Aktuelles

Passwortfreier Login kommt!

Das passwortfreie Internet rückt in greifbare Nähe; die FIDO-Alliance, zu der Google, Microsoft und Apple gehören, führt den passwortfreien LogIn ein.

Susanne Breuer, 10. Mai 2022

Microsoft, Apple und Google wollen auf ihren Plattformen gemeinsam mit der FIDO-Alliance den Login mittels Passwort abschaffen und ab 2023 flächendeckend einen passwortfreien Login einführen.

Passwortgestützter LogIn zu sicherheitsanfälllig

Seit Jahren kündigen die Konzerne Verbesserungen bei der Legitimation für Internetdienste an, die für die Nutzer weniger sicherheitsanfällig sind. Passwort-Phishing, also das Erschleichen von Login-Daten, um damit Missbrauch zu betreiben, ist eines der größten Risiken für die Internetsicherheit. Der schnelle Klick auf einer vermeintlich seriös scheinenden Webseite oder einen Link in einer offiziell anmutenden Mail hat schon so manche Tür und manches Tor für Internetkriminalität geöffnet, wurden Identitäten geklaut oder Konten leergeräumt. Mimikama ist voll mit diesen Betrügereien.

Auch die Unart, bei der Erstellung von Passwörtern eher auf Faulheit (Passwort 12345) statt auf Sicherheit zu setzen, hat schon manchem Nutzer schweren Ärger und Vermögensverluste eingebracht. Der Blick auf die TopTen der beliebtesten und damit nicht nur gefährdetsten, sondern auch am meisten gehackten Passwörter liefert immer noch Highlights wie „Passwort“ oder „12345678“. Ganz offensichtlich stellen die Erstellung und der regelmäßigen Austausch von sicheren Passwörtern für die breite Bevölkerung eine kaum stemmbare Herausforderung dar.

Die FIDO-Alliance

Hier setzt die Fido-Alliance an (HIER). Die eigentliche Aufgabe der Absicherung der Nutzer-Konten wird aus den Händen der Nutzer genommen. Das bekannte Authentifizierungsverfahren mit Nutzernamen und Passwort pro Nutzerkonto wird abgeschafft werden.

Twitter

Mit dem Laden des Tweets akzeptieren Sie die Datenschutzerklärung von Twitter.
Mehr erfahren

Inhalt laden

Stattdessen setzt die Industrieallianz auf ein neues System namens „FIDO Passkey“ für eine Zukunft ohne Passwörter. Im Laufe des Jahres 2023 wird die Unterstützung des neuen Standards in allen Betriebssystemen und Browsern der beteiligten Konzerne integriert werden, also von Android über Windows, macOS, iOS und Chrome OS bis zu den Browsern Chrome, Safari und Edge. Damit ist ein Großteil der relevanten Plattformen abgedeckt.

Google und Microsoft sind bereits lange Teil der Industrieallianz und setzen die Technologie zur Authentifizierung schon punktuell in ihren Produkten ein. 2020 ist auch Apple zur Allianz hinzugestoßen und die drei Big Player arbeiten für plattformübergreifenden Lösungen zusammen.

So nutzt Microsoft den Standard FIDO 2 bereits in Windows Hello, in Windows 10 und in Android-Versionen 7 und neuer seit 2019. Apple hat Fido 2 mit iOS 14 und iPadOS 14 in Face- und Touch-ID integriert (HIER). Google nutzt diese Sicherheitskeys im Smartphone schon zum Login in den Google-Account. In Zukunft wird aber kein Passwort mehr notwendig sein und auch andere Webseiten adressiert werden (HIER).

Einfacherer und sicherer für die Nutzer

Die aktuelle Ankündigung stellt einen erheblichen Fortschritt für die Nutzer dar. Wurden bislang vereinzelte FIDO-Funktionalitäten bereitgestellt, war es bislang notwendig, sich zumindest ein einziges Mal in jeder Anwendung mit Passwort anzumelden, um dann auf den passwortfreien Login umsteigen zu können. Dies soll in Zukunft vorbei sein. Eine enorme Erleichterung für die Nutzer. Immer vorausgesetztm, alles funktioniert

In einer Mitteilung der FIDO-Alliance heißt es:

„Die Plattformen dieser Unternehmen unterstützen bereits die Standards der FIDO Alliance, um die passwortfreie Anmeldung auf Milliarden von branchenführenden Geräten zu ermöglichen. Bisherige Implementierungen erfordern jedoch, dass sich die Nutzer mit jedem Gerät bei jeder Website oder App anmelden müssen, bevor sie die passwortfreie Funktionalität nutzen können. Die heutige Ankündigung erweitert diese Plattformimplementierungen, um den Nutzern zwei neue Funktionen für nahtlose und sichere kennwortlose Anmeldungen zu bieten:

# Automatischer Zugriff auf die FIDO-Anmeldedaten (von manchen als „Passkey“ bezeichnet) auf vielen ihrer Geräte, auch auf neuen, ohne dass sie sich für jedes Konto neu anmelden müssen.

