{"id":28746,"date":"2022-05-27T08:28:00","date_gmt":"2022-05-27T06:28:00","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28746"},"modified":"2022-05-27T08:28:00","modified_gmt":"2022-05-27T06:28:00","slug":"passkey-future-without-passwords","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/","title":{"rendered":"Eine Zukunft ohne Passw\u00f6rter?"},"content":{"rendered":"

Am diesj\u00e4hrigen World Password Day<\/em>, der traditionell im Mai stattfindet, k\u00fcndigten drei der gr\u00f6\u00dften Tech-Riesen, Google, Microsoft und Apple, ihre Pl\u00e4ne f\u00fcr eine passwortlose Zukunft an.<\/p>\n

Der neue Standard wird von der FIDO Alliance in Zusammenarbeit mit dem World Wide Web Consortium (W3C) entwickelt, das grob gefasst definiert, wie das moderne Internet aussieht und funktioniert. Es handelt sich hierbei um einen ernsthaften Versuch, Passw\u00f6rter zugunsten einer Smartphone-basierten Authentifizierung f\u00fcr immer aus dem Hier und Jetzt zu verbannen.<\/p>\n

Obwohl die Abschaffung von Passw\u00f6rtern bereits seit etwa einem Jahrzehnt diskutiert wird, haben fr\u00fchere Versuche, diese hoffnungslos unzuverl\u00e4ssige Methode der Benutzerauthentifizierung abzuschaffen, bislang zu Nichts gef\u00fchrt. In diesem Beitrag m\u00f6chten wir Ihnen einen kleinen Einblick in die Vorteile des neuen FIDO\/W3C-Standards geben, wobei wir zun\u00e4chst die Frage kl\u00e4ren sollten, welche allgemeinen Probleme Passw\u00f6rter mit sich bringen.<\/p>\n

Das Problem \u201ePasswort\u201c<\/h2>\n

Der gr\u00f6\u00dfte offensichtlichste Nachteil von Passw\u00f6rtern ist die Leichtigkeit, mit der sie in die falschen H\u00e4nde geraten k\u00f6nnen. In den fr\u00fchen Anf\u00e4ngen der Internet-\u00c4ra, als die so gut wie gesamte Kommunikation zwischen Computern noch unverschl\u00fcsselt stattfand, wurden Passw\u00f6rter im Klartext \u00fcbermittelt. Mit der Ausbreitung von Zugangspunkten zu \u00f6ffentlichen Netzwerken \u2013 in Caf\u00e9s, Bibliotheken und im \u00d6VPN \u2013 entwickelte sich dies jedoch zu einem echten Problem, da Kriminelle unverschl\u00fcsselte Passw\u00f6rter so ganz unbemerkt abfangen konnten.<\/p>\n

So richtig explodierte das Problem des Passwortdiebstahls jedoch Anfang bis Mitte 2010, nachdem gro\u00dfe Internetdienste mit dem gro\u00dffl\u00e4chigen und hochkar\u00e4tigen Diebstahl von E-Mail-Adressen und Benutzerpassw\u00f6rtern zu k\u00e4mpfen hatten. Wir k\u00f6nnen Ihnen \u00fcbrigens mit Sicherheit sagen, dass all Ihre Passw\u00f6rter von vor zehn Jahren irgendwo in der \u00d6ffentlichkeit herumschwirren. Auf HaveIBeenPwned<\/a> k\u00f6nnen Sie sich selbst davon \u00fcberzeugen.<\/p>\n

\"\u00dcberpr\u00fcfung

Auf HaveIBeenPwned k\u00f6nnen Sie \u00fcberpr\u00fcfen, ob eines Ihrer Passw\u00f6rter geleakt wurde. Bei Passw\u00f6rtern, die ein Jahrzehnt oder \u00e4lter sind, ist das mit hoher Wahrscheinlichkeit der Fall.<\/p><\/div>\n

Heutzutage enthalten Leaks nat\u00fcrlich weniger Klartext-Passw\u00f6rter und viele Internetdienste haben l\u00e4ngst erkannt, dass das unverschl\u00fcsselte Speichern sensibler Benutzerinformationen das Erfolgsrezept f\u00fcr eine Katastrophe mit Ank\u00fcndigung ist. Passw\u00f6rter werden deshalb meist gehasht<\/em>, d. h. verschl\u00fcsselt gespeichert.<\/p>\n

