Die NCP engineering GmbH beschäftigt sich in einem Blog-Beitrag mit dem Thema Passkeys, die bald die klassische Kombination aus Benutzername und Passwort ablösen sollen. „Google, Microsoft und Apple haben sie schon eingeführt“, schreibt das Nürnberger Unternehmen.
„Im Mai 2023 hat Google den ,Anfang vom Ende der Passwörter‘ angekündigt“, so NCP zu Beginn des Beitrags. „Seitdem können die rund zwei Milliarden bei Google registrierten Nutzer ihre Accounts mit Passkeys vor Missbrauch schützen. Doch viele von ihnen haben bis jetzt noch nie etwas von Passkeys gehört.“ Deshalb erklärt NCP in dem Blog-Beitrag, was dahintersteckt.
Zu unsicher: klassische Passwörter
Im ersten Abschnitt des Textes erläutert NCP die Nachteile und Gefahren klassischer Passwörter, die das fränkische Unternehmen als „weitgehend überholt“ bezeichnet. „So verwenden die meisten Menschen einfache Passwörter, die sie sich leicht merken können. Damit sind sie aber auch leicht zu erraten oder mit Brute-Force-Attacken zu knacken.“ Außerdem begehen viele User den Fehler, „ihre Passwörter mehrfach zu verwenden“, so NCP. „Denn einmal erbeutete Daten ermöglichen aus der Ferne oft nicht nur das Einloggen bei einem einzelnen Dienst, sondern auch bei allen anderen, bei denen der User dieselbe Kombination aus Benutzerkennung und Passwort verwendet hat.“
Sicherer: moderne Methoden
Als weitaus sicherer gelten beispielsweise Passwort-Manager oder die Multi-Faktor-Authentifizierung (MFA), die aber auch noch Schwächen aufweisen und deshalb keine hundertprozentige Sicherheit garantieren. „Mehrere große Internetkonzerne, neben Google zum Beispiel auch Microsoft und Apple, haben sich deshalb zusammengeschlossen, um eine sichere Alternative – die sogenannten Passkeys – zu entwickeln“, schreibt NCP. Die Passkeys basieren auf dem FIDO2-Verfahren, bei dem „eine Kombination aus privatem und öffentlichem Schlüssel“ zum Einsatz kommt. Deshalb spricht man auch von einer asymmetrischen Verschlüsselung. Auch bei den Passkeys „sendet der Server bei einer Anmeldung eine Challenge (Herausforderung) an den Client, der diese mit seinem privaten Schlüssel signiert und als Response (Antwort) zurücksendet“, erklärt NCP. „Anschließend validiert der Server die Antwort mit dem öffentlichen Schlüssel des Anwenders. Ist sie korrekt, gibt er die Anmeldung frei.“ Welche weiteren Vorteile, aber auch Nachteile die Passkeys-Methode aufweist, erfahren Sie im weiteren Verlauf des Textes.