• Startseite
  • Artikel
  • Thema
  • Die Zukunft ist passwortlos: Wie Passkeys Ihr Leben vereinfachen und uns alle schützen

Die Zukunft ist passwortlos: Wie Passkeys Ihr Leben vereinfachen und uns alle schützen

Veröffentlicht: 2022-11-16

Es ist kein Geheimnis, dass die passwortlose Authentifizierung die Oberhand gewinnt. Weltweit führende Technologieunternehmen wie Apple, Google und Microsoft gehen zur Verwendung von Passkeys über. Passkeys nutzen die Public-Key-Kryptographie und bringen ein nahezu paradigmenwechselndes Erlebnis in der digitalen Sicherheit.

iThemes hat den Weg bereitet, WordPress und letztendlich das gesamte Internet sicherer und für alle nutzbar zu machen. Die Zukunft ist passwortlos, und wir sind hier, um Ihnen zu sagen, warum.

In diesem Leitfaden zur passwortlosen Authentifizierung erfahren Sie, wie Passkeys die Sicherheitslücken der passwortbasierten Authentifizierung überwinden und warum Sie damit beginnen sollten, sie zu verwenden.

Der Weg zur passwortlosen Authentifizierung

Die Reise zur passwortlosen Authentifizierung hat bereits begonnen. Alle großen Browser und Technologiegiganten haben die vollständige Unterstützung für Passkeys eingeführt. 2022 ist zu einem neuen Meilenstein bei der Implementierung konsistenterer, sicherer und einfacher passwortloser Anmeldungen auf mehreren Geräten und digitalen Plattformen geworden.

Jedes Jahr feiert der World Password Day, der auf den ersten Donnerstag im Mai festgelegt ist, die neuen Fortschritte, die in einer gemeinsamen Anstrengung erzielt wurden, um das Internet sicherer und für alle nutzbar zu machen. Am 5. Mai 2022 kündigten Apple, Google und Microsoft Pläne an, die Unterstützung für den von der FIDO Alliance und dem World Wide Web Consortium erstellten Standard für die passwortlose Anmeldung auszuweiten.

Seit Jahren arbeiten die FIDO (Fast Identity Online) Alliance und das World Wide Web Consortium an einer Reihe von Standards, die eine passwortlose Authentifizierung im Internet ermöglichen. FIDO 2 ist die neueste Spezifikation, die jetzt von den meisten Browsern und Plattformen unterstützt wird.

Wir werden die Funktionsweise der passwortlosen Authentifizierung weiter unten im Handbuch genauer untersuchen. Aber vorher sehen wir uns an, warum die Passwortauthentifizierung jetzt allmählich der Vergangenheit angehört.

Warum bleibt die passwortbasierte Authentifizierung zurück?

Die passwortbasierte Authentifizierung ist fast so lange bei uns, wie es das Internet gibt, und ermöglicht es den Benutzern, sich bei einer Website oder Webanwendung mit einem Anmeldedatenpaar – einem Benutzernamen und einem Passwort – anzumelden. Dieser Ansatz hat seine Zuverlässigkeit und Vielseitigkeit bewiesen und ist seit Jahren der Industriestandard.

Trotz der einfachen Implementierung und Verwendung wurden jedoch schnell zahlreiche Nachteile und Sicherheitsrisiken im Zusammenhang mit der passwortbasierten Authentifizierung sowohl auf Benutzer- als auch auf Serverseite entdeckt. Einfach ausgedrückt fehlt sowohl den Benutzern als auch den Servern die Fähigkeit, das gemeinsame Geheimnis sicher zu halten.

Die größten Sicherheitsrisiken im Zusammenhang mit der kennwortbasierten Authentifizierung konzentrieren sich auf die Verwendung des Kennworts als gemeinsames Geheimnis. Dies kann einem böswilligen Akteur in verschiedenen Phasen des Authentifizierungsprozesses zur Verfügung stehen. Passwörter können durch einen erfolgreichen Brute-Force-Angriff geknackt oder einfach erraten werden.

