„Wir haben den Wendepunkt gerade erreicht“
Andrew Shikiar, geschäftsführender Direktor der FIDO-Alliance, über die Erfolgsaussichten von Passkeys
Andrew Shikiar ist geschäftsführender Direktor der FIDO Alliance, die das Anmeldeverfahren Passkeys entwickelt hat. Im Interview mit c’t stellt er sich allen Fragen, die uns beim Testen kamen.
Um das Anmeldeverfahren Passkeys gab es in den vergangenen Monaten viel Wirbel. Die Betriebssysteme und Browser von Apple, Google und Microsoft unterstützen es seit einigen Monaten und große Webdienste springen so langsam auf den Zug auf. Wir haben mit Andrew Shikiar, Executive Director der FIDO Alliance, über Chancen und Herausforderungen des potenziellen Passwort-Nachfolgers gesprochen und nach Empfehlungen für Anwender und Dienstanbieter gefragt.
c’t: Sie sind Executive Director der FIDO Alliance. Was kann man sich darunter vorstellen?
Andrew Shikiar: Die FIDO Alliance ist ein Branchenverband mit über 300 Mitgliedern – Unternehmen, die sich an der Allianz beteiligen. Unsere Aufgabe ist es, offene Standards und Best Practices zu schaffen, um die Abhängigkeit von Passwörtern zu verringern und von wissensbasierter Authentifizierung zu besitzbasierter Authentifizierung überzugehen. Dafür spannen wir Geräte ein, die Sie wahrscheinlich den ganzen Tag über immer wieder in der Hand halten.
c’t: Besitzbasierte Authentifizierung gibt es mit dem FIDO-Standard ja schon länger. Wo ist der Unterschied zwischen der passwortlosen Anmeldung mit FIDO2 und Passkeys?
Shikiar: Passkey ist der verbrauchergerechte Begriff für die Anmeldung mit FIDO. Bei jedem passwortlosen FIDO-Login benutzen Sie im Grunde einen Passkey. Die FIDO-Standards sind seit mehreren Jahren auf dem Markt. In den vergangenen sieben oder acht Jahren haben Millionen Internetnutzer sie verwendet. Es gab nur nie einen gemeinsamen Begriff. Das ist einer der Gründe, warum wir das Konzept Passkeys eingeführt haben.
Der andere Grund ist, dass mit Passkeys eine fundamentale Neuerung einhergeht. Das Neue an Passkeys ist, dass sie die Möglichkeit bieten, den privaten Schlüssel über eine Herstellercloud zu synchronisieren, sodass Ihre Login-Daten automatisch auf jedem Ihrer Geräte verfügbar sind. Sie wissen, wie die zugrundeliegende Public-Private-Key-Kryptografie funktioniert?
c’t: Wenn man einen Benutzeraccount anlegt, wird ein Schlüsselpaar aus privatem und öffentlichem Schlüssel generiert. Beide werden benötigt, um die Authentifizierung durchzuführen. Der öffentliche Schlüssel wird auf dem Server des Webdienst-Betreibers abgelegt. Der private Schlüssel ist geheim. Er wird sicher auf dem Endgerät abgelegt und Ende-zu-Ende-verschlüsselt in der Herstellercloud gesichert, sodass niemand, nicht einmal der Hersteller selbst, ihn auslesen kann.
Shikiar: Genau darin besteht die Neuerung. Der ursprüngliche Ansatz des FIDO-Anmeldeverfahrens bestand immer darin, den privaten Schlüssel nur auf dem Endgerät zu sichern. Das gewährleistet ein sehr hohes Maß an Sicherheit. Das Problem war, dass dieses Modell bei den Verbrauchern nicht besonders gut skalierte. Man muss sich schließlich auf jedem Gerät einen eigenen FIDO-Login für jeden einzelnen Dienst anlegen. Hinzu kommt, dass diese Herangehensweise das Passwort weiterhin im Mittelpunkt hält, weil der Nutzer jedes Mal, wenn er den FIDO-Login auf einem neuen Gerät einrichtet, sein Passwort benötigt. Das behindert auf gewisse Weise unsere Mission, die Abhängigkeit vom Passwort zu reduzieren.
c’t: Passkeys sind deutlich sicherer, schützen vor Phishing und nehmen die Nutzer aus der Pflicht, sich für jeden Dienst ein sicheres Passwort auszudenken. Wir haben sie ausprobiert, auf verschiedenen Geräten in unterschiedlichen Szenarien. Solange wir etwa ausschließlich Apple-Geräte nutzten, war die Einrichtung und Nutzung auf verschiedenen Geräten tatsächlich nahtlos. Zwischen unterschiedlichen Geräten und Browsern lief es nicht ganz so glatt.
Shikiar: Man darf nicht vergessen, dass die Möglichkeit, die privaten Schlüssel zu synchronisieren, relativ neu ist. Seit Oktober 2022 sind Passkeys auf Apple-Geräten möglich, seit Anfang des Jahres unter Android. Diese Technologie ist gerade einmal sieben bis zehn Monate auf dem Markt. Eigentlich ist es wirklich einfach, einen Passkey zu erstellen. Sei es unter Android, iOS oder macOS. Und es gibt eingebaute, ökosystemübergreifende Abläufe.
c’t: Manche Browser unterstützen Passkeys, manche nicht. Auf dem iPhone kann man in Firefox einen Passkey anlegen und im iCloud-Schlüsselbund sichern, auf dem MacBook nicht. Da ist Verwirrung doch vorprogrammiert? Warum hat die FIDO nicht zuerst eine Implementierung herausgebracht, die unabhängig vom Betriebssystem oder Browser nahtlos synchronisiert und stattdessen Google, Microsoft und Apple zuerst ihre plattformspezifischen Implementierungen veröffentlichen lassen?
Shikiar: Ich glaube, so viel Verwirrung ist da gar nicht. Standards zu entwickeln, um eine neue Technik zur Marktreife zu bringen, ist immer eine Herausforderung. Wir haben die Standards entwickelt und den Betriebssystem-Herstellern quasi Herstellerrechte gegeben, Passkeys zu unterstützen. Im Moment sehen wir robuste Passkey-Unterstützung in den Betriebssystemen von Apple und Google für synchronisierbare Passkeys. Und auch unter Windows kann man Passkeys erstellen. Dass Sie das kompliziert fanden, ist wahrscheinlich mehr eine Frage des Timings als irgendetwas anderes. Wir sind sehr darauf bedacht, dass Passkeys so einfach zu nutzen sind wie irgend möglich. In die Optimierung der User Experience stecken wir viel Zeit und Geld. Erst letzten Monat haben wir UX-Richtlinien für die Implementierung des Passkey-Verfahrens veröffentlicht. Wir wollen schließlich, dass die Nutzer das neue Anmeldeverfahren annehmen.
c’t: Also wird es künftig möglich sein, Passkeys nahtlos zwischen Geräten, Browsern und Clouds verschiedener Hersteller zu synchronisieren?
Shikiar: Die Plattformen werden ihre Benutzerführung anhand des Marktfeedbacks weiter verbessern und anpassen. Wie Sie beim Testen festgestellt haben, funktioniert es bereits nahtlos zwischen Geräten desselben Ökosystems. Mein persönliches Setup besteht aus einem Windows-PC, einem iPad und einem iPhone, außerdem habe ich noch ein Android-Smartphone. Zwischen Apple-Geräten funktioniert die Synchronisation nahtlos. Im Google-Ökosystem auch. Windows unterstützt die Synchronisierung noch nicht, sie ist jedoch weniger wichtig, da die meisten Benutzer nur einen PC haben, der Passkey-Anmeldungen unterstützt. [Windows speichert die Passkeys im Trusted Platform Module (TPM) des Rechners, sichert sie aber derzeit nicht zusätzlich in der Cloud, Anm. d. Red.] Auf der anderen Seite: Wenn ich mich mit einem Passkey, der sich auf meinem iPhone befindet, unter Windows bei einem Dienst einloggen will, muss ich ja auch nur einen QR-Code scannen und bin drin.
Dieser Ablauf ist neu und ungewohnt, aber ich denke, das ist Teil des Nutzer-Onboardings. Wer die ökosystemübergreifende Anmeldung per QR-Code aus irgendeinem Grund nicht nutzen möchte oder kann, kann ja weiterhin für jeden Dienst und jedes Gerät einen eigenen Passkey erstellen. Auf gewisse Weise ist das zwar etwas, wovon wir mit den über die Cloud synchronisierten Passkeys wegkommen wollen – aber es ist grundsätzlich machbar.
c’t: Das klingt immer noch umständlich.
Shikiar: Die andere Option ist der Weg über einen Passwortmanager. Mit Dashlane oder 1Password können Verbraucher ihre Passkeys ökosystemübergreifend synchronisieren und verwalten. Eigentlich genau so, wie man bisher Passwörter geräteübergreifend verwaltet hat, mit dem Unterschied, dass es künftig Passkeys sein werden, die der Passwortmanager für einen verwaltet.
c’t: Angenommen, ich entscheide mich, einen Passwortmanager wie 1Password oder Dashlane mit der Verwaltung meiner Passkeys zu betrauen. Kann ich irgendwie sichergehen, dass meine privaten Keys dort sicher aufgehoben sind oder muss ich einfach darauf vertrauen?
Shikiar: Gute Frage – die Antwort ist ja. Es ist das Gleiche, wie wenn Sie einem Passwortmanager heute Ihre Passwörter anvertrauen. Wir sind gerade dabei, ein Zertifizierungsprogramm für Plattformen und Passwortmanager zu veröffentlichen, um sicherzustellen, dass sie ihre Clouds und die Passkeys der Nutzer ausreichend schützen. Als Passkeys erstmals auf den Markt kamen, hat Apple ein Statement veröffentlicht, in dem es um die Sicherheit von Passkeys geht. Darin steht etwa, dass die privaten Schlüssel Ende-zu-Ende verschlüsselt in der Cloud abgelegt werden und wie man Passkeys auf Apple-Geräten wiederherstellen kann. Sie haben absolut alle Schritte unternommen, um sicherzustellen, dass die Passkey-Implementierung vollkommen sicher ist.
Wir erwarten von jedem Anbieter, dass er mindestens dieses Level an Security erfüllt. Die Zertifizierung wird das belegen, sodass die Nutzer sicher sein können, dass ihre Passkeys dort gut aufgehoben sind.
c’t: Ein solches Zertifizierungsprogramm hat es für Passwortmanager bisher nicht gegeben, oder?
Shikiar: Nicht dass ich wüsste. In der Vergangenheit gab es manchmal Vorfälle – Passwortmanager mit Implementierungsfehlern. Aber die Unternehmen aus der Branche sind geschätzte Mitglieder der FIDO Alliance, die sich aktiv einbringen und mit den Anker-Plattformen – Google, Apple, Microsoft – zusammen daran arbeiten, dass wir unser Ziel erreichen.
c’t: Welches Ziel?
Shikiar: Für Interoperabilität zu sorgen. Sicherzustellen, dass die Nutzer von einem Ökosystem zum nächsten wechseln können. Ihre Passwörter sind nicht an eine Plattform gebunden. Das wollen wir auch für Passkeys erreichen. Ich glaube, jedem Mitglied der FIDO Alliance ist klar, dass die einfache, plattformübergreifende Nutzung von Passkeys möglich sein muss, damit sie sich durchsetzen. Wenn die Nutzung nicht ähnlich einfach ist wie die eines Passworts, wird die breite Masse Passkeys trotz der Vorteile nicht annehmen.
c’t: Denken Sie, dass die meisten Menschen Passkeys in Zukunft mit Passwortmanagern wie 1Password oder Dashlane nutzen werden oder eher über die Implementierungen der großen Plattformen? Ich glaube, dass die meisten Menschen gar nicht wissen, was ein Passwortmanager ist.
Shikiar: Das stimmt, die meisten Menschen wissen nicht, was ein Passwortmanager ist. Das ist ein wichtiger Punkt – wer einen Passkey nutzt, nutzt zwangsläufig einen Passwortmanager. Es ist quasi Voraussetzung. Wenn man die Nutzer fragt – und das haben wir im Rahmen unserer Nutzerforschung getan – wie sie sich bei Diensten im Internet einloggen, sagen sie „Oh, ich benutze Face ID“ oder „Mein Browser hat mein Passwort für mich gespeichert“. Sie benutzen also einen Passwortmanager, ohne es zu wissen. So wie die Anbieter Passkeys bisher anbieten, ist es für viele Nutzer wahrscheinlich gar nicht offensichtlich, dass sie jetzt einen Passkey verwenden, um sich einzuloggen. Auf meinem iPhone benutze ich weiterhin Face ID, um mich bei Diensten einzuloggen, nur gebe ich jetzt eben einen Passkey anstelle eines Passworts frei.
c’t: Passkeys schützen vor Phishing, aber schützen sie auch vor Session-Cookie-Diebstahl?
Shikiar: Mit einem Passkey kann man sich nur gegenüber der legitimen Website authentifizieren. Dass man Login-Daten auf einer Phishing-Seite eingibt, wo Angreifer sie stehlen, ist mit Passkeys nicht möglich. Aber dass Sie aus Versehen Malware installieren, die Ihre Session-Cookies stiehlt, können Passkeys nicht verhindern, das ist außerhalb ihres Aktionsradiusses.
c’t: Als Passkeys eingeführt wurden, schrieben viele Medien, dass das Passwort jetzt endlich ausgedient haben könnte. In einem Szenario, in dem ich nur einziges Endgerät habe, zum Beispiel ein iPhone, und das verliere, bräuchte ich zur Wiederherstellung meiner Zugänge auf einem neuen Gerät aber weiterhin mein iCloud-Passwort.
Shikiar: Apple und Google haben ausgeklügelte Verfahren zur Wiederherstellung von Benutzerkonten. Sie prüfen wissensbasierte Anmeldedaten, besitzbasierte Anmeldedaten und heuