Die Analyse aktueller Listen mit den am häufigsten genutzten Passwörtern verdeutlicht, dass diese nach wie vor eine geringe Komplexität aufweisen. Diese Erkenntnis legt nahe, dass die Verwendung von Passwortmanagern, welche die Erstellung sicherer Passwörter erleichtern würden, nur selten erfolgt. Als Konsequenz setzen zahlreiche Dienstleister auf die Ergänzung des Login-Schutzes durch einen zweiten Faktor, um die Abhängigkeit vom Passwort zu reduzieren. Allerdings stellt diese Lösung keine optimale Massnahme dar, da sie das Problem der Passwortsicherheit nicht vollständig adressiert. Ein vielversprechender Ansatz, der eine Alternative zu Passwörtern bieten könnte, ist die Verwendung von Passkeys.
Inhaltsverzeichnis
Problematik von Passwörtern
Gemäss dem Microsoft Digital Defense Report 2024 erfolgen über 99 % der Angriffe auf Microsoft-Entra-Accounts kennwortbasiert. Im Jahr 2023 blockierte Microsoft täglich rund 7’000 Angriffe auf Kennwörter pro Sekunde. Die genannten Zahlen verdeutlichen die Tragweite der Problematik von Passwörtern. Welcher Umstand führt zu dieser Situation?
Es ist zu beobachten, dass viele Menschen keine starken Passwörter wählen. Dies zeigt sich immer wieder, wenn Listen mit den häufigsten Passwörtern veröffentlicht werden. Es zeigte sich auch bei Passwort-Audits, die Oneconsult durchführt hat, wie wir hier berichtet haben. Bei diesem Audit war „Firmenname2017“ das am häufigsten beobachtete Passwort. Eine weitere Problematik besteht darin, dass dieselben Passwörter mehrfach von denselben Personen genutzt werden. Dadurch besteht die Möglichkeit, dass bei einem Datendiebstahl diese Zugangsdaten auch bei anderen Diensten missbräuchlich verwendet werden.
Es empfiehlt sich daher, bei der Nutzung von Passwörtern einige Punkte zu beachten, um die Sicherheit zu erhöhen. Welche Punkte dies sind, wird anschaulich im Blogartikel Passwörter: Häufige Fehler, Best Practices & Tipps beschrieben. Auch ist der Einsatz von Passwort-Manager sinnvoll. Weiterführende Informationen finden Sie in diesem Blogeintrag.
Die Verwendung von Passwörtern ist stets mit gewissen Risiken verbunden. Jedoch existiert eine Lösung, welche die Verwendung von Passwörtern obsolet macht: Passkeys.
Was sind Passkeys?
Das zugrunde liegende Protokoll von Passkeys ist FIDO2. FIDO2 steht für Fast IDentity Online 2 und ist eine Initiative der FIDO-Allianz in Zusammenarbeit mit dem World Wide Web Consortium (W3C). Das Ziel ist es, gemeinsam eine starke Authentifizierung für das Web zu entwickeln. Mitglieder der FIDO-Allianz sind unter anderem Apple, Microsoft, Mastercard und Google. Passkeys können sowohl auf spezieller Hardware wie Sicherheitsschlüsseln als auch in den meisten modernen Passwortmanagern gespeichert werden, die mittlerweile eine breite Unterstützung für Passkeys bieten.
Bei Diensten, die Passkeys unterstützen, entfällt die Nutzung von Passwörtern vollständig. Stattdessen kommt ein Schlüsselpaar zum Einsatz: ein privater Schlüssel, der sicher auf einem Passwortmanager oder einem Sicherheitsschlüssel gespeichert ist und diesen niemals verlässt, und ein dazugehöriger öffentlicher Schlüssel. Während der Registrierung wird dem Dienst lediglich der öffentliche Schlüssel übermittelt.
Bei einer späteren Anmeldung auf der Website sendet der Dienst einen Zufallswert, der mit dem privaten Schlüssel signiert wird. Diese Signierung erfordert weiterhin eine Benutzerinteraktion, wie beispielsweise die Authentifizierung per Fingerabdruck. Anschliessend wird die Signatur dem Dienst zurückgesendet. Mithilfe des öffentlichen Schlüssels kann dann überprüft werden, ob die Signatur tatsächlich mit dem dazugehörigen privaten Schlüssel erzeugt wurde.
Warum Passkeys besser sind als Passwörter
Passkeys bieten eine Reihe von Vorteilen gegenüber Passwörtern. Dazu gehören:
- Die für die Plattform generierten Schlüsselpaare sind bei FIDO2 automatisch einzigartig und von hoher Komplexität. Dies ist der Fall, da die Schlüsselpaare im Gegensatz zu Passwörtern immer maschinell generiert werden.
- Ein weiterer Vorteil ist, dass selbst im Falle eines Hackerangriffs auf eine Plattform die Sicherheit der Passkeys nicht beeinträchtigt wird. Der Diebstahl betrifft lediglich den öffentlichen Schlüssel, mit dem man keine Schäden anrichten kann.
- Der Einsatz von Passkeys ist einfacher, da man sich nicht mehr mehrere starke Passwörter merken muss und die Anmeldung schneller geht.
- Ein weiteres herausragendes Merkmal von Passkeys sind seine Phishing-Resistenz. Das bedeutet, dass sie aufgrund ihrer Eigenschaften nur auf den Domains verwendet werden können, für die sie ausgestellt wurden. Damit können Phishing-Angriffe verhindert werden, bei denen eine Webseite vorgetäuscht wird, um bei der Eingabe Zugangsdaten zu erhalten.
Fazit
Der Einsatz von Passkeys bietet ein deutlich höheres Mass an Sicherheit, da er zahlreiche Problematiken im Kontext von Passwörtern beseitigt. Im Idealfall werden Passwörter vollständig durch Passkeys ersetzt, welche sicher auf entsprechenden Sicherheitsschlüsseln wie beispielsweise YubiKey gespeichert werden. In der Praxis werden jedoch nach wie vor häufig Passwörter verwendet, und nicht alle Dienste unterstützen derzeit Passkeys. Unser Penetration Tester Team bietet daher ein Passwort-Audit an, um das Risiko abschätzen zu können. Des Weiteren empfiehlt es sich, die Mitarbeiterinnen und Mitarbeiter regelmässig in der Verwendung und den potenziellen Gefahren von Passwörtern zu schulen. Zu diesem Zweck könnte ein Unternehmen beispielsweise eine Präsentation zur Sensibilisierung für Cybersicherheit nutzen.
Schliesslich sollten Lösungen für Passwort-Probleme, wie z. B. die Umstellung auf Passkeys, intern diskutiert und nach Möglichkeit umgesetzt werden. Für die Durchführung einer solchen Schulung kann ein Cyber Security Awareness Referat genutzt werden.
