Die Sicherheit sensibler Daten in Branchen wie dem Gesundheitswesen und der kritischen Infrastruktur hängt maßgeblich von der Stärke der Anmeldeverfahren ab. Obwohl die Forderung nach einem sicheren Passwort oder einer Multi-Faktor-Authentifizierung seit Jahren Standard ist, bleiben gestohlene Zugangsdaten eine der häufigsten Ursachen für Datenverstöße.
| INHALT |
Angesichts der steigenden Bedrohung durch Phishing und Credential-Stuffing benötigen IT-Spezialisten eine zuverlässigere Technologie als traditionelle Kennwörter. Passkeys stellen eine revolutionäre Weiterentwicklung dar, die das Versprechen der passwortlosen Authentifizierung endlich in die Tat umsetzt und so die Abhängigkeit von leicht zu erratenden oder zu stehlenden Passwörtern beendet. In diesem Beitrag beleuchten wir, wie diese kryptografisch abgesicherten Anmeldeinformationen funktionieren, wer sie bereits nutzt und warum sie der Schlüssel zur Zukunft der Passwortsicherheit sind. Wir zeigen, wie Passkeys die Sicherheit von Unternehmensnetzwerken erhöhen und gleichzeitig das Benutzererlebnis verbessern.
Datenpannen, die durch gestohlene oder schwache Zugangsdaten entstehen, stellen insbesondere für das Gesundheitswesen, die Fertigungsindustrie und kritische Infrastrukturen ein erhebliches Risiko dar. Die traditionelle, seit Jahrzehnten verwendete Passwort-Methode ist dabei oft das schwächste Glied in der Sicherheitskette. Passkeys bieten eine dringend notwendige Alternative, indem sie die Abhängigkeit von herkömmlichen Passwörtern eliminieren und eine deutlich widerstandsfähigere Form der Authentifizierung bereitstellen. Sie stellen einen bedeutenden Schritt in Richtung passwortloser Authentifizierung dar und bieten einen modernen Schutz vor den gängigsten Bedrohungen wie Phishing und Credential-Stuffing.
Passkeys sind im Grunde eine digitale Anmeldeinformation, die ein Schlüsselpaar verwendet, um Benutzer kryptografisch bei einer Website oder Anwendung zu authentifizieren. Dieses Konzept basiert auf dem FIDO2-Standard (Fast IDentity Online) und löst das Problem des Diebstahls von Passwörtern, da kein Geheimnis mehr eingegeben werden muss, das über das Netzwerk übertragen werden könnte. Der private Schlüssel des Passkeys wird sicher auf dem Gerät des Benutzers gespeichert, während der öffentliche Schlüssel beim Dienst gespeichert wird; dies verhindert, dass ein Angreifer eine Anmeldeinformation stehlen kann, die er anderswo wiederverwenden könnte.
Die technische Funktionsweise von Passkeys mag auf den ersten Blick komplex erscheinen, doch das zugrunde liegende Prinzip ist die asymmetrische Kryptografie. Dieses Verfahren ist weitaus sicherer als die alleinige Verwendung eines sicheren Passworts und stellt eine native Form der Multi-Faktor-Authentifizierung dar. Beim Anmeldevorgang wird niemals das private Geheimnis des Benutzers geteilt, was einen entscheidenden Vorteil gegenüber älteren Authentifizierungsmethoden bietet.
Der Kern der Passkeys-Funktion liegt in der Erzeugung eines kryptografischen Schlüsselpaares bei der Registrierung: ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche Schlüssel wird an den Dienst gesendet und dort gespeichert, während der private Schlüssel nur auf dem Gerät des Benutzers verbleibt und durch biometrische Daten (z. B. Fingerabdruck) oder eine Geräte-PIN geschützt wird. Zur Anmeldung fordert der Dienst das Gerät des Benutzers auf, eine kryptografische Signatur zu erstellen, die nur mit dem privaten Schlüssel erzeugt werden kann. Der Dienst validiert diese Signatur mit dem gespeicherten öffentlichen Schlüssel, wodurch die Identität des Benutzers ohne Übertragung eines Passworts bestätigt wird.
Die Einführung von Passkeys wird von Branchenriesen vorangetrieben, was ihre Akzeptanz als den neuen Goldstandard in der Authentifizierung unterstreicht. Diese breite Unterstützung ist ein starkes Signal an alle Sektoren, von der Fertigungsindustrie bis zum Gesundheitswesen, dass diese Technologie bereit für den breiten Einsatz ist. Die Nutzung durch diese großen Unternehmen beschleunigt die Abkehr von anfälligeren Systemen und fördert die Nutzung der passwortlosen Authentifizierung.
Führende Technologieunternehmen wie Apple, Google und Microsoft haben Passkeys in ihren Betriebssystemen und Browsern implementiert, was ihre plattformübergreifende Nutzbarkeit sicherstellt. Darüber hinaus haben große Online-Dienste wie PayPal, eBay und Amazon begonnen, Passkeys als Anmeldemethode anzubieten oder einzuführen. Dies demonstriert nicht nur das Vertrauen in die höhere Sicherheit dieser Technologie, sondern macht sie auch für Millionen von Nutzern direkt verfügbar.
Eine der größten Herausforderungen bei früheren Authentifizierungsmethoden war die geräteübergreifende Nutzung, besonders wenn ein PC und ein Smartphone involviert waren. Passkeys wurden speziell entwickelt, um dieses Problem zu lösen und eine nahtlose, aber gleichzeitig hochgradig sichere Anmeldung über verschiedene Geräte hinweg zu ermöglichen. Diese Funktionalität ist entscheidend, um die Einführung der Multi-Faktor-Authentifizierung in Unternehmensumgebungen praktikabel zu machen.
Wenn Sie sich auf Ihrem PC anmelden möchten, aber Ihr Passkey auf Ihrem Smartphone gespeichert ist, wird eine sichere, verschlüsselte Verbindung (meist über Bluetooth Low Energy oder einen QR-Code) zwischen den beiden Geräten hergestellt. Der PC sendet eine Anmeldeanfrage an den Dienst, der daraufhin eine Benachrichtigung an Ihr Smartphone sendet. Sie autorisieren die Anmeldung dann auf Ihrem Smartphone, typischerweise mit Ihrer biometrischen Entsperrung oder Ihrer PIN. Ihr Smartphone generiert die kryptografische Signatur mit dem privaten Schlüssel und sendet diese Signatur sicher an den PC, der sie an den Dienst weiterleitet, um die Anmeldung abzuschließen.
Im Vergleich zu herkömmlichen Anmeldedaten bieten Passkeys ein deutlich höheres Sicherheitsniveau, was sie zu einer idealen Lösung für kritische Organisationen macht. Die Art und Weise, wie sie Angriffe vereiteln, ist fundamental anders und macht das Risiko eines Datenverstoßes durch gestohlene Anmeldedaten nahezu unmöglich. Ihre Architektur ist inhärent auf die Abwehr von Bedrohungen ausgelegt, die selbst ein sicheres Passwort nicht verhindern könnte.
Die Sicherheit von Passkeys beruht hauptsächlich auf zwei Faktoren: Phishing-Resistenz und Gerätebindung. Da der private Schlüssel nie an den Dienst gesendet wird und die kryptografische Signatur an die spezifische Domain gebunden ist, kann ein Angreifer eine gefälschte Anmeldeseite nicht nutzen, um den Schlüssel zu stehlen. Selbst wenn ein Angreifer den öffentlichen Schlüssel in die Hände bekommt, ist dieser nutzlos ohne den privaten Schlüssel, der zusätzlich durch biometrische Daten oder eine PIN auf dem Gerät geschützt ist. Dies macht die Anmeldung mit Passkey wesentlich sicherer als die meisten herkömmlichen Methoden der Multi-Faktor-Authentifizierung.