Drei Fragen und Antworten: Passwörter sind veraltet und Passkeys die Zukunft
Sie sind genervt von zu komplizierten Passwörtern und Zugangscodes auf dem Smartphone? Zu Recht – und unsicher ist die Methode auch. Passkeys sind besser.
Passwörter und das Handy als zweiter Faktor – das ist die Sicherheitsrealität für die meisten Nutzer. Dabei ist diese Methode nicht nur umständlich, sondern auch anfällig für Phishing-Angriffe. In jeder Hinsicht besser funktionieren Passkeys und FIDO2-Sticks. Im Interview zur neuen iX erklärt Titelautor Jürgen Seeger, warum auch Sie jetzt umsteigen sollten.
Passwörter und die Multifaktor-Authentifizierung gibt es doch schon ewig. Warum haben sie sich trotzdem nicht bewährt?
Da sich niemand für jeden Account ein unterschiedliches Passwort merken kann und will, wird mit Passwörtern meist schludrig umgegangen: Sie sind zu einfach, werden gern mehrfach benutzt, ungeschützt aufbewahrt. Darum sind sie oft leicht zu erraten. Zudem können sie abgefangen oder bei einem Servereinbruch gestohlen werden.
Gescheitert ist die breite Nutzung von 2FA, weil zu viele Benutzer eine weitere Abfrage als zu umständlich ansehen. Die FIDO2-Erweiterung Passkey dagegen ermöglicht das Übertragen der Authentisierungsdaten zwischen Apple, Google und Microsoft. Und auch ohne Passkey muss man sich mit FIDO2 weder Benutzernamen noch Passwort merken – das kennt alles ein Authenticator auf dem Token, dem Smartphone oder dem PC.
An ein Handy als zweiten Faktor haben sich aber viele schon gewöhnt. Wieso ist ein FIDO2-Token besser?
Sowohl mit einem Token, einem Smartphone oder einem PC mit Trusted Platform Module (TPM) ist erst einmal die Nutzung von FIDO2 entscheidend, weil so bei der Authentifizierung auch die Identität des Servers geprüft wird und der Benutzer sich kein Passwort merken muss. Token sind theoretisch weniger angreifbar als Smartphones oder PCs. Zudem können Firmen durch die Ausgabe eigener Token leicht die Hoheit über den Zugang zur Firmen-IT kontrollieren.
Wie unterscheiden sich Token und welche eignen sich für wen?
Es gibt Token für USB-A- und -C-Ports, Token mit NFC-Connectivity und Token mit Displays zum Ablesen von Einmal-Passwörtern. Manche verfügen auch über einen integrierten Fingerabdruckscanner. USB- und NFC-Token sind bequemer in der Bedienung. Wichtig ist die FIDO2-Kompatibilität, für die meisten Benutzer ist auch das Zusammenspiel mit Microsoft Azure entscheidend. Wer ganz sichergehen will, achtet auf eine FIPS-Zertifizierung, die Zulassung für den Einsatz beim Verkehr mit US-Behörden. Einige Token können auch PGP-Schlüssel und CERT-Zertifikate sicher aufbewahren.
Viele Hintergründe zur Zugangssicherheit mit 2FA, MFA und FIDO2 sowie einen Vergleichstest von vier FIDO2-Token für den USB-Port finden sich in der neuen März-iX.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vor dem PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gern kurz und knackig lesen? Dann schreiben Sie uns oder hinterlassen Sie einen Kommentar im Forum.
(fo)