3 häufige Arten, wie Passwörter offengelegt werden

Studien haben gezeigt, dass über 80 % aller Hackerangriffe auf Passwörter zurückzuführen sind. Das bedeutet, dass es dem Hacker irgendwann gelang, sich unbefugten Zugriff auf das System zu verschaffen, indem er sich als rechtmäßiger Eigentümer einer Website oder einer Webanwendung ausgab. Aber wie genau werden Websites gehackt?

Zu den häufigsten Arten, wie Passwörter offengelegt werden, gehören Phishing, Brute-Force-Angriffe und Datenschutzverletzungen. Benutzer können dazu verleitet werden, ihre Authentifizierungsinformationen preiszugeben. Oder Passwörter können im Falle einer Datenpanne auf Seiten des Dienstanbieters erraten oder durchgesickert werden.

Brute-Force-Angriffe und Datenschutzverletzungen

Brute-Force-Angriffe nehmen zu und machen etwa 80 % aller Netzwerkangriffe aus. Da das Erraten von Passwörtern automatisiert wurde, dauert es nicht lange, bis der Angreifer ein Konto geknackt hat.

Die Maschine des Hackers (oder sogar ein Netzwerk von Computern, bekannt als Botnet) kann Tausende von Kombinationen pro Sekunde generieren. Dadurch kann sich der Angreifer im Handumdrehen unbefugten Zugriff auf eine Website oder eine Webanwendung verschaffen.

Und wenn Sie sich fragen, warum ein Hacker Ihre Website angreift, ist die Erklärung einfach. Hacker können Tausende von Webanfragen pro Sekunde stellen. Sie wählen selten aus, in welche Websites sie einbrechen möchten – sie werden versuchen, so viele wie möglich zu hacken.

Der Administratorzugriff auf eine Website oder sogar einen ganzen Server eröffnet Hackern nahezu unbegrenzte Möglichkeiten, das System auszunutzen. Eines davon ist das Durchsickern von Benutzerinformationen, einschließlich Benutzernamen und Passwörtern, aus der Datenbank der Anwendung.

Warum die Verwendung starker Passwörter nicht alle Sicherheitsrisiken adressiert

Die Verwendung starker Passwörter ist absolut unerlässlich und bietet eine starke Verteidigungslinie gegen Brute-Force-Angriffe. Es wird angenommen, dass die Verwendung eines starken Passworts alle Sicherheitsrisiken beseitigt. Es kann jedoch die Wahrscheinlichkeit, dass Ihre Anmeldeinformationen kompromittiert werden, nur bis zu einem gewissen Grad verringern.

Nur etwa 30 % der Benutzer konfigurieren die Zwei-Faktor-Authentifizierung. Ohne Multi-Faktor-Authentifizierung sind Hacker nur einen Schritt davon entfernt, Zugang zu vertraulichen Informationen zu erhalten.

Das Einrichten von Einmalpasswörtern, SMS-Verifizierung oder jeder anderen Art von 2FA ist eine großartige Option, um die meisten Sicherheitslücken der Passwortauthentifizierung zu schließen. Passkeys können jedoch in der Welt der Cybersicherheit einen echten Unterschied machen.

Hauptschlüssel

Was sind Passkeys?

Passkeys sind digitale Anmeldeinformationen, die auf asymmetrischer Kryptografie basieren und die passwortbasierte Authentifizierung vollständig ersetzen können. Als eine Form der passwortlosen Authentifizierung bieten Passkeys eine schnellere und sicherere Möglichkeit, sich über mehrere Benutzergeräte hinweg bei Diensten und Anwendungen anzumelden.

