Passwörter gelten als unbequem und unsicher. Und vor allem können sie gestohlen werden. Doch nun ist möglicherweise ein Ende des Ärgers in Sicht. Im zweiten Teil unserer neuen Serie „Sicherheit im Internet“ stellen wir den designierten Nachfolger vor und werfen einen Blick in eine hoffentlich passwortfreie Zukunft.
Aufmacherbild: Gino Crescoli via Pixabay
Wie wir in der vorherigen Folge unserer Serie „Sicherheit im Internet“ gezeigt haben, ist die sichere Identifikation von Nutzern eines der Hauptprobleme des weltweiten Netzes. Die derzeitig gebräuchlichste Methode ist die Kombination aus Benutzername und Passwort. Doch sie ist unbeliebt – zu Recht. Die Nutzer sind oft mit dem Merken oder Verwalten von Passwörtern überfordert. Und Passwörter können leicht gestohlen werden und dann in unbefugte Hände geraten.
Upgrade für Passwörter: die 2-Faktor-Identifizierung
Die Zweifaktor-Identifizierung (2FA) soll Anmeldeprozesse zumindest sicherer machen. Dabei wird nicht nur die Kombination aus Benutzername und Passwort verlangt, sondern auch eine Bestätigung. Letztere erfolgt meist in Form eines Codes, der an ein vorher bestimmtes Gerät gesendet wird. Wird maximale Sicherheit angestrebt, sollte dieses Gerät ein anderes sein als das, auf dem man sich einloggt. Also zum Beispiel das Smartphone, wenn der eigentliche Login an einem Notebook oder Tablet erfolgt. Führt man sein Onlinebanking jedoch am Smartphone aus, wird es schon wieder schwieriger – denn dann erfolgt die Anmeldung üblicherweise in einer Banking-App, der zusätzliche Login-Code kommt meist per SMS.
Bisweilen werden aber auch sogenannte Authenticatoren-Apps genutzt, die ein Einmal-Passwort (OTP) generieren – also einen für eine kurze Zeit gültigen Code. Solche Apps gibt es von verschiedenen Herstellern, etwa von den Web-Giganten Microsoft oder Google. Wer es ein bisschen unabhängiger bevorzugt, kann sich das vom Linux-Spezialisten Red Hat gepflegte FreeOTP ansehen. Auch für den Passwortmanager LastPass gibt es eine entsprechende Ergänzung, die aber nur in der Basisversion kostenlos ist.
Authenticatoren-Apps geben mehr Sicherheit
Der große Vorteil all dieser Apps: Sie lassen sich ihrerseits nochmal mit PIN, Fingerabdruck oder auch Gesichtserkennung absichern. Damit wird der Zugriff auf die Authentifizierungs-Funktion und die damit gesicherten Benutzerkonten für Unbefugte sehr schwierig.
Diese Apps sind allerdings nicht austauschbar – die damit abgesicherte Plattform muss eine davon auswählen und unterstützen. Und jede von ihnen hat ihre eigenen Vor- und Nachteile. So speichert etwa die Google-App alle Daten nur lokal auf dem Handy ab. Wer sich gegen einen eventuellen Verlust des Smartphones wappnen möchte, muss die zur Anmeldung am Authenticator erforderlichen Daten ausdrucken oder als Datei auf dem PC speichern. Microsoft hingegen bietet Import und Export der Daten über einen Cloudserver an, was einen Umzug einfacher macht. FreeOTP hingen lässt den Nutzern die Wahl, welches Sicherungsverfahren sie nutzen wollen. So sind auch ereignisgesteuerte Identifikationsverfahren möglich, ausgelöst etwa durch Drücken einer Taste. Auch die Zeichenanzahl und der Gültigkeitszeitraum für die generierten Codes sind wählbar.
