In vielen Unternehmen begegnen wir regelmäßig Fällen von Phishing. Ein typisches Szenario: Ein Mitarbeiter erhält eine täuschend echt aussehende E-Mail und klickt auf einen darin enthaltenen Link. Daraufhin öffnet sich eine Webseite, auf der er seine Zugangsdaten eingibt, möglicherweise sogar einen zusätzlichen Authentifizierungscode. Ohne es zu merken, landen diese Daten direkt in den Händen eines Angreifers. Dies kann erhebliche Folgen haben – vom Versenden weiterer Phishing-Mails über den Zugriff auf sensible Daten bis hin zu Datenverschlüsselung und -erpressung. Obwohl Schulungen die Sensibilität für Phishing erhöhen können, bleibt der menschliche Faktor und somit das Risiko bestehen.
Passwort vs. Passkey
Traditionell erfolgt die Authentifizierung über Benutzernamen und Passwörter. Diese Methode bedingt die Speicherung und Verwaltung von Passwörtern, die regelmäßig Zielscheibe von Angriffen ist. Selbst die Verwendung von Multi-Faktor-Authentifizierung (MFA) schützt nicht vollkommen, insbesondere wenn SMS- oder E-Mail-basierte Methoden eingesetzt werden, die abgefangen werden können.
Der “Passkey” bietet hier eine vielversprechende Alternative. Anstelle von Passwörtern nutzt diese Methode ein kryptographisches Schlüsselpaar – einen öffentlichen und einen privaten Schlüssel. Der öffentliche Schlüssel wird auf dem Server gespeichert, während der private Schlüssel sicher auf dem Gerät des Nutzers verbleibt. Mithilfe des privaten Schlüssels generiert der Nutzer eine eindeutige Signatur, die mit dem öffentlichen Schlüssel verifiziert wird. Der private Schlüssel verlässt das Gerät nie, wodurch Phishing-Angriffe erheblich erschwert werden, da keine ausspähbaren Zugangsdaten übermittelt werden.
Der Unterschied zwischen Passkey und Hardware-Token
Es ist wichtig, zwischen “Passkey” und “Hardware-Token” zu unterscheiden. Ein Passkey ist im Wesentlichen eine softwarebasierte Lösung für passwortlose Authentifizierung. Diese kann auf Hardware-Token gespeichert werden, muss aber nicht zwingend. Passkeys können auch in Diensten wie Windows Hello konfiguriert und mit biometrischen Daten oder PINs gesichert werden.
Ein “Hardware-Token” oder “Hardware Key” hingegen ist ein physisches Gerät, oft in Form eines USB-Sticks, welches zusätzlich zu Passkeys als zweiter Authentifizierungsfaktor eingesetzt wird. Die Kombination von Passkey und Hardware-Token erhöht die Sicherheit noch weiter und bietet eine robuste Zugangslösung.
Die Vorteile und Grenzen der Passkey-Implementierung
Der Einsatz von Passkeys bringt erhebliche Vorteile in puncto Benutzerfreundlichkeit und Sicherheit. Anstelle zahlreicher Passwörter muss sich der Nutzer lediglich eine PIN oder ein biometrisches Merkmal merken. Dies reduziert die Wahrscheinlichkeit menschlicher Fehler erheblich. Zudem ist der Diebstahl des privaten Schlüssels ohne physischen Zugriff nahezu unmöglich.
Allerdings bleiben auch bei der Verwendung von Passkeys gewisse Risiken bestehen. Ein Beispiel ist die potenzielle Anfälligkeit von Passwortmanagern oder Cloud-Speichern für Angriffe, wenn Passkeys darin gespeichert werden. Dennoch stellen Passkeys einen signifikanten Fortschritt dar und bieten eine höhere Sicherheit als herkömmliche Methoden.
Fazit: Ein Schritt in die richtige Richtung
Passkeys können Phishing-Angriffe nicht vollständig eliminieren, aber sie stellen einen großen Schritt hin zu sichererer und benutzerfreundlicherer Authentifizierung dar. Die Integration von Passkeys erhöht die Sicherheit erheblich und erleichtert gleichzeitig die Handhabung für den Nutzer. Auch Unternehmen sollten erwägen, auf diese Technologie umzusteigen, um ihre Sicherheitsstandards zu erhöhen und ihre Mitarbeiter besser zu schützen.
Obwohl nicht jede Plattform Passkeys bereits unterstützt, ist die Kompatibilität auf dem Vormarsch, und es ist zu erwarten, dass diese Methode in Zukunft immer verbreiteter wird. Unternehmen, die auf höchste Sicherheitsstandards setzen, werden von der Implementierung dieser Technologie langfristig profitieren.