Bei der passwortlosen Authentifizierung müssen Sie keinen Benutzernamen und kein Passwort eingeben, um sich anzumelden. Stattdessen generiert Ihr Gerät einen Hauptschlüssel – ein Paar kryptografischer Schlüssel, die eine bestimmte Anmelde-ID identifiziert.

Wie Passkeys eine sichere Authentifizierung gewährleisten

Jeder von Ihnen erstellte Hauptschlüssel ist einzigartig und auf eine einzelne Website oder Webanwendung beschränkt. Da es keine gemeinsamen Geheimnisse oder Passwörter gibt, die sich der Benutzer merken muss, bieten Passkeys vollen Schutz vor Phishing- und Brute-Force-Angriffen.

Sobald ein neuer Hauptschlüssel erstellt wurde, speichert der Server den öffentlichen Schlüssel und die Anmelde-ID. Der private Schlüssel wird sicher auf dem Gerät des Benutzers oder einem Hardware-Sicherheitsschlüssel wie YubiKey gespeichert, den Sie mit sich herumtragen können.

Um Passkeys zu unterstützen, muss das Gerät des Benutzers über den Sicherheitschip Trusted Platform Module (TPM) verfügen, um kryptografische Vorgänge wie das Generieren von Schlüsseln und einen Plattformauthentifikator auszuführen. Der Plattformauthentifikator unterstützt normalerweise mehrere Arten der Identitätsprüfung, einschließlich biometrischer Informationen und PIN-Codes.

Passkeys können auch automatisch zwischen den Geräten des Benutzers über einen Cloud-Dienst synchronisiert werden. Daher müssen Sie auf anderen Geräten kein neues Schlüsselpaar erstellen. Die Passkey-Synchronisierung ist Ende-zu-Ende-verschlüsselt, und der Cloud-Dienst speichert sicher eine verschlüsselte Kopie des Passkeys.

Selbst wenn der öffentliche Schlüssel geleakt wird, ist er ohne den entsprechenden privaten Schlüssel für den Hacker nutzlos. Dadurch wird jede Möglichkeit eines unbefugten Zugriffs aufgrund einer Datenpanne ausgeschlossen. Es gibt keine wirkliche Möglichkeit für einen böswilligen Akteur, sich als Sie auszugeben.

Wie funktionieren Passkeys?

Die Verwendung von Passkeys ist dank der Entwicklung der asymmetrischen Kryptografie und mehrerer Standards und Protokolle, die von der FIDO Alliance und dem World Wide Web Consortium erstellt wurden, möglich geworden. Sehen wir uns genauer an, wie Passkeys funktionieren, indem wir mehr über Public-Key-Kryptographie, WebAuthn und Client-to-Authenticator-Protokoll erfahren.

Public-Key-Kryptographie

Public Key oder asymmetrische Kryptographie umfasst ein Schlüsselpaar – privat und öffentlich – das zum Verschlüsseln und Entschlüsseln von Daten verwendet wird, die von verschiedenen Parteien ausgetauscht werden. Der private Schlüssel muss geheim gehalten werden, während der öffentliche Schlüssel online veröffentlicht wird (oder dem Server übergeben wird, wenn ein Hauptschlüssel erstellt wird).

Abgesehen von der passwortlosen Authentifizierung trägt die asymmetrische Kryptografie dazu bei, eine End-to-End-Verschlüsselung sicherzustellen, um den über das Netzwerk übertragenen Datenverkehr zu sichern. Bei einem SSL/TLS-Zertifikat ist der private Schlüssel auf dem Ursprungsserver installiert, während der öffentliche Schlüssel verwendet wird, um die Identität einer Website zu überprüfen, bevor eine Verbindung hergestellt wird.

Web-Authentifizierungs-API (WebAuthn) und Client-zu-Authentifikator-Protokoll

Zusammen mit dem Client-zu-Authentifikator-Protokoll ist die Web-Authentifizierungs-API Teil des FIDO2-Frameworks, einer Reihe von Technologien, die eine passwortlose Authentifizierung zwischen Servern, Browsern und Authentifikatoren ermöglichen.

