So katapultieren uns FIDO Passkeys in eine passwortlose Zukunft

Passwörter gibt es seit den ersten Tagen der Computer und auch heute sind sich noch das wichtigste Mittel zum Schutz eines großen Teils unserer Infrastruktur. Obwohl sie die gängigste Sicherheitsmethode darstellen, sind digitale Passwörter prinzipiell problematisch und das wird sich auch mit dem technologischen Fortschritt nicht ändern.

Warum ist das so?

Passwörter basieren auf Wissen, d.h. sie können leicht erraten oder gestohlen werden. Außerdem sind sie ein Ärgernis für die Nutzer und können sich negativ auf die Mitarbeiterproduktivität, die Kundenzufriedenheit und letztendlich auf den Umsatz auswirken.

Lässt sich dies mit der Tatsache vereinbaren, dass Passwörter – trotz ihrer Schwächen – die einzige, in dieser Gesellschaft etablierte digitale Sicherheitslösung darstellen?

Gute Frage. Die Antwort ist der Wechsel zu einer passwortlosen Anmeldung, ein Weg, den mehrere führende Unternehmen der Branche mit FIDO Passkeys verfolgen. 

Eine der populärsten und modernsten Entwicklungen im Bereich der passwortlosen Kommunikation ist FIDO (Fast Identity Online). FIDO ist ein offener Standard, der es Nutzern ermöglicht, sich über eine hochsichere kryptografische Anmeldung zu authentifizieren, die gegen Phishing immun ist und sich einfach implementieren lässt. FIDO2 ist das derzeit neueste Protokoll und nutzt die physischen Geräte der Benutzer, um Anmeldeinformationen lokal auf abgesicherter Hardware zu speichern und Authentifizierungs-Anfragen (Challenges) zu signieren.

Die gemeinschaftliche Bekanntmachung von Apple, Google und Microsoft, passwortlose Lösungen zu unterstützen, ist ein klares Statement für FIDO als neuer Standard und ein Weg in die passwortlose Zukunft. Mit Passkeys lassen sich die meisten Hindernisse bei der Einführung von FIDO überwinden, weil sie es (1.) den Nutzern ermöglichen, sich einmalig bei FIDO zu registrieren und den Berechtigungsnachweis von Gerät zu Gerät über dieselbe Plattform weiterzureichen, und (2.) in der Lage sind, bei einer Plattform registrierte FIDO Geräte für die Authentifizierung zu nutzen, wenn sie sich von einer anderen Plattform aus anmelden.

Der Weg dahin bot einige Herausforderungen. Wir wollen ein paar Schritte zurückgehen, um ihn näher zu betrachten.

Anfangsprobleme mit FIDO

FIDO ist eine kryptografische Lösung, die sowohl an Domänen als auch an Hardware gebunden ist, und genießt daher den Ruf eines äußerst sicheren und empfehlenswerten Verfahrens für das Identitäts- und Zugriffsmanagement (IAM).

Wie innovativ FIDO auch sein mag (vor allem im Vergleich zur bekannten Verwendung von Passwörtern), so musste FIDO doch einige anfängliche Rückschläge hinnehmen. Diese mussten zunächst abgefedert werden, damit Großunternehmen wie Apple, Google und Microsoft soweit kamen wie jetzt und mit der Ankündigung der passwortlosen bzw. der FIDO Passkeys neue Maßstäbe setzen.

Hier sind einige dieser Rückschläge:

Registrierung und Benutzerfreundlichkeit

Eines der anfänglichen Probleme von FIDO bestand darin, dass bei der Erstregistrierung schwächere Authentifizierungsmechanismen (wie Passwörter) zum Einsatz kamen. Wer zum ersten Mal ein Gerät bei der FIDO Plattform registrieren wollte, musste seine Benutzerauthentifizierung an diese Plattform auf diesem Gerät binden. 

Zur Anmeldung von einem anderen eigenen Plattformgerät aus musste man sich zunächst mit einer alternativen Methode authentifizieren (und das war wahrscheinlich wieder ein Passwort), bevor die Website oder Anwendung den Zugang gewährte. Anschließend musste man mit gewährtem Zugriff auch dieses neue Gerät registrieren, um FIDO darauf nutzen zu können. Dieser Vorgang wiederholte sich für jedes der Geräte, die für den Zugriff verwendet wurden.

Es ist unschwer zu erkennen, wie mühselig das Herstellen von Benutzerfreundlichkeit war, daher waren die Unternehmen nicht ohne Weiteres bereit, die traditionellen Passwörter und vertrauten Anmeldeerfahrungen (trotz der schwächeren Authentifizierungsmethode) für etwas aufzugeben, das nur eine geringfügige Verbesserung darstellte.

Fehlschlag bei der vollständigen Abschaffung von Passwörtern

Angesichts der Probleme mit der Registrierung, war FIDO nur in einem einzigen Fall wirklich sinnvoll. Um mit FIDO das Ziel der vollständigen Abschaffung von Passwörtern und der Beseitigung von Bedrohungen durch gängige Passwortattacken realisieren zu können, musste es als primäre und einzige Methode zur Authentifizierung von Benutzern eingeführt werden. Anders gesagt führte die fortbestehende Kombination mit den traditionellen Passwort-Anmeldemethoden zu dem Dilemma, dass FIDO letztendlich sein Versprechen der passwortlosen Anmeldung nicht einlösen konnte.

Kontowiederherstellung

Darüber hinaus brachte die gescheiterte Abschaffung von Passwörtern schließlich zu Problemen mit der Wiederherstellung. Unternehmen, die sich für den oben beschriebenen Weg entschieden haben und ausschließlich FIDO als Authentifizierungsmethode für Benutzer festlegten, sahen sich mit Problemen bei der Wiederherstellung von Benutzerkonten konfrontiert. Diese Probleme waren auf die bereits erwähnten Mängel bei der Benutzerfreundlichkeit zurückzuführen, denn die Nutzer benötigten zum Wiederherstellen ihrer Konten folgerichtig immer Zugang zu mindestens zwei zuvor registrierten FIDO Geräten für den Fall, dass sie eines davon verlieren. 

Ohne das einzige mit FIDO registrierte Gerät, an das ihre Identitäten gebunden sind, wäre ein Zugriff auf ihre Konten ausgeschlossen gewesen. 

Zögerliche Einführung

Wie Sie bereits sehen können, kam FIDO mit einer Vielzahl von Problemen daher. Angefangen mit der mangelnden Beseitigung von Reibung bei der Erstregistrierung, bis hin zu den Problemen bei der Wiederherstellung von Konten aufgrund der Notwendigkeit eines zusätzlichen FIDO Backup-Geräts als Fallback-Mechanismus (für den Fall, dass ein Benutzer sein FIDO fähiges Gerät verliert), war der Nutzen von FIDO für die Unternehmen und ihre Benutzer schwer zu erkennen. Dies erwies sich als wirksame Abschreckung gegen eine breitere Einführung von FIDO.

Die Probleme mit FIDO lagen zwar auf der Hand, aber es gab auch eine Lösung, um es zu verbessern und den Weg in eine passwortlose Zukunft fortzusetzen. 

Dies war der Moment der Einführung von FIDO Passkeys (bzw multi-device credentials), (zu Deutsch: digitale Nachweise für mehrere Geräte). Hierbei handelt es sich um verhaltensbasierte Ergänzung der FIDO-Spezifikation und -Implementierung. FIDO Passkeys bieten Nutzern eine effizientere Möglichkeit, ihre FIDO Geräte zu registrieren und sich bei der Ersteinrichtung für neue Standorte anzumelden. Darüber sind für FIDO Passkeys keinerlei lästigen Sicherungs- oder Wiederherstellungsprozesse notwendig. Die Geräte können einfach mit einem Cloud-Backup des Serviceproviders an- und abgemeldet werden.

Quelle: https://media.fidoalliance.org/wp-content/uploads/2022/03/How-FIDO-Addresses-a-Full-Range-of-Use-Cases-March24.pdf

Passkeys werden die Einführung von FIDO in Unternehmen ins Rollen bringen, da die technologischen Hürden niedriger sind. Außerdem sind die FIDO Credentials nicht länger an ein bestimmtes Gerät gebunden, sondern werden automatisch mit der Cloud synchronisiert. Auf diese Weise lassen sie sich auf mehreren Geräten, die ein Benutzer auf derselben Plattform besitzt, wiederverwenden. So vereinfachen und konsolidieren sie die Verfahren bei der Registrierung und Wiederherstellung von Konten.

Ein weiteres, über lange Zeit maßgebliches Hindernis bei der Einführung von FIDO kann mit Passkeys überwunden werden, da sie die Möglichkeit bieten, die Credentials übergreifend auf den Plattformen verschiedener Anbieter zu nutzen. Durch das Scannen eines QR-Codes auf einer Plattform können sich die Nutzer beispielsweise mit ihren vertrauenswürdigen Credentials einer anderen Plattform anmelden. Dies erfolgt über Bluetooth Proximity Checks, um die Authentifizierung weiter zu vereinfachen und die plattformübergreifende Interoperabilität zu verbessern. 

Das ist aber noch nicht alles. Die Einführung von FIDO und der Verzicht auf Passwörter als Ganzes ist eine Initiative, die von großen Technologieunternehmen vorangetrieben wird, und wir dürfen uns jetzt auf noch vielversprechendere Verbesserungen freuen. Einige davon werden voraussichtlich den Anforderungen verschiedener Marktsegmente Rechnung tragen. Andere sollen eine einfache, sichere und vertraute Benutzererfahrung ermöglichen, indem sie die FIDO-Authentifizierung mit digitalen Credentials in den Passwort-Manager des Browsers einbetten, so dass es für die Benutzer ein Leichtes sein wird, diese Authentifizierungsmethode zu nutzen.

FIDO Passkeys sind ein neuer und aufregender Schritt auf dem Weg in eine passwortlose Zukunft. Trotz der zahlreichen Vorteile, die sie bieten, sind Passkeys jedoch keine Wunderwaffe. Unternehmen sollten Folgendes beachten, bevor sie sich für die Einführung von Passkeys entscheiden:

1. Passkeys werden in der Cloud gespeichert und erfordern daher eine gründliche Überprüfung der Sicherheitskontrollen Ihrer Cloud.

    

2. Passkeys werden von einer Plattform verwaltet, die sie unterstützt, d.h. Google, Microsoft usw. Daher müssen Unternehmen damit einverstanden sein, dass Drittanbieter nicht nur eine aktive Rolle bei der Benutzerauthentifizierung spielen, sondern auch von den Nutzern verlangen, dass sie das Cloud-Backup auf ihren Geräten aktivieren.

    

3. Es werden nach wie vor FIDO-Server benötigt, um mit der Nutzung von Passkeys zu beginnen. Diese Server werden von keiner der unterstützenden Plattformen bereitgestellt.

Darüber hinaus sollten Unternehmen bei der Einführung von Passkeys (und FIDO im Allgemeinen) berücksichtigen, dass es sich bei FIDO um einen noch in der Entwicklung befindlichen Standard handelt, der derzeit auf verschiedenen Plattformen und in verschiedenen Browsern unterschiedlich ausgereift ist. Folglich sollten sich Unternehmen auf künftige Herausforderungen in puncto Support und Benutzerfreundlichkeit einstellen und in der Lage sein, sich entsprechend anzupassen.

Ping Identity ist Mitglied der FIDO-Allianz und bietet mit dem Management des gesamten Lebenszyklus der digitalen Identität erstklassige FIDO-Services für alle passwortlosen Anwendungsszenarien. Ping Identity unterstützt alle Anbieter von Betriebssystemen und Browser, die in der ersten Iteration von Passkeys angekündigt wurden. Ping Identity unterstützt über seine Orchestrierungsplattform PingOne DaVinci die Interoperabilität zwischen den Ökosystemen dieser verschiedenen Betriebssysteme und Browser. Darüber hinaus kann Ping durch die Passkeys seine Dienste auf einer breiteren und solideren Grundlage anbieten.

Ping Identity kann Unternehmen beim Einstieg in die passwortlose Anmeldung unterstützen, da es alle passwortlosen Anwendungsfälle für alle Identitätstypen abdeckt. Darüber hinaus kann Ping Identity durch die Nutzung von Passkeys die Identitätssicherheit durch Risiko- und Betrugsindikatoren weiter erhöhen. 

Weitere Informationen über Best Practices für den Einsatz von passwortlosen Lösungen in Ihrem Unternehmen, einschließlich FIDO2 und Passkeys, finden Sie in dem Artikel Die passwortlose Lösung von Ping Identity.