This content is not available in English.

Passwortlose Zukunft: Realität oder Utopie?

Thursday 28.03.2024

Was steckt hinter der passwortlosen Technologie? Gehören Passwörter bald der Vergangenheit an und treten wir in eine neue Welt ein, in der wir uns keine Passwörter mehr ausdenken, merken oder sicher speichern müssen?

Passkeys bilden die Grundlage der neuen passwortlosen Technologie. Dabei kommt nichts anderes zum Einsatz als die „gute alte“ (asymmetrische) Kryptografie mit öffentlichem Schlüssel. Dieser wird auf der Seite des jeweiligen Dienstes gespeichert, wobei der private Schlüssel auf dem Gerät des Nutzers verbleibt. Dabei wird der private Schlüssel nie verschickt und dient lediglich dazu, Authentifizierungsanfragen des Dienstes zu verifizieren.

Ziele der Passkey-Technik. Es gilt, die weltweite Abhängigkeit der Menschen, Firmen und Administrationen von Passwörtern zu verringern, das bisherige Passwort-Handling zu vereinfachen und mit der neuen Passkey-Technik sicher und phishing-resistent in den Netzen zu agieren.

Und, was steht hinter dem Bemühen der führenden „FIDO“ Alliance (Fast IDentity Online), des offenen Industrieverbandes zur sicheren und komfortablen Online-Authentifizierung? Via Protokolle erfolgt eine passwortlose Zwei-Faktor-Authentifizierung, basierend auf der Public-Key-Kryptographie, die darauf abzielt, die Benutzerauthentifizierung und das bisherige Passwort-Handling vereinfacht zu realisieren. Aktuell ist die passwortlose Authentifizierung der „FIDO“ über Passkeys für Windows, macOS, Android, iOS, Chrome, Edge und Safari verfügbar. Grosse Online-Dienste wie Apple, Google, Microsoft, Amazon, PayPal, Adobe, etc. bieten ebenfalls die Anmeldung mit Passkeys an.

Allerdings befindet sich derzeit die Passkey-Technologie noch in der Entwicklungsphase und es steht noch ein weiter Weg bis zu einer breiten Akzeptanz und einer plattformübergreifenden Funktionalität bevor. Infolgedessen müssen Nutzer, um sich anzumelden noch mehrere Passkeys für verschiedene Geräte erzeugen, was den Übergang zu den passwortlosen Zugängen derzeit noch mühsam und hinderlich macht. Fairerweise sei dazu angemerkt, dass Passkeys via YubiKey initiiert, das plattformübergreifende Benutzer-Handling verbessert. Dieser Effekt ist auch, mit diversen Einschränkungen, bei einigen Passwortmanagern zu erzielen.

Wann also wird unsere digitale Welt passwortlos? Leider nicht so bald, wie es die Anhänger der „Passwordless Technik“ eigentlich hoffen. Wie der Blick auf einige Authentifizierungsstatistiken zeigt, sind dafür die nachfolgenden Gründe augenscheinlich. Lt. einer „Fido“-Umfrage ist die gewohnte Passwortauthentifizierung immer noch vorherrschend. So melden sich mehr als 30 % der Befragten auf diese Weise bei ihren Arbeitscomputern, im Web und bei ihren Konten an. Bemerkenswert ist auch, dass der durchschnittliche Nutzer etwa 4 Mal pro Tag ein Passwort manuell eingeben muss. Bevorzugte Methoden für die Anmeldung bei Online-Konten, Apps und intelligenten Geräten sind zu 27 % biometrische Verfahren, zu 17 % einmalig generierte komplexe Passwörter, zu 14 % Einmalpasswörter, zu 8 % Zugänge über Passwortmanager und zu 4 % die Nutzung physischer Sicherheitsschlüssel.

Fast durchschnittlich viermal pro Monat bricht ein Nutzer einen Kauf ab oder gibt den Zugriff auf einen Online-Dienst auf, weil er sich nicht mehr an sein Passwort erinnern kann. Diese Zahl, sowie die hohe Anzahl erforderlicher manueller Passworteingaben pro Tag, lässt sich leicht dadurch erklären, dass unter den Befragten die Nutzung von Passwortmanagern noch immer weitaus zu gering ausfällt. Bislang sieht die Hitliste der Authentifizierungsmethoden für Unternehmen wie folgt aus: Passwörter verwenden 76 %, Multifaktor-Authentifizierung 43 %, Einmal-Passcodes 33 % und Single-Sign-On-Technologien (SSO) 27 %. Allerdings planen 92 % in Zukunft verstärkt passwortlose Technologien zu nutzen. Den Befragten zufolge wird die passwortlose Authentifizierung die Zahl der nicht passwortlosen MFA-Angebote (50 %), den Bedarf an SSO (48 %) und den Bedarf an privilegierter Zugangsverwaltung (46 %) verringern. Allerdings ist noch nicht klar, in welchem Umfang. 89 % der befragten IT-Entscheider gehen davon aus, dass ihre Unternehmen innerhalb von fünf Jahren für weniger als 25 % der Anmeldungen Passwörter verwenden werden. Im Durchschnitt plant fast ein Drittel der Unternehmen, in den nächsten 1 bis 3 Jahren die passwortlose Authentifizierung einzuführen bzw. zu verwenden oder beizubehalten. 39 % der IT-Entscheidungsträger lassen wissen, dass die Benutzer vor der Umstellung zurückschrecken und 49 % erklären, dass die von ihnen verwendeten Anwendungen nicht für die passwortlose Authentifizierung ausgelegt sind. Folgt man den diesbezüglichen Botschaften der Medien, scheint die völlig passwortlose Zukunft unrealistisch zu sein, jedoch bewegt sich die digitale Welt langsam aber sicher darauf zu.