WebAuthn, kurz für Web Authentication API, ist eine neue Spezifikation, die vom World Web Consortium und FIDO entwickelt wurde und es Servern ermöglicht, eine passwortlose Authentifizierung zu implementieren. Ab 2019 wird WebAuthn von allen gängigen Browsern unterstützt, einschließlich Chrome, Firefox, Safari und Edge.

Als Anwendungsprogrammierschnittstelle ermöglicht WebAuthn Websites und Webanwendungen, Benutzer mithilfe von Passkeys anstelle von Passwörtern zu registrieren und zu authentifizieren.

Die Web-Authentifizierung arbeitet mit anderen FIDO-Standards wie Credential Management und Client to Authenticator Protocol 2 (CTAP 2) zusammen. CTAP 2 ist ein Protokoll der Anwendungsschicht, das die Kommunikation zwischen dem Browser, dem Betriebssystem und einem Roaming-Authentifikator spezifiziert.

Registrierung eines Passkeys

Wenn Sie einen neuen Hauptschlüssel zur Authentifizierung registrieren, generiert der Server, der die Anwendung hostet, eine Abfrage. Dann erstellt Ihr Gerät ein neues Schlüsselpaar, signiert die Herausforderung und sendet den öffentlichen Schlüssel zusammen mit der Anmelde-ID an den Server.

Der Server speichert den öffentlichen Schlüssel und die Berechtigungskennung, um Sie bei der nächsten Anmeldung zu authentifizieren. Sie können aus Redundanzgründen mehrere Hauptschlüssel für jedes Konto erstellen. Dies hilft auch bei der schnelleren Wiederherstellung des Kontos, falls der primäre Hauptschlüssel verloren geht.

Der private Schlüssel wird auf Ihrem Gerät gespeichert und dort sicher aufbewahrt. Die einzige Möglichkeit, auf den privaten Schlüssel zuzugreifen, besteht darin, Ihre Identität mit einem biometrischen Sensor zu überprüfen. Dazu gehören Ihr Fingerabdruck oder Gesichtsmuster oder eine PIN.

Der Prozess der passwortlosen Authentifizierung

Sobald ein neuer Hauptschlüssel für Ihr Konto erstellt wurde, können Sie die passwortlose Authentifizierung nutzen, wann immer Sie sich bei einer Website oder einer Anwendung anmelden müssen. Anstatt sich mit Benutzername und Passwort anzumelden, können Sie auch einen Hauptschlüssel verwenden.

Der Server sendet die Anmelde-ID (oder mehrere IDs, wenn Sie mehr als einen Hauptschlüssel für das Konto generiert haben) und eine Abfrage. Ihr Gerät verwendet dann die Berechtigungs-ID, um den richtigen Schlüssel zu finden, und fordert Sie auf, Ihre Identität mit einer der unterstützten Authentifizierungsmethoden zu bestätigen.

Sobald der Schlüssel entsperrt ist, signiert Ihr Gerät die Herausforderung und sendet sie zur Authentifizierung an den Server. Der Server überprüft die signierte Abfrage mit dem öffentlichen Schlüssel des Paares und gewährt Zugriff auf Ihr Konto.

iThemes bringt passwortlose Authentifizierung in WordPress

WordPress war schon immer ein Ziel mit hoher Priorität für Hacker auf der ganzen Welt.

Der Anstieg der Angriffszahlen auf WordPress-Websites und das weltweite Malware-Aufkommen bleiben nicht unbemerkt. Da böswillige Angriffe auf immer mehr Ziele abzielen, ist die Website-Sicherheit heute wichtiger denn je.

iThemes sucht seit Jahren nach neuen Möglichkeiten, WordPress-Websites vor den immer größer werdenden Sicherheitsbedrohungen zu schützen. Wöchentliche WordPress-Schwachstellenberichte haben uns geholfen zu verstehen, wie man einen der kritischen Bereiche einer WordPress-Website sichert – das Admin-Dashboard.