# Verwendung der FIDO-Authentifizierung auf ihrem Mobilgerät, um sich bei einer App oder Website auf einem Gerät in der Nähe anzumelden, unabhängig von der Betriebssystemplattform oder dem Browser, die sie verwenden.“

(HIER), Übersetzt mit www.DeepL.com/Translator (kostenlose Version)

Wie genau läuft der passwortfreie Login?

Was genau bedeutet der neue Standard für den Nutzer-Alltag? Bislang mussten sich Nutzer bei jedem Login, in jedem Shop, in jedem Online-Game oder wo auch immer Logins nötig sind, mühsam durch Eingabe ihres Nutzernamens und ihres Passwortes autorisieren. Oft wurde dies erleichtert durch integrierte Passwortmanager der Browser oder externe Anbieter wie Keypass oder Lastpass, die die Authentifizierung per Auto-Fill und Master-Passwort übernahmen oder zumindest eine Liste der ganzen bislang erstellten Logindaten verwalteten, in der Nutzer „schnell mal nachschauen“ konnten.

Ohne Smartphone geht nichts mehr!

In Zukunft spielt das Smartphone die zentrale Rolle! Vor dem LogIn auf einer Webseite oder in einer App von einem beliebigen Gerät aus müssen sich Nutzer zunächst am Smartphone per Fingerabdruck oder Gesichtserkennung authentifizieren. Durch diese Authentifizierung am Smartphone wird die Weitergabe eines sog. Passkeys, eines Passwortschlüssels, autorisiert, der auf der betreffenden angesteuerten Seite oder in der App automatisch generiert wird.

Komplett plattformübergreifend wird der Austausch der Passkeys dennoch zunächst nicht funktionieren. In einem ersten Schritt läuft der Austausch der Passkeys zunächst nur in den jeweiligen Ökosystemen. Unter Android erstellte Passkeys funktionieren auf einem Windows-Desktop, aber nicht auf einem iPad, Mac-Passkeys autorisieren auf dem iPhone, aber nicht auf einem Android-Smartphone. Die Synchronisierung soll in Zukunft aber plattformübergreifend stattfinden. Als Übergangslösung ist ein manueller Austausch via Bluetooth angedacht.

Technischer Hintergrund

Technisch gesehen handelt es sich bei dem neuen Standard um eine Weiterentwicklung bestehender Standards wie Webauthn und die Nutzung sicherer Hardware, wie sie mittlerweile in praktisch allen aktuellen Smartphones zu finden ist. Diese Umgebung wird oft „Secure Enclave“ genannt und wird schon jetzt bei Smartphones für Aufgaben genutzt, die sicherheitsrelevant sind. So verwenden diese Chips ein Betriebssystem, das üblicherweise komplett unabhängig ist. Dadurch ist eine strikte Trennung von Android, iOS und Co gegeben. (HIER).

Ein verlorenes Smartphone soll übrigens keine Katastrophe darstellen. Hierfür werden auch Lösungen bereitgestellt werden, die nur der autorisierten Person den LogIn ermöglichen.

Fazit

Ab 2023 will die FIDO-Alliance zusammen mit großen Internetkonzernen wie Google, Apple und Microsoft den passwortfreien Login einführen. Dann erfolgt die Anmeldung bei einer Webseite oder einer App über das Entsperren des Smartphones. Ein Passwort ist dabei nicht mehr notwendig. Ein sogenannter Passkey, ein FIDO-Berechtigungsnachweis, wird auf dem Smartphone abgelegt, der dann zum Entsperren der Online-Konten nicht nur auf dem Smartphone gilt, sondern auch auf anderen Geräten in der Nähe.

Das Verfahren hat den großen Vorteil, nicht anfällig für Phishing zu sein und sogar als sicherer als bereits existierende Zwei-Faktor-Authentifizierungen zu gelten. Damit würde ein großes Einfallstor für Internetkriminalität geschlossen werden.

Das könnte auch interessieren: Cyber-Straftaten: BKA verzeichnet neuen Höchstwert

Quelle: futurezone.de, FIDO-Alliance


Hinweis: Dieser Inhalt gibt den Stand der Dinge wieder, der zum Zeitpunkt der Veröffentlichung aktuell
war. Die Wiedergabe einzelner Bilder, Screenshots, Einbettungen oder Videosequenzen dient zur
Auseinandersetzung der Sache mit dem Thema.

  • Mit deiner Hilfe unterstützt du eine der wichtigsten unabhängigen Informationsquellen zum Thema Fake News und Verbraucherschutz im deutschsprachigen Raum. Ein unabhängiges und für jeden frei zugängliches Informationsmedium ist in Zeiten von Fake News, aber auch Message Control besonders wichtig. Wir sind seit 2011 bestrebt, allen Internetnutzern stets hochwertige Faktenchecks zu bieten.  Dies soll es auch langfristig bleiben. Dafür brauchen wir jetzt deine Unterstützung!

Mehr von Mimikama