2FA: Leider längst ausgehebelt
Die gesteigerte Sicherheit der 2FA erkauft man sich jedoch mit noch höherem Aufwand. Und immer noch bleibt der Nutzer selbst das größte Sicherheitsrisiko. Internet-Kriminelle haben nämlich längst Mittel und Wege gefunden, 2FA auszuhebeln. Sie setzen dabei bevorzugt auf Phishing und Social Engineering. Am Anfang steht meist ein Phishing-Angriff, mit dem Detailwissen über das Opfer abgefangen wird. Dieses Detailwissen wird dann dazu eingesetzt das Vertrauen der Opfer zu gewinnen. In einem oft täuschend echt wirkenden Szenario sollen ihre Opfer die 2FA dann zur Lösung eines fingierten Problems freigeben. Dazu wird oft ein künstlicher Zeitdruck erzeugt: Mal brauchen dann die Kinder ganz dringend Geld, mal muss im letzten Moment eine falsche Banküberweisung storniert werden.
Manche Angreifer nutzen auch Phishing-Tools wie Evilginx. Dieses als Demo gedachte Werkzeug kann Webseiten 1:1 kopieren und damit täuschend echt wirken lassen. Wenn der Angreifer es schafft, sein Opfer auf die kopierte Seite zu locken, kann er dort die eingegebenen Daten abfangen und direkt an das Original weitergeben, um sich dort selbst einzuloggen. Er kann zudem Passwörter und die sogenannten Session-Cookies kopieren, die nach einer 2FA gesetzt werden. Mit diesen Bausteinen hat der Angreifer schließlich vollen Zugriff auf das von ihm ins Visier genommene Konto.
Passkeys: Die Lösung für eine Internet-Welt ohne Passwörter
Möglicherweise müssen sich die Betrüger aber bald eine neue Masche einfallen lassen. Denn schon bald sollen sogenannte Passkeys die Passwörter ersetzen. Passkeys sind deutlich sicherer und vor allem einfacher in der Anwendung.
Das Verfahren ähnelt dem, das auch für die E-Mail-Verschlüsselung mit PGP eingesetzt wird: Die Identifikation läuft über einen öffentlichen und einen privaten Kryptoschlüssel. Dabei werden beide Schlüssel automatisch bei der ersten Anmeldung beim Webdienst auf PC oder Handy generiert und in einem sicheren Bereich auf dem Endgerät gespeichert. Der private Schlüssel bleibt dabei immer auf dem Gerät und wird nicht an den Internetservice weitergegeben. Dieser erhält nur den öffentlichen Teil-Schlüssel und verknüpft diesen mit dem Account.
Zum Einloggen schickt der Webdienst eine sogenannte Challenge – einen zufälligen Code, den Handy oder Computer dann mit Hilfe des privaten Schlüssels signieren und zurückschicken. Diese Signatur lässt sich mit dem öffentlichen Schlüssel überprüfen. Da nur der tatsächliche Nutzer mit seinem privaten Schlüssel den Code gültig signieren kann, gilt er als identifiziert. Der Nutzer selbst merkt von alldem nichts. Seine einzige Aufgabe ist es noch, den Passkey vor dem Einloggen etwa durch einen PIN oder einen Fingerabdruck freizugegeben.
Nie mehr Passwörter ausdenken und merken
Der große Vorteil dieser Technologie: Es ist nicht mehr notwendig, sich für jeden Account ein neues Passwort auszudenken. Zudem ist die Zweifaktor-Identifizierung schon von Haus aus eingebaut. Der erste Faktor ist der Passkey, der zweite die Freigabe am Gerät.
Das Verfahren schützt auch vor Phishing. Und das sogar doppelt. Wer etwa auf die Seite meinebank.phishing gerät und sich dort einloggen soll, wird den Schlüssel für meinebank.de von seinem Browser gar nicht erst angeboten bekommen. Er wird stattdessen aufgefordert, einen neuen Passkey zu erstellen. Der ist dann aber für die Cyberkriminellen wertlos. Das gilt sogar dann, wenn das Opfer aus irgendwelchen Gründen doch den Original-Passkey einsetzt. Bei der Identifizierung wird nämlich eine kryptografische Signatur genutzt, in die auch die anfordernde Webseite einfließt. Eine für meinebank.phishing errechnete Signatur wird deshalb auf der Original-Seite nicht funktionieren.
FIDO-Allianz tüftelt schon seit 10 Jahren
Hinter der Passkey-Technik steckt die FIDO-Allianz, die bereits seit mehr als 10 Jahren an Alternativen zu den unsicheren Passwörtern werkelt. Zu ihren Mitgliedern gehören Unternehmen wie Google, Microsoft, Mastercard und Visa, aber auch Chiphersteller wie NXP und Samsung. FIDO hat in der Vergangenheit USB-Sticks mit dem auch für Passkeys verwendeten Verfahren FIDO2 entwickelt. Auf ihnen ist der private Schlüssel fix auf einem speziellen Security-Chip gespeichert. Mit Passkeys kann der Schlüssel nun auch über die Cloud synchronisiert werden – was deutlich bequemer ist.
Einfach wie Handy entsperren
Um Passkeys zu nutzen, braucht man zudem keine spezielle Hardware. Microsoft und Google haben in den letzten Monaten die Technologie bereits in ihre Betriebssysteme und Browser integriert. „Wir wollen es Nutzern ermöglichen, sich genauso einfach in Apps oder auf Webseiten anzumelden, wie man jetzt schon sein Handy entsperrt“, sagt Patrick Nepper, Produktmanager am Google Safety Engineering Center in München im Gespräch mit der Berliner Morgenpost
Auch in MacOS ab Version Ventura beziehungsweise iOS ab Version 16 ist die Technik bereits verfügbar, bei Android reicht sogar schon die Version 9. Die Browser Chrome und Edge unterstützen Passkeys genau wie Safari. Nur bei Firefox wird es wohl noch bis Ende 2023 dauern.
Sorgloses Einloggen auch auf fremden Rechnern
Um am Windows-Rechner die Technik einsetzen zu können, müssen die Hello-Dienste aktiviert werden, die die Freigabe via Gesichtsscan, Fingerabdruck oder PIN ermöglichen. Über eine Bluetooth-Verbindung und einen Einmal-QR-Code kann aber auch das Smartphone als sogenannter Authentificator eingesetzt werden. So kann man sich auch auf einem fremden Computer (aber mit seinem eigenen Smartphone) einloggen, ohne ein Passwort preisgeben zu müssen.
Den Unternehmen ist es ernst mit der Einführung der Technik. Gerade erst hat Paypal angekündigt. dass nach einer Pilotphase in den USA nun auch deutsche Nutzer in den kommenden Wochen auf Passkeys umsteigen können. Ab Herbst will Apple alle hauseigenen Accounts automatisch auf das neue Verfahre umstellen. Nur noch TouchID und FaceID werden dann als Freigabe-Tools für Passkeys den Zugang garantieren. Google hat bereits im Mai diesen Jahres das Verfahren zu seinem neuen Favoriten für die Anmeldung gekürt. Auf einer speziellen Support-Seite wird Schritt für Schritt gezeigt, wie das funktioniert.
Einführung: ein langwieriger Prozess
Noch ist die Anzahl der Seiten, die die Technik unterstützen, jedoch alles in allem gering. Einen Überblick über das Angebot liefert die Seite passkeys.directory. Populäre Angebote wie Amazon, Twitter oder Instagram glänzen hier immer noch durch Abwesenheit.
Bis sich alle relevanten Internet-Angebote von Passwörtern verabschiedet haben, könnte es auch nach Ansicht der Macher noch ein wenig dauern. „In 2023 werden wir alle mit der Zeit auf die ersten Webseiten und Apps stoßen, wo uns angeboten wird, statt Passwörtern beim nächsten Mal einen Passkey zu verwenden“, sagt Patrick Nepper, Produktmanager am Münchener Google Safety Engineering Center, in einem Interview mit der Berliner Morgenpost. „Aber bis Passwörter nicht mehr zu unserem Alltag gehören, ist es noch ein langer Weg.“