Welche Rolle spielen Passwörter und Passwortmanager und wo ist ihr Platz mit Blick auf die "passwortlose" Zukunft? Passwörter und Passwortmanager werden bleiben! Also sollten Nutzer keineswegs überstürzt das Abonnement für einen Passwortmanager kündigen. Der Nachteil von Passkeys gegenüber Passwörtern besteht darin, dass sie in der Regel nicht im Klartext, sondern verschleiert auf Dienstservern gespeichert werden und im Falle einer Datenpanne auffliegen können, sollten sie entschlüsselt werden. In diesem Fall kann ein Abgleich der Passwörter mit der Datenbank der durchgesickerten Anmeldedaten helfen. Der Passwortmanager PassSecurium™ von ALPEIN Software SWISS AG verfügt z.B. über diese Funktion.

Generell können Benutzer die mit Passwörtern verbundenen Cyberrisiken drastisch reduzieren. Wird ein Passwortmanager verwendet, sollte 2FA/MFA dort aktivieren werden, wo die Verwendung von Passkeys nicht möglich ist. Es ist zu beachten, dass Passwortmanager auch weit mehr Daten als nur Login-/Passwort-Paare, wie z. B. Kreditkarten, Bankkonten, alle Arten von Kundenkarten und IDs, Serverzugänge und E-Mail-Einstellungen, speichern können. So können auch Dateien und sichere Notizen an Datensätze angehängt werden. In Bezug auf die plattformübergreifende Freigabe von Anmeldeinformationen für mehrere Benutzer, insbesondere bei Unternehmen, scheint der Passwortmanager immer noch die akzeptablere, flexiblere und bequemere Lösung zu sein.

Immer mehr Entwickler von Passwortmanagern fügen ihren Produkten die Funktion zum Speichern von Passkeys hinzu. Auch die ALPEIN Software SWISS AG plant bereits diese Funktionalität in ihrem Passwortmanager PassSecurium™ zeitnah zu realisieren.

Das vorläufige Statement der Sicherheitsexperten der ALPEIN Software. Ein vollständiger Übergang zur passwortlosen Authentifizierung ist in absehbarer Zeit nicht zu erwarten. Die Technologie ist neu und behauptet, die sicherste und Phishing-resistenteste Authentifizierungsmethode zu sein. Dabei sollte man nicht vergessen, dass Cybersicherheit immer vom Wettrüsten zwischen einerseits Hackern und andererseits Diensten und Anwendungen tangiert wird. Es bleibt also abzuwarten, inwieweit die sog. passwortlose Technologie tatsächlich Möglichkeiten bietet, gegen Angriffe aus dem Netz restlos resistent zu sein.

Die gute Nachricht allerdings ist, dass nach und nach Dienste und Anwendungen auf die passwortlose Authentifizierung umgestellt werden. Die Flexibilität vieler Dienste wird wohl noch einige Zeit eingeschränkt sein, so dass wahrscheinlich noch längere Zeit bisherige Verfahren Anwendung finden. Passkeys und ihre Verwendung bilden derzeit ein populäres Thema, wobei es allerdings noch zu früh ist, um zu definieren, wieviel Realität bzw. Hype sich dahinter verbirgt. Überall dort, wo es erforderlich ist, sollten generell Passwörter zum Einsatz kommen. Aus Sicherheitsgründen sind bewährte Verfahren für die Passwortgenerierung und -verwaltung unerlässlich, wobei die Verwendung eines leistungsfähigen Passwortmanagers die allermeisten Probleme der Nutzer eliminiert. Passwortmanager werden immer effizienter und permanent allen Entwicklungen angepasst, so dass diese sicherlich auch in einer passwortlosen Zukunft ihren fundierten Platz haben werden.

ALPEIN Software SWISS AG ist Experte für Cybersicherheit und Passwortmanagement mit über 20 Jahren Erfahrung. Um mehr über das Unternehmen, deren Aktivitäten, Produkte und Dienstleistungen zu erfahren, besuchen Interessenten bitte die Website www.alpeinsoft.ch. Erfahren Sie mehr über den Passwortmanager PassSecurium™ (www.pass-securium.ch) seine Einsatzmöglichkeiten für Privatkunden und Unternehmen sowie über den PASS4SAP-Connector (www.pass4sap.ch), der die uneingeschränkte Nutzung des Passwortmanagers PassSecurium™ inzwischen auch für SAP-Unternehmen ermöglicht.

More details about ALPEIN Software SWISS AG