Cyberkriminelle werden jeden Tag raffinierter. Gleichzeitig schützen noch immer zu viele Menschen ihre Konten mit „Passwort123“.
Ein zentraler Bereich cyberkrimineller Aktivitäten ist die Sicherheit von Benutzerkonten, die meist über eine Kombination aus Benutzername und Passwort geregelt wird. Kommen uninformierte Nutzer hinzu, haben es Angreifer deutlich leichter.
Einfache Passwörter.
Wiederverwendete Passwörter.
Keine Multi-Faktor-Authentifizierung.
Jeder der oben genannten Punkte trägt zu diesem Problem bei.
Zum Glück gibt es ein neues Sicherheitstool, das immer beliebter wird: Passkeys. Passkeys ersetzen Passwörter und nutzen biometrische Authentifizierung, etwa per Fingerabdruckscan oder Gesichtserkennung, um sensible Daten durch einen sichereren Prozess zur Benutzerverifizierung besser zu schützen.
Was sind Passkeys?
Passkeys sind eine sichere, kryptografische Methode zur Authentifizierung von Nutzern ohne Passwörter und bieten mehr Online-Sicherheit, Schutz und Benutzerfreundlichkeit. Nach der Einrichtung sind Passkeys einfacher zu verwenden als Passwörter und um ein Vielfaches sicherer, weil ihre Stärke nicht vom Nutzer abhängt.
Immer mehr Websites setzen auf diese passwortlose Technologie, darunter viele große Technologieunternehmen wie Google, Amazon, Apple und Microsoft.
Erfahren Sie mehr über Passkeys in diesem ausführlichen Blogbeitrag:
Passkeys sind eine Form der passwortlosen Authentifizierung, die herkömmliche Passwörter ersetzt. Sie können auf den meisten Betriebssystemen in einem Passwort-Manager verwendet werden und nutzen Public-Key-Kryptografie, die seit mehr als 10 Jahren entwickelt wird. Die FIDO Alliance wurde 2013 gegründet, um diese Technologie zu begleiten und voranzutreiben, universelle, offene Standards sicherzustellen, und wird von einer langen Liste von Mitgliedern und Sponsoren unterstützt, darunter Bitwarden. Passkeys nutzen die von der Allianz entwickelten kryptografischen WebAuthn-Protokolle, die als Goldstandard für sichere Authentifizierung gelten.
Wie funktionieren Passkeys?
Im Kern sind Passkeys dafür konzipiert, Passwörter zu ersetzen, und dank Public-Key-Kryptografie
Wenn sich ein Nutzer für ein neues Konto auf einer Website oder in einer App registriert, die Passkeys unterstützt, wird er aufgefordert, einen Passkey zu erstellen. Scannen Sie bei Aufforderung einfach den bereitgestellten QR-Code mit einem Smartphone, um den Passkey automatisch zu erstellen.
Dieser Passkey besteht aus zwei Schlüsseln: einem öffentlichen Schlüssel und einem privaten Schlüssel. Der öffentliche Schlüssel wird auf dem Server gespeichert, der private Schlüssel auf dem Gerät des Nutzers. Nachdem ein Nutzer den Passkey erstellt hat, wird er aufgefordert, ihn für den Zugriff auf diese Website zu verwenden. Dann müssen Sie nur noch Fingerabdruck- oder Gesichtserkennung auf einem Smartphone zum Anmelden verwenden.
Um sich bei einer passkeyfähigen Website anzumelden, sendet die Website eine Anmelde-Challenge – eine sehr große Zufallsnummer – und der geheime Schlüssel des Nutzers verwendet Kryptografie, um die Challenge mit einer Antwort darauf zu „signieren“. Die Website prüft die Signatur anhand ihres öffentlichen Schlüssels, um die Echtheit zu verifizieren. Nach der Bestätigung kann die Website Zugriff auf das Konto gewähren.
Da jeder Passkey aus einem Paar aus zwei zusammengehörigen asymmetrischen kryptografischen Schlüsseln besteht, die sehr lange, zufällige Zeichenfolgen sind, ist der Authentifizierungsprozess deutlich sicherer. Obwohl sich diese beiden Schlüssel voneinander unterscheiden, haben sie eine besondere Beziehung: Einer kann Nachrichten entschlüsseln (der private Schlüssel auf dem Gerät eines Nutzers, was von den meisten Betriebssystemen unterstützt wird), die mit dem anderen verschlüsselt wurden (dem öffentlichen Schlüssel auf dem Server). Dieses Schlüsselpaar wird verwendet, um den Nutzer zu verifizieren und zu authentifizieren.
Anders als bei Passwörtern besteht das Schlüsselpaar aus einem privaten Schlüssel, der sicher auf dem Gerät oder in einem Passwort-Manager gespeichert wird, der Passkeys unterstützt (auch Passkey-Anbieter genannt), und einem öffentlichen Schlüssel, der auf der Website gespeichert wird, bei der sich ein Nutzer anmeldet. Einer der wichtigsten Aspekte dieser Schlüsselpaare ist, dass der private Schlüssel sicher ist und die Betriebssysteme, auf denen er gespeichert ist, nie verlässt. Der Passwort-Manager hält ihn durch Biometrie, PIN oder ein Passwort gesperrt. Der öffentliche Schlüssel hingegen könnte beispielsweise im Fall einer Datenpanne auf einer Website mit der ganzen Welt geteilt werden, ohne dass die Sicherheit gefährdet wäre, solange der private Schlüssel sicher bleibt.
Hier ist eine beliebte Analogie zum besseren Verständnis asymmetrischer Schlüsselpaare. Die folgende Infografik erklärt die Schritte zur Verwendung eines Passkeys und seines Schlüsselpaars, um die Echtheit eines Nutzers beim Anmelden auf einer Website zu verifizieren.
Dank des öffentlich-privaten Schlüsselpaars sind Passkeys deutlich besser dafür geeignet, Phishing-Angriffe zu verhindern und die Privatsphäre der Nutzer besser zu schützen.
Passkeys in Bitwarden
Bitwarden Passwort-Manager unterstützt das Erstellen und Speichern von Passkeys und macht ihre Verwaltung ganz einfach.
Starten Sie noch heute mit einem kostenlosen Konto oder teilen Sie es mit Ihrem Team, indem Sie eine kostenlose Business-Testversion starten.
Für Entwickler stellt Bitwarden Passwordless.dev API-Frameworks bereit, mit denen Sie auffindbare FIDO-Anmeldedaten wie Passkeys erstellen können.