hast du natürlich trotzdem. Passkeys haben das Momentum und könnten wirklich die Kennwortmisere beenden. Wir nehmen Phishing zu sehr als unvermeidliches Übel. Hardwaretoken hatten vor 5 Jahren ein kurzes Momentum, konnten aber keine kritische Masse erreichen. Weil die Pappnasen da draußen eben kein Geld ausgeben wollen und das zu fummelig mit extra Dongel ist. Schade, aber gelaufen. Wenn das Momentum vorbei ist, ist es vorbei.
Das werden diese ganzen Open Source Security Leute nie verstehen. Die haben auch von Mailverschlüsselung geschrieben, als alle auf Messenger waren und wollten XMPP mit irgendwelchen Addons fit machen, weil – ach, schon wieder vergessen. Dass hier irgendwelche Experten mit „mir reicht aber mein Nitrokey“ um die Ecke kommen, war dir sicher klar. Mir gefällt an diesem Blog, dass du den normalen Anwender im Blick hast. Weiter so!
Danke für den Artikel.
Ich habe mich auch immer wieder mit dem Thema Passkeys beschäftigt und auch den Einsatz in Unternehmen evaluiert. Ich finde sie in punkto Sicherheit und Komfort super.
Den einzigen Nachteil, den ich aktuell noch sehe, ist die potentielle Abhängigkeit von einem Ökosystem bzw. die fehlende Möglichkeit eines Backups, da man die Passkeys nicht aus der Secure Enclave auslesen kann. Das stärkt natürlich die Sicherheit, aber wird beim Verlust des Devices problematisch.
KeePassXC bietet die Möglichkeit Passkeys in der Datenbank zu speichern. Dann kann man Backups der Datenbank machen, aber der Passkey lässt sich dann auch aus einer entsperrten Datenbank „einfach“ auslesen.
Biometrische Merkmale gelten als nicht ausreichend sicher.
Ich möchte gar nicht auf mögliche technische Angriffsszenarien eingehen, nur auf „analoge“. Der erste Punkt ist, dass biometrische Daten nicht so ein-eindeutig sind, wie gemeinhin angenommen. Bei der Einwohnerzahl Österreichs bspw. gibt es theoretisch 10 weitere Österreicher, die mit einem ihrer Finger mein Handy entsperren könnten. (Es gibt einen Fall eines fälschlich Mordverdächtigen in den USA, dessen Fingerabruck vom FBI-System als ident erkannt wurde.)
Und diverse Kunstprojekte, die im Internet verfügbare Bilder benützten, bewiesen, dass jeder von uns mindestens einen Doppelgänger hat. Das funktioniert letztlich auch deshalb, weil der Abgleich gewisse Toleranzen haben muss, sonst bräuchten wir jedes Mal 10 Versuche, um unser eigenes Gerät zu entsperren.
Das ist immer noch sehr theoretisch… Viel „praktischer“ ist es, ein entzogenes iPhone dem Eigentümer kurz vor die Nase zu halten oder nach Verabreichung von KO-Tropfen einfach den Finger an den Sensor zu halten.
Dazu kommt noch, dass man biometrische Daten ständig offen mit sich trägt. Niemand hat sein Passwort irgendwo tätowiert (hoffentlich 🙂 )…
Somit erübrigt sich die Diskussion von unsicherer oder sicherer Speicherung biometrischer Daten, da diese selbst nicht ausreichend sicher bzw. geschützt sind.
Alles richtig.
Ich bin aber Pragmatiker. Bevor es biometrische Merkmale für die Entsperrung von Smartphones gab, nutzten viele gar keinen PIN oder eine simple Wischgeste. Menschen sind nunmal bequem. Hier bieten biometrische Merkmale eben dann doch wieder einen Mehrwert, weil sie verglichen mit vorherigen Methoden sicherer sind.
Die Hersteller entwickeln die Methoden übrigens weiter, da muss man immer auf der Höhe der Zeit mit seinen Gegenargumenten bleiben. Moderne iPhones prüfen, ob der Besitzer bei FaceID aufmerksam ist und in die Kamera blickt. In deinem KO-Tropfen-Beispiel würde die Entsperrung scheitern.
Biometrische Entsperung ist übrigens keine Voraussetzung für den Einsatz von Passkeys. Sie macht es nur komfortabler. Als zusätzlicher Identifikator lässt sich auch ein PIN nutzen.
Hallo, danke für den Artikel und auch an die hilfreichen Kommentierenden. Ich arbeite meistens mit Linux und manchmal mit Mac, habe also, was Linux angeht, die bekannten Hürden. Und es gibt noch etwas anderes: Auch nach Mail-Kontakten mit yubikey und Anfragen an verschiedene Redaktionen konnte mir niemand zusichern, dass das mit den Passkeys auch dann klappt, wenn man mehrere Rechner mit jeweils mehreren Betriebssystemen hat. Gehört wahrscheinlich zu den Fällen, die niemend checkt … Also lasse ich den Finger von Passkeys und arbeite weiter mit starken Passwörtern. Auch wenn mich theoretisch das Passkey-Konzept überzeugt.
Btw. und nicht wirklich zum Thema gehörend: Ungefähr nur jedes fünfte Mal gelingt es mir (und ihr) beim MacBook meiner Frau, sich mit dem Passwort auf dem Rechner einzuloggen … Fingerabdruck geht immer, doch ich habe halt andere Finger und manchmal warte ich Ihren Rechner unterm Dach und sie werkelt gerade ich Keller … Treppensteigen soll gesund sein. Mit freundlichen Grüßen, Bostaurus
Was nutzt es mir, dass Passkeys als die Zukunft und das einfache neue Passwort vermarktet werden, aber in der Realität das ganze nicht funktioniert.
PayPal macht ewig Werbung man solle auf Passkeys setzen, es wäre einfacher und sicherer. Also habe ich das ausprobiert. Von wegen man braucht dann nur noch den Fingerabdruck und kein Passwort oder 2FA Nummer mehr. Es wurde kategorisch alles abgefragt, anstatt zwei Dingen durfte ich dann neu drei Dinge erledigen.
Was ist an einem Passwortmanager so schlecht, dass man unbedingt diesen Blödsinn erfinden muss, der dann nur mehr Arbeit macht und eh nicht funktioniert.
Auf die Frage wo die Passkeys herkommen, wenn mein Handy Schrott ist, konnte mir keiner beantworten. Es soll bald eine Sicherungsfunktion geben war die Antwort. Bald ist ein sehr geduldiges Wort.
Das ist eine Frage der Einbindung. Man kann Passkeys als 2FA nutzen, aber auch als vollständigen Ersatz für Passwörter.