Passkeys werden dank Verbraucherdiensten wie Google, Apple, Facebook, Meta und anderen immer häufiger verwendet. Die Verwendung von Passkeys erhöht die Sicherheit im Vergleich zu herkömmlichen passwortbasierten Anmeldungen erheblich.
Es ist normal, dass einige Lösungen für Verbraucher auch im beruflichen Bereich eingesetzt werden - man denke nur an die Möglichkeit, Emoji-Reaktionen auf E-Mails zu senden. Aber nur weil ich mich bei Instagram mit einem Hauptschlüssel anmelden kann, heißt das, dass Unternehmen das auch tun sollten?
Kurzum: Sind Passkeys für den Einsatz in Unternehmen geeignet?
Die FIDO-Allianz wurde 2013 von verschiedenen Unternehmen gegründet, um einen Authentifizierungsstandard zu entwickeln, der als zweiter Faktor dienen sollte; heute kann FIDO als starke passwortlose Authentifizierungsmethode dienen.
Seit 2013 hat sich FIDO zu einer der beliebtesten passwortlosen Anmeldemethoden entwickelt, und zwar vor allem deshalb, weil es seinem Namen gerecht wird: Es bietet eine schnelle Online-Identität. Die FIDO-Allianz hat einen starken Fokus auf das Verbraucherumfeld. Kein Wunder, denn ihre größten Mitglieder sind in diesem Bereich aktiv: Apple, Google, PayPal und Microsoft. (RSA ist ein Mitglied der FIDO Alliance und ist Ko-Vorsitzender der Arbeitsgruppe für den Einsatz von Unternehmen).
FIDO-Berechtigungsnachweise verwenden asymmetrische Schlüsselpaare zur Authentifizierung bei einem Dienst. Wenn ein FIDO-Berechtigungsnachweis bei einem Dienst registriert wird, wird ein neues Schlüsselpaar auf dem FIDO-Authentifikator erzeugt, und der Dienst vertraut dann diesem Schlüsselpaar - und nur diesem Schlüsselpaar. Das Schlüsselpaar ist mit dem genauen Domänennamen des Dienstes verbunden.
Diese strikte Kopplung zwischen einem Dienst und einer FIDO-Anmeldedatenbank sorgt für ein hohes Maß an Phishing-Sicherheit: Wenn ein Benutzer versuchen würde, sich mit dem für die echte Website erstellten Passkey auf einer gefälschten Phishing-Website anzumelden, würde er scheitern, weil die benannte Domäne nicht mit dem Schlüsselpaar übereinstimmen würde.
Im Jahr 2022 haben Apple, Google und Microsoft die Unterstützung für eine neue Art von FIDO-Anmeldeinformationen eingeführt, die sie als Hauptschlüssel. Im Jahr 2023 hat die FIDO-Allianz den Begriff "HauptschlüsselFür jede Art von FIDO-Berechtigungsnachweis gibt es einen "Passkey", was zu Verwirrung darüber führen kann, was eine Organisation genau meint, wenn sie von "Passkeys" spricht.
Diese mögliche Unklarheit wurde von der FIDO Alliance (siehe unten) beseitigt, könnte aber in Unternehmen immer noch bestehen. Es ist wichtig, diese Unklarheit zu beseitigen, denn nicht alle Passkeys sind gleich oder für die Verwendung in Unternehmen geeignet.
Arten von Passkeys
Es gibt jetzt zwei Arten von Passkeys, wie von der FIDO Alliance definiert: gerätegebundene und synchronisierte.