Passkeys sind zweifellos eine der bemerkenswertesten Innovationen in der Welt der Cybersicherheit. Die zunehmende Anpassung von Passkeys über Plattformen und Betriebssysteme hinweg kann das Internet für immer verändern. WordPress-Passkeys können einen echten Unterschied für die WordPress-Sicherheit machen. Und iThemes hat keine Minute länger gewartet, um der WordPress-Community eine passwortlose Authentifizierung zur Verfügung zu stellen.

Im September 2022 enthielt iThemes Security Pro Unterstützung für WordPress-Passkeys für die passwortlose Authentifizierung. iThemes Security Pro bringt die neuesten Entwicklungen in der Cybersicherheit auf Ihre WordPress-Website und hat einen großen Schritt in Richtung einer sichereren und konsistenteren Authentifizierungserfahrung gemacht.

Mit iThemes Security Pro sind Passkeys für die WordPress-Authentifizierung auf allen Gerätetypen verfügbar. Sie können einen Plattform-Authentifikator wie Apple Touch ID, Face ID und Windows Hello sowie jeden Roaming-Authentifikator verwenden.

Beginnen Sie mit der Verwendung von Passkeys für WordPress

Um Passkeys für die WordPress-Administratorauthentifizierung zu verwenden, stellen Sie sicher, dass Sie iThemes Security Pro auf die neueste Version aktualisieren. Die Option zum Aktivieren der passwortlosen Authentifizierung ist auf der Registerkarte Anmeldesicherheit verfügbar. Sobald die Unterstützung für Passkeys aktiviert ist, konfigurieren Sie Passkeys für WordPress-Benutzer über das Admin-Dashboard.

Wenn Sie immer noch nicht die Vorteile von automatischen WordPress-Core-, Theme- und Plugin-Updates nutzen, ist es an der Zeit, damit zu beginnen. BackupBuddy, eine preisgekrönte Backup-Lösung für WordPress, hilft Ihnen beim Aufbau einer starken Backup-Strategie, um alle Updates sicher zu handhaben.

Betreiben Sie mehr als eine Website? iThemes Sync hilft Ihnen, mehrere WordPress-Websites von einem einzigen Dashboard aus zu verwalten, wodurch Sie Zeit und Geld sparen. Erweiterte Überwachung, Verfolgung von SEO-Metriken und Integration mit BackupBuddy und iThemes Security Pro – all das steht Ihnen mit Ihrem persönlichen WordPress-Website-Assistenten zur Verfügung.

Wie Tech-Giganten Passkeys implementieren

Die drei globalen Technologiegiganten – Apple, Google und Microsoft – haben den Weg zur passwortlosen Authentifizierung für alle gängigen Browser und Betriebssysteme geebnet. Android, iOS und Windows können jetzt leistungsstarke integrierte Plattformauthentifikatoren verwenden und Passkeys auf mehreren Geräten synchronisieren.

Apfel

Apple hat mit der Veröffentlichung von IOS 16 und macOS Ventura Passkeys eingeführt, die die passwortlose Authentifizierung für Benutzer auf allen Apple-Geräten verfügbar machen. Die integrierten Authentifikatoren von Apple, wie Touch ID und Face ID, autorisieren die Verwendung von Passkeys in Safari und anderen gängigen Browsern.

Passkeys werden mit Hilfe von iCloud Keychain auf allen Apple-Geräten des Benutzers synchronisiert. Wenn ein Benutzer den iCloud-Schlüsselbund zum ersten Mal aktiviert, richtet das Apple-Gerät einen Vertrauenskreis ein und erstellt ein neues eindeutiges Schlüsselpaar, das im Schlüsselbund des Geräts gespeichert wird. Auf diese Weise bietet der iCloud-Schlüsselbund eine End-to-End-Verschlüsselung mit starken kryptografischen Schlüsseln.

