Fast Identity Online steht für eine Welt ohne Passwörter. Die Idee ist nicht neu, aber mit dem neuen iPhone-Betriebssystem iOS 16 zeigt Apple nun erstmals der breiten Masse, wie das funktioniert.
Was im Detail hinter Fast Identity Online steckt und ob wir alle bald wirklich keine Passwörter mehr benötigen, verraten wir jetzt.
-
-
- Fast Identity Online – das neue Passkeys in iOS 16
- Das endgültige Ende der Passwörter muss kommen
- FIDO – so funktioniert das Fast-Identity-Online-Konzept
- Digitale Signatur – sicherer als ein Passwort?
- Fast Identity Online: Was passiert bei Geräte-Verlust?
- Zukunft ohne Passwort
- Maximale Sicherheit bei Logins
-
Fast Identity Online – das neue Passkeys in iOS 16
Vor ziemlich genau drei Jahren berichteten wir hier im Blog erstmals über Fast Identity Online – oder kurz: FIDO. In unserem Artikel „FIDO2 – Zukunft ohne Passwort“ erklärten wir das Konzept hinter der Idee einer Welt ohne Passwörter. Und wir berichteten damals, dass Hersteller Apple als einer Big Player sich als einziger seiner Fraktion noch gegen die Partizipation an einem allgemeinen Standard-Verfahren sträubte. Stattdessen galt es für Apple, ein eigenes Süppchen zu kochen. Und mit dem neuen iOS 16 erblickte das nun auch das Licht der Welt.
Die Funktion nennt sich Passkeys und soll iPhone Nutzern zeigen, wie einfach und trotzdem sicher die passwortlose Welt sein kann. Apple nutzt die bewährten Identifikations-Tools Face-ID und Touch-ID und ermöglicht damit eine biometrische Verifizierung ohne Passwort-Eingabe. Praktischerweise lassen sich dank des iCloud-Schlüsselbundes dann auch alle weiteren Apple-Geräte automatisch synchronisieren – und zwar lückenlos verschlüsselt.
Das neue iOS 16 verzichtet dank Passkeys auf klassische Passwörter. Bild: Apple
Das endgültige Ende der Passwörter muss kommen
Es ist kein Geheimnis, dass das Passwort-Thema ein sehr leidiges ist. Jahr für Jahr belegen statische Erhebungen, dass noch immer ein Großteil der Nutzer solch fantasievolle Kreationen wie „Passwort1234!“ nutzt – meist sogar für sämtliche Accounts. Dass Cyberkriminelle und Hacker hier verdammt leichtes Spiel haben, scheint viele Nutzer erst dann zu interessieren, wenn sie Opfer von Passwort-Diebstahl geworden sind.
Diverse Aufklärungskampagnen oder auch der nationale „Ändere-dein-Passwort“-Tag scheinen mehr oder weniger wirkungslos zu verpuffen. Einzig und allein in Unternehmen sind die meisten Entscheider mittlerweile soweit, die Nutzung von Passwort-Generatoren bzw. Kennwort-Managern zur Pflicht zu machen. Das ist gut und sinnvoll, ändert allerdings nichts daran, dass es viele Menschen privat nach wie vor gern und bewusst so unsicher und einfach wie möglich halten.
Vielleicht ist daher nun wirklich an der Zeit, das Passwort langsam zu Grabe zu tragen. Und Platz zu machen für ein neues, modernes Verfahren mit hohen Sicherheitsstandards. Statt Buchstaben, Sonderzeichen und Zahlen kommen nämlich nun gerätespezifische Schlüssel und digitale Signaturen zum Einsatz.
FIDO – so funktioniert das Fast-Identity-Online-Konzept
Für die schnelle Online-Identifikation entwickelte die so genannte FIDO-Allianz einen lizenzfreien Standard, an dem sich Unternehmen wie Microsoft und Google beteiligten. Um die Möglichkeiten der passwortlosen Identifikation nutzen zu können, muss zunächst eine Geräte-Registrierung bei dem jeweiligen Dienst erfolgen. Ob klassischer PC, Laptop, Tablet oder Smartphone spielt dabei keine Rolle.
Während des Anmeldeprozesses erfolgt die Generierung zweier kryptografischer Schlüssel auf Basis mathematischer Verfahren. Der so genannte „öffentliche Schlüssel“ gehört dann dem Dienst, der „private Schlüssel“ dem Nutzer. Letzterer wird auf dem Gerät gespeichert, wodurch das Gerät automatisch die Rolle eines Authentifikators einnimmt.
Um sich anschließend bei dem Dienst einzuloggen, erstellen Gerät und privater Schlüssel gemeinsam eine so genannte „digitale Signatur“. Diese wird an den Dienst übermittelt und dessen öffentlicher Schlüssel sorgt für die nötige Authentizitätsprüfung.
Auch Hersteller Microsoft investiert verstärkt in Fast Identity Online. Bild: Microsoft
Digitale Signatur – sicherer als ein Passwort?
Vereinfacht dargestellt lässt sich das Fast-Identity-Online-Prinzip mit der traditionellen Unterschrift vergleichen. Markus Dürmuth vom Institut für IT-Sicherheit an der Universität Hannover sagt dazu: „Nur ich weiß, mit welchem Schwung ich die Unterschrift schreibe – mit einer Vergleichsprobe kann jeder diese überprüfen.“
Allein in diesem Punkt zeigt sich, dass FIDO sicherer ist als das klassische Passwort. Denn Passwörter sind am Ende nichts anderes als Geheimnisse. Sie lassen sich erraten, durch die Keylogger bei der Tastatur-Eingabe abfangen oder im Rahmen von Angriffen gegen die Dienste selbst leaken.
Und noch ein Sicherheitsmechanismus kommt bei FIDO 2 – wie der aktuelle Standard heißt – zum Tragen: Ein integrierter Zeitstempel. Das bedeutet: Selbst wenn Hacker Zugriff auf die digitale Signatur bekämen, könnten sie selbige später nicht mehr erfolgreich verwenden.
Fast Identity Online: Was passiert bei Geräte-Verlust?
Der aufmerksame Leser mag sich nun die Frage stellen, was passiert, wenn Laptop, Smartphone und Co. abhanden kommen. Und diese ist nicht unberechtigt. Experten empfehlen, mindestens zwei Geräte zu registrieren, wobei das zweite Gerät als Backup dient und zum Beispiel auch ein USB-Stick sein kann. Eine weitere Möglichkeit stellt die Sicherung des privaten Schlüssels in der Cloud dar. Das ist bequem und einfach, kostet allerdings ein kleines Stückchen Sicherheit, wobei das Risiko durchaus vertretbar sein dürfte.
Alternativ stellen aber auch viele der teilnehmenden Dienste einen entsprechenden Backup-Code für den Fall der Fälle zur Verfügung. Tipp: Schreiben Sie diesen ganz „old school“ auf Papier und verfahren Sie ihn sicher bei sich Zuhause.
Biometrische Identifikationen tragen einen Großteil zur neuen Welt ohne Passwörter bei. Bild: Microsoft
Zukunft ohne Passwort
Künftig möchten Microsoft, Apple und Google verstärkt in weitere Funktionen rund um Fast Identity Online investieren. Es soll schon bald möglich sein, dass auch auf neuen Geräten direkt auf sämtliche Zugangsdaten zugegriffen werden kann.
Sowieso bieten schon jetzt alle Tech-Konzerne, die Rang und Namen haben, Logins ohne Passwörter an. Bei Microsoft gilt das beispielsweise für Outlook-Web und das XBox Game-Network, hier muss die Funktion manuell über die erweiterten Einstellungen aktiviert werden. Auch bei Twitter, Dropbox und Google kann die Anmeldung ohne Passwort erfolgen – hier braucht es allerdings noch einen zusätzlichen USB-Speicher, der wiederum mittels PIN oder Fingerabdruck entsperrt wird.
Was bislang noch fehlt? Klassische Webseiten und Online-Shops. Hier gilt es allerdings noch zu prüfen, wie der neue Standard erfolgreich und sicher eingebaut werden kann. Fakt ist aber: Das gute, alte Passwort hat mittelfristig wirklich ausgedient.
Maximale Sicherheit bei Logins
Bis es soweit ist, dass sämtliche Programme und Dienste ohne Passwörter auskommen, gilt es, weiter wachsam zu sein und die Passwort-Sicherheit im Blick zu behalten. Unsere Experten aus dem IT-SERVICE.NETWORK unterstützen Unternehmen gern dabei, sich dieser Herausforderung zu stellen. Ob durch die Implementierung von den bereits erwähnten Passwort-Managern, speziellen Sicherheitsschulungen für Mitarbeiter oder auch bereits der sukzessiven Umstellung auf das Fast Identity Online Verfahren überall dort, wo es jetzt schon möglich ist.
Kontaktieren Sie einfach einen unserer erfahrenen IT-Dienstleister aus Ihrer Region und lassen Sie sich unverbindlich beraten.
Weiterführende Links:
IT-Business, n-TV
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung