Search icon
ReadWrite
see notifications
Notifications
see more
paint-brush
Tschüss Passwörter, hallo Passkeys: Die Zukunft der Authentifizierungvon@radioactive
3,081 Lesungen
3,081 Lesungen

Tschüss Passwörter, hallo Passkeys: Die Zukunft der Authentifizierung

von Varun Sharma6m2024/12/17
Read on Terminal Reader
Read this story w/o Javascript
tldt arrow
en-flagENru-flagRUtr-flagTRko-flagKOde-flagDEbn-flagBNes-flagEShi-flagHIzh-flagZHvi-flagVIfr-flagFRpt-flagPTja-flagJA
DE

Zu lang; Lesen

Passkeys sind eine passwortlose Authentifizierungsmethode mit Public-Key-Kryptographie. Sie erhöhen die Sicherheit, verringern Risiken wie Phishing und vereinfachen den Anmeldevorgang.

Companies Mentioned

Mention Thumbnail
Mention Thumbnail
featured image - Tschüss Passwörter, hallo Passkeys: Die Zukunft der Authentifizierung
security symbol on a laptop screen Image created by HackerNoon AI Image Generator
Varun Sharma HackerNoon profile picture
0-item

Einführung zu Passkeys

Die passwortbasierte Authentifizierung ist seit vielen Jahren der Standardmodus. Aber wer möchte sich schon die Passwörter für jede Website merken, bei der er sich anmeldet? Die meisten Menschen verwenden dasselbe Passwort an vielen Orten, etwas, das man sich leicht merken kann. Passwortmanager erleichtern das automatische Ausfüllen von Anmeldeinformationen, können jedoch die Sicherheitsbedenken, die das passwortbasierte Authentifizierungssystem von Natur aus mit sich bringt, nicht überwinden. Hier kommen die Passkeys ins Spiel. Sie sind sicherer und einfacher zu verwenden und bieten eine kennwortlose Authentifizierung mit einer neuen Vision im Authentifizierungsbereich, die vielversprechend erscheint.


Wie alles andere bringen auch Passkeys ihre Vorteile und Herausforderungen mit sich, die wir in diesem Artikel besprechen werden. Außerdem geben wir einen Überblick darüber, wie diese Authentifizierungsmethode funktioniert, wie sicher sie ist und vieles mehr.

Wie funktionieren Passkeys?

Passkeys verwenden Public-Key-Kryptographie, um einen Authentifizierungsablauf zu generieren, anstatt sich auf ein einzelnes stringbasiertes Passwort zu verlassen. Das Gerät des Benutzers generiert ein öffentliches/privates Schlüsselpaar und sendet den öffentlichen Schlüssel an den Server, der ihn speichert und später zur Authentifizierung des Benutzers verwendet. Der private Schlüssel wird auf dem Gerät des Benutzers gespeichert.


Ablauf der Registrierung

  • Das Gerät des Benutzers generiert ein öffentliches/privates Schlüsselpaar, das an den Webdienst gebunden ist.
  • Der öffentliche Schlüssel wird an den Webdienst gesendet und der private Schlüssel wird auf dem Gerät des Benutzers gespeichert.
  • Der Webdienst speichert den öffentlichen Schlüssel des Benutzers in seiner Datenbank.


Authentifizierungsablauf

  • Der Webdienst sendet eine Challenge-Nonce an den Client.
  • Benutzer authentifizieren sich lokal mit einer beliebigen Methode wie Biometrie, PIN usw., um auf den privaten Schlüssel zuzugreifen.
  • Das Benutzergerät signiert die Challenge mit dem privaten Schlüssel für diesen bestimmten Webdienst.
  • Der Webdienst empfängt die signierte Challenge und überprüft sie mithilfe des öffentlichen Schlüssels. Dadurch wird sichergestellt, dass das Clientgerät tatsächlich Zugriff auf den privaten Schlüssel hat.
  • Nach erfolgreicher Überprüfung authentifiziert der Webdienst den Benutzer.


Zu beachtende Punkte

  • Das öffentliche/private Schlüsselpaar ist für jeden Dienst/jede Website eindeutig.
  • Der öffentliche Schlüssel wird nur einmal bei der Registrierung über das Netzwerk an den Webdienst übermittelt.
  • Der private Schlüssel bleibt die ganze Zeit auf dem Gerät des Benutzers und wird nie über das Netzwerk übertragen. (Ausnahme: Sie synchronisieren die Passkeys mit einem Passwort-Manager.)
  • Vom Benutzergerät generierte signierte Nutzlast wird über das Netzwerk übertragen, ist sitzungsspezifisch und ändert sich bei jeder Authentifizierung des Benutzers.

