Schon die alten Römer nutzten Passwörter. Und auch Shakespeare eröffnet mit einem Passwort die erste Szene von „Hamlet“: Lang lebe der König. Heute bestimmen Passwörter nahezu jeden Aspekt unseres technologischen Lebens. Laut der Initiative Deutschland sicher im Netz e.V. verfügt jeder Mensch in Deutschland über durchschnittlich 78 Online-Konten. Alle gut gesichert? Nicht, wenn man glauben kann, dass das beliebteste Passwort nach wie vor das berüchtigte 123456 ist. Dicht gefolgt von… 234567. „Es gibt keinen Grund, warum sich ein administrativer Account lediglich mit einem Passwort schützen sollte“, sagt Pamela Dingle in einem Video der FIDO Alliance. Dingle ist Director of Identity Standards bei Microsoft, einem der Gründungsunternehmen des Aktionsbündnisses für das neue Passkey-Verfahren. Die klare Message der FIDO Alliance: Passwörter sind nicht mehr zeitgemäß. „Es ist gefährlich und ihr müsst damit aufhören.“
Als Fernando José Corbato Anfang der 60er Jahre am Massachussetts Institute of Technology das Computerpasswort erfand, war sein Ziel nicht, hohe Sicherheit zu schaffen. Er entwickelte gerade mit einem Team ein Timesharing-System (übrigens den Vorgänger des heutigen Cloud Computing) für den damals noch raumfüllenden Rechner des Forschungszentrums. Verschiedene Nutzer sollten sich mit einem persönlichen Passwort unkompliziert identifizieren können. Mit Passwort-Managern und Zwei-Faktor-Authentifizierung hat das Passwort seitdem nur wenige wirkliche Innovationen erlebt.
Corbato verstarb 2019 im Alter von 93 Jahren. Seine Erfindung scheint ihn nur um wenige Jahre zu überleben. Ein Zusammenschluss der größten Tech-Giganten hält bereits Grabreden auf das Passwort – und bietet mit dem kryptografischen Passkey gleich einen Nachfolger an.
Passkey? Das neue Authentifizierungsverfahren wurde entwickelt von der FIDO Alliance – einem Zusammenschluss verschiedener Unternehmen aus der Tech-Branche, unter anderem Apple, Microsoft oder Google. FIDO steht für Fast IDentity Online. Der FIDO-Standard wurde im Mai 2022 zum ersten Mal präsentiert und funktioniert geräte- und markenübergreifend. „Wenn wir es richtig machen, wird Authentifizierung im Alltag weitaus weniger Aufmerksamkeit und Zeit in Anspruch nehmen“, erklärt Pamela Dingle weiter.
Das Stichwort lautet sichere Verschlüsselung. Passkeys sind Passwortschlüssel, die nicht durch Phishing entwendet werden können. Im Gegensatz zu Passwortmanagern gibt es bei Passkeys keinen Generalschlüssel für alle Türen – es wird ein eigener Passkey für jeden der genutzten Zugänge generiert.
„FIDO hat die Umstände der Nutzerauthentifizierung grundlegend verändert“, verspricht Andrew Shikiar. Er ist Executive Director der FIDO Alliance. „Vom ausgedienten Prinzip das auf wissensbasierte Authentifizierung oder, wie bei Passwörtern, auf das Teilen von Geheimnissen setzt, zu einem besitzbasierten Modell.“
„Wenn wir es richtig machen, wird Authentifizierung im Alltag weitaus weniger Aufmerksamkeit und Zeit in Anspruch nehmen“
Ein Passwort diente bisher dazu, sich als Besitzer eines bestimmten Accounts auszuweisen. Geheimnis im Tausch für Zugang. Sesam, öffne dich! Das Problem mit Geheimnissen: Sie bleiben nicht immer geheim. Das Geheimnis wird beim Prinzip Passkey durch einen kryptografischen Schlüssel ersetzt – einer zufällig generierten, langen Zeichenfolge. Der Knackpunkt: Dieser Schlüssel wird zu keinem Zeitpunkt mit dem Onlinedienst oder dem Account geteilt. Nur das eigene Gerät, zum Beispiel ein Smartphone, kennt ihn. Beim Einloggen entsteht ein Austausch zwischen dem Account und dem Gerät. Mit dem privaten Kryptoschlüssel kann das Gerät die zweifelsfreie Authentizität beweisen, ohne diesen preiszugeben.
Um Passkeys zu nutzen, muss kein Programm heruntergeladen und keine Mitgliedschaft gekauft werden. Die wichtigsten Browser und Betriebssysteme von Apple, Google oder Microsoft haben das Verfahren bereits integriert. Alles spricht dafür, dass sich Passkeys als neuer Standard in der digitalen Welt durchsetzen werden. Damit erhalten auch Unternehmen die große Chance , in Sachen Cybersecurity neue Maßstäbe zu setzen und bisherige Sicherheitslücken zu schließen. Also, denken Sie sich aus Nostalgiegründen nochmal ein letztes Passwort aus. Nur bitte nicht Ihr Geburtsdatum – oder "Passwort"
