Identity sollte niemals eine Barriere zwischen Ihnen und Ihren Kunden darstellen. Dem kürzlich veröffentlichten Customer Identity Trends Report von Okta zufolge allerdings:

• gaben 33 Prozent der Befragten an, es als frustrierend zu empfinden, die Komplexitätsvoraussetzungen für ein Passwort erfüllen zu müssen. 33 % der deutschen Umfrageteilnehmer geben an, dass es sie frustriert, ein Passwort wählen zu müssen, das bestimmten Vorgaben genügt 
• 63 Prozent der Befragten gaben an, sich mindestens einmal im Monat nicht in einen Account einloggen können, weil sie ihren Usernamen oder ihr Passwort vergessen haben.

Trotz all der Frustration bleiben Passwörter eine der häufigsten Formen der Online-Authentisierung, auch wenn sie unpraktisch und unsicher sind. 

Als Alternative zu Passwörtern hat sich die passwortlose Authentisierung in den letzten Jahren immer mehr durchgesetzt, da sie Unternehmen die Möglichkeit bietet, ihre Kunden zu schützen und gleichzeitig mehr Komfort zu bieten. Die neueste Innovation auf diesem Gebiet sind die Passkeys, entwickelt von der FIDO Alliance. 

In dem Jahr seit der Erstankündigung von Passkeys hat sich einiges geändert, sowohl in puncto Nomenklatur als auch Verfügbarkeit. Eines, das sich bis dato noch nicht geändert hat, ist die Tatsache, dass Aufklärungsbedarf im Hinblick darauf besteht, was Passkeys sind, wie sie funktionieren und welche Vorteile sie bieten. 

Ziel dieses Posts ist es, diese neue, innovative und aufstrebende Technologie zu entmystifizieren, sodass es bald nicht mehr „Pass-was?“, sondern „Passkey“ heißt.

Was sind Passkeys

Passkeys ersetzen Passwörter laut FIDO durch „schnellere, einfachere und sicherere Logins bei Websites und Apps auf allen Geräten eines Users.“ Außerdem sind „Passkeys, im Gegensatz zu Passwörtern, immer sicher und Phishing-resistent.“ 

Da Passkeys Passwörter ersetzen, gelten sie als eine Form der passwortlosen Authentisierung. 

Etwas technischer ausgedrückt: Ein Passkey ist ein Paar kryptographischer Keys – bestehend aus einem Public Key für Ihr Unternehmen und einem Private Key für einen Ihnen bekannten User. Wichtig: Es ist ein Private Key, weil Ihr Unternehmen ihn niemals zu Gesicht bekommt. Diese Key-Paare spielen eine entscheidende Rolle bei der eigentlichen Authentisierung eines Users – aber dazu kommen wir gleich.  

Passkeys gibt es in zwei Varianten:

• Synced Passkeys, die über einen Cloud-Service, wie ein OS-Ökosystem oder einen Passwortmanager, zwischen den Geräten eines Users synchronisiert werden. Der Vorteil für den Kunden besteht darin, dass ein und derselbe Passkey über verschiedene Geräte in einem bestimmten Ökosystem hinweg verwendet werden kann.  
• Gerätegebundene Passkeys, die niemals das Gerät verlassen, auf dem sie generiert wurden. Sie können für FIDO Security Keys verwendet werden, einschließlich solcher, die eine Sicherheitszertifizierung erhalten haben.

Vor allem Synced Passkeys bieten eine nahtlose User Experience, die dem Entsperren von mobilen Endgeräten – via Biometrie, PIN oder Muster – ähnelt. 

Wie funktionieren Passkeys?

Wie bereits erwähnt, verwenden Passkeys anstelle von Passwörtern Public Key Cryptography zur Authentisierung. Dieser Ansatz ist wesentlich sicherer, da kein gemeinsames Geheimnis (Passwort) an einen Anwendungsserver übertragen wird. Stattdessen wird ein Paar aus Public Key und Private Key verwendet, um sich gegenüber einer App zu authentisieren. Der Public Key wird (anstelle eines Passworts) auf dem Anwendungsserver gespeichert, und der zugehörige Private Key wird auf dem Gerät des Users gespeichert. Wichtig ist, dass der Private Key nicht wie ein Passwort an die App weitergegeben wird.

Anstatt die Identität mit einem Passwort zu verifizieren, wenn ein User versucht, sich einzuloggen, generiert der Server in diesem Modell eine digitale Herausforderung, die nur mit Hilfe des Private Key bewältigt werden kann. Dies geschieht durch vertrautes Entsperren via Biometrie, PIN oder Muster auf einem Smartphone, Laptop oder Tablet. Nach dem Entsperren „signiert“ der Private Key die Herausforderung und überträgt sie zur Validierung mit dem Public Key zurück an den Server. 

Wichtig: Die User Experience beschränkt sich auf das simple Entsperren, während die Komplexitäten der Kryptografie (und die Sicherheitsvorteile) hinter den Kulissen stattfinden.  

Vorteile von Passkeys

Passkeys verbessern sowohl Komfort als auch Sicherheit. 

Für Kunden, die auf Ihre Anwendung zugreifen, können Sie die Konversionsraten verbessern, indem Sie Sign-up und Sign-in vereinfachen und gleichzeitig die Kundenbindung durch ein Höchstmaß an Account-Sicherheit stärken. 

Da sie auf FIDO -Standards basieren, sind Passkeys bewusst so gestaltet, dass sie gegen Angriffe wie Phishing geschützt sind, bei denen böswillige Akteure schriftliche Kommunikation (zum Beispiel E-Mails, Textnachrichten oder fingierte Websites) nutzen, um sich als seriöse Quelle auszugeben und die Credentials einer Person zu stehlen. 

Und, wie oben bereits erwähnt: Passkeys erlauben es Unternehmen, auf vorhandene Technologie zurückzugreifen, mit der Verbraucher vertraut sind und die sie täglich nutzen. Ein standardisierter Ansatz ermöglicht es Verbrauchern mit Endgeräten aus dem Apple-, Google- oder Microsoft-Ökosystem, einen Passkey auf die gleiche Weise zu erstellen und darauf zuzugreifen, auf die sie ihre Geräte entsperren. 

Betrachten wir die Vorteile für die Sicherheit und die User Experience im Detail. 

Vorteile für die Sicherheit

• Phishing-resistent: CNBC berichtete von einem 61-prozentigen Anstieg bei Phishing- Angriffen im Jahr 2022. Passkeys blockieren Social-Engineering-Angriffe, da sie nur für die Website funktionieren, für die sie erstellt wurden. 
• Besserer Schutz vor data Breaches: Datenbanken sind ein bevorzugtes Ziel von Cyberkriminellen, da sie häufig Passwörter und andere persönliche Daten enthalten. Da kein gemeinsames Geheimnis (Passwort) übertragen wird, sind Ihre Unternehmensserver ein weniger attraktives Ziel für böswillige Akteure, die versuchen, Kunden-Credentials zu stehlen.
• Von Haus aus stark: Im Gegensatz zu Passwörtern sind Passkeys immer stark und können niemals erraten oder gesehen werden – was sie weniger anfällig für Social-Engineering-Angriffe macht.

Vorteile für die User Experience

• Passwortlose Account-Erstellung: Passkeys können die Konversionsraten verbessern, indem sie den Weg vom „unbekannten User“ zum „bekannten Kunden“ passwortlos gestalten. Daten von Google zeigen, dass die Konversionsraten bei Usern, die sich mit Passkeys authentisieren, viermal höher ist. 
• Über alle Geräte hinweg skalierbar: Konsumenten können auf mehr als einem Weg mit Ihrer Marke interagieren. Passkeys ermöglichen einen nahtlosen Zugriff, indem sie es den Konsumenten erlauben, denselben Passkey auf mehreren Geräten in einem bestimmten Ökosystem zu verwenden. Im Gegensatz zu Passwörtern wird ein Passkey nur einmal erstellt und kann überall verwendet werden. 
• Weniger Passwörter, weniger Gründe abzubrechen: 83 Prozent der Kunden brechen die Account-Erstellung aufgrund sperriger Passwort-Policys ab. Mit Passkeys können Sie die Konversionsraten verbessern und die Userbindung stärken, da die mühsame (und unsichere) Eingabe von Zeichenfolgen entfällt.

Paskkeys erhöhen die Flexibilität

Fassen wir zusammen:

• Passkeys sind ein von der FIDO Alliance entwickelter Ersatz für Passwörter 
• Sie machen es überflüssig, sich komplexe Passwörter zu merken 
• User können sich auf die gleiche Weise einloggen, auf die sie ihre mobilen Geräte entsperren
• Sie erhöhen die Sicherheit, da sie Phishing-resistenter sind 
• Und sie verringern Reibungsverluste beim Login, was die Konversionsraten verbessert 

Das ist der Grund, warum die Security-Welt so begeistert von Passkeys ist.

Aber sie sind nur ein Teil der Geschichte. Während wir und viele andere vom Potenzial von Passkeys begeistert sind, müssen Unternehmen ihre Kunden dort abholen, wo sie sich befinden. Die Fähigkeit, flexibel auf unterschiedlichste Bedürfnisse eingehen zu können, ist entscheidend. 

Service-Provider wie Apple und Google haben Flexibilität nativ in ihren Login integriert. Mit Passkeys, die innerhalb einer leistungsstarken CIAM-Plattform aktiviert werden, können Sie ähnliche Flexibilität bieten – geräte- und plattformübergreifend.

Unser Ziel ist es, ein immer breiteres Spektrum an Anforderungen abzudecken und Unternehmen dabei zu unterstützen, die Authentisierung für ihre Kunden sinnvoll zu gestalten. Okta unterstützt out-of-the-box mehrere Formen der Authentisierung (einschließlich Passkeys) und bietet die zentralen Features, die von einer Customer Identity-Plattform in den Bereichen Autorisierung, User Management und Identity Security erwartet werden. Gepaart mit der Erweiterbarkeit unserer Plattform und der einfachen Implementierung, gibt die Okta Customer Identity Cloud Entwicklern und digitalen Teams die Tools an die Hand, die sie benötigen, um ihre User kennenzulernen, zu schützen und zufriedenzustellen.

Möchten Sie mehr darüber erfahren, wie Ihr Unternehmen CIAM nutzen kann, um die Weichen für eine passwortlose Zukunft mit Passkeys zu stellen? Kontaktieren Sie uns für weiterführende Informationen.

– 

Für Dokumente mit Datenschutz-/Rechtskonzepten oder Datenschutz-/Sicherheitsempfehlungen:

Diese Materialien und die darin enthaltenen Angaben stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsempfehlungen dar. Diese Materialien sind nur für allgemeine Informationszwecke bestimmt und spiegeln möglicherweise nicht die neuesten Sicherheits-, Datenschutz- und rechtlichen Entwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, von Ihrem eigenen Rechtsberater oder einem anderen professionellen Berater Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsempfehlungen einzuholen und sollten sich nicht auf die hierin enthaltenen Angaben verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die sich aus der Umsetzung der in diesem Material enthaltenen Angaben ergeben. Okta gibt keine Zusicherungen, Garantien oder sonstige Gewährleistungen in Bezug auf den Inhalt dieser Materialien. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.