In Sachen Authentifizierung wird „Passkey“ immer populärer. Hierbei handelt es sich um eine Methode, die die bisherige Authentifizierung mittels klassischer Accountdaten, insbesondere per Passwort, ablösen soll. Wie das genau abläuft, welche Vorteile sich bieten und ob man sich in Zukunft keine Sorgen mehr um Phishing machen braucht, beleuchten wir in diesem Beitrag.
Der Inhalt im Überblick
Das altbekannte Phishing-Problem
Viele Fälle sehen so aus: Ein Mitarbeiter ruft einen Link aus einer vermeintlich legitimen Mail auf. Er gibt dort seinen Nutzernamen und sein Passwort ein, vielleicht sogar noch einen MFA-Code. Dabei wird nicht bemerkt, dass die Anmeldung gar nicht beim richtigen Dienst erfolgt. Manchmal geschieht dies aufgrund fundamental fehlender Sensibilität, manchmal reicht nur ein kurzer Moment der Unachtsamkeit.
Je nach Phishing-Webseite leitet der Angreifer den Nutzer daraufhin beispielsweise auf eine andere Seite um oder die Webseite landet in einer Endlosschleife. Wer hier hellhörig wird, meldet den potenziellen Vorfall möglichst schnell der IT-Abteilung. Vielleicht fällt dies aber auch schlicht nicht auf und der Arbeitstag wird unbehelligt weiter bestritten. In jedem Fall hat ein Angreifer, wenn auch vielleicht nur kurzfristig, einen ausnutzbaren Zugriff oder wenigstens Zugangsdaten für einen Mitarbeiteraccount erhalten.
Von hier geht der Angriff nun los: Je nach Account versendet der Angreifer vielleicht weitere Phishing-Mails. Diese wirken aufgrund ihres internen Ursprungs potenziell weniger auffällig. Eventuell besitzt ein Angreifer jedoch auch bereits Zugriff auf Speicherorte oder Managementsysteme. Ab diesem Punkt bestehen potenziell diverseste Eskalationsmöglichkeiten. Am Ende stehen mitunter Lock-Outs, Datenexfiltrationen, Vollverschlüsselungen. Wären die Accountdaten nicht an den Angreifer gegangen, hätte dieser Fall – wie so viele andere auch – verhindert werden können.
Natürlich wäre es schön, könnte man Mitarbeiter einfach in eine Schulung schicken und solche Fehler würden nie wieder passieren. Mit Sicherheit erhöht eine solche Schulung zwar die Sensibilisierung deutlich und senkt das Risiko um ein gutes Stück. Doch der Faktor Mensch verbleibt – und vollkommen verhindern lassen sich solche Resultate selten. Die Lösungsstrategie „Man müsste doch einfach nur (nicht)…“ hilft hierbei nicht weiter. Allerdings kann man die Situation aber auch nicht so stehen lassen. Was also ist die Alternative?
Passwort vs. Passkey
Die klassische Authentifizierung mittels Accountdaten läuft – vereinfacht – folgendermaßen ab: Gibt ein Nutzer einen Accountnamen und das zugehörige Passwort ein, überprüft das System deren Richtigkeit. Hierfür muss es die jeweiligen Daten irgendwo in einer Datenbank gespeichert haben. Um das Abspeichern von Klartextpasswörter zu verhindern, wird oft aus dem eingegebenen Passwort ein Wert berechnet, welcher mit dem abgespeicherten Wert der Webseite abgeglichen wird. Ist der erste Schritt erfolgreich, kommt eventuell noch ein zweiter Faktor hinzu – Authentifikation über SMS, Code per Mail, Authentifikator oder einer anderen Option.
Die MFA bietet hierbei – sofern richtig konfiguriert und geprüft – bereits erhöhte Sicherheit, doch auch diese ist bei weitem nicht fehlerfrei. Insbesondere SMS- oder Mail-basierte MFAs können Angreifer, wenn auch mit Mehraufwand, umgehen oder abhören.
Wie löst der Passkey nun dieses Problem?
Im Fall eines Passworts besitzt das System – nahezu – die gleiche „Wissenskomponente“ wie der Nutzer. Wer Passwort und MFA-Codes angeben kann, gilt als ausreichend authentifiziert. Der Passkey setzt auf eine andere Möglichkeit. Dieser generiert nämlich – wie bei vielen Verschlüsselungen – ein Schlüsselpaar, das einen öffentlichen und privaten Schlüssel umfasst. Das System, bei dem der User sich in Zukunft authentifizieren soll, erhält den öffentlichen Schlüssel – und der Nutzer behält den privaten, welchen er nicht veröffentlicht.