Gerätegebundene Passkeys vs. synchronisierte Passkeys
Gerätegebundene Passkeys werden im Allgemeinen auf speziellen "Sicherheitsschlüssel"-Geräten gehostet. Bei einem gerätegebundenen Schlüssel werden die Schlüsselpaare auf einem einzigen Gerät erzeugt und gespeichert; außerdem verlässt das Schlüsselmaterial selbst nie dieses Gerät. Diese Art von Passkey gilt im Allgemeinen als sicherer, da der private Schlüssel das Gerät nie verlässt und somit nicht extrahiert oder aus der Ferne kompromittiert werden kann. Dies bedeutet jedoch auch, dass der Benutzer bei Verlust oder Beschädigung des Geräts seinen Schlüssel erneut auf seinem Gerät registrieren oder ihn bei Bedarf einem neuen Gerät hinzufügen muss. Gerätegebundene Passkeys werden vor allem in Umgebungen mit hoher Sicherheitsstufe und in Unternehmen eingesetzt, die häufig Hardware wie Sicherheitsschlüssel oder Trusted Platform Modules (TPMs) nutzen.
Synchronisierte Passkeys
Bei synchronisierten Passkeys wird das Schlüsselmaterial über eine so genannte Remote-Sync-Fabric gespeichert, und das Schlüsselmaterial kann dann auf allen anderen Geräten desselben Benutzers wiederhergestellt werden. Die derzeit wichtigsten Sync Fabrics sind Microsoft, Google und Apple. Das heißt, wenn Sie Ihr Android-Telefon als Hauptschlüssel registrieren, ist das entsprechende Schlüsselmaterial kurz darauf auf allen anderen Android-Geräten verfügbar.
Synchronisierte Passkeys sind - neben der Unterstützung durch weit verbreitete Dienste wie WhatsApp oder Facebook - ein Hauptgrund für den starken Anstieg der allgemeinen Verwendung von Passkeys. Es ist leicht zu erkennen, warum: Ein Nutzer mit vielen Konten und vielen Geräten kann denselben synchronisierten Hauptschlüssel für alle verwenden.
Passkeys ersetzen herkömmliche Passwörter durch kryptografische Schlüsselpaare und bieten eine starke, phishing-resistente Authentifizierung. Wenn sich ein Benutzer für einen Dienst registriert, generiert sein Gerät ein eindeutiges Paar aus privatem und öffentlichem Schlüssel. Der private Schlüssel bleibt sicher auf dem Gerät des Benutzers gespeichert, während der öffentliche Schlüssel an den Dienst weitergegeben wird. Bei der Anmeldung weist das Gerät den Besitz des privaten Schlüssels nach, indem es eine Aufforderung des Dienstes signiert, und die Signatur wird mit dem gespeicherten öffentlichen Schlüssel überprüft. Es werden keine gemeinsamen Geheimnisse übertragen und keine Passwörter erstellt oder gespeichert, wodurch das Risiko eines Diebstahls von Anmeldeinformationen oder von Wiederholungsangriffen drastisch reduziert wird.
Herkömmliche Kennwörter beruhen auf gemeinsam genutzten Geheimnissen, die erraten, gestohlen oder gefälscht werden können, was sie zu einem häufigen Einfallstor für Angreifer macht. Sie werden oft in verschiedenen Konten wiederverwendet, unsicher gespeichert und sind anfällig für Brute-Force- oder Credential-Stuffing-Angriffe.
Passkeys beseitigen diese Risiken, indem sie Passwörter durch Kryptographie mit öffentlichem und privatem Schlüssel ersetzen. Der private Schlüssel verlässt nie das Gerät des Benutzers, und die Authentifizierung erfolgt durch den Nachweis des Besitzes dieses Schlüssels - ohne ihn zu übermitteln. Dieser Ansatz macht die meisten gängigen Angriffsvektoren obsolet, einschließlich Phishing, Diebstahl von Zugangsdaten und Wiederverwendung von Passwörtern. Für Unternehmen bieten Passkeys einen großen Fortschritt bei der sicheren Authentifizierung und reduzieren gleichzeitig den Aufwand für das Zurücksetzen von Passwörtern und Support-Tickets.
- Phishing-resistent: Passkeys wurden entwickelt, um traditionelle Phishing-Angriffe zu verhindern. Da es kein Passwort gibt, gibt es auch nichts zu stehlen oder wiederzuverwenden.
