Der Anfang vom Ende der Passwörter

Die große Passwortlöschung ist bereits im Gange

Stellen Sie sich eine Welt ohne Passwörter vor.

Sie können sich in dieser neuen, passwortlosen Welt immer noch bei all Ihren Online-Konten anmelden. Von WordPress-Sites bis zu Ihrer Bank ist es einfacher und sicherer als je zuvor, Online-Konten zu erstellen und darauf zuzugreifen – ohne Passwörter.

Wäre das nicht eine Erleichterung? Gute Nachrichten: Das weltweite Aussterben von Passwörtern findet bereits statt, und das Leben auf der anderen Seite ist besser.

Ende 2022 führte Apple die Passkey-Unterstützung für iOS 16 und MacOS 13 „Ventura“ ein.

Gestern gab Google bekannt, dass sie „Unterstützung für Passkeys in allen Google-Konten auf allen wichtigen Plattformen einführen“.

Wir bei iThemes sind sehr stolz darauf, dass unser Produkt Security Pro das erste war, das Passkeys und andere passwortlose Authentifizierungsmethoden in WordPress eingeführt hat.

Wie ist ein passwortloses Leben möglich?

Ungefähr einen Monat, nachdem ich angefangen hatte, eine Apple Watch zu verwenden, begann sie, meine Desktop- und Laptop-Computer, auf denen die aktuelle Version von MacOS ausgeführt wird, automatisch zu entsperren und mich bei ihnen anzumelden. Ich kann mich nicht erinnern, mehr getan zu haben, als die MacOS-Passkey-Unterstützung zu aktivieren, um sie mit meinen Google-Konten und iThemes Security zu verwenden. Anscheinend ermöglichte dies auch meiner Uhr, ein vertrauenswürdiges Passkey-Gerät zu werden.

Früher war die biometrische Apple Touch-Anmeldung die am besten zugängliche Passwortalternative, die ich hatte. Jetzt ist es meine Uhr. Manchmal, wenn ich lange genug weg war, muss ich immer noch mein Passwort eingeben, aber meine Uhr macht das viel seltener, dank eines gemeinsamen Passkeys, der mit meiner Apple ID und all meinen Apple-Geräten verbunden ist.

Hardwareschlüssel, wie der YubiKey, bieten Ihnen die gleiche passwortlose Anmeldeerfahrung – es sind keine Apple-Geräte erforderlich.

Windows- und Android-Geräte unterstützen passwortlose Anmeldungen, auch dank Passkeys.

Was sind Passkeys?

Sie können Open Source für Passkeys danken. Die Passkey-Technologie basiert auf offenen Standards, die die FIDO („Fast Identity Online“) Alliance festlegt. Die vom W3C entwickelte WebAuthn-API ist Teil des FIDO2-Standards. Es ist WebAuthn, das es Passkeys ermöglicht, schnell und einfach eine plattformübergreifende, passwortlose Authentifizierung durchzuführen.

Passkeys sind eindeutige, verschlüsselte digitale Kennungen, die von einem Authentifizierungsgerät wie Ihrem Smartphone generiert werden. Die Kryptografie mit öffentlichen Schlüsseln wird verwendet, um ein Paar aus öffentlichem und privatem Schlüssel zu erstellen. Zusammen bildet dieses Schlüsselpaar Ihren Hauptschlüssel auf dem Authentifizierungsgerät. Jedes Ihrer Geräte kann einen eindeutigen privaten Schlüssel haben, aber Ihr öffentlicher Schlüssel wird über das Internet geteilt. Wahrscheinlich werden Sie beide nie zu Gesicht bekommen. Niemand wird.

Ihr Telefon oder ein anderes Passkey-unterstützendes Gerät verifiziert Sie als autorisierten Benutzer, wenn Sie ein Passwort oder eine PIN eingeben oder eine biometrische Abfrage bestehen. Sobald Sie dies getan haben, fungieren Ihr Telefon und sein Hauptschlüssel als Schlüssel für zusätzliche Geräte und Anwendungen. Anstatt erneut ein Passwort auf Ihrem Laptop eingeben zu müssen, um sich erneut bei WordPress anzumelden, weist Ihr Telefon Ihren Computer an, Sie hereinzulassen. Dann weist sein Betriebssystem Ihren Browser an, WordPress zu bitten, Sie hereinzulassen – alles ohne Passwort.

