Passwörter sind passé. Alle setzen jetzt auf Passkeys.

Transkript der Episode 15 von Frag Wolfram, dem Online Business Podcast mit Wolfram Kläger vom 17.05.2023

Passkeys versprechen mehr Sicherheit und Komfort als Passwörter plus umständliche 2-Faktor-Authentifizierung. Ist das die Lösung aller Probleme?

Vor zwei Wochen, in Episode 13, habe ich meine Story mit Google Authenticator erzählt.

Was passiert, wenn du denkst, das läuft hier wie immer, mit meinem zweiten Faktor zur Authentifizierung, und plötzlich stellst du fest: nö!

Jetzt gerade läuft hier überhaupt nichts mehr so, wie du es seit Jahren gewöhnt bist!

Praktisch zur selben Zeit, als Episode 13 rauskam, am 03. Mai 2023, hat Google in seinem Security Blog einen Artikel gepostet, der seitdem mehr und mehr Wellen schlägt. Also: gaaaanz kleine Wellchen, im Vergleich zu all dem Getöse um die KI usw. Da kann man schon mal aus den Augen verlieren, was sonst noch so wichtig ist, zur Zeit.

Der Blogpost hat die schöne Überschrift:

"So long passwords, thanks for all the phish"

Auf Deutsch:

"Tschüss Passwörter! Danke für all die Attacken!"

Google kündigt mit diesem Blogpost an, dass es für persönliche Konten ab dem 03. Mai möglich ist, die bisherige 2-Faktor-Authentifizierung mit der Authenticator-App durch Passkeys zu ersetzen.

Das würde bedeuten:

"Tschüss, Google Authenticator!"

Und auch gleich noch Tschüss für alle anderen Authenticator Apps, wie die gleichnamige von Microsoft oder die auch schon von mir gelobte Open-Source Alternative Aegis.

SMS, TOTP : bisher wurde noch jeder 2. Faktor irgendwann geknackt

Klar ist: absolute Sicherheit gibt es eh nicht. Ausser, dass wir alle sterben.

Der SMS-Fall ist ja noch leicht nachvollziehbar. Eine Erfindung aus den 90ern, in das Mobilfunknetz gepflanzt, das eigentlich nur fürs Telefonieren gedacht war. Stellt sich heraus: SMS als zusätzliche Sicherheitsbestätigung zu verlangen, ist eine gute Idee, aber technisch viel zu leicht abzufangen.

Der Authenticator-Fall ist nicht so leicht verständlich, finde ich.

Ich hatte lange Zeit die Vorstellung, es ist eine gute Idee, dass Google hier mit der Authenticator App beispielhaft und vorbildlich vorangeht und eine moderne, sichere Alternative zu SMS propagiert.

Statt eine SMS zu senden, mit dem kritischen Code, und dabei jedes Mal Gefahr zu laufen, dass diese Kurznachricht irgendwo abgefangen wird, touchst du auf eine kleine App, die lokal automatisch alle 30 Sekunden einen neuen Code erzeugt.

Die Details sind ein bisschen komplizierter.

Ich nutze Google Authenticator auch seit Jahren brav für alle meine wichtigen Accounts und habe immer wieder so ein gutes, so sicheres Gefühl dabei, wenn ich den Code abtippe. Selbst wenn ich mich dabei mal wieder verheddere und den Code deshalb zweimal oder gar dreimal abtippen muss.

Es stellt sich jedenfalls heraus, dass auch das TOTP-Protokoll (Time-based One-Time Passcode) nicht ganz dicht ist. Genau das verwenden alle diese Authenticator Apps.

In letzter Zeit mehren sich z.B. die Hinweise darauf, dass das 30 Sekunden Zeitfenster zu lang ist und mit verschiedenen Methoden boshaft ausgenutzt werden kann, um einen Account zu kapern.

Aber, Technik hin, Technik her.

Social Engineering: das grösste Risiko bleiben die Leute vor dem Bildschirm

Gute Kriminelle wissen das.

Sie steigern sich deshalb auch gar nicht erst in die kryptografischen Untiefen rein. Sie scheuen den technischen Aufwand wie der Teufel das Weihwasser. Wenn sie auch anders ans Ziel kommen. Viel schneller. Viel billiger.