- Schnell und bequem: Die Anmeldung mit einem Hauptschlüssel ist oft genauso einfach wie die Verwendung biometrischer Daten (z. B. Face ID oder Fingerabdruck), was das Erlebnis für die Nutzer noch angenehmer macht.
- Vertraute Benutzererfahrung: Passkey-Anmeldungen ähneln den üblichen Authentifizierungsmustern für Mobiltelefone, so dass die Lernkurve gering bis gar nicht ist.
- Sicherheit bei der Domänenzuordnung: Passkeys bieten eine zusätzliche Schutzebene, da sie sicherstellen, dass das Schlüsselmaterial nur mit der ursprünglichen Service-Domäne funktioniert - ein Vorteil, den nicht alle MFA-Methoden bieten.
- Von der Regierung genehmigt: In den USA ist der Widerstand gegen Phishing eine der wichtigsten Triebfedern für die Erteilung von Bundesaufträgen. Durchführungsverordnung 14028 erfordert eine passwortlose, phishing-resistente Authentifizierung zum Schutz kritischer Infrastrukturen.
Passkeys bieten zwar erhebliche Vorteile, sind aber auch mit einigen Herausforderungen und Problemen verbunden.
- Benutzerfreundlichkeit: Die Aufforderungen zum Einstecken des Sicherheitsschlüssels in den USB-Anschluss oder zur Eingabe der PIN sehen je nach Betriebssystem und Browser unterschiedlich aus. Diese Aufforderungen werden es wahrscheinlich schwieriger machen, die Benutzer zu schulen, und die Zahl der Supportanfragen erhöhen.
- Ablenkung von anderen Angriffen: Wer glaubt, dass die Verwendung von Passkeys ihn plötzlich immun gegen MFA-Bypass-ähnliche Social-Engineering-Angriffe macht, irrt gewaltig. Passkeys helfen gegen eine Art von Social-Engineering-Angriff: Phishing. Leider gibt es noch andere Varianten. Die Angriffe auf MGM Resorts oder Caesars Palace in Las Vegas hatten eine Social-Engineering-Komponente: die Ausnutzung des Helpdesks, um dem Angreifer zu ermöglichen, selbst einen MFA-Authentifikator zu registrieren.
- Geräteverlust oder Upgrade-Probleme: Wenn Benutzer den Zugriff auf ein Gerät verlieren (und die Synchronisierung oder Sicherung nicht aktiviert haben), haben sie möglicherweise Probleme, ihre Passkeys wiederherzustellen - insbesondere bei gerätegebundenen Schlüsseln.
- Begrenzte Unterstützung durch alle Dienste: Auch wenn die Akzeptanz zunimmt, unterstützen noch nicht alle Websites oder Unternehmenssysteme Passkeys, was ihre alltägliche Nutzbarkeit einschränken kann.
- Verwirrung oder mangelndes Bewusstsein der Benutzer: Das Konzept der Passkeys ist für viele Benutzer immer noch neu, was zu Verwirrung bei der Einrichtung, Synchronisierung oder dem, was tatsächlich unter der Haube passiert, führen kann. Die unterschiedliche Terminologie (Passkeys, Sicherheitsschlüssel, FIDO-Schlüssel) und die sich entwickelnden Standards in der Branche können diese Verwirrung noch verstärken und es für Benutzer und Unternehmen schwierig machen, bewährte Verfahren und die konsequente Implementierung und Annahme von Passkeys zu verstehen. Dies kann auch zu Fehlern bei der Einrichtung und Nutzung, vermehrten Supportanfragen und potenziellen Sicherheitslücken führen.
- Bereitschaft der Infrastruktur: Der Einsatz von Passkeys erfordert möglicherweise Aktualisierungen von Identitätsplattformen, Gerätemanagementrichtlinien und Schulungsmaßnahmen - insbesondere bei der Abkehr von herkömmlicher Authentifizierung. Unternehmen stellen möglicherweise fest, dass ältere oder lokale Ressourcen aufgrund der reinen Web-Authentifizierung nicht mit Passkeys kompatibel sind. In diesen Fällen sollten Unternehmen ihre MFA mit passwortlosen Funktionen modernisieren, die Umgebungen überspannen und die bestehende Infrastruktur beibehalten können.