Wenn Ihre Geräte und Websites für Passkeys eingerichtet sind, ist dies eine sehr reibungslose Erfahrung. Möglicherweise müssen Sie eine PIN eingeben oder eine schnelle biometrische Abfrage bestehen, aber es ist viel einfacher, als drei verschiedene Anmeldeformulare auszufüllen, ohne Ihre Passwörter zu recyceln oder schwache zu verwenden. Und wenn Sie die Zwei-Faktor-Authentifizierung (2FA) hassen, brauchen Sie sie nicht mehr zu verwenden. ¹

Warum Passkeys Passwörter ersetzen

Neben Kennwörtern und 2FA tauchen Passkeys zunächst als Authentifizierungsoption auf. Sie können jede davon verwenden. Aber im Laufe der Zeit werden nur wenige Menschen unsichere Passwörter behalten oder sich mit zeitaufwändigen 2FA-Codes auseinandersetzen wollen. Passkeys werden aus folgenden Gründen schnell zur bevorzugten Option:

1. Verbesserte Sicherheit. Einer der Hauptgründe, warum Passkeys Passwörter ersetzen werden, ist die verbesserte Sicherheit, die sie bieten. Viele Datenschutzverletzungen resultieren aus schwachen oder gestohlenen Passwörtern, was die Schwachstelle der traditionellen passwortbasierten Authentifizierung unterstreicht. Die Public-Key-Kryptographie hinter Passkeys ist wesentlich schwieriger zu knacken.

2. Bessere Benutzererfahrung. Das Merken vieler komplexer Passwörter für Ihre Online-Konten kann schwierig sein und führt oft zu schlechten Passwortpraktiken. Passkeys vereinfachen den Authentifizierungsprozess. Sie benötigen nur ein Gerät, auf dem Ihr Passkey gespeichert ist, um auf ein Konto zuzugreifen, das die Passkey-Authentifizierung unterstützt. Diese bequeme Benutzererfahrung fördert die Einführung von Passkeys als sichere Authentifizierungsmethode.

3. Passwort-Manager Optional. Passkeys können den Bedarf an herkömmlichen Passwort-Managern verringern, wenn nicht gar eliminieren. Passwort-Manager bieten zwar eine Alternative zum Speichern mehrerer Passwörter, bringen aber auch zusätzliche Risiken mit sich. Diese Passworttresore können zu einem Single Point of Failure werden. Wie wir bei LastPass gesehen haben, kann eine Plattform zur Verwaltung von gebrochenen Passwörtern alle ihre Kundenkonten, Passwörter und persönlichen Informationen offenlegen.

Die passwortlose Zukunft: So wird sie aussehen

Die Verdunkelung von Kennwörtern durch Passkeys hat drei große Vorteile, aber ihr gemeinsamer Nenner ist die Art und Weise, wie Passkeys sowohl der Sicherheit als auch der Einfachheit dienen.

Die Upsides

1. Nahtlose Authentifizierung. Mit der zunehmenden Verbreitung von Passkeys wird der Prozess der Authentifizierung und des Zugriffs auf Online-Dienste immer nahtloser. Benutzer können sich bei ihren Konten anmelden, indem sie einfach ihre Passkey-Speichergeräte oder biometrische Identifizierungsmethoden wie Fingerabdruck oder Gesichtserkennung verwenden.

2. Multi-Faktor-Authentifizierung leicht gemacht. Passkeys unterstützen von Natur aus die Multi-Faktor-Authentifizierung (MFA), indem sie etwas, das der Benutzer weiß (den Passkey), mit etwas kombinieren, das der Benutzer hat (das Gerät, das den Passkey speichert). Diese nahtlose Integration von MFA in den Authentifizierungsprozess wird zu einer sichereren Online-Umgebung führen, ohne die Benutzererfahrung zu beeinträchtigen.

3. Reduzierung von Datenschutzverletzungen. Da Passkeys zum neuen Standard für die Authentifizierung werden, wird die Zahl der Datenschutzverletzungen aufgrund schwacher oder gestohlener Passwörter wahrscheinlich zurückgehen. Die verbesserte Sicherheit, die Passkeys bieten, wird es Cyberkriminellen erschweren, Benutzerkonten zu kompromittieren, was zu einer sichereren digitalen Landschaft führt.

Bisher war eine sichere Authentifizierung selten mit einem guten Benutzererlebnis verbunden. Passkeys sind eine große Ausnahme. Das ist fantastisch, aber es gibt immer Nachteile.

Die Nachteile

1. Anspruchsvolles Phishing und Social Hacking. Es ist fast unmöglich, Passkeys zu stehlen und zu knacken, aber Kriminelle geben niemals auf, wenn die Sicherheit zunimmt – sie passen sich an neue Tools an und finden vernachlässigte Schwachstellen, die sie ausnutzen können. Heutzutage machen es KI-Tools jedem leicht, jede Sprache fließend zu sprechen, was ein großer Vorteil für jeden ist, der andere dazu bringen möchte, ihnen zu vertrauen. Große Passwortverletzungen könnten der Vergangenheit angehören, aber Phishing und Social Hacking werden möglicherweise raffinierter und häufiger.

2. Physische Sicherheit und Privatsphäre. Meine Apple-Geräte können nicht erkennen, dass ich es nicht bin, wenn meine linkshändige Tochter meine Uhr an ihrem schmaleren Handgelenk auf der anderen Seite trägt. Alles, was sie braucht, ist meine Uhr und eine 4-stellige PIN, um sich bei meinem Computer anzumelden. ² Ein Dieb könnte das – und die Polizei auch. ³ Da unsere Beziehungen zu unseren Geräten immer physischer verwickelt werden, stellen sich viele schwierige Fragen zum Datenschutz. ⁴ Die bereits im Niedergang begriffene Online-Anonymität könnte verschwinden.

3. Die Leute werden auch Passkeys teilen. Passwort-Manager werden häufig zum Teilen von Passwörtern verwendet, was jedoch eine schreckliche Sicherheitspraxis ist. Ein geteiltes Passwort wird schließlich zu einem gestohlenen Passwort. Glücklicherweise ist es unwahrscheinlich, dass Sie jemals einen Hauptschlüssel sehen, geschweige denn auswendig lernen, aufschreiben oder per E-Mail an einen Kollegen oder Freund senden. Sie können jedoch jetzt einige Passwort-Manager verwenden, um Passkeys zu speichern und sogar zu teilen. Es gibt sichere Möglichkeiten, dies zu tun, aber ich bin zweifelhaft, wie gut es in der Praxis funktionieren wird. Wie auch immer Sie es tun, das Teilen von Geheimnissen ist von Natur aus unsicher. (Ein geteiltes Geheimnis ist kein Geheimnis mehr.) Das Teilen sensibler Daten oder Informationen beruht stark auf Vertrauen zwischen Menschen, und das ist immer eine schwache Bindung – siehe Punkte 1 und 2 oben.

Sicherheitsdenken versus „Zwing mich nicht zum Nachdenken“

Welche Herausforderungen auch immer in der passwortlosen Zukunft vor uns liegen, wir gehen dorthin. Passwörter werden geknackt – sie sind eine schreckliche Methode zur Authentifizierung und müssen absterben – je früher, desto besser. Die passwortlose Authentifizierung wird unsere Online-Erfahrung verbessern und dazu beitragen, unser digitales Leben zu schützen. Sich nicht mehr so ​​viele Gedanken über die Passwortsicherheit und -verwaltung machen zu müssen, ist eine große Erleichterung.

Auf der anderen Seite ist „Don’t Make Me Think“ ein hervorragendes Ziel in der Benutzererfahrung und im Interface-Design, kann aber eine Katastrophe für die Sicherheit sein. Einfachheit im Design ermöglicht die Effizienz der Benutzer und erlegt ihnen eine geringere kognitive Belastung auf. Passkeys liefern diese Einfachheit außergewöhnlich gut. Aber sie sollten uns nicht noch selbstgefälliger gegenüber potenziellen Sicherheitsrisiken in einer Welt sich ständig weiterentwickelnder Bedrohungen machen.

Angetrieben von Passkeys und deren Einführung auf allen wichtigen Plattformen wird die Zukunft des Internets eine sicherere und benutzerfreundlichere Erfahrung sein, wenn wir auf Online-Dienste zugreifen. Die Zeiten, in denen man sich schwer damit tat, sich komplexe Passwörter zu merken (und sie zu teilen oder zu recyceln), gehören bald der Vergangenheit an, und das ist eine deutliche Verbesserung.

Es ist höchste Zeit, auch unsere grundlegenden Sicherheitsstandards zu erhöhen. Passkeys werden dies tun, und ich gehe davon aus, dass dies dazu beitragen wird, Cyberkriminalität, Betrug und Identitätsdiebstahl schwieriger und seltener zu machen. Beginnen Sie jetzt, sie zu verwenden, und wenn Sie WordPress-Sites haben, sollten Sie in Erwägung ziehen, Passkeys zu einer Option für die Anmeldung bei ihnen zu machen. Denken Sie auch an die Sicherheit. Fragen Sie, was Sicherheit bedeutet und wie sich Bedrohungen im neuen Kontext einer Welt ohne Passwörter ändern können.

Anmerkungen:

1. Berichte wie „Ich habe mich aus meinem digitalen Leben ausgesperrt“ und „Gmail 2FA führt dazu, dass Obdachlose dreimal im Jahr dauerhaft den Zugang verlieren“ zeigen die Schattenseiten der Zwei-Faktor-Authentifizierung.
2. Eine Apple Watch ist ohne eine biometrische Authentifizierung wie Touch ID möglicherweise nicht der beste Sicherheitsschlüssel. Basierend auf einigen der jüngsten Patente von Apple ist möglicherweise eine Palm-basierte Version von Touch ID in Arbeit.
3. Die Electronic Frontier Foundation hat Bedenken hinsichtlich möglicher Bürgerrechtsverletzungen geäußert, wenn die Strafverfolgungsbehörden den Passkey-Zugriff auf ein Gerät verwenden, um viele weitere Geräte und Online-Konten zu durchsuchen.
4. Die Identifizierung eindeutiger biometrischer Signaturen aus biologischen Daten, die von Uhren und ähnlichen Geräten gesammelt werden, könnte ebenfalls möglich sein, da sie den frühen Ausbruch von Krankheiten wie COVID erkennen können.

Dan Knauss

Dan Knauss ist StellarWPs Technical Content Generalist. Er ist Autor, Lehrer und Freiberufler, der seit Ende der 1990er Jahre mit Open Source und seit 2004 mit WordPress arbeitet.