Keine Passwörter mehr – wie Passkeys Ihr Passwort ersetzen

May 15 2023
Um Unklarheiten zu vermeiden, werden die folgenden Begriffe verwendet: Authentifikator; Das Mobiltelefon, das für die Anmeldung verwendet wird. Website; Die Website oder Anwendung, die der Benutzer verwendet, um den Anmeldeanforderungsdienst zu stellen; Der Anbieter, der die jeweilige Dienstleistung bereitstellt, z

Um Unklarheiten zu vermeiden, werden die folgenden Begriffe verwendet:

Authentifikator ; Das Mobiltelefon, mit dem die Anmeldung erfolgt

Website ; Die Website oder Anwendung, die der Benutzer verwendet, um die Anmeldeanforderung zu stellen

Dienst ; Der Anbieter, der den jeweiligen Dienst bereitstellt, z. B. Google Mail, Microsoft Outlook

Was ist das Problem mit Passwörtern?

Passwörter sind ein Synonym für unsere Nutzung des Internets. Wir nutzen sie, um uns bei unseren E-Mails, Social-Media-Konten anzumelden oder um unsere Bankguthaben zu überprüfen. Wir werden daran erinnert, „gute“ komplexe Passwörter festzulegen, wobei jede Website ihre eigene Definition davon hat, wie gut aussieht.

Trotz dieser Bemühungen bleiben Passwörter eine Schwachstelle, da viele schwache Passwörter und/oder für alle Konten dasselbe Passwort verwenden. Oft werden einige Opfer von Websites, die vorgeben, echte Dienste zu sein, was als Phishing bezeichnet wird. Hierbei klicken Benutzer auf einen Link, von dem sie glauben, dass er echt ist, es sich jedoch in Wirklichkeit um eine gefälschte Website handelt, die erstellt wurde, um das Passwort des Benutzers zu stehlen.

Sehr gute gefälschte „Phishing“-Websites können Benutzer auch zur Multi-Faktor-Authentifizierung (MFA) verleiten, wenn der MFA-Typ nicht darauf ausgelegt ist, Phishing-Angriffen standzuhalten. Allerdings ist ein MFA besser als gar kein MFA.

Was sind Passkeys?

Passkeys ersetzen Passwörter und sind so konzipiert, dass sie gegen Phishing-Angriffe resistent sind. Darüber hinaus erleichtern sie den Anmeldevorgang für Benutzer erheblich und erhöhen die Sicherheit.

Nehmen wir als Beispiel Batool: Sie hat sich mit einem Passwort bei ihrem Gmail-Konto angemeldet. Durch den Wechsel zu einem Passkey kann sie sich mit ihrem Fingerabdruck oder ihrem Gesicht anmelden. Das Passwort wird zu einer alternativen Methode für den Fall, dass sie den Passkey nicht verwenden kann (Passwörter werden irgendwann irgendwann abgeschafft).

Passkeys verwenden das Konzept privater und öffentlicher Schlüssel . Anstelle einer Passphrase verfügt Batool jetzt über einen privaten Schlüssel, der nahtlos von ihrem Mobiltelefon erstellt, gespeichert und verwaltet wird. Dies kann über eine Authentifizierungs-App oder innerhalb des Betriebssystems erfolgen.

Batools Telefon kann ihren neuen öffentlichen Schlüssel im Rahmen ihrer Passkey-Erstellung mit Gmail.com automatisch auf Gmail hochladen.

Gmail weiß nun von Batools öffentlichem Schlüssel und wird sie daher bitten, zu bestätigen, dass es ihr gehört, indem sie Batool auffordert, ihr Telefon zu entsperren und es mit ihrem privaten Schlüssel zu signieren.

All dies geschieht im Hintergrund zwischen Gmail.com und ihrem Telefon. Batool muss sich nur um die Verwendung ihres Fingerabdrucks oder der biometrischen Gesichtsentsperrung kümmern, wie sie es normalerweise tun würde. Wenn sie viele verschiedene Gmail.com-Konten eingerichtet hat, muss sie möglicherweise auswählen, welchen Passkey sie verwenden möchte.

Gefälschte Websites stellen jetzt eine geringere Bedrohung dar, da sie nicht über den öffentlichen Schlüssel von Batool verfügen und sie sich daher nicht anmelden kann. Denken Sie daran, dass der private Schlüssel ihr Mobiltelefon niemals verlässt.

Wie wechselt Batool also von einem Passwort zu einem Hauptschlüssel?

Das folgende Diagramm zeigt, wie Batool von der Verwendung eines Passworts zu einem Passkey für ihr Gmail-Konto übergeht.

Batool erstellt einen Passkey

1- Batool meldet sich mit ihrem Benutzernamen und Passwort beim Dienst (Gmail) an.

2- Gmail unterstützt jetzt Passkeys. Es wird eine Anfrage an Batool gesendet, um einen Passkey zu erstellen, oder sie muss möglicherweise zu g.co/passkeys navigieren .

3- Es erscheint eine Benachrichtigung zur Erstellung eines Passkeys.

4- Batool entscheidet sich für die Erstellung eines Passkeys und wird aufgefordert, ihr Telefon mithilfe der biometrischen Option zu entsperren. Dadurch kann ihr Telefon sicher einen neuen Passkey für Gmail.com erstellen und ihn sicher für sie speichern.

5- Der private Schlüssel ist an ihr Benutzerprofil gebunden, dh er wird auf allen ihren Geräten synchronisiert. In diesem Beispiel verwendet Batool ein iPhone, sodass es möglicherweise mit iCloud synchronisiert wird. Allerdings können alternative Methoden von verschiedenen Anbietern verwendet werden, z. B. Microsoft Authenticator oder Google Password Manager.

6 – Der entsprechende öffentliche Schlüssel wird an Gmail gesendet.

7- Google speichert NUR diesen öffentlichen Schlüssel und wird bei zukünftigen Anmeldeversuchen verwendet, um signierte Signaturen von Batool zu validieren.

Während Batool ihren Fingerabdruck oder ihr Gesicht verwendet, um den Passkey zu verwenden, ist dies genau so, als würde sie das Gerät entsperren oder sich beim Online-Banking anmelden – die digitale Darstellung ihres Fingerabdrucks oder Gesichts verlässt NIEMALS das Mobiltelefon , sie wird im Telefon verschlüsselt gespeichert und kann auch nicht gespeichert werden Zugriff über Gmail oder den Hersteller des Geräts, z. B. Apple oder Android.

Jetzt hat Batool einen Passkey. Wie funktioniert der Anmeldevorgang?

Das folgende Diagramm zeigt, wie Batool sich mit ihrem Passkey bei ihrem Gmail-Konto anmeldet.

Batool meldet sich mit ihrem Passkey an

1- Batool navigiert zur Anmeldewebsite eines bestimmten Dienstes, in diesem Fall Gmail.

2- Batool hat zuvor einen Passkey (siehe oben) für Gmail erstellt, daher wird eine Herausforderung vom Gmail-Dienst gesendet.

3- Die Challenge wird von Batools Telefon empfangen und als Liste der verfügbaren Passkeys des Dienstes angezeigt. Wenn Batool also mehr als ein Gmail-Konto hat, werden zwei Passkeys angezeigt

4- Batool wählt den Passkey für ihr Gmail-Konto aus und verwendet dann biometrische Daten, um ihr Mobiltelefon zu entsperren, wodurch ihr Telefon dann den privaten Schlüssel verwenden kann.

5- Die Challenge von Google wird dann mit dem privaten Schlüssel von Batool signiert.

6- Anschließend wird eine signierte Herausforderung an Google gesendet, was eine starke Gewissheit gibt, dass sich Batool anmeldet.

7 – Google verwendet den öffentlichen Schlüssel für Batool, um die erfolgreiche Anmeldung zu bestätigen.

Wenn Sie sich von nun an bei Google anmelden, fragt Google wann immer möglich nach dem Passkey. Wenn Passkey nicht verfügbar ist, kann Batool trotzdem ihr Google-Passwort verwenden.

Dies ist Teil einer schrittweisen Umstellung auf Passkeys. Da immer mehr Dienste Passkeys nutzen, werden wir hoffentlich eine Zukunft ohne Passkeys und eine größere Widerstandsfähigkeit gegen Phishing erleben.

Apple, Google und Microsoft arbeiten zusammen, um die Bekanntheit und Akzeptanz von Passkeys zu steigern. Weitere Informationen hierzu finden Sie hier .

Vielen Dank an Joel Samuel und Ali Sarraf für die Rezension dieses Artikels.