Sicherheit im Netz: Passkeys als innovative Alternative zu herkömmlichen PasswörternSicherheit im Netz: Passkeys als innovative Alternative zu herkömmlichen Passwörtern

Passwörter leisten einen wichtigen Beitrag zum Schutz von Daten und Systemen, jedoch sind sie auch anfällig für Angriffe. Eine einfache und sichere Alternative bieten Passkeys, die eine passwortlose Anmeldung ermöglichen und damit die IT-Sicherheit und auch die Benutzerfreundlichkeit verbessern.

Auf einen Blick

Passwörter stellen immer noch das wichtigste Werkzeug dar, um den Zugang zu einem Rechner bzw. Daten zu schützen. Start des Rechners, E-Mail-Konto, Online-Banking: überall werden Passwörter benötigt. Viele wählen hier immer die gleichen und leider auch relativ einfache Passwörter, um sie sich besser merken zu können.[1]

Cyberkriminelle, auch Hacker genannt, versuchen mit Spionageprogrammen (z. B. durch den Vergleich mit Wörterbüchern), an Benutzernamen und Passwörter zu kommen, um in entsprechende Systeme einzubrechen. Wird ein zu einfaches Passwort gewählt oder wird es leichtsinnig weitergegeben, haben es die Kriminellen sehr leicht. Mit den gestohlenen Daten ist es möglich, einen fremden Rechner fernzusteuern, auf Kosten der Zielperson online einzukaufen oder in deren Namen im Netz aufzutreten.

Die unberechtigte Aneignung von Passwörtern z. B. durch Datenleaks oder Phishingaktivitäten kann z. B. durch den Einsatz von Passwortmanagern erschwert werden. Diese ermöglichen die Verwaltung komplexer Passwörter für unterschiedliche Zugänge, wodurch ein wesentlicher Beitrag für die IT-Sicherheit geleistet wird.[6]

Bedrohungs- bzw. Gefährdungslage

Passwörter stellen allgemein einen idealen Angriffsvektor dar und sind u. a. mit folgenden Bedrohungen und Gefährdungen konfrontiert:

  • Phishing-Angriffe: Bei Phishing-Angriffen werden Websites, E-Mails oder sonstige Onlinedienste täuschend echt nachgebaut, wodurch Zugangsdaten übertragen und einem unberechtigten Nutzerkreis zugeführt werden.
  • Brute-Force-Angriffe: Bei Brute-Force-Angriffen versuchen Cyberkriminelle durch systematisches Ausprobieren verschiedener Kombinationen von Zeichenfolgen Passwörter zu erraten. Einfache oder häufig verwendete Passwörter sind besonders anfällig für diese Art von Angriff.
  • Mehrfachverwendung von Passwörtern: Oftmals werden gleiche Passwörter für mehrere Zugänge genutzt. Bei Bekanntwerden des Passwortes ist es somit sehr leicht, auf weitere Konten der Zielperson zuzugreifen.
  • Unsichere Passwörter: Computernutzende wählen oft einfache und leicht zu merkende Passwörter. Diese sind unkompliziert zu erraten oder zu knacken. Die Liste, der am häufigsten eingesetzten Passwörter wird jährlich veröffentlicht.[4]
  • Keylogger: Keylogger sind Soft- oder Hardwarekomponenten, die Tastatureingaben aufzeichnen. Dadurch können auch Passwörter erfasst werden.
  • Social Engineering: Hacker nutzen gezielt die persönliche Kommunikation aus, um Benutzerinnen oder Benutzer dazu zu bringen, ihre Passwörter preiszugeben. Dies kann durch persönliche Anfragen, gefälschte Supportanfragen oder andere Täuschungsmethoden erfolgen.

Auf Grund dieser Bedrohungen und Gefährdungen leisten sichere Passwörter für die Authentifizierung einen wesentlichen Beitrag zur IT-Sicherheit. Das Management der Passwörter oder der Einsatz alternativer Authentifizierung sollte deshalb zu jeder Sicherheitspolitik im Unternehmen gehören.

Maßnahmen und Lösungsansätze

In den letzten Jahren hat sich neben Passwörtern auch Passkey als Authentifizierung etabliert. Ziel ist es hierbei, die Sicherheit und Benutzerfreundlichkeit im Vergleich zum Einsatz von Passwörtern zu erhöhen. Passkey basiert auf modernen kryptografischen Verfahren und kann eine Vielzahl von Bedrohungen, die mit passwortbasierten Systemen verbunden sind, mindern [2].

Ein Passkey besteht aus einem privaten Schlüssel, der auf dem Gerät des Benutzers oder der Benutzerin bleibt, und einem öffentlichen Schlüssel, der auf dem Server gespeichert wird. Bei der Authentifizierung wird eine kryptografische Signatur erzeugt, die nur mit dem privaten Schlüssel des Benutzers erstellt werden kann. So wird neben einer Erhöhung der IT-Sicherheit auch ein Phishingschutz erreicht, da die Userinnen und User keine Zeichenfolgen für das Passwort eingeben müssen und der private Schlüssel nicht abgefangen oder erraten werden kann [3].

Neben diesen positiven Effekten bei der Sicherheit ist auch die Benutzerfreundlichkeit im Vergleich zu Passwörtern besser. So können Passkeys in Verbindung mit biometrischen Daten (wie Fingerabdruck oder Gesichtserkennung) oder anderen Formen der Zwei-Faktor-Authentifizierung verwendet werden. Dadurch ist ein schnellerer und einfacherer Anmeldevorgang möglich. Des weiteren ist es nicht mehr erforderlich, sich komplexe Passwörter zu merken bzw. diese zu verwalten. Dadurch wird die Wahrscheinlichkeit des Einsatzes unsicherer oder mehrfach verwendeter Passwörter reduziert [5].

Herausforderungen

Die Herausforderungen für den flächendeckenden Einsatz von Passkeys liegen v. a.

  • in notwendigen infrastrukturellen Anpassungen durch Altsysteme und möglichen Investitionen,
  • in einer fehlenden Nutzerakzeptanz,
  • in einer unzureichenden Standardisierung, was zu Schwierigkeiten bei länderübergreifenden Regelungen führen kann sowie
  • in technologischen Barrieren z. B. durch fehlende Gerätekompatibilität oder Plattformunabhängigkeit.

Diese Hindernisse verdeutlichen, warum die Einführung von Passkeys trotz ihrer Vorteile langsamer voranschreitet als erhofft.

Quellen und weiterführende Inhalte

  1. Das Passwort 1 x 1 (Teil 1): https://transferstelle-cybersicherheit.de/das-passwort-1-x-1/
  2. Das Passwort 1 x 1 (Teil 2): https://transferstelle-cybersicherheit.de/das-passwort-1-x-1-teil-2/
  3. Schafft die Passwörter ab?!: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
  4. So erstellen Sie ein sicheres Passwort: https://www.faz.net/pro/d-economy/welt-passwort-tag-2024-mit-diesen-tipps-erstellen-sie-ein-sicheres-passwort-18868790.html
  5. Die Kryptografie hinter Passkey: https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/Kryptografie-hinter-Passkey/kryptografie-hinter-passkey_node.html
  6. 10 goldene Regeln – Passwörter: https://digitalzentrum-chemnitz.de/downloads/08-11-2022-sichere-passwoerter

Verwandte Beiträge