Nun wird weder ein Passwort (oder dessen errechneter Wert), noch der private Schlüssel selbst bei einer Anmeldung an das System weitergeleitet. Stattdessen wird mittels privatem Schlüssel auf Seiten des Nutzers eine mathematische Berechnung vorgenommen, deren Ergebnis das System durch den öffentlichen Schlüssel verifizieren kann. Die geheime Komponente verlässt – im Bestfall – niemals das Gerät, auf dem sie erstellt wurde. Weiterhin befindet sie sich dort auch im Optimalfall in einem geschützten Bereich, der selbst mit direktem Zugriff auf das System nicht einfach ausgelesen werden könnte.
Der private Schlüssel kann selbst mit Kenntnis des Ergebnisses der Berechnung UND dem öffentlichen Schlüssel nicht einfach herausgefunden werden. Ein Angreifer hätte also nichts davon, eine legitime Seite zu simulieren und zu versuchen, Geheimnisse abzugreifen – denn das eine Geheimnis, das er bräuchte, sendet das System des Nutzers nie und kann normalerweise nicht in realistischer Zeit berechnet werden. Andersrum gelten Passkeys nur für explizit registrierte Seiten. Dadurch dürfte beim Aufruf einer Phishing-Seite die Option zur Anmeldung fehlen oder fehlschlagen und dadurch auffallen.
Was ist eigentlich der Unterschied zwischen Passkey und Security-/Hardware-Key?
Wichtig ist hierbei noch der Unterschied zwischen „Passkey“ und „Hardware-Token“/“Hardware Key“ (oder „Security Key“). Bei dem Passkey handelt es sich um in erster Linie um den Software-Aspekt einer passwortlosen Lösung. Dieser kann, muss aber nicht, auf einem dedizierten Hardware-Token gespeichert werden. Passkeys können Nutzer auch über Dienste wie Windows Hello konfigurieren und sowohl mit Biometrie als auch mit einer PIN sichern.
Ein „Hardware Key“ oder Hardware-Token ist hingegen meist ein kleines Gerät, vergleichbar zu einem USB-Stick. Diesen nutzt man dann als zweiten Faktor und/oder auch als Speicherort (und Authentifikator) für Passkeys.
Is Phishing no more?
Bedeutet das nun, dass ein Umstieg auf Passkeys Phishing gänzlich ausradiert? Nicht unbedingt – er stellt allerdings ein deutliches Upgrade in puncto Nutzerfreundlichkeit und Sicherheit dar. Erstens tauscht man eine Vielzahl an Passwörtern gegen ein einziges biometrisches Merkmal oder eine selbstgewählte PIN aus. Der Nutzer braucht sich also nur maximal eine PIN zu merken, die er sicher verwahren muss – diese kann man dann aber für viele Passkeys nutzen.
Zweitens ist der Diebstahl des persönlichen Geheimnisses nur sehr schwer zu erreichen. Hierbei ist jedoch eine Sache wichtig: Auch wenn Passkeys im Allgemeinen geschützt auf dem jeweiligen Gerät verweilen, ist die Integration in sogenannte Passwortmanager (oder auch Geräte-Cloudspeicher als Schlüsselbund wie bei Apple) keine Seltenheit. Dies erleichtert den Zugriff für einen Angreifer nicht zwingend um ein Vielfaches, bietet aber weitere Angriffsvektoren. Hier hängt die Sicherheit letztendlich vermehrt von den darüber hinaus genutzten Diensten ab.
Kann der Passkey Accounts perfekt absichern?
Passkeys mögen die Authentifizierung sehr gut absichern, doch das schützt Nutzer nicht vor der Ausnutzung anderer Einfallstore. Lädt man sich zum Beispiel aus Unachtsamkeit Malware auf den PC, ist eventuell ein direkter Diebstahl von Session-Cookies und daraus resultierend ein Account Takeover die Folge – neben anderen Risiken wie Keylogging und ähnlichem.
Auch Passkeys können also nicht von sich behaupten, die perfekte Sicherheit zu bieten. Es verbleiben immer Faktoren, bei denen die jeweiligen Nutzer achtsam sein müssen. Wie bereits MFA bietet ein Passkey jedoch eine deutlich erhöhte Sicherheit bei ebenfalls erhöhter Nutzerfreundlichkeit und ist somit ein guter Grund für den Wechsel. Viele Dienste und Anbieter unterstützen mittlerweile Passkeys – auch wenn dies bei weitem noch nicht jeder möglich macht.
Ob man sich dann einen dedizierten Hardware-Token anschafft und dafür dann einen weiteren Schlüssel herumtragen möchte, muss ein Nutzer dann für sich entscheiden. Der Verlust eines Hardwaretokens und ein eventuell daraus resultierender Lockout stellen dort durchaus eine Gefahr dar. Abhilfe kann hier zumindest ein zweiter Hardwaretoken schaffen, welche man unabhängig vom ersten aufbewahrt und ebenfalls für die notwendigen Seiten registriert. Das kennt man von Wohnungsschlüsseln selten anders. Veröffentlichungen von Accountdaten im großen Stil, wie man es bisher kennt, dürften mit Passkeys aber deutlich seltener werden.