Was kann die Branche angesichts der Herausforderungen, die die heutigen Passkeys bei der Bereitstellung einheitlicher Workflows über verschiedene Browser, Geräte und Betriebssysteme hinweg darstellen, tun, um ein wirklich nahtloses, plattformübergreifendes Erlebnis zu gewährleisten? Wie können wir den besten Weg finden, um die Unstimmigkeiten zu beseitigen, die die Benutzer verwirren und eine breite Akzeptanz verzögern können? Bei RSA ist unsere UX-Führung aktiv an den Arbeitsgruppen der FIDO Alliance beteiligt, um sich für konsistente Benutzererfahrungen einzusetzen. Indem wir unsere Erkenntnisse einbringen, wollen wir dazu beitragen, Standards zu entwickeln, die zu weniger Ablenkungen, weniger Reibungsverlusten und mehr Einheitlichkeit für die Endbenutzer führen.
Mobilität ist ein weiterer Aspekt bei der Schaffung eines nahtlosen Passkey-Erlebnisses in verschiedenen Umgebungen. Mitarbeiter erwarten zunehmend den Komfort mobiler Arbeitsabläufe. Wenn sich der Zugriff auf Unternehmensressourcen über ein Smartphone genauso intuitiv anfühlt wie das Entsperren desselben Geräts, wird die Akzeptanz neuer Authentifizierungsmethoden - wie Passkeys - deutlich einfacher. Ein reibungsloses mobiles Erlebnis trägt dazu bei, den Widerstand der Benutzer zu brechen, die Lernkurve zu minimieren und den Übergang weg von Passwörtern viel reibungsloser zu gestalten. Durch die Bereitstellung einer vertrauten, transparenten Benutzeroberfläche, die unabhängig vom Gerät oder der Plattform des Benutzers konsistent ist, können Unternehmen Verwirrung vermeiden und das Vertrauen stärken. Die mobile FIDO-Lösung von RSA dient als Beispiel dafür, wie ein Passkey geräteunabhängig implementiert werden kann.
Man sagt, wenn man einen Hammer hat, kann alles wie ein Nagel aussehen. Die Umwandlung einer Lösung - selbst einer großartigen Lösung -, die ursprünglich für den Privatgebrauch gedacht war, in eine Unternehmensanwendung kann erhebliche Risiken mit sich bringen.
Vielleicht haben Sie beim Lesen dieses Artikels ein mulmiges Gefühl bei der Erwähnung des Begriffs "Synchronisationsgewebe" gehabt. Ihr Bauchgefühl war richtig.
Die Tatsache, dass Passkeys wie von Geisterhand auf allen Geräten auftauchen, auf denen der Benutzer über Apple oder Google angemeldet ist, ist in der Unternehmensumgebung ein großes Warnsignal und sollte einige wichtige Fragen aufwerfen:
- Sollten Nutzer überhaupt mehrere (möglicherweise auch privat genutzte) Geräte zur Authentifizierung verwenden dürfen? Wenn ja... wie viele?
- Synchronisierte Passkeys ermöglichen die Wiederherstellung eines "verlorenen" Passkeys mit den Kontowiederherstellungsprozessen von, sagen wir, Google oder Apple. Das ist großartig... aber sind diese Verfahren für Sie sicher genug?
- Die Apple-Funktion, die es Benutzern ermöglicht, Passkeys mit Freunden oder der Familie zu teilen, ist ganz nett... aber gilt das auch für Passkeys, die für die Anmeldung bei Unternehmensanwendungen verwendet werden?
Bei der Verwendung von synchronisierten Passkeys hängt die Sicherheit Ihres Unternehmens plötzlich weitgehend von der technischen und organisatorischen Sicherheit von Apple und Google ab. Sicher, eine gewisse Abhängigkeit besteht ohnehin durch die Verwendung von iOS und Android-, aber synchronisierte Passkeys erhöhen diese Abhängigkeit erheblich.