Hacker:innen, die es auf die Übernahme von Online-Konten abgesehen haben (Takeover), verlassen sich am liebsten auf das Social Engineering.

Grob gesagt: Sie "bequatschen" die Zielperson, den Authenticator mal für einen Moment abzuschalten oder überreden die Zielperson gleich dazu, dass sie die benötigten Codes und "Credentials" im Klartext herausrückt.

Mit allen möglichen Geschichten: Hier ist die Polizei, Google, YouTube, deine Bank, deine Kredtikarte, deine Mutter oder whatever.

Auf allen Kanälen. Schriftlich. Telefonisch. Per E-Mail. SMS. Messenger. Was im Einzelfall eben am besten passt und am schnellsten funktioniert.

In den Shownotes verlinke ich einen Artikel mit mehr Details, wie Social Engineering funktioniert, im Zusammenhang mit Hackerangriffen, dem Diebstahl deiner Online-Identität usw.

Speziell auf YouTube gab es in letzter Zeit einige spektakuläre Fälle, in denen die Accounts von grossen YouTuber:innen erfolgreich angegriffen und übernommen wurden. Na klar: die grossen Accounts zuerst. Da ist am schnellsten der grösste Schaden anzurichten. Und in der eigenen, kriminellen Szene Berühmtheit zu erlangen.

Aber was noch viel schwerer wiegt (und das dürfte Google als YouTube-Betreiber die grössten Sorgen machen):

YouTube-Accounts sind immer an Google-Konten gebunden.

Inzwischen wird dringend empfohlen, für den eigenen YouTube-Kanal ein vollständig isoliertes Extra-Konto einzurichten, das du ausschliesslich für diesen Kanal benutzt und für die Kommunikation mit YouTube selbst.

Wenn du dir überlegst, was an deinem Google-Konto alles dranhängt!

Du musst gar nicht YouTuber oder YouTuberin sein.

GMail und Google Pay alleine sind doch schon kritisch genug.

Geschäftlich hängt oft noch ein Google Ads Konto, Google Analytics und weiss ich was an deinem Google-Login.

Das sieht bei Apple und Microsoft ziemlich ähnlich aus. Nur die Gewichtung ändert sich. Je nachdem, welchem Kosmos, welchem "Ökosystem" du in deiner Welt am meisten zuneigst.

Und genau diese drei Mega-Plattformen treiben jetzt die Passkeys-Geschichte voran, bevor die Probleme mit herkömmlichen Schutzmassnahmen eine kritische Masse erreichen und womöglich das Grundvertrauen in das ganze Internet bröckelt.

Was sind Passkeys?

Die Idee ist nicht neu. Die FIDO-Allianz aus allen, die Rang und Namen haben, in der IT-Branche weltweit, hat schon vor Jahren FIDO in die Welt gesetzt.

F ID O steht für "Fast IDentity Online".

Die Allianz gibt es schon seit 2012.

Den FIDO 1 Standard seit 2014.

Seit 2015 kursiert das immer noch aktuelle FIDO 2 oder FIDO 2.0, das mindestens Microsoft für Windows 10 seit Beginn unterstützt.

Sogar das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) ist fast von Anfang an bei FIDO dabei.

Die FIDO-Lösung des Passwortproblems: Wir vergessen Passwörter einfach und überlassen es dem Rechner, ein Schlüsselpaar zu erzeugen. Bestehend aus einem

• öffentlichen Schlüssel, der alleine noch gar nichts kann, den kannst du sogar veröffentlichen
• und den privaten Schlüssel, den du am besten so geheim und sicher aufbewahrst, wie du nur kannst, und am besten auch heimlich benutzt, dass möglichst niemand es mitbekommt.

Das kommt dir jetzt wahrscheinlich bekannt vor.

So ähnlich funktioniert auch die Verschlüsselung deiner E-Mail, falls du das mit PGP machst oder einen Dienst wie Proton Mail benutzt.

Übrigens: wenn du mir zu diesem Podcast oder dieser Episode eine Frage stellst und die Adresse in den Shownotes benutzt,

fragwolfram@wolframklaeger.com

dann landet deine E-Mail in meinem hochsicheren E-Mail-Trakt, provided by Proton.

Einfach mal ausprobieren! 🙂

Weiter mit der Passkeys-Idee:

Den privaten Geheimschlüssel müssen wir in einem Gerät speichern, einer Hardware, die du besitzt, und am besten: nur du besitzt.

