Das Problem des Passworts
Typischerweise erstellen Benutzer:innen ein Konto bei einem Dienst, indem sie ihre E-Mail-Adresse und ein Passwort angeben. Da die E-Mail-Adresse öffentlich oder einfach zu erraten ist, hängt die ganze Sicherheit des Kontos an diesem einen Passwort. Dieses allein genügt als Identitätsnachweis. Das heisst: eine beliebige Person (oder ein bösartiges Computerprogramm) kann sich mit dem Passwort für Sie ausgeben.
Erschwerend kommt dazu, dass Benutzer:innen dazu neigen für verschiedene Dienste das gleiche Passwort zu verwenden, da es schwierig ist, sich verschiedene Passwörter für verschieden Websites zu merken. Wird eine dieser Websites gehackt und das Passwort offengelegt, kann es für andere Dienste missbraucht werden.
Ein Passwort Manager hilft Ihnen für verschiedene Dienste verschieden Passwörter zu wählen. Zur Auswahl stehen hier herstellerspezifische Lösungen, die heutzutage in Geräten, Betriebssystemen und Browsern eingebaut sind, oder unabhängige Anbieter. In die erste Kategorie fallen die iCloud Keychain von Apple, der Password Manager von Google oder der Credential Manager von Microsoft. Als unabhängiger, kommerzieller Anbieter kommt 1Password in Frage (welches alle Mitarbeiter von swisspeers verwenden), oder wer es lieber open-source mag, Bitwarden.
Ein Passwort Manager hat noch einen weiteren Vorteil: ist er als Browsererweiterung installiert, füllt er mit einem Befehl Logindaten automatisch aus. Dies ist nicht nur praktisch, sondern hilft auch gegen Phishing: ein Passwort Manger füllt das Login nur aus, wenn die Adresse der Website exakt übereinstimmt mit der Quelle des Kontos.
Grundsätzlich besteht aber immer die gleiche Gefahr: egal wie sicher und einzigartig das gewählte Passwort ist, kommt es in falsche Hände ist es vorbei mit der Sicherheit. Dagegen hilft auch ein Passwort Manager nichts – oder doch?
2-Faktor Authentifizierung (2FA)
Um das Problem des einen Passworts zu lösen, wird der Authentifizierungsprozess um einen Schritt erweitert. Neben dem Passwort ist noch etwas Weiteres als Identitätsnachweis nötig, der sogenannte zweite Faktor. Somit betreten wir die Welt der 2-Faktor Authentifizierung (2FA).
Bei aktivierter 2FA, erfordert der Identitätsnachweis dreierlei: E-Mail + Passwort + zweiter Faktor. Zweite Faktoren lassen sich in folgende Kategorien einteilen:
- Wissen: Zweite Faktoren dieser Art basieren darauf, dass Sie etwas wissen, was andere nicht wissen. Beispiele: PIN oder Sicherheitsfragen. Diese unterliegen der gleichen Gefahr wie Passwörter: sie können durchsickern.
- Haben: Zweite Faktoren dieser Art basieren darauf, dass Sie etwas haben, was andere nicht haben.
- SMS: Authentifizierung durch eine Nachricht an Ihre registrierte Mobilfunknummer. Nachteil: Abhörsicherheit, Empfang.
- Authentifizierungsapps: Apps wie Google Authenticator oder Microsoft Authenticator generieren zeit-getaktete Zufallszahlen, oder Authentifizierungsabfragen erscheinen direkt zur Bestätigung.
- Hardwareschlüssel: Physische Gegenstände wie ein yubikey. Vorteil: Schlüssel kann einfach stecken oder in ihrer Nähe sein. Sie müssen nicht nach dem Handy greifen. Gilt als die sicherste Variante, da die Authentifizierung auf dedizierter Hardware läuft. Meist werden Hardwareschlüssel so gebaut, dass ihr Zugriff bereits weitere Faktoren voraussetzt (zum Beispiel yubikeys mit eingebautem Fingerabdrucksensor oder PIN).
- Sein: Zweite Faktoren dieser Art zielen darauf ab, Sie direkt zu erkennen. Beispiel: Biometrie. Technologien wie Gesichtserkennung (Microsoft’s Windows Hello), Fingerabdruck (Apple’s TouchID), Stimmerkennung, Retina-Scans.