Es handelt sich auch nicht um eine theoretische Schwachstelle. Letztes Jahr hat Retool darüber berichtet, wie Bedrohungsakteure sich über diese Schwachstelle Zugang zu seinen Systemen verschafft haben: Umstrukturierung schrieb, dass die Funktionalität bedeutet, dass "wenn Ihr Google-Konto kompromittiert ist, sind jetzt auch Ihre MFA-Codes".
Es handelt sich auch nicht um eine theoretische Schwachstelle. Letztes Jahr Umstrukturierung erörterte, wie sich Bedrohungsakteure damit Zugang zu seinen Systemen verschafft hatten: Retool schrieb, dass die Funktionalität bedeutet, dass "wenn Ihr Google-Konto kompromittiert ist, sind es jetzt auch Ihre MFA-Codes".
Die Frage, ob Passkeys im Unternehmen verwendet werden sollten, kann nicht allgemein beantwortet werden. Jede Organisation ist anders und muss ihre eigenen Sicherheits- und Betriebsprioritäten abwägen.
Außerdem sollte die Frage, ob Passkeys verwendet werden sollen, keine Ja/Nein-Frage sein. Die Einführung von Passkeys oder passwortlosen Anmeldungen im Allgemeinen sollte dazu genutzt werden, die gesamten MFA-Prozesse einer Organisation grundlegend zu überprüfen. Was für Hardware-OTP-Tokens seit 15 Jahren gut ist, gilt heute wahrscheinlich nicht mehr uneingeschränkt für Passkeys oder andere MFA-Methoden.
RSA ist der Ansicht, dass Passkeys in Unternehmen eingesetzt werden können, wenn sie mit der Unternehmensstrategie übereinstimmen und wenn Unternehmen ihre Antworten auf die folgenden Fragen durchdenken. Wir haben gesehen, dass Unternehmen Passkeys erfolgreich einsetzen, indem sie RSA® ID Plus, unsere umfassende IAM-Plattform (Identity and Access Management), die eine Reihe von passwortlosen Optionen bietet.
Da wir ein sicherheitsorientiertes Unternehmen sind und die Prinzipien Secure by Design / Secure by Default anwenden, verhindern wir standardmäßig die Verwendung synchronisierter Passkeys. In RSA-Umgebungen stehen standardmäßig nur gerätegebundene Passkeys zur Verfügung, um ein Höchstmaß an Sicherheit zu gewährleisten, und zwar sofort und ohne zusätzlichen Aufwand für die Administratoren.
Bei der Prüfung, ob Passkeys eingeführt werden sollen, sollten sich Organisationen fragen: Wie werden unsere Authentifikatoren registriert? Gibt es Prozesse, die das Szenario "Ich habe meinen Authentifikator verloren" sicher handhaben? Wie sieht es mit der Klassifizierung von Benutzern, Anwendungen und Daten aus?
Passkeys sind eine MFA-Methode unter vielen. Ja, der Phishing-Schutz ist fantastisch, aber können sich die Benutzer damit auf ihren Remote-Desktops anmelden?
Aus diesen und vielen anderen Gründen ist es wichtig, dass Ihr MFA-System nicht nur technisch auf dem neuesten Stand ist, sondern auch eine Vielzahl von MFA-Methoden unterstützt, z. B. QR-Codes, biometrische Verfahren, OTP, Push-Nachrichten und Passkeys.
Es ist auch wichtig, dass die Prozesse rund um MFA an neue Bedrohungen angepasst werden. Dies geht weit über das eigentliche MFA-System hinaus: Ist Ihr Helpdesk auch vor Social Engineering-Angriffen sicher?
Wenn Passkeys für Sie sinnvoll sind, dann wollen wir Ihnen helfen. Kontakt um mehr zu erfahren oder ein kostenlose, 45-tägige Testversion von ID Plus.
