Google hat uns eine neue Authentifizierungsmethode beschert, die Passwörter endgültig zum Aussterben bringen soll: Den Passkey. Jetzt beginnen große Anbieter langsam damit, das Verfahren überall unterzubringen.
Ein Passkey ist nichts anderes als die Verwendung einer kryptographischen Methode, die bisher als zusätzlicher Faktor bei einer MFA (Multi-Faktor-Authentifizierung) verwendet wurde, als alleinigen Faktor zu verwenden.
Ein Gerät, das ein sicheres Schlüsselpaar erzeugen kann, gibt auf Anfrage bei der Registrierung seinen öffentlichen Schlüssel im Austausch für den öffentlichen Schlüssel dessen, der in Zukunft eine Identität des Besitzers nachweisen will, Gerät und Gegenstelle tauschen Zufallsdaten aus, berechnen irgendetwas, das ohne die geheimen Teile der Schlüsselpaare unmöglich zu erraten ist und vergleichen das Ergebnis. Die Methoden sind bekannt, öffentlich verfügbar und damit auch leicht überprüfbar. Auch Angriffe auf den Übertragungsweg, der fast nie einen wirklich sicheren Kanal darstellt, sind sinnlos. Sollte die Gegenstelle kompromittiert werden, gehen keine Informationen (wie gespeicherte Kennwörter im Klartext oder Klartext-ähnlicher Form) verloren, die die Sicherheit anderer Kommunikationspartner gefährden. Großartige Idee
Geheimnisse in Hardware zu sperren, der man sie nicht mit (in vielen Fällen reichlich) Geld oder gutem Phishing entreißen kann, ist eine gute Idee. Der eigentliche Schlüssel ist sicher, selbst wenn das Gerät gestohlen wird. Zumindest, wenn es mehr als einen Knopfdruck benötigt, um den Authentifizierungsvorgang auszulösen (mehr dazu weiter unten).
Nach Googles Plänen können sich die Passkey-Geräte eines Benutzers die notwendigen Daten, um das Vertrauen weiterzugeben, vollautomatisch gegenseitig zuschieben können (beispielsweise ein Android-Telefon mit Verschlüsselungshardware und ein ChromeBook, das vom gleichen Eigentümer registriert wurde) – natürlich mit Hilfe des gemeinsamen Google-Accounts. Das ist natürlich ein gutes Argument, wenn es um Bequemlichkeit geht, Für SIcherheit ist Bequemlichkeit sehr oft nicht zuträglich.
Passkeys sind eine für heutige Verhältnisse sehr sichere Methode, um eine wichtige Komponente einer sicheren Authentifizierung zu erreichen: Etwas, das man besitzt. Aber Besitztümer können gestohlen oder beschlagnahmt werden. Ist dann der einzige Schutz seine Einzigartigkeit sein, ist die Sicherheit an dieser Stelle endgültig dahin; ganz billige Geräte, bei denen eine Berührung oder ein Knopfdruck reicht, sind also nicht ausreichend. Auch wenn eine Identifikationsmethode (beispielsweise biometrische Verfahren) als weiterer Schutz verwendet wird, hilft das nicht unbedingt. Fingerabdrücke sind leicht zu beschaffen, auch Gesichtserkennung läßt isch umgehen – und während die meisten Rechtsstaaten (selbst die, die unrechtmäßig Verschleppte gerne zur FolterungVernehmung in etwas gewissenlosere Drittstaaten bringen) die Nutzung von Brechstangen an Knien zur Beschaffung von Kennwörtern ablehnen, gilt fast überall der nahezu anlaßlose Zwang zur Entsperrung von Telefonen und Computern als durchaus salonfähig. Was auch immer Passkeys in der Zukunft tun und wo auch immer sie eingesetzt werden, ist noch immer eine “richtige” Autthentifizierungsmethode notwendig. Und viele Alternativen zum klassischen Kennwort (oder einer “Persönlichen Identifikation(snummer)”, die nur eine begrenzte Anzahl an Versuchen zuläßt), haben wir noch nicht.