Das kann dein Rechner sein, dein Handy oder z.B. ein USB-Stick.

Shoutout an die Yubikeys!

Den öffentlichen Schlüssel können wir dann im Prinzip überall verteilen, wo du eine sichere Authentifizierung verlangst.

Das kann irgendeine Website oder auch eine App sein.

FIDO sorgt dann im Untergrund dafür, dass jeder Dienst und jede App einen anderen öffentlichen Schlüssel von dir speichert, der einmalig ist, für dich, dein Gerät und den genutzten Dienst bzw. die App.

Und jedesmal, wenn du dich bei einem Dienst oder einer App anmelden möchtest, prüft FIDO, ob der dort gespeicherte, öffentliche Schlüssel zu dir, deinem Gerät und dem aufgerufenen Dienst passt.

Genau genommen, wird dazu ein Einmal-Code erzeugt und abgeglichen. Aber diese Details lasse ich hier weg.

Jedenfalls: Wenn FIDO zu dem Ergebnis kommt, die Schlüssel passen zusammen, dann erhältst du Zugang.

Sonst: du ahnst es, hast du ein Problem.

Jedenfalls, wenn du dich als rechtschaffene User:in begreifst und gerade offenbar wieder irgendwas vermasselt hast 🙂

Wohin mit dem privaten, geheimen Schlüssel?

Schon sind wir beim ersten Knackpunkt von FIDO.

Der alles und immer entscheidende, private Teil des FIDO-Schlüsselpärchens sollte am besten so geheim sein, dass nicht mal das Benutzende selbst – also du! – damit in Berührung kommst.

Am allerbesten wird er ganz tief in die Hardware "gebrannt".

Oder wenigstens ganz weit unten im Betriebssystem "vergraben".

Und zwar in beiden Fällen so, dass niemand unbefugt dran kommt.

Auch nicht mit dem Hammer, einem Dremel, Bunsenbrenner oder was immer es braucht, um an einen Chip dran zu kommen, auf dem die verschlüsselte Zeichenkette gespeichert ist.

Denn letztlich ändert sich daran ja überhaupt nichts.

Im Grunde überlassen wir FIDO

• das Generieren von "Passwörtern"
• das "Vergraben" in der Hardware und
• den Abgleich mit all den Diensten und Apps

Wenn das alles klappt: Wunderbar!

Deine Passwörter sind ab jetzt so sicher, dass nicht mal du selbst sie kennst oder bei Bedarf und Laune drankommst 🙂

FIDO muss immer lokal gesichert werden, am besten mit "Bio" – Touch oder Face-ID

So wie ich es bisher beschrieben habe, drängt sich bei dir sofort der Verdacht auf:

Was passiert, wenn jemand unbefugt in den Besitz meines Geräts kommt?

Sagen wir,

• dein Notebook wird gestohlen oder
• du verlierst deinen FIDO-USB-Stick

Der / die Dieb:in oder Finder:in hätte nichts weiter zu tun, als das Notebook hochfahren oder den Stick in einen anderen Rechner zu stecken und ZACK! wären alle deine Zugänge zu Onlinediensten und Apps kompromittiert, auf einen Schlag.

Weil: den ganzen Rest erledigt FIDO ja automatisch!

Deshalb ist FIDO zwingend auf die Unterstützung durch das lokale Betriebsystem angewiesen.

So dass du dich als Benutzer:in wenigstens darauf verlassen kannst, dass nicht allein schon der Besitz deines Geräts ausreicht, um deine gespeicherten Zugangsberechtigungen zu übernehmen.

Das heisst, du musst dich gegenüber deinem Betriebssystem authentifizieren.

(Ja. USB-Hardwareschlüssel für 2FA oder FIDO2 haben auch eine Art Betriebssystem, nennt sich: Firmware).

Im einfachsten Fall mit einer Passphrase, was im Grunde dem Master-Passwort entspricht, das du von deinem Passwort-Manager kennst, um an die Datenbank heranzukommen, in der all deine Passwörter gespeichert sind.

Viel besser als so eine Phrase oder Master-Passwort sind natürlich biometrische Merkmale, die du einfach hast, die dich als einmaliges Kunstwerk der Schöpfung auszeichnen, z.B.

• dein Fingerabdruck auf dem entsprechenden Sensor
• dein Gesichtsausdruck für die Kamera, das Radar, Infrarot was immer (z.B. Apple Face-ID fürs iPhone und iPad)
• Windows Hello verknüpft Fingerabdruck oder Gesichtserkennung mit einem PIN-Code (wenn man das nicht abstellt … ähem …)
• Für spezielle Anforderungen gibt es aufwändigere Lösungen wie z.B. Iris-Scanner ("guck mir ins Auge …")

Was ist der Unterschied zu einem herkömmlichen Passwort-Manager?

1. Du musst das Master-Passwort nicht mehr kennen und dich daran präzise erinnern, auf Anforderung. Du musst das nur noch "haben", wie du eben deinen Finger, deine Iris, dein Gesicht "hast" (und hoffentlich nie verlierst 🙂 )
2. Dieses neue, sagen wir: Master-Passwort für die FIDO-Prozedur ist an dich als Person gebunden. Niemand anders als du verfügt über dieses Merkmal (jedenfalls unter normalen Umständen).

Die neuen Passwörter: Apple ID, Google ID, Microsoft ID (?)

Die Vorstufe davon kennst du: viele Websites und Apps bieten schon lange an, dass du dich über deinen Facebook- oder Google-Account anmeldest. Alternativ zu Email und Passwort. Immer öfter sogar ausschliesslich. Das heisst, eine herkömmliche Registrierung mit irgendeiner Email-Adresse und Passwort ist nicht vorgesehen.

Es ist absehbar, dass diese Websites die Ersten sind, die den Login per entsprechenden Passkeys anbieten werden.

Willst du dich das nächste Mal von einem anderen Gerät aus anmelden, wird dir ein QR-Code angezeigt. Diesen scanst du und bestätigst und schon bist du auch mit diesem Gerät authentifiziert.

Seit September 2022 funktioniert das schon bei Apple ab iOS 16.

Seit Mai 2023 ist jetzt wie gesagt auch Google dabei. Zumindest, was die persönlichen Google-Konten angeht.

Und Microsoft will noch in diesem Jahr gleichziehen.

Überdies haben alle drei – in diesen Tagen erst – zusammen verkündet, dass sie von nun auch sogar daran arbeiten wollen, dass Passkeys in allen drei "Welten" übergreifend funktionieren.

Stand heute ist das nämlich leider noch nicht der Fall. Und das bremst natürlich die Verbreitung von Passkeys massiv aus.

Vorteile von Passkeys

• Du musst dir kein Passwort mehr merken. Jedenfalls für alle Websites und Apps, die Passkeys unterstützen.
• Alle Passkeys sind gleich sicher, weil du gar keine Chance mehr hast, viel zu simple Passwörter zu vergeben oder für x Dienste und Apps immer dasselbe Passwort zu nehmen.
• Das Verfahren verhindert endlich wirksam alle bekannten "Phishing" Methoden. Es gibt schliesslich nur Einmalcodes abzufangen, mit denen niemand etwas anfangen kann. Beim nächsten Login gilt schon wieder ein ganz anderer Einmalcode (anders als beim bisherigen TOTP- Verfahren, z.B. per Google Authenticator, wo der Einmalcode nur alle 30 Sekunden wechselt und mindestens so lange angreifbar ist)
• Der im Gerät gespeicherte private Schlüssel wird nie nach aussen übertragen. Hat eine Website oder eine App ein Leck (Leak), werden nur die öffentlichen Schlüssel kompromittiert. Der Zugang bleibt geschützt.
• Selbst ein:e Angreifer:in, der / die richtig gut ist, im Social Engineering, ist jetzt in vielen Fällen machtlos, weil du nicht herausgeben kannst, das du selbst gar nicht greifen kannst, weil es tief in den Chips versteckt ist (so lange der Angriff nicht unmittelbar vor deiner Nase mit physischer Gewalt abläuft und dir jemand den Rechner oder deinen USB-Stick aus der Hand reisst und vielleicht sogar noch das Gesicht vor den Face-ID Scanner, deinen Finger auf den Sensor drückt …)

Nachteile von Passkeys

• Wenn die Face-ID oder der Fingerabdruck-Sensor "spinnt", kann das sofort starke Kopfschmerzen verursachen. Schon allein deshalb wird man sich immer eine Alternative zurechtlegen, z.B. per USB-Stick.
• Dasselbe gilt natürlich erst recht für den Fall, dass das Gerät, auf dem alle deine Passkeys "gebunkert" sind, abhanden kommt. Diebstahl, Überschwemmung, abgebrannt, verloren, vergessen, LKW drüber gefahren: ohne Backup oder einen zweiten, gleichberechtigten Stick wird es sehr mühsam und anstrengend, wieder Zugang zu allem zu bekommen.
• Es ist auf absehbare Zeit fast ausgeschlossen, dass alle User:innen, alle Websites und alle Apps dieser Welt demnächst auf Passkeys umsteigen werden. Passkeys sind also noch sehr lange Zeit nur eine Alternative, kein Ersatz.
• Das zuweilen sehr beliebte "Teilen" von herkömmlichen Username, Password Logins wird durch Passkeys drastisch eingeschränkt. Funktioniert nur noch auf demselben Endgerät.
• Linux User:innen scheinen zunächst aussen vor zu bleiben. Ich habe dazu nicht speziell recherchiert. Kann mir aber aus Erfahrung nicht vorstellen, dass das lange so bleibt. Bisher haben es die Linux-Freaks noch immer geschafft, das Beste aus anderen Welten zu übertragen und nicht selten sogar zu übertrumpfen. Und nicht zu vergessen: Microsoft ist längst einer der grössten Linux-Supporter. MacOS ist sogar eine Art Linux. Und Android ist das mobile Linux!
• Manche Experten warnen davor, dass der Algorithmus, den FIDO zur Verschlüsselung verwendet, demnächst von Quantencomputern geknackt wird. Womöglich. Aber dann haben wir überall auf der Welt ganz andere Probleme. Weil das schlicht alle bekannten Algorithmen beträfe.
• Andere malen an die Wand, dass Passkeys die "Zwangsentschlüsselung" ganz einfach machen. Sei es durch Kriminelle oder die Kripo: Gesicht oder Finger draufhalten, wie auch immer, und bingo! (Ich bin allerdings stark unsicher, ob es unter solchen Bedingungen, wenn massiver Zwang, Nötigung und Gewalt vorherrschen, ob es dann noch irgendeinen relevanten Unterschied macht, welche Geheimnisse du herausrückst oder eben nicht).

Ist die Zukunft wirklich passwortlos – Welche Zukunft haben Passwort-Manager?

1Password, LastPass und Dashlane sind Mitglied der FIDO-Allianz. Alle drei haben schon angekündigt, dass sie schon bald auch Passkeys unterstützen.

Dashlane kann es angeblich schon.

Das heisst:

• Der Passwort-Manager speichert dann auch gerne deine "Secret Keys", wie das die besseren Passwort-Manager auch für 2FA / TOTP gemacht haben.
• Dann bist du gar nicht mehr auf das Betriebssystem eines Geräts angewiesen bzw. die verschiedenen Betriebssysteme mehrerer Geräte.
• Das erleichtert den geräte- / plattformübergreifenden Abgleich enorm, die zentrale Verwaltung, Datensicherung usw. natürlich auch.

Der Preis, den du dafür zahlst:

1. Du verlässt dich jetzt auf deinen Passwort-Manager, statt den ganz Grossen zu vertrauen, Google, Apple oder Microsoft. Deine Entscheidung!
2. Die besseren Passwort-Manager sind im Zweifel kostenpflichtig. Erst recht den aktuell besten Schutz werden sich die Anbieter bezahlen lassen.
3. Wenn du einen Passwort-Manager findest, der Passkeys kostenlos unterstützt: steigert das dein Vertrauen oder eher nicht? Schon wieder deine Entscheidung! Und
4. Alternativ wird es – wie immer – auch Open-Source und Self-Hosted Lösungen geben, z.B. auf Basis von KeePass und KeePassXC. Dafür bezahlst du nicht in Geld, sondern in Zeit, die du investieren musst, um die Geschichte genügend zu verstehen und in deiner Welt umzusetzen.

