Passkey-Technologie ist elegant, aber keine nutzbare Sicherheit

 (arstechnica.com)
6 Punkte von GN⁺ 2024-12-31 | 2 Kommentare | Auf WhatsApp teilen
  • Eine Technologie, die noch nicht reif für die Primetime ist: Passkey-Technologie ist elegant, bietet in der Praxis aber zu wenig nutzbare Sicherheit
  • Sie gilt als vielversprechende Alternative zu Passwörtern und als starke Abwehr gegen Phishing und Datenbank-Hacks
  • Die Spezifikationen FIDO2 und WebAuthn sind elegant, doch die User Experience bleibt weiterhin komplex
    • Hunderte von Websites sowie die wichtigsten Betriebssysteme und Browser unterstützen Passkeys, aber plattformspezifische Implementierungen und inkonsistente Workflows verschlechtern die Nutzbarkeit
    • So unterscheidet sich etwa selbst auf derselben Website das Login-Erlebnis zwischen iOS und Android, und manche Browser unterstützen es überhaupt nicht
    • Jede Plattform drängt ihre eigene Option zur Passkey-Synchronisierung auf und erschwert es Nutzern, andere Optionen zu wählen
    • Passkey-Implementierungen sollten so gestaltet sein, dass Nutzer sie problemlos verwenden können, doch derzeit ist das nicht der Fall
  • Die Synchronisierung von Passkeys über Sicherheitsmanager wie 1Password kann das Problem lösen, schwächt aber den eigentlichen Vorteil von Passkeys ab: das Ziel einer passwortlosen Authentifizierung
    • Außerdem verwendet die Mehrheit der Nutzer weiterhin keinen Passwort-Manager
  • Unter den Websites, die Passkeys unterstützen, gibt es keine, die Passwörter vollständig abgeschafft hat
    • SMS-basierte MFA bleibt weiterhin anfällig und untergräbt die Sicherheit von Passkeys
  • Im Unternehmensumfeld können Passkeys eine Alternative zu Passwörtern und Authenticatoren sein

Vorschläge

  • Sicherheitsmanager verwenden: Passkeys mit Tools wie 1Password synchronisieren und MFA aktivieren, um die Sicherheit zu erhöhen
  • MFA priorisieren: Wenn möglich, Sicherheitsschlüssel oder Authenticator-Apps nutzen, um Multi-Faktor-Authentifizierung zu aktivieren
  • Einführung von Passkeys prüfen: Passkeys sind langfristig vielversprechend, aber derzeit bleiben Passwörter und Sicherheitsmanager weiterhin unverzichtbar

Fazit

  • Passkeys haben großes Potenzial, die Sicherheitsprobleme von Passwörtern zu lösen, sind zum jetzigen Zeitpunkt wegen technischer Einschränkungen und Usability-Problemen jedoch keine perfekte Alternative
  • Künftige Verbesserungen sind sehr wahrscheinlich, aber derzeit ist es am sinnvollsten, bestehende Authentifizierungsmethoden parallel weiterzuverwenden.

Verwandte Beiträge

2 Kommentare

 
ndrgrd 2025-01-03

Ich speichere meine Passkeys auch in Bitwarden und nutze sie dort.
Wenn man sieht, dass man jeden einzelnen Namen registrieren kann, scheint es keine Technologie zu sein, die dafür gedacht ist, nur einen einzigen Passkey zu erstellen, ihn zu synchronisieren und zu verwenden. Eher wirkt es so, als sei sie dazu gedacht, für jedes Gerät jeweils einen eigenen zu erstellen — aber ehrlich gesagt ist das lästig.
 
GN⁺ 2024-12-31
Hacker-News-Kommentare

  • In einem Paralleluniversum gibt es ein Gesetz, das alle Hersteller von Computergeräten dazu verpflichtet, einen Speicher bereitzustellen, in den Nutzer ihre Sicherheitsanmeldedaten einstecken können. Der aktuelle Passkey-Ansatz basiert auf einem imaginären Modell, in dem Nutzer vollständig in ein einziges Ökosystem eintauchen.

  • Passkeys sollten ursprünglich auf die von Yubico gewünschte Weise mittels Hardware-Schlüsseln zur Authentifizierung verwendet werden, aber Apple, Google und Microsoft bevorzugen eine magische Authentifizierung über das OS.

  • OS-Anbieter möchten nicht, dass Nutzer nicht-OS-Software oder -Hardware verwenden, und lenken sie stattdessen zu Cloud-basierten Passkeys.

  • Der ideale zukünftige Zustand wäre, im Browser-Setting den Anbieter neu registrierter Anmeldedaten auswählen zu können.

  • TOTP hat ein ähnliches Problem, und viele Passkey-Speicher erlauben keinen Export. Bitwarden ist eine Ausnahme und kann Passkeys exportieren.

  • Der Übergang von Passwörtern zu Passkeys ist eine große Veränderung im modernen Internet-Sicherheitsmodell, und es ist nur natürlich, dass die Menschen vorsichtig sind und die Meinungen auseinandergehen.

  • Als einer der wenigen Nutzer, die Passkeys mögen, erstelle ich Passkeys in iCloud Keychain und 1Password. Ich denke, wir brauchen bessere Export-/Importfunktionen.

  • Passkeys sind unsichtbare Blackboxes, und normale Nutzer können sie nicht sichern. Die Implementierung ist unfertig und die Angriffsfläche größer.

  • Fido hat unzureichende Unterstützung durch Websites/Frameworks/Bibliotheken, und ich halte Passkeys für ein gescheitertes Produkt. Wegen der Probleme bei der Nutzbarkeit kann ich Passkeys nicht vertrauen.

  • Als technikaffiner Nutzer habe ich die Nutzung von Google beendet, weil Passkey-authentifizierte Sitzungen zu kurz sind. Es ist lästig, sich häufig erneut authentifizieren zu müssen.