Jahr für Jahr versuchen Datenschutzexperten den World Password Day am 5. Mai zu nutzen, um Tipps für die Wahl eines guten Passworts und den richtigen Umgang damit zu geben. Möglichst lang soll es sein, am besten immer nur für einen einzelnen Dienst genutzt werden und besser noch mithilfe von Zwei-Faktor-Authentifizierung zusätzlich abgesichert sein.

Traurige Realität

Angesichts dessen ist die Realität ziemlich ernüchternd. Acht von zehn deutschen Nutzern würden dasselbe Passwort bei vielen Webseiten verwenden, zitiert Andreas Türk von Googles Safety Engineering Center in München in einem Pressegespräch im Vorfeld des World Password Day aktuelle Zahlen. Gleichzeitig sind Phishing-Angriffe mittlerweile teilweise dermaßen ausgeklügelt, dass die Nutzerinnen ihr Passwort selbst bereitwillig eingeben. Und auch schwächere Formen der Zwei-Faktor-Authentifizierung werden mittlerweile routinemäßig umschifft.

Alle zusammen gegen das Passwort

Alldem will eine neue Industrieallianz nun ein Ende bereiten: Google, Microsoft und Apple haben ein Bündnis für eine passwortlose Zukunft geschmiedet. Innerhalb des kommenden Jahres soll dafür ein neues System namens "FIDO Passkeys" in allen Browsern und Betriebssystemen der Hersteller unterstützt werden – also von Android über Windows, macOS, iOS und Chrome OS bis zu den Browsern Chrome, Safari und Edge.

In der Praxis sieht der Ablauf dann so aus: Will sich die Nutzerin bei einer Webseite einloggen, folgt am Smartphone eine Abfrage, die via Fingerprint oder Gesichtserkennung autorisiert werden muss. Dadurch wird die Weitergabe des für den Login auf der betreffenden Seite automatisch generierten Passkeys autorisiert.

Entscheidende Vorteile

Für die Nutzerinnen ergeben sich daraus eine Reihe von Vorteilen. So müssen sie sich keine Passwörter mehr merken, da sich das System eben automatisch um Erstellung und Verwaltung kümmert. Passwortmanager werden mit diesem System – langfristig – ebenso obsolet wie die regelmäßige Änderung von Passwörtern, von der Sicherheitsexperten aber ohnehin schon lange abraten.

Zudem ist dieser Ansatz immun gegen Phishing, da jeder dieser Passkeys kryptografisch fix an eine Webseite gebunden ist. An eine betrügerische Webpage wird er also einfach nicht herausgegeben.

Neue Herausforderungen

Gleichzeitig stellen sich durch so ein System natürlich andere Herausforderungen, allen voran zu verhindern, dass sich die User mit einer Beschädigung des Smartphones oder Computers aussperren können. Das soll zumindest bei Google verhindert werden, indem automatisch ein Backup aller Passkeys in der Cloud stattfindet, wie die anderen Hersteller das lösen, war zunächst nicht bekannt.

Wer sich jetzt Sorgen macht, dass dann die jeweiligen Hersteller Zugriff darauf haben: Diese Daten sollen natürlich verschlüsselt gespeichert werden, und zwar so, dass der Anbieter selbst keinen Einblick nehmen kann. Dazu werden dann wieder Fingerprint und Gesichtserkennung verwendet. Zumindest bei Google ist dieses System nicht ganz neu, es wird schon jetzt zur Absicherung von Smartphone-Backups verwendet.

Hintergrund

Technisch gesehen handelt es sich dabei um eine Weiterentwicklung bestehender Standards wie Webauthn und die Nutzung sicherer Hardware, wie sie mittlerweile in praktisch allen aktuellen Smartphones zu finden ist. Diese oft "Secure Enclave" genannte Umgebung wird schon jetzt bei Smartphones für allerlei sicherheitsrelevante Aufgaben genutzt. Auf solchen Chips läuft typischerweise ein komplett unabhängiges Betriebssystem, womit eine strikte Trennung von Android, iOS und Co gegeben ist.

Bei Google selbst werden diese Sicherheitskeys im Smartphone selbst übrigens schon eine Zeitlang zum Login in den Google-Account unterstützt. Das neue Modell soll nun aber eben das Passwort ganz streichen und auch für andere Webseiten gelten.

Austausch

Im ersten Schritt wollen die drei großen Plattformanbieter – also Apple, Google, Microsoft – nun vor allem den gemeinsamen Standard vorantreiben und fix in ihre Software integrieren. Der Austausch der Passkeys soll hingegen zunächst nur innerhalb der jeweiligen Ökosysteme automatisch gehen. Wer also Passkeys für eine Seite bei iOS erstellt, kann sie dann nahtlos auch am Mac nutzen – nicht aber bei Windows.

Wie Andreas Türk betont, laufen derzeit Gespräche, um diese Beschränkung aufzuheben, also um irgendeine Form des direkten Austauschs zwischen den Plattformen anzubieten. Bis dahin soll die Migration von einem Gerät zum anderen aber manuell möglich sein, hierfür wird es eine Lösung geben, die die Daten via Bluetooth transferiert.

Wichtige Rolle

Dass ausgerechnet diese drei Unternehmen vorpreschen, hat einen guten Grund: Ihnen kommt in dem Modell besondere Bedeutung zu – wird der Passkey-Support doch direkt im Betriebssystem verankert, was übrigens auch bedeutet, dass andere Browser diese Funktionalität einfach übernehmen könnten.

Für beliebte Onlineservices sollte die Unterstützung von passwortlosen Logins hingegen relativ einfach vorzunehmen sein. Das gilt vor allem für jene, die ohnehin schon bisher FIDO-Standards zum Login unterstützen.

Kritik

Eine häufig geäußerte Kritik an passwortlosen Systemen ist, dass damit erst recht wieder nur ein Faktor und somit ein singulärer Angriffspunkt verwendet wird. Wer etwa das Smartphone einer Person erhält, könnte diese zum Login auf allen möglichen Seiten zwingen.

Dem hält Türk auf STANDARD-Nachfrage entgegen, dass dies noch immer erheblich sicherer sei als das alte Passwortsystem und dass Phishing sowie Hacks aktuell wesentlich größere Bedrohungen darstellen. Wer ein höheres Sicherheitsbedürfnis habe, könnte die Passkeys aber natürlich weiterhin mit einem zweiten Faktor kombinieren.

Ausblick

Dass damit Passwörter von einem Tag auf den anderen verschwinden werden, davon geht aber natürlich auch der Google-Experte nicht aus. Es werde sicherlich eine Übergangsphase geben, in der viele Seiten beide Systeme anbieten. Früher oder später wäre aber das Ziel, den Support für Passwörter ganz zu streichen.

Vielleicht gibt es in ein paar Jahren dann also am 5. Mai statt des World Password Day den World Passwordless Day zu feiern – und zwar ganz ohne die altbekannten Ratschläge. (Andreas Proschofsky, 5.5.2022)