Wie sicher sind sie und wie können sie eine bessere Alternative zu Passwörtern darstellen?

Erhöhte Sicherheit bedeutet normalerweise eine geringere Benutzerfreundlichkeit. Dies trifft jedoch bei Passkeys nicht zu. Sie sind nach Abschluss der Registrierungsphase einfacher zu verwenden. Sie müssen sich die Passwörter nicht merken, und die Authentifizierung ist schnell, einfach und sicher.


Passkeys verringern die Angriffsfläche und eliminieren einige häufige Bedrohungen für Passwörter. Passwörter werden normalerweise verschlüsselt in einer Datenbank gespeichert. Wenn Sie sich mit einem Klartext-Passwort bei einem Webdienst anmelden, wird derselbe verschlüsselte Text generiert und mit dem bereits vorhandenen verglichen. Auf diese Weise werden die Benutzer authentifiziert. Damit bleiben uns die beiden häufigsten Bedrohungen.


  • Datenbankverletzungen
  • Phishing-Angriffe


Datenbanklecks kommen häufig vor und wenn Daten eines Dienstes gestohlen werden, werden sie häufig im Darknet verkauft. Böswillige Akteure, die Zugriff auf die Daten haben, können versuchen, die Verschlüsselung offline zu knacken, und mit der heute verfügbaren Rechenleistung kann dies je nach Verschlüsselung Wochen bis Monate dauern. Passkeys eliminieren diese Bedrohung, da keine Passwörter gespeichert werden müssen. Im Falle eines Lecks wird nur der öffentliche Schlüssel offengelegt, der den böswilligen Akteuren nicht viel nützt.


Bei Phishing-Angriffen wird ein Klon der Zielwebsite erstellt und der Benutzer wird dazu verleitet, seine Anmeldeinformationen einzugeben, da er diese mit einer echten Website verwechselt. Dies funktioniert jedoch auch nicht mit Passkeys, da keine Anmeldeinformationen gestohlen werden können. Ausgefeilte Phishing-Angriffe in Kombination mit Man-in-the-Middle-Angriffen sind möglicherweise immer noch durchführbar, aber die Angriffsfläche ist erheblich reduziert.

Arten von Passkeys

  • Einzelgerät oder gerätegebunden
    • Der private Schlüssel verlässt nie das Gerät.
    • Die Authentifizierung kann nur auf einem bestimmten Gerät erfolgen, auf dem die privaten Schlüssel vorhanden sind.
    • Da der Schlüssel nur auf einem einzigen Gerät vorhanden ist, muss der Wiederherstellungspfad ausgelöst werden, falls der Zugriff auf das Gerät verloren geht.
  • Mehrere Geräte oder synchronisiert
    • Der private Schlüssel wird über alle Benutzergeräte hinweg synchronisiert.
    • Zu den gängigen Optionen gehören die Verwendung des Google-Passwortmanagers, des iCloud-Schlüsselbunds usw.
    • Die Schlüssel sind Ende-zu-Ende-verschlüsselt, was bedeutet, dass der Anbieter Ihre Schlüssel weder sehen noch verwenden kann, auch wenn er sie speichert.
    • Dies verbessert die Benutzerfreundlichkeit, da Benutzer nur ein Gerät registrieren müssen und dieselben Schlüssel für alle ihre Geräte wiederverwenden können.

Portabilität von Passkeys

Wie wir bereits im letzten Abschnitt gelernt haben, können Passkeys geräteübergreifend synchronisiert werden, sodass wir wissen, dass sie portierbar sind. Sie können die Passkeys auf allen Ihren Geräten verwenden, solange Sie beim Anbieter (Google, iCloud) angemeldet sind. Dies bringt uns zu der Frage, wie wir Passkeys auf einem Gerät verwenden, das Ihnen nicht gehört, vielleicht auf dem Computer eines Freundes oder in der Bibliothek, im Grunde auf jedem Gerät, auf dem Sie es nur einmal verwenden möchten. Passkeys decken auch diesen Fall ab. Das funktioniert so: Wenn zwei Systeme Passkeys unterstützen, können sie über Bluetooth miteinander kommunizieren, um den Zugriff zu teilen. Sehen wir uns die schrittweise Anleitung an, wie es funktioniert.


