Wenn es um den Zugriff auf Benutzerkonten geht, setzen inzwischen fast alle großen Digitalkonzerne auf Passkeys als Alternative zum klassischen Login mit Benutzername und Kennwort. Stephan Schweizer, CEO bei Nevis, erläutert Vorteile und Herausforderungen der passwortlosen Authentifizierungsmethode.
Immer noch hören wir regelmäßig von Datenlecks, bei denen große Mengen an Benutzerdaten in die Hände von Kriminellen gelangen, die sich dann einfach Zugang zu den damit verknüpften Accounts verschaffen können. Daran zeigt sich deutlich eine große Schwäche des althergebrachten Systems aus Benutzername und Kennwort. Kein Wunder also, dass sich zunehmend neue und sicherere Authentifizierungsmethoden durchsetzen, die von immer mehr Unternehmen im Rahmen übergeordneter CIAM-Strategien eingeführt werden.
So hat zum Beispiel Google im vergangenen Jahr Passkeys als neue Möglichkeit eingeführt, sich in Google-Konten einzuloggen und damit als einer der bedeutendsten Digitalkonzerne gewissermaßen das Ende des Passworts eingeläutet. Passkeys ersetzen sowohl das klassische Passwort als auch die oft umständliche Multi-Faktor-Authentifizierung. Stattdessen erfolgt die Autorisierung beispielsweise per Fingerabdruck und Gesichtsscan oder über PINs und Wischmuster.
Keine Kompromisse in Sachen Sicherheit und Usability
Wenn es um passwortlose Authentifizierungsmethoden geht, bieten Passkeys aktuell in vielen Anwendungsbereichen das beste Verhältnis aus Sicherheit und Komfort. Die Vorteile gegenüber anderen passwortlosen Authentifizierungsmethoden, zum Beispiel per SMS-TAN, Hardware OTP oder Smartcard, sind offensichtlich: Durch den Login per Passkey entfällt für User das vergleichsweise umständliche Prozedere, zum Beispiel auf einen SMS-Code zu warten und diesen dann unter Zeitdruck auf einem anderen Gerät einzugeben.
Nutzer müssen alte Gewohnheiten ablegen
Momentan ist vor allem die Macht der Gewohnheit noch eine Herausforderung für die flächendeckende Verbreitung passwortloser Authentifizierungsmethoden: Seit Jahrzehnten loggen wir uns über die Eingabe von Benutzername und Passwort in diverse Accounts ein. Vielen Nutzern fällt es schwer, sich davon zu lösen.
Studien zum Thema zeigen, dass der Wechsel vom vermeintlich bewährten Username/Passwort-System zur passwortlosen Authentifizierung per Passkey subjektiv als unsicher wahrgenommen wird, weil der Login-Prozess weniger Schritte erfordert. Es gilt also, Aufklärungsarbeit zu leisten und mehr Verständnis und Akzeptanz dafür zu schaffen, dass die passwortlose Authentifizierung nicht nur sicherer, sondern auch komfortabler ist und sich daher zwangsläufig durchsetzen wird.
Geräte- und browserübergreifende Erfahrung im Entwicklungsfokus
Auch mit Blick auf die Themen Interoperabilität und User Experience werden Passkeys sich in nächster Zeit noch stark weiterentwickeln. Das Konzept muss für die Benutzer einfach zu verstehen sein – und es muss eine nahtlose Erfahrung ermöglichen – über jedes Gerät und jeden Browser hinweg. Die damit verbundene Herausforderung: Viele verschiedene Akteure müssen am gleichen Strang ziehen, damit das funktioniert. So haben beispielsweise Chrome und Firefox für lange Zeit keine Passkeys aus der iCloud Keychain auf macOS akzeptiert (was sich allerdings inzwischen geändert hat). Dazu war der Safari-Browser erforderlich, was für Nutzer offensichtlich verwirrend und unkomfortabel war.
Industriestandards als Basis für nahtlosen Einsatz von Passkeys
Industriestandards über Organisationen wie die FIDO Alliance oder die OpenID Connect Foundation sorgen zunehmend dafür, dass die Verwendung von Passkeys für Nutzer zur nahtlosen Erfahrung wird. Was es dabei zu verstehen gilt: Passkey selbst ist kein Standard, sondern ein Set aus UX-Features, denen Standards wie FIDO2, WebAuthn und CTAP2 zugrunde liegen.
Das gleiche Prinzip gilt übrigens für alle modernen CIAM-Lösungen: Es gibt unzählige Standards wie OpenID Connect, OAuth 2, SAML oder SCIM, die dazu dienen, eine gemeinsame Basis für eine stark fragmentierte und dezentralisierte digitale Welt zu schaffen. Solche Standards helfen dabei, eine übergreifende Sprache für unterschiedliche Systeme zu schaffen, während jedes System trotzdem seinen eigenen „Dialekt“ behalten kann.
Ausblick: Verbesserte Kontrolle und neue Herausforderungen
Mit Blick auf die Zukunft wird es darum gehen, noch mehr Kontrolle über die User Experience (UX) zu ermöglichen. Grundsätzlich haben Benutzer in Sachen Passkeys die volle Kontrolle: Sie entscheiden darüber, ob ein Schlüssel gesichert/synchronisiert wird, welchen Schlüsselanbieter sie verwenden und vieles mehr. Für viele Anwendungsfälle ist das großartig.
In sicherheitssensiblen Bereichen jedoch ist es sinnvoll, mehr Kontrolle zu erzwingen. Zum Beispiel bei der Erstellung eines Schlüssels, der nicht nur gesichert wird, sondern auch „gerätegebunden“ ist. Das heißt, dass er nie das Gerät verlässt, auf dem er erstellt wurde.
Eine weitere Einschränkung besteht momentan noch im Bereich der Transaktionsbestätigungen, die ein Teil früherer Versionen des WebAuthn-Standards waren. Es gibt verwandte Standards wie die W3C Payments API oder ein kürzlich erschienenes Whitepaper über EMV 3DS, die alle auf diesem Standard aufbauen und den Weg in diese Richtung ebnen. Nevis ist Teil der FIDO Alliance und wir arbeiten eng mit der Industrie zusammen, um diese Standards zu verbessern und aus Anbietersicht zu zeigen, wie sie implementiert werden können.