Aktuelles

Apple, Google und Microsoft wollen das Passwort mit dem "Passkey"-Standard abschaffen

Apple, Google und Microsoft wollen das Passwort abschaffenDer erste Donnerstag im Mai wird bekanntlich als "Welt-Passwort-Tag" begangen. Aus diesem Anlass starten Apple, Google und Microsoft ein gemeinsames Projekt, um das herkömmliche Passwort obsolet zu machen. So wollen die drei Software-Riesen "die Unterstützung für einen gemeinsamen passwortlosen Anmeldestandard erweitern, der von der FIDO Alliance und dem World Wide Web Consortium entwickelt wurde".

Der Standard wird entweder als "Multi-Device FIDO Credential" oder einfach als "Passkey" bezeichnet. Anstelle einer langen Zeichenkette würde bei diesem neuen Schema die App oder Website, bei der Sie sich anmelden, eine Authentifizierungsanfrage an Ihr Telefon senden. Von dort aus müssen Sie das Telefon entsperren, sich mit einer Art Pin oder biometrischem Merkmal authentifizieren, und schon sind Sie "drin". Das klingt irgendwie nach der altbekannten, telefonbasierten Zwei-Faktor-Authentifizierung, mit der inzwischen jeder Internetnutzer vertraut sein sollte - aber es handelt sich tatsächlich um einen vollwertigen Ersatz für ein Passwort und nicht um einen zusätzlichen Faktor.

Einige "Push-2FA"-Systeme funktionieren über das Internet, aber der neue FIDO-Standard hat Bluetooth als technische Grundlage. Im Whitepaper heißt es: "Bluetooth erfordert physische Nähe, was bedeutet, dass wir jetzt eine phishing-resistente Möglichkeit haben, das Telefon des Benutzers während der Authentifizierung zu nutzen."

Was die Kompatibilität und Sicherheit angeht, hat Bluetooth einen eher schlechten Ruf. Allerdings soll Bluetooth nur dazu dienen, "die physische Nähe zu verifizieren". Der eigentliche Anmeldevorgang soll "nicht von den Sicherheitseigenschaften von Bluetooth abhängen".

Das bedeutet aber auch, dass beide Geräte Bluetooth an Bord haben müssen. Für die meisten Smartphones, Tablets und Laptops eine Selbstverständlichkeit - bei älteren Desktop-PCs kann das schon mal zum Problem werden, allerdings lassen sich auch die mit Bluetooth nachrüsten, beispielsweise über einen USB-Stick.

Ähnlich wie ein Passwortmanager, der alle User-Logins unter einem einzigen Passwort zugänglich macht, können Passkeys von einem großen Plattforminhaber wie Apple oder Google gesichert werden. So ließen sich auch Anmeldedaten problemlos einem auf ein anderes oder neues Gerät übertragen und vor Verlust schützen. Zudem wird die Synchronisierung von Passkeys zwischen verschiedenen Geräten vereinfacht.

Viele Softwarehersteller haben sich am passwortlosen Login bisher die Zähne ausgebissen - oder es war schlichtweg zu kompliziert, um massentauglich zu sein. Bereits 2008 gab es erste Versuche, wie Google in einem Blogpost mitteilt.

Passwörter funktionieren eigentlich ganz gut, wenn sie lang, zufällig, komplex, geheim und einzigartig sind. Einen Strich durch die Rechnung macht allerdings immer das menschliche Element, wir können uns komplizierte Passwörter einfach nicht merken - und wählen einfache Kombinationen oder einfach zu eratende Eselsbrücken, kurz: Ein Fest für Hacker und Phishing-Bots - nicht nur im Darknet gibt riesige Datenbanken mit kompromittierten Anmeldedaten.

Im FIDO-Blog heißt es: "Diese neuen Funktionen werden voraussichtlich im Laufe des kommenden Jahres auf allen Plattformen von Apple, Google und Microsoft verfügbar sein." Die Firma Apple hat den ganzen "Passkey"-Trend maßgeblich vorangetrieben und bereits entsprechende Funktionen in iOS 15 und macOS Monterey implementiert - das aber noch nicht mit anderen Plattformen kompatibel ist. Auch die Passkey-Unterstützung von Google wurde bereits in den Play Services von Android entdeckt, so dass sie schnell auch von älteren Android-Geräten unterstützt werden könnte, sobald sie fertig ist.

Bleibt zu hoffen, dass in absehbarer Zeit funktionierende Systeme marktreif sind, die systemübergreifend und vor allem sicher dazu beitragen, dass das ganze Passwort-Gedöns der Vergangenheit angehört.

Foto: ©Felipe Balduino

06.05.2022

RSS Newsfeed
Alle News vom TAGWORX.NET Neue Medien können Sie auch als RSS Newsfeed abonnieren, klicken Sie einfach auf das XML-Symbol und tragen Sie die Adresse in Ihren Newsreader ein!