  • Sie öffnen auf einem Desktop die Website xyz.com, für die Sie keinen Passkey haben.
  • Sie können die Option zur Anmeldung mit Passkeys auf einem anderen Gerät nutzen.
  • Auf dem Desktop werden Ihnen Optionen für in der Nähe verfügbare Geräte oder ein QR-Code angezeigt.
  • Sie können das Gerät auswählen oder den QR scannen.
  • Anschließend können Sie sich mit Ihrem Mobilgerät authentifizieren und dem Desktop erlauben, den Passkey Ihres Mobilgeräts zu verwenden.
  • Nach der Authentifizierung haben Sie außerdem die Möglichkeit, einen Passkey auf dem Desktop zu erstellen, ohne den Registrierungsprozess durchlaufen zu müssen. Wenn Sie sich dafür entscheiden, benötigen Sie das Mobilgerät beim nächsten Mal nicht mehr und es wird ein neuer Passkey-Satz für den Desktop erstellt.
  • Wenn Sie sich für die einmalige Verwendung entscheiden, werden keine neuen Passkeys erstellt.


Erkenntnisse zur Adoption

Passkeys basieren auf FIDO2-Standards, die das Client to Authenticator Protocol (CTAP) mit der Web Authentication API (WebAuthn) kombinieren und ein Gemeinschaftsprojekt der FIDO-Allianz und des W3C sind. Diese Standardisierungsbemühungen zielen darauf ab, die Akzeptanz und ordnungsgemäße Implementierung zu erhöhen. Unternehmen wie Google, Apple und Microsoft bieten native Unterstützung für Passkeys auf Betriebssystem- und Browserebene, was die Akzeptanz von Passkeys erheblich fördert.


Da in der Branche seit langem auf Passwörter gesetzt wird, ist die Einführung von Passkeys nicht nur eine technische, sondern auch eine psychologische Herausforderung. Endbenutzer fühlen sich bei Passkeys möglicherweise zunächst unwohl, einfach weil sie an die Vertrautheit von passwortbasierten Systemen gewöhnt sind. Auch wenn Passkeys sicherer und einfacher zu verwenden sind als Passwörter, siegt in den meisten Fällen die Vertrautheit mit den bekannten Optionen. Damit Passkeys in großem Maßstab eingeführt werden, ist eine Schulung der Benutzer erforderlich. Fragen zur Wiederherstellung und Benutzerfreundlichkeit werden zunächst aufkommen.


Andererseits könnten Unternehmen zögern, die Passkey-Authentifizierung anzubieten, wenn sie keine ausreichende Akzeptanz bei den Benutzern feststellen. Im öffentlichen Sektor können Regierungen die Akzeptanz durch politische Änderungen fördern.

Abschluss

Passkeys haben das Potenzial, den Authentifizierungsbereich zu verändern. Sie sind sicher und einfacher zu verwenden. Sie beseitigen die üblichen Bedrohungen, die bei der kennwortbasierten Authentifizierung bestehen, bringen jedoch auch ihre Herausforderungen und Einschränkungen mit sich. Die Wiederherstellung von Konten und die Portabilität von Anmeldeinformationen sind einige Fragen, die sorgfältig angegangen werden müssen. Ich denke, der nächste Schritt besteht in der Verwendung eines hybriden Authentifizierungsmodus, d. h. der Verwendung von Passkeys zusammen mit den Passwörtern. Mit zunehmender Akzeptanz in der realen Welt werden wir mehr Argumente sehen, die ein besserer Ausgangspunkt wären, um zu entscheiden, wie es weitergehen soll, bevor wir in eine völlig kennwortlose Zukunft übergehen.






**

Miro-Leaders
L O A D I N G
. . . comments & more!

About Author

Varun Sharma HackerNoon profile picture
Varun Sharma@radioactive
Software engineer | Reader | Writer
Read my stories

Hängeetiketten

purcat-imgtech-stories #passkeys #authentication #passwordless-login #public-key-cryptography #fido2-passkey-standards #passkeys-vs-passwords #passkey-security-benefits #biometric-authentication

DIESER ARTIKEL WURDE VORGESTELLT IN...

Permanent on Arweave
Read on Terminal Reader Terminal
Read this story w/o Javascript Lite

ÄHNLICHE BEITRÄGE

Article Thumbnail
75 Stories To Learn About Polkadot
by learn
Jan 01, 1970
#polkadot
Article Thumbnail
The Identity Hexagon: How to Use an NFT as Your HackerNoon Profile Picture
by ashumerie
Jan 01, 1970
#hackernoon-product
Article Thumbnail
Web3-Backups: Alle HackerNoon-Geschichten werden jetzt erneut auf Arweave veröffentlicht
by David
Jan 01, 1970
#hackernoon-product
Join HackerNoonloading
Latest technology trends. Customized Experience. Curated Stories. Publish Your Ideas