Viele Zutaten – ein Gericht
Wie Sie sehen, hat die IT-Industrie viele Technologien im Bereich der Authentifizierung erfunden und zur Verfügung gestellt. Leider sind diese nicht unbedingt kompatibel untereinander und die Palette an Möglichkeiten kann leicht für Verwirrung unter Benutzer:innen sorgen. Deswegen haben sich führende Unternehmen der Branche unter dem Namen FIDO Allianz zusammengetan und sich vorgenommen einen universellen Faktor herauszubringen: Passkeys.
Passkeys
Passkeys fallen sowohl in die Kategorie «Haben» und «Sein» und kombinieren somit Benutzerfreundlichkeit und Sicherheit. Ein Passkey ist eine verschlüsselte Information, die teilweise beim verwendeten Dienst, und teilweise benutzerseitig auf dessen Gerät bzw. einem Passwortdienst abgelegt ist.
Die Verwendung eines Passkeys hat zwei Phasen
1) Registrierung
Der Passkey wird beim Dienst registriert. In der swisspeers App können Sie in Ihren Einstellungen unter 2-Faktor Authentifizierung einen Passkey aufsetzen.
Beim Klicken auf Registrieren stellt Ihnen Ihr Gerät im Folgenden alle verfügbaren Optionen zu Erstellung eines Passkeys zur Auswahl. Zum Beispiel: auf einem Microsoft Windows Laptop können sie Windows Hello als Passkey verwenden oder Sie scannen mit Ihrem iPhone einen QR-Code ein.
2) Authentifizierung
Beim Einloggen wird von nun an der registrierte Passkey abgefragt. In den vorherigen Beispielen bedeutet das, dass sie Windows Hello Ihr Gesicht präsentieren, oder auf Ihrem iPhone die Authentifizierungsanfrage bestätigen. Im Beispiel-Screenshot unten sehen Sie die Passkey-Abfrage, wie sie mit 1Password funktioniert.
Passwort Manager – Runde zwei
Auch Passwort Manager können zur Erstellung von Passkeys verwendet werden. Bei installiertem Bitwarden oder 1Password als Browsererweiterung, erscheint die Option einen Passkey zu erstellen automatisch.
Das Geheimnis
Der Passkey ist also ein Geheimnis, welches nur Sie lesen können, und mit welchem Sie sich bei einem Dienst identifizieren. Eine zentrale Frage dabei ist: wo ist dieses Geheimnis gespeichert? Dies entscheidet darüber, von welchen Geräten aus Sie sich authentifizieren können und was bei einem Geräteverlust passiert.
Stellen Sie deswegen sicher, dass Sie bei der Registrierung eines Passkeys eine Ihren Kriterien entsprechende Auswahl treffen.
Wenn der Passkey bei einem online Passwortdienst gespeichert ist, kann der Passkey von verschiedenen Geräten verwendet werden. Wenn der Passkey lokal auf einem Gerät gespeichert ist, kann auf den Passkey nur von diesem Gerät zugegriffen werden. In diesem Fall besteht das Risiko des Verlusts des Kontozugriffs bei einem verlorenen oder beschädigten Gerät.
Die gleiche Gefahr besteht auch beim Einsatz von Hardwareschlüsseln als Passkeys. In diesen Szenarien ist es wichtig, als Backup mehrere Passkeys zu registrieren, was uns zum nächsten Thema bringt.
Multi-Faktor Authentifizierung (MFA)
Viele Dienste erlauben das Registrieren von mehreren Faktoren, welche austauschbar verwendet werden können. In der swisspeers App können Sie unter Ihren 2FA Einstellungen jederzeit weitere Faktoren hinzufügen.
Passwort Adieu? – Passwordless!
Passkeys sind so konzipiert, dass sie nicht nur als zweite Faktoren verwendet werden, sondern Passwörter gänzlich ersetzen können. Das alleinige Vorweisen eines Passkeys genügt als vollständiger Identitätsnachweis, da der Zugriff auf sie bereits einen weiteren Faktor voraussetzt.
Wir planen das passwortlose Einloggen auch in der swisspeers App zu unterstützen und werden davon berichten.
Fazit
Wer sein Konto sicher haben will, sollte nicht auf 2-Faktor Authentifizierung verzichten. Passkeys sind dabei die modernste und vielfältigste Variante. Die swisspeers App unterstützt diese bereits heute. Achten Sie darauf, dass Ihr zweiter Faktor entweder bei einem Anbieter gespeichert ist, oder registrieren einen weiteren Schlüssel als Backup.
Haben Sie die 2-Faktor Authentifizierung in Ihrem swisspeers Account aktiviert?
Stellen Sie sicher, dass Ihr swisspeers Account optimal geschützt ist. Prüfen und aktivieren Sie die 2-Faktor Authentifizierung über diesen Link.
