Über die Macht der Passkeys und ihre Phishing-Resistenz
Security. Es ist ein hartes Geschäft. Und damit meine ich nicht nur das endlose Patchen, Monitoring und Training. Die ständige Suche nach Fixes für neue CVEs (Common Vulnerabilities and Exposures) oder die latente Angst, aus der Freizeit ins Büro zurückzitiert zu werden, um eine Krise zu managen.
Nein, es ist deshalb hart, weil es kein rein technisches Unterfangen ist. Ihr Erfolg hängt von Ihrer Fähigkeit ab, zu beraten, zu kommunizieren und zu unterstützen. Aus der Sicherheitsperspektive sind die Unternehmen am effektivsten, in denen jeder mitzieht – nicht nur diejenigen mit einer Reihe von SANS-Zertifizierungen. Ihre Workforce ist die erste und wichtigste Verteidigungslinie Ihres Unternehmens.
Aber die Sache ist die: Menschen machen Fehler – egal, wie gut ihre Absichten auch sein mögen. Ein einziger falscher Klick oder ein wiederverwendetes Passwort genügen, um Ihre Sicherheitsmaßnahmen auszuhebeln. Training trägt dazu bei, das Risiko solcher Vorfälle zu reduzieren – das ist aber auch schon alles. Security-Teams haben die Pflicht, Menschen zu schützen.
Diese Pflicht obliegt nicht nur den Security-Teams – die gemeinsame Verantwortung erstreckt sich auch auf Mitarbeiter und Kunden.
Meiner Erfahrung nach sind die wirksamsten Sicherheitsmaßnahmen diejenigen, die das Unternehmen oder den Einzelnen schützen, aber für den Einzelnen mit wenig Aufwand verbunden sind. Komfort fördert Compliance und damit Sicherheit. Und genau hier kommen Passkeys ins Spiel.
Was sind Passkeys und warum sind sie wichtig?
Seit über 50 Jahren verwenden wir Passwörter, um Computersysteme und -anwendungen vor unbefugtem Zugriff zu schützen. Sie haben ihren Zweck erfüllt; mit der Zeit werden ihre Unzulänglichkeiten jedoch zunehmend deutlich.
Passwörter können gestohlen, erraten oder geleakt werden. Und sie sind ein Ärgernis für User: 47 Prozent der Verbraucher empfinden es als frustrierend Komplexitätsvoraussetzungen erfüllen zu müssen. Der durchschnittliche Verbraucher muss über 100 Passwörter für die von ihm genutzten Anwendungen managen – und häufig werden Credentials wiederverwendet. Leakt eine Website Ihre Credentials, kann ein Angreifer auf jede Website oder jeden Service zugreifen, den Sie nutzen.
In einer perfekten Welt würde jeder gute Passworthygiene betreiben und sichere und komplexe Passwörter für jeden Service und jede Website verwenden. Doch wir leben nun einmal nicht in einer perfekten Welt. Deshalb brauchen wir eine bessere Lösung.
Und genau hier kommen Passkeys ins Spiel. Diese bieten die Möglichkeit, passwortlose Authentisierung von Haus aus Phishing-resistent, userfreundlich und effizient bereitzustellen. Passkeys ersetzen das traditionelle Passwort durch kryptografische Credentials, die sich auf dem Gerät einer Person befinden.
Sie können weder gestohlen noch geleakt werden. Passkeys befinden sich auf dem Gerät oder im Cloud-Account einer Person und sind oft mit weiteren Faktoren (zum Beispiel biometrischen Daten, wie Fingerabdruck oder Face ID) oder etwas, das nur die Person kennt, wie die Master-PIN ihres Smartphones, verknüpft.
Dank Passkeys muss man sich keine überlangen Passwörter samt richtiger Anzahl an Sonderzeichen und Zahlen mehr merken. Und weil sie mathematisch generiert werden, können sie auch nicht „erraten“ werden.
Vor allem aber sind sie praktisch. Nicht nur muss man sich nichts merken – man muss auch nichts lernen. Wer schon einmal eine PIN in ein Smartphone eingegeben oder sich via Face ID in eine Banking-App eingeloggt hat, weiß, wie man einen Passkey verwendet.
Passkeys sind erfassbare FIDO Credentials, die in einem definierten Ökosystem über multiple Geräte hinweg synchronisiert werden können. So kann derselbe Passkey, der auf einem Smartphone verwendet wird, auch sicher und bequem auf einem Tablet oder Laptop verwendet werden. Sicherheit bedeutet in diesem Fall nicht, dass Sie für jede App und jeden Service an ein bestimmtes Gerät gebunden sind.
Warum Komfort für Sicherheitsexperten (und User) wichtig ist
Identity ist häufig die Ursache für Security Breaches. Im Jahr 2022 stieg die Zahl der Credential-basierten Phishing-Angriffe um 61 Prozent. Laut dem jüngsten Verizon DBIR (Data Breach Investigations Report) waren gestohlene Credentials für 50 Prozent aller erfolgreichen Angriffe verantwortlich. Und das liegt daran, dass Passwörter in der heutigen stark vernetzten Welt einfach nicht mehr zeitgemäß sind.
Passkeys sind eine sichere Alternative – ganz sicher. Drüber hinaus sind sie sehr einfach in der Handhabung. Und dieser Komfort macht sie zu einer echten Alternative. Sicherheitsexperten sind sich seit Langem im Klaren darüber, dass User, wenn eine Policy oder ein Prozess zu komplex oder zu umständlich ist, einfach nach Workarounds suchen.
