Sie kennen die meistgenutzten Passworte? Laut einem gelungenen Angriff auf das Seitensprung-Portal Ashley Madison im Jahr 2015 sollen diese lauten:

Daran hat sich auch noch 2022 kaum etwas geändert, wie das Hasso-Plattner-Institut bekannt gab.

Dabei lauten üblicherweise Empfehlungen für sichere Passworte:

• Länge nicht unter x Zeichen (je nach Ratgeber x = 15, 18, 20, 25, …)
• Nutzung von Klein- und Großbuchstaben, Ziffern und Sonderzeichen im Passwort
• keine aufeinanderfolgende Buchstaben- (“abcde…”) oder Ziffern-Folgen (“12345…”)
• keine persönlichen Namen oder Daten (“Heinz-01011970”)
• Unterschiedliche Passworte für unterschiedliche Zugänge

Was notgedrungen zur Nutzung von Passwort-Managern oder der Ablage von Passworten im Browser führt. Denn wer merkt sich schon 100 komplexe Passworte für 100 Websites, Apps und Social Media Portale?

Passkeys statt Passwords

Mehrere große Tech-Unternehmen wie Microsoft, Apple und Google als Teil der FIDO Alliance haben nun das passwort-lose Zeitalter eingeläutet. Mit sogenannten Passkeys können sich Anwender etwa schon bei den Google Workspace-Diensten anmelden. Diese Technik soll Passwörter ersetzen und die Sicherheit des Login-Prozesses erhöhen. Doch wie funktioniert das?

Das Passkey-Verfahren

Im Prinzip arbeitet das Passkey Verfahren so wie eine übliche Verschlüsselung (etwa SSL) mit einem kryptographischem Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Der private Schlüssel verbleibt immer auf dem lokalen Gerät – zum Beispiel ein USB-Dongle oder eine App auf dem Smartphone. Bei der Anmeldung fordert der angefragte Dienst mittels öffentlichem Schlüssel (der bei der Erstanmeldung bei diesem Dienst abgelegt wurde) eine Challenge beim lokalen Gerät an, das diese Aufgabe mittels privatem Schlüssel löst und das Ergebnis signiert zurück übermittelt. 

Die Freigabe der Prozedur kann dabei mit denselben biometrischen Daten oder einem PIN erfolgen, die man schon zum Entsperren des Smartphones verwendet. Die App oder die Website können nun ebenfalls diesen Mechanismus anstelle der traditionellen, eher unsicheren Passwort-Abfrage benutzen.

Damit man sich von verschiedenen Geräten aus beim selben Dienst mittels Passkey anmelden kann, lässt sich der private Schlüssel (nochmals verschlüsselt) in einem Cloud-Dienst ablegen, denn eigentlich ist er ja erst einmal nur auf einem Gerät erzeugt und abgelegt worden. Das kann etwa bei Apple-Geräten der iCloud-Schlüsselbund sein. Das ist nicht schlimm, denn auch bei Passwort-Manager Plattformen, wie Dashlane, werden die genutzten Passwörter bei der Plattform selbst (verschlüsselt) abgelegt.

Eine bildhafte Darstellung des Verfahrens finden Sie bei www.trustedreviews.com

Passkeys in der Praxis

Sie können damit rechnen, dass Passkeys irgendwann Passwörter vollständig ersetzen werden, aber die Übergangsphase wird etliche Jahre dauern.

Unter anderem diese Websites unterstützen Passkeys – angeblich – bereits:

• Google-Workspace
• PayPal (USA, auf Android-Geräten)
• eBay
• Microsoft

Die Website Passkeys.directory stellt eine aktuelle Liste an teilnehmenden Unternehmen vor. Im Juni 2023 wird aber noch mehr über Passkeys gesprochen und geschrieben, als dass man diese schon in Europa anwenden könnte.

Wenn Sie sich – später einmal – bei einem Dienst neu anmelden, der das Passkey-Verfahren unterstützt, werden Sie durch die Einrichtung geleitet. Bei Diensten, die Sie schon länger nutzen, können Sie früher oder später das Passkey Verfahren für diesen Dienst aktivieren. 

Bei WordPress-Websites kann vorerst das neue Verfahren mit Hilfe dieser Plugins eingesetzt werden:

• iThemes Security Pro
• WP-WebAuthn 

Eine gute Übersicht finden Sie auch in diesem Artikel beim Heise-Verlag.