Mein Fazit für heute: Passkeys sind gut. Kontrolle behalten ist besser

• Es gibt keinen Grund nervös zu werden. Wenn du bisher schon einen brauchbaren Passwort-Manager benutzt, der einmalige und sichere Passwörter für dich erzeugt, verwaltet und beim Login ausspielt, bist du schon ziemlich sicher, im Alltag.
• Auch die herkömmliche 2-Faktor-Authentifizierung ist noch lange kein altes Eisen. Wo Passkeys noch nicht unterstützt werden, dafür Authenticator-Apps, bleib dabei! Ist halt ein bisschen umständlicher.
• Das gute alte 2FA mag angreifbar sein, aber mit Authenticator ist immer noch enorm viel sicherer als ohne, wenn du dich allein auf ein kryptisch kompliziertes Passwort verlässt (mein Tipp: wo es zulässig ist, mindestens 20 Zeichen aus grossen und kleinen Buchstaben, Ziffern und Sonderzeichen).
• Rückblickend ist man immer schlauer. Ich frage mich, wieso haben sie uns erst mal die Authenticator-Apps empfohlen, wenn sie schon seit 2015 (seit 8 Jahren!) genauso gut gleich auf FIDO2 hätten setzen können? Es ist manchmal schwer nachzuvollziehen, wie lange die beste Lösung braucht, um sich weltweit durchzusetzen.
• Ja. Passkeys sind wahrscheinlich der aktuelle Stand der Technik, um deine Online-Identität und deine Zugangsberechtigungen einigermassen sicher zu schützen. Wo immer es demnächst geht, solltest du das für dich einrichten (und ggf. gleich auch für deine Familie, dein Team, dein Unternehmen usw.).
• Die komfortabelste und kostenloseste Lösung ist sicher, du verlässt dich auf deine Lieblingsplattform und entscheidest dich einfach für Apple, Google oder Microsoft als die Zentrale für all deine Passkey-Geschichten.
• Noch komfortabler und vor allem flexibler, aber nicht so kostenlos: du verlässt dich auf deinen renommierten Passwort-Manager, z.B. 1Password oder Dashlane oder bestimmt demnächst auch: Bitwarden. Leider zeigt das Beispiel LastPass, dass ein guter Ruf durch Leaks und Lecks ganz schnell massiv beschädigt ist.
• Ich persönlich möchte weiterhin darauf bestehen, dass ich alle meine Geheimnisse höchstselbst verwalte, meine Datensicherheit unter meiner Kontrolle bleiben soll, egal was kommt. Ja klar. Ich bin mir darüber bewusst. Vor allem das mit der Datensicherung, das muss ich dann wirklich im Griff haben 🙂

Und du – wenn du bis hierher zugehört hast – du hast jetzt hoffentlich ein paar Infos mehr, welche Lösungen sich für dich in deiner Welt auftun, welches Thema du vielleicht vertiefen möchtest, um deine Online-Sicherheit zu verbessern.

Wenigstens – vom Feeling her – ein gutes Gefühl zu bekommen 🙂

Bis nächsten Montag!

Freut mich riesig, wenn du aus dieser Episode etwas für dich Wertvolles mitnimmst.

Mein Angebot steht natürlich weiterhin!

Wenn du eine Frage zum Thema hast, Thema dieser Episode, Thema dieses Podcasts oder eine andere Frage, die dich bewegt, dann schreib am besten sofort eine E-Mail an

fragwolfram@wolframklaeger.com

Wie gesagt. Deine Nachricht landet mit höchster SIcherheit in meinem Proton Secure Mail-Account.

Und so lange du mich nicht hatest oder spamst, kriegst du 100 % sicher eine Antwort von mir persönlich.

Ich freue mich über jede Idee, Anregung, Kritik. Und wenn ich irgendwie kann, lasse ich sogar alle deine Wünsche in Erfüllung gehen!

Ansonsten gilt – auch wie immer – bis nächsten Montag!

Alle Grüsse, Ciao Ciao, Dein Wolfram

Und: Peace!

Links

• So long passwords, thanks for all the phish – Google

• Google Identity: Anmeldung ohne Passwort mit Passkeys – Google

• So funktioniert Social Engineering – Computerwoche

• Apple, Google und Microsoft wollen Passkeys künftig systemübergreifend umsetzen – FIDO-Allianz

• FIDO-Allianz – Wikipedia

• FIDO-Mitglieder – FIDO Allianz

• FIDO 2 – FIDO Allianz