Das Problem hierbei ist, dass ein schwaches Passwort durch das Ausprobieren aller m\u00f6glichen Kombinationen (Brute-Force-Methode) oder durch einen sogenannten W\u00f6rterbuchangriff<\/a> noch immer aus einer verschl\u00fcsselten Datenbank extrahiert werden kann. Gehashte Passw\u00f6rter wie \u201egeheim\u201c oder \u201e123123\u201c zu entschl\u00fcsseln ist somit ein Kinderspiel. Damit w\u00e4ren wir bereits beim zweiten Problem: Um sich Kennw\u00f6rter besser merken zu k\u00f6nnen, verwenden viele Nutzer sehr schwache Passw\u00f6rter, die sich leicht aus einer geleakten Datenbank extrahieren lassen \u2013 selbst, wenn sie verschl\u00fcsselt sind.<\/p>\n

Dieser Wunsch nach Einfachheit und Bequemlichkeit f\u00fchrt auch schon zum dritten Problem: Die Verwendung desselben Passworts f\u00fcr verschiedene Konten und Dienste. Datenlecks eines alten Online-Forums k\u00f6nnen so beispielsweise zum Verlust Ihres Haupt-E-Mail-Kontos f\u00fchren.<\/p>\n\n

Passwort Plus<\/h2>\n

Dieses Problem ist alles andere als neu, sodass die meisten Dienste nicht mehr nur auf ein einziges Passwort setzen, sondern eine Art Multi-Faktor-Authentifizierung verwenden. Wenn Sie sich bei Internetdiensten, sozialen Netzwerken, beim Online-Banking usw. anmelden, werden Sie normalerweise nach der Eingabe Ihrer Anmeldeinformationen zur Eingabe eines Einmalcodes aufgefordert. Dieser Code erreicht Sie per Textnachricht, in der Banking-App selbst oder \u00fcber eine spezielle Authentifizierungs-App wie Google Authenticator<\/a>. Sehr komplexe Systeme verwenden einen Hardwareschl\u00fcssel, der per USB, Bluetooth oder NFC abgerufen werden kann.<\/p>\n

In einigen F\u00e4llen ben\u00f6tigen Sie \u00fcberhaupt kein Passwort. Wenn Sie sich beispielsweise bei einem Microsoft-Konto anmelden, wird Ihnen per E-Mail ein Einmalkennwort zugesandt. Standardm\u00e4\u00dfig verwendet auch die Messaging-App Telegram eine auf Einmalcodes basierende Authentifizierungsmethode, ohne die Notwendigkeit eines Passworts (obwohl Kennw\u00f6rter als zus\u00e4tzliche Sicherheitsma\u00dfnahme empfohlen werden).<\/p>\n

In den allermeisten F\u00e4llen existieren Passw\u00f6rter jedoch immer noch als Backup-Form der Authentifizierung. Sich ausschlie\u00dflich auf textbasierte Kennw\u00f6rter zu verlassen (bei weitem die gebr\u00e4uchlichste und benutzerverst\u00e4ndlichste Form der 2FA) ist dennoch aus vielerlei Gr\u00fcnden keine gute Idee<\/a>. Es ist seit langem klar, dass Passw\u00f6rter keine langj\u00e4hrige Zukunft mehr haben. Und mit den Ank\u00fcndigungen der 3 Tech-Riesen scheint es ganz so, als st\u00fcnde uns eine passwortlose Zukunft schon ganz bald bevor.<\/p>\n

Passwortlose Authentifizierung nach FIDO\/W3C<\/h2>\n

Um es auf den Punkt zu bringen: Der neue passwortlose Authentifizierungsstandard macht das Passwort (oder besser gesagt den Passkey<\/em>, ein Satz privater und \u00f6ffentlicher Kodierungsschl\u00fcssel) zu einem rein technischen Element, das der Benutzer nicht mehr zu Gesicht bekommt. Dies erm\u00f6glicht die Verwendung starker, eindeutiger Schl\u00fcssel und leistungsstarker Kryptografie. Dies wiederum macht Cyberkriminellen das Leben schwerer und gew\u00e4hrleistet, dass bei der Kompromittierung eines Kontos kein weiteres Konto beeintr\u00e4chtigt wird.<\/p>\n

F\u00fcr den Nutzer sieht es so aus, als w\u00fcrde er seine Anmeldung bei einem sozialen Netzwerk, E-Mail-Konto oder Online-Banking-Dienst \u00fcber sein Smartphone best\u00e4tigen. Der Ablauf \u00e4hnelt dem einer Online-Zahlung: Sie entsperren das Ger\u00e4t \u00fcber die PIN, die Gesichtserkennung oder den Fingerabdruck und best\u00e4tigen die \u201eTransaktion\u201c \u2013 nur, anstatt eine Zahlung zu t\u00e4tigen, melden Sie sich bei Ihrem Konto an. H\u00f6rt sich gut an!<\/p>\n

Dar\u00fcber hinaus verf\u00fcgt der von FIDO entwickelte Standard \u00fcber ein zus\u00e4tzliches Feature in Form einer Bluetooth-Authentifizierung auf mehreren Ger\u00e4ten. Beispielsweise ist die Kontoanmeldung auf einem Laptop schneller, wenn das Ger\u00e4t ein vertrauensw\u00fcrdiges Smartphone in der N\u00e4he \u201eentdeckt\u201c. Dieses aufregende Authentifizierungssystem wird f\u00fcr die \u00fcberwiegende Mehrheit der Benutzer funktionieren, au\u00dfer vielleicht f\u00fcr diejenigen, die aus Prinzip weiterhin ein Tastentelefon verwenden. Und mit dem Support von drei Internetgiganten wird diese Funktion in naher Zukunft schon bald universell werden. Wird all das also auch ein positiver Schritt in Richtung mehr Sicherheit sein? Werfen wir einen Blick auf die Vor- und Nachteile dieser neuen Technologie.<\/p>\n

Vorteile der passwortlosen Authentifizierung<\/h2>\n

Die Unterst\u00fctzung von Google, Apple und Microsoft bietet Grund zur Annahme, dass gro\u00dfe Dienste wie Gmail, YouTube, iCloud, Xbox und alle iOS-, Android- und Windows-Ger\u00e4te bald auf die passwortlose Authentifizierung umstellen werden. Da der Standard einheitlich ist, sollte die Authentifizierung auf jedem Ger\u00e4t identisch funktionieren. Dar\u00fcber hinaus soll es die M\u00f6glichkeit geben, Ger\u00e4te ganz einfach zu wechseln. Haben Sie Ihr iPhone gegen ein Samsung Galaxy getauscht? Kein Problem: Sie k\u00f6nnen das neue Smartphone ganz einfach als Ihr aktuelles Login-Verifizierungsger\u00e4t festlegen.<\/p>\n

Der Hauptvorteil der neuen Methode besteht darin, dass sie Phishing erheblich erschwert. Herk\u00f6mmlicher Passwortdiebstahl funktioniert, indem Kriminelle beispielsweise eine gef\u00e4lschte Banking-Website erstellen und ihr Opfer auf diese Seite locken. Gibt der Nutzer dort seine Zugangsdaten ein, erlangt der Angreifer Zugriff auf das Bankkonto. Neben der Authentifizierung des Nutzers, \u00fcberpr\u00fcft der neue Standard auch die Authentizit\u00e4t des Dienstes selbst. Das einfache Senden einer Authentifizierungsanfrage f\u00fcr die Webressource einer anderen Person funktioniert so nicht mehr. Und auch geleakte Passw\u00f6rter werden in Zukunft keine Bedrohung mehr f\u00fcr Nutzer darstellen.<\/p>\n

Zudem verspricht das neue System eine einfache und intuitive Handhabung. Bei richtiger Implementierung sollte das Ersetzen von Passw\u00f6rtern selbst f\u00fcr bestehende Konten sehr einfach sein, und die versprochene Unterst\u00fctzung auf Betriebssystemebene in Smartphones erfordert nicht einmal die Installation einer App. Sie m\u00fcssen lediglich die gew\u00fcnschte Seite \u00f6ffnen, Ihre Kennung eingeben und die Anfrage auf Ihrem Smartphone best\u00e4tigen. Et voila!<\/p>\n

Probleme, die auch ohne Passw\u00f6rter bestehen bleiben<\/h2>\n

Viele werden sich jetzt vermutlich folgende Frage stellen: Was passiert, wenn jemand mein Smartphone in die H\u00e4nde bekommt und die Anmeldung f\u00fcr alle meine Konten genehmigt? Die Antwort ist ganz einfach: In einem realistischen Sicherheitsmodell gibt es keine bombensicheren L\u00f6sungen. Alles<\/em> kann gehackt werden \u2013 die Frage ist nur, welche Ressourcen der Kriminelle bereit ist, daf\u00fcr auszugeben. Denn selbst wenn Sie Ihre 128-stelligen aleatorischen Passw\u00f6rter ausschlie\u00dflich in Ihrem Kopf speichern, k\u00f6nnen selbst solche Kennw\u00f6rter mit bew\u00e4hrten Methoden aus Ihnen herausgekitzelt werden.<\/p>\n

Es wird sicher Versuche geben, einzelne Smartphones zu hacken, um Zugang zu Konten zu erhalten. Aber solche Hacks werden individuell sein und sehr wahrscheinlich nur auf hochkar\u00e4tige Objekte abzielen. Wenn es um den Massenmarkt geht \u2013 also reale allt\u00e4gliche Bedrohungen \u2013 ist der Diebstahl von Passw\u00f6rtern um L\u00e4ngen weiter verbreitet als der Diebstahl von Smartphones und die Nutzung ihrer digitalen Inhalte. Und genau dieses Problem soll die neue Technologie l\u00f6sen.<\/p>\n

In diesem Zusammenhang m\u00f6chten wir noch einmal daran erinnern, dass \u00e4hnliche Zweifel auch \u00fcber die Masseneinf\u00fchrung biometrischer Daten ge\u00e4u\u00dfert wurden. Damals waren viele Leute \u00e4hnlich besorgt, dass jemand ihren Fingerabdruck stehlen und ihr Smartphone entsperren k\u00f6nnte. Troy Hunt, Sch\u00f6pfer von HaveIBeenPwned, schrieb letztes Jahr einen ganzen Artikel<\/a> zu einem verwandten Thema: In einem realistischen Sicherheitsmodell ist Biometrie st\u00e4rker als Passw\u00f6rter.<\/p>\n

Der neue Standard erm\u00f6glicht es, das Authentifizierungssystem von einem Ger\u00e4t auf ein anderes zu \u00fcbertragen. Am einfachsten geht das, wenn Sie zwei Ger\u00e4te besitzen \u2013 zum Beispiel ein altes und ein neues Smartphone. Wenn das alte Handy verloren geht, m\u00fcssen Sie zweifellos eine Art Backup-Methode verwenden, um Ihre Identit\u00e4t erneut nachweisen zu k\u00f6nnen. Um welche Backup-Methode es sich dabei handelt, ist allerdings noch unklar.<\/p>\n

Abschlie\u00dfend lohnt es sich, die Frage zu stellen, ob das neue System Nutzer nicht abh\u00e4ngiger von der Funktionalit\u00e4t ihrer Google- bzw. Apple-Konten macht. F\u00fchrt die Sperrung eines Google-Kontos generell zum Verlust des Zugriffs auf alle Online-Ressourcen?<\/p>\n

Eine vielversprechende Zukunft<\/h2>\n

Selbst Skeptiker m\u00fcssen sich eingestehen, dass eine passwortlose Zukunft deutlich mehr verspricht als die aktuelle Kennwort-Methode. Das in die Jahre gekommene Passwortkonzept bedarf seit langem einer \u00dcberarbeitung. Der passwortfreie Standard von FIDO verspricht viel Positives, obwohl einiges letztendlich von Google, Apple, Microsoft und Co. abh\u00e4ngt. Gehen die Entwickler jedoch den richtigen Weg, wird unser digitales Leben ein St\u00fcck weit einfacher und sicherer. Das dies nicht \u00fcber Nacht geschieht ist selbstverst\u00e4ndlich: Denn Passw\u00f6rter sind im heutigen Internet so tief verwurzelt, dass es viele Jahre dauern wird, sie vollst\u00e4ndig aus unserem Leben zu verbannen \u2013 selbst mit einem neuen, verbesserten System.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Google, Microsoft und Apple arbeiten an einer passwortlosen Zukunft.<\/p>\n","protected":false},"author":665,"featured_media":28748,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2287],"tags":[1617,109,3958,39,1449,25,125],"class_list":{"0":"post-28746","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-technology","8":"tag-2fa","9":"tag-apple","10":"tag-fido","11":"tag-google","12":"tag-kryptografie","13":"tag-microsoft","14":"tag-passworter"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/passkey-future-without-passwords\/28746\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/passkey-future-without-passwords\/24205\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/passkey-future-without-passwords\/19687\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/passkey-future-without-passwords\/9926\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/passkey-future-without-passwords\/26530\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/passkey-future-without-passwords\/24488\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/passkey-future-without-passwords\/24833\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/passkey-future-without-passwords\/27199\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/passkey-future-without-passwords\/26732\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/passkey-future-without-passwords\/33222\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/passkey-future-without-passwords\/10716\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/passkey-future-without-passwords\/44418\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/passkey-future-without-passwords\/18936\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/passkey-future-without-passwords\/19485\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/passkey-future-without-passwords\/32556\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/passkey-future-without-passwords\/25066\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/passkey-future-without-passwords\/30568\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/passkey-future-without-passwords\/30317\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/2fa\/","name":"2FA"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28746","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/665"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28746"}],"version-history":[{"count":1,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28746\/revisions"}],"predecessor-version":[{"id":28749,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28746\/revisions\/28749"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28748"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28746"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28746"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28746"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}