Abschaffung der Passwörter: Google will FIDO-Identität Ende-zu-Ende sichern

Inhaltsverzeichnis

Zukünftig soll es möglich sein, sich von all seinen Geräten aus sicher und ohne Passwort bei Online-Diensten anzumelden, verspricht die Allianz für Fast IDentity Online (FIDO). Bei der Synchronisierung der FIDO-Identitäten über die Cloud zeichnet sich jetzt ein Paradigmenwechsel ab: Die könnte nämlich Ende-zu-Ende-verschlüsselt erfolgen – also, ohne dass die Cloud-Betreiber Zugriff darauf erhalten. Dazu hat sich nach Apple überraschend jetzt auch Google committet.

Die FIDO hat ein technisch ausgefeiltes Konzept zur Anmeldung bei Internet-Diensten auf Basis von asymmetrischer Kryptografie und Challenge-Response-Verfahren entworfen, das deutlich sicherer als Passwörter und noch dazu komfortabel ist. Um tatsächlich Passwörter ablösen zu können, will man, dass der Anwender zukünftig seine FIDO-Identität auf all seinen Geräten nutzen kann – auf dem Smartphone genauso wie auf dem PC. Dazu muss ein geheimer Schlüssel auf all diese Geräte verteilt werden, was gemäß FIDO über die Infrastruktur der großen Plattform-Provider – also primär Google, Apple und Microsoft geschehen soll. Alle drei haben sich auch bereits dazu bekannt, das umzusetzen.

Wer liest alles mit?

Eine entscheidende Frage dabei ist, ob das auf eine Art und Weise passiert, bei der die Konzerne Zugriff auf diese Geheimnisse bekommen. Immerhin sollen diese FIDO-Keys zukünftig die Identität der Benutzer definieren und Zugriff auf all deren Konten gewähren. Die FIDO macht da keine Vorgaben, sondern überlässt das komplett den Plattformanbietern. "Zurzeit haben wir keine spezielle Kennzeichnung dafür geplant, wie Geräte- und Cloud-Plattformen Passkey implementieren" erklärte Andrew Shikiar, Executive Director der FIDO Alliance auf unsere Frage, ob das denn für Anwender erkennbar sein werde.

Und zumindest Microsoft und Google speicherten Passwörter bislang bevorzugt so, dass sie selbst diese ebenfalls im Zugriff hatten. Sie argumentierten sogar, das sei im Interesse ihrer Kunden. Lediglich Apple wählte einen anderen Weg, der sicherstellte, dass tatsächlich nur die Anwender selbst Zugriff auf die eigenen Passwörter haben.

Apple legt vor

Und Apple war Anfang Juni auch der Erste, der ein schlüssiges Konzept für seine FIDO-Umsetzung mit Passkeys und Cloud-Synchronisierung vorgelegt hat. Darin heißt es:

Passkeys sync across a user's devices using iCloud Keychain

... iCloud Keychain is end-to-end encrypted with strong cryptographic keys not known to Apple and rate limited to help prevent brute-force attacks even from a privileged position on the cloud backend ...

Die geheimen FIDO-Keys landen also in der iCloud; sie sind dabei aber so verschlüsselt, dass Apple keinen Zugriff darauf hat. Apple spricht dabei von Ende-zu-Ende-Verschlüsselung, wobei die End-Geräte mit dem Klartext immer im Besitz des Anwenders sind. Auf diese Art und Weise sichert Apple bereits seit geraumer Zeit besonders sensible Daten wie Passwörter seiner Kunden in der iCloud.

2. Akt: Google

Die große Überraschung folgte auf unser Nachbohren bei Google, wie man es denn mit Sicherheit und Privatsphäre der FIDO-Keys halten werde. Denn auch Google setzt dabei auf Ende-zu-Ende-Verschlüsselung: "Googles Synchronisierung von FIDO-Keys wird ähnlich wie die von Apple Ende-zu-Ende-verschlüsselt sein", erklärte Christian Braand, Product Manager für Identity und Security bei Google und Co-Chair der FIDO Technical Working Group gegenüber heise Security.

Das ist ein großer und keineswegs selbstverständlicher Schritt. Denn bisher speicherte Google etwa in Chrome Passwörter der Anwender ganz selbstverständlich und standardmäßig ohne solchen Schutz in der Google-Cloud. Wenn zwei von drei großen Playern Ende-zu-Ende-Verschlüsselung favorisieren, könnte sich diese als De-facto-Standard etablieren.

Vorhang auf für Microsoft

Natürlich fragten wir auch bei Microsoft nach, wie dort die Synchronisierung respektive Speicherung der FIDO-Keys erfolgen soll. Doch sowohl von den aktiven Mitgliedern in der FIDO-Allianz als auch über die Microsoft-Pressestelle erreichte uns die gleiche Botschaft: "Dazu können wir uns derzeit nicht äußern."

Ich interpretiere auch das als gute Nachricht. Denn bisher nutzte Microsoft solche Gelegenheiten eigentlich immer, um weitschweifig zu erklären, wie viel man für die Sicherheit seiner Kunden und deren Daten tue; schlussendlich sei es nur im Sinne der Anwender, wenn man deren Daten auch nach einem Verlust aller Geräte wiederherstellen könne.

Vorsichtig optimistisch

Dass man auf diesen Sermon im aktuellen Fall verzichtet, lässt Hoffnung keimen, dass auch in Redmond ein Kurswechsel in Bezug auf Ende-zu-Ende-Verschlüsselung zumindest diskutiert wird und nur noch nicht spruchreif ist. Immerhin demonstrieren ja Apple und Google, dass das kundenfreundlich möglich wäre – inklusive der Wiederherstellung beim Verlust der Geräte. Und bei den wichtigen Themen Sicherheit und Privatsphäre so offensichtlich hinter die Standards der Konkurrenz zurückzufallen, würde Microsofts Position im immer noch heiß umkämpften Wachstumsmarkt Cloud deutlich schwächen.

Es sieht damit also so aus, als könnte sich die Ende-zu-Ende-Verschlüsselung von FIDO-Keys tatsächlich als De-Facto-Standard etablieren. Vielleicht ist das jedoch auch zu optimistisch und Microsoft scheut doch davor zurück, mit den FIDO-Keys ein Exempel zu statuieren, an dem man sie natürlich auch für Passwörter und andere sensible Informationen messen wird. Spätestens die konkreten Umsetzungen der FIDO-Pläne werden zeigen, wie sich Microsoft da entscheidet.

Wann das alles konkret umgesetzt und für den Anwender praktisch nutzbar sein wird, ist allerdings aktuell noch nicht klar. Apple wird vermutlich seine Passkey-Infrastruktur mit den nächsten Versionen von macOS und iOS ausrollen; von Google und Microsoft war dazu bislang noch nichts zu erfahren.

(ju)