Google

Bereits im Oktober kündigte Google an, Passkey-Unterstützung für Google Chrome und Android bereitzustellen. Dies war ein wichtiger Meilenstein bei der Integration von Passkeys in das Ökosystem. Auf Chrome und Android werden Passkeys im Google Password Manager gespeichert. Die Anmeldeinformationen werden zwischen den Geräten des Benutzers synchronisiert, die bei demselben Google-Konto angemeldet sind.

In Zukunft plant Google, die Unterstützung für Passkeys für Android auszuweiten. Eine neue API wird die Verwendung von Passkeys für Android-Anwendungen ermöglichen.

Microsoft

Microsoft ist führend bei der Implementierung der passwortlosen Authentifizierung im Internet. Vor 2022 war die Unterstützung für Hauptschlüssel bereits für Windows 365 und Azure Virtual Desktop enthalten.

Microsoft ermöglicht passwortlose Anmeldungen mit Windows Hello, einem robusten Plattformauthentifikator, der jetzt in Windows 10 und 11 integriert ist. Die Implementierung von Passkeys durch Microsoft ähnelt der von Apple. Damit können Sie Ihre Passkeys zwischen Geräten synchronisieren, die bei demselben Microsoft-Konto angemeldet sind.

Andere Unternehmen, die Passkeys verwenden

Mehrere Unternehmen haben bereits die passwortlose Authentifizierung basierend auf den von der FIDO Alliance entwickelten Standards eingeführt. PayPal, Amazon, eBay, Facebook, Netflix und IBM gehören zu den Innovatoren, die passwortlose Authentifizierung auf ihre Plattformen bringen.

Einpacken

Basierend auf asymmetrischer Kryptographie und vielen leistungsstarken Protokollen und Spezifikationen, die von der FIDO Alliance und dem World Web Consortium entwickelt wurden, können Passkeys in naher Zukunft die passwortbasierte Authentifizierung vollständig ersetzen. Die größten Technologieunternehmen bauen die Unterstützung für Passkeys nach und nach aus. Brute-Force-Angriffe und unbefugte Zugriffe können wir bald vergessen.

Nachdem wir jahrelang nach der richtigen Lösung gesucht haben, um ein konsistenteres Authentifizierungserlebnis zu bieten, sind Passkeys hier, um unser Leben zu vereinfachen und uns zu schützen. Sollten Sie schon vergessen, was Passwörter sind? Noch nicht, aber Sie müssen auf jeden Fall bereit sein, Passkeys zu verwenden.

Die Zukunft der Authentifizierung sind Passkeys! Melden Sie sich bei Ihrer WordPress-Site mit Biometrie an, die nur in iThemes Security Pro verfügbar ist

Die Probleme von Brute-Force-Angriffen durch Credential Stuffing, Phishing-Angriffe und wiederverwendete Passwörter haben unser digitales Leben weniger sicher gemacht. Wir alle haben versucht, die 2-Faktor-Authentifizierung als Schutz zu fördern, aber weniger als 30 % der Benutzer verwenden tatsächlich 2FA. Passwortbasierte Anmeldungen sind ein Problem.

Die Zukunft der Authentifizierung sind Passkeys, und iThemes Security Pro ist das erste Unternehmen, das diese bahnbrechende Technologie auf WordPress-Sites bringt. Durch die Verwendung der bahnbrechenden WebAuthn-Technologie, die auf öffentlicher/privater Kryptografie basiert, machen Passkeys Passwörter obsolet. Jetzt können sich Website-Administratoren und Endbenutzer ohne die Unannehmlichkeiten zusätzlicher Zwei-Faktor-Apps, Passwortmanager oder komplexer Passwortanforderungen sicher anmelden.

Erfahren Sie mehr über Passkeys