Das war bereits 2008 so, als eine Umfrage von RSA ergab, dass die meisten Beschäftigten zwar die Gründe für die Security-Policies ihres Unternehmens nachvollziehen können, viele aber auch bereit sind, ein Auge zuzudrücken, wenn es schnell gehen muss. Und es war auch im Jahr 2022 so, als der Harvard Business Review herausfand, dass 67 Prozent der Beschäftigten wissentlich gegen Security-Policys verstoßen, wobei 85 Prozent Produktivitätsgründe angeben.
Und wenn sich Menschen im Arbeitsumfeld nicht an Security Best Practices halten, wie wahrscheinlich ist es dann, dass sie es im Privatleben tun, wo (scheinbar) weniger auf dem Spiel steht und es niemanden gibt, der auf die Einhaltung der Regeln pocht?
Das unterstreicht letztlich, warum Komfort und Usability für Sicherheitsexperten so wichtig sind. Für jemanden, der auf eine harte Deadline hinarbeitet, kann ein Verstoß gegen die Sicherheitsrichtlinien des Unternehmens ein akzeptables Risiko darstellen. Auf psychologischer Ebene überwiegen deren unmittelbare Bedürfnisse Ihr Bedürfnis, das Unternehmen zu schützen.
Und was die Apps und Services angeht, die sie im Privatleben nutzen, fühlen Menschen sich möglicherweise nicht gefährdet genug, um gute Passworthygiene zu betreiben. Es ist allzu leicht, sich in falscher Sicherheit zu wiegen, weil man vermeintlich „zu unbedeutend ist, um ins Visier genommen zu werden“ – aber als erfahrener Sicherheitsexperte wissen Sie um die Bedeutung ständiger Wachsamkeit.
Stringente Regeln, qualitativ hochwertige und regelmäßige Trainings und eine „Sicherheitskultur“ reichen nicht aus. Sie müssen Shortcuts, die dem Unternehmen am Ende des Tages auf die Füße fallen können, für Ihre Mitarbeiter unattraktiv machen.
Natürlich sind Passkeys nur ein Teil des Puzzles. Aber Identity ist ein integraler Bestandteil des Unternehmenskosmos, insbesondere angesichts des postpandemischen Anstiegs von Remote- und Hybrid-Arbeit und der zunehmenden Abhängigkeit von digitalen Technologien (sowie der damit einhergehenden größeren Angriffsfläche) in unserem Privat- und Berufsleben. Daher ist es sinnvoll, sich darauf zu konzentrieren.
Passwörter im Verbraucherkontext durch Passkeys zu ersetzen, ist ein Easy Win. Sie eliminieren das Risiko schlechter Passworthygiene. Verbraucher müssen sich nicht mehr mit den Credentials für die unzähligen Apps, Websites und Services, die sie täglich nutzen, herumschlagen. Außerdem beseitigen sie das Potenzial für menschliches Versagen, auf das laut Tessian und der Stanford University 85 Prozent aller Security Breaches zurückzuführen sind.
Ich bin der festen Überzeugung, dass Menschen nicht das schwächste Glied in der Sicherheitskette, sondern die stärkste Verteidigungslinie eines Unternehmens gegen eine gefährliche Online-Welt sind. Das Problem ist, dass die Menschen bisher nicht die notwendigen Tools zur Hand hatten, um sich selbst und damit auch die Unternehmen, die sie vertreten, angemessen zu schützen.
Der Weg in unsere passwortlose Zukunft
Ich hoffe, dass Passwörter eines Tages nur noch eine vage Erinnerung sein werden. Eine Zeit lang haben sie uns gute Dienste geleistet. Aber wie alle überholten Technologien werden sie durch etwas Besseres ersetzt werden. Und ich glaube, dass das Passkeys sind.
Aber wir müssen realistisch bleiben. Der Umstieg auf Passkeys wird nicht von heute auf morgen passieren. Obwohl man die Technologie ob ihrer rasanten Verbreitung nicht mehr als „bleeding edge“ bezeichnen kann, müssen Passkeys dennoch erst noch eine kritische Masse erreichen.
Der Umstieg auf Passkeys wird ein schrittweiser Prozess sein, der sich über das nächste Jahrzehnt – und vielleicht darüber hinaus – erstrecken wird. Dennoch ist es für Unternehmen an der Zeit, sich mit Passkeys zu beschäftigen und sie zu implementieren, denn die Grundlagenarbeit ist bereits geleistet.
Google, Microsoft und Apple unterstützen allesamt Passkeys in ihren neuesten Desktop- und mobilen Betriebssystemen. Eine wachsende Zahl von Verbraucher- und Business-Apps unterstützen Passkeys, darunter PayPal, eBay, CloudFlare, Dashlane, GoDaddy und andere. So kommen wir einer breiten Akzeptanz langsam aber sicher immer näher.
Erste Schritte mit Passkeys
Passkeys in eigene Apps zu integrieren ist ohne Weiteres möglich. Die Okta Customer Identity Cloud von Auth0 ermöglicht Ihnen die Implementierung von Passkeys innerhalb weniger Tage und kann problemlos mit anderen Authentisierungsmethoden koexistieren, während Ihre Kunden oder User den Umstieg bewältigen.
Passkeys werden letztlich zu einer sichereren und userfreundlicheren digitalen Welt führen. Das ist ein aufregender Gedanke. Der Umstieg wird einige Zeit in Anspruch nehmen, aber vergessen Sie nicht: Die Sicherheit Ihres Unternehmens verbessert sich mit jeder neuen App oder jedem neuen Anbieter, der die Technologie unterstützt – und das auf eine für Ihre Kunden und Kollegen sozialverträgliche Art und Weise. Um mehr über Passkeys zu erfahren, holen Sie sich unser Whitepaper.