Kommentar: Passkeys sind toll fürs Internet – und schwierig in Unternehmen

Passkeys sind in aller Munde. Apple startet direkt durch mit tiefer Integration in die Keychain, Anbieter wie 1Password und BitWarden liefern sich ein Kopf-an-Kopf-Rennen: Wer erlaubt zuerst die Anmeldung mit der neuen Hype-Authentifizierungslösung und wer das Managen weiterer Secrets? Selbst auf dem Chaos Communication Camp waren Passkeys Thema.

Ein Kommentar von Janis König

Janis König wollte eigentlich Software-Archäologin werden. Bei intcube verwirklicht sie nun ihre Begeisterung für Kryptographie, gute Prozesse und Softwarearchitektur. Für die iX schreibt sie über ihre Vorstellungen für eine bessere Informationssicherheit.

Während Passkeys definitiv eine Revolution in unserem Umgang mit Anmeldeverfahren darstellen, steckt technisch nicht viel Neues dahinter – aber darum soll es heute nicht gehen, das haben wir in iX 3/2023 beschrieben. Passkeys sind toll und für viele Anwendungsfälle eine Verbesserung der Sicherheit. Die Authentifizierung bei Onlinediensten ohne Passwörter ist ein ehrenhaftes Ziel, das Passkeys wunderbar erfüllen. Aber nicht alles ist ein Website-Log-in.

Die Übermittlung ist der Schwachpunkt

Eigentlich geht es nicht primär darum, Passwörter abzuschaffen, sondern um die meistbenutzte passwortbasierte Authentifizierungsmethode: das Übermitteln des Passworts, gefolgt vom Abgleich mit einem hinterlegten Hash. Diese Authentifizierung lässt sich angreifen. Bei der Übertragung (Man in the Middle, Phishing), durch das Cracken von Hashes (MD5, NTLM, kein Salt oder erst gar kein echter Hash), Konfigurationsfehler (Passwörter Logs oder im Speicher) und mit Angriffen gegen Menschen (Social Engineering, mehrfach genutzte, unsichere Passwörter). Dagegen schützen FIDO-Token (Hardware- oder Software-Passkey) wirklich prima!

Passwörter, die nicht in diesem Kontext benutzt werden, sind von der Revolution ausgespart. Sie erfüllen weiterhin ihren Zweck, um die eigene Passwort-, ich meine Passkey-Wallet zu entschlüsseln, zur Festplattenverschlüsselung beziehungsweise als PIN für das genutzte TPM oder zum Einloggen in einen lokalen Account auf dem PC.

Das Schlüsselwort hier ist "Entschlüsselung": In diesen Kontexten wird aus dem Passwort mit einer Key Derivation Function der Schlüssel abgeleitet, der es möglich macht, die jeweiligen Daten zu entschlüsseln. Diese gesamte Operation läuft lokal auf dem Rechner der Person. Es wird kein Passwort an einen Server geschickt. Wir müssen nicht darauf vertrauen, dass dieser tatsächlich nur den Hash speichert.

Der Haken für Unternehmen

Die gute Nachricht: Diese Passwörter sind deutlich geringerer Gefahr ausgesetzt. Doch alles hat einen Haken: In vielen Unternehmen ist es gängig, Passwörter unterschiedlicher Dienste automatisch zu synchronisieren. So wird aus einem lokalen Passwort für den eigenen User und die Keychain auch das Passwort fürs Active Directory oder den Entra-ID-/Microsoft-Account. Das bedeutet vor allem eins: Hier werden – richtig! – Passwort-Hashes durch den Äther gepustet. Wenn das dann auch noch schwache NTLM-Hashes sind, ist die Sicherheit schnell futsch und die Passkey-Wallet gleich mit.

Es gibt also weiterhin Fallstricke: Beim Roll-out des Identity-Management-Systems bitte überdenken, ob man Passwörter, die als Eingabe für eine KDF benutzt werden, wirklich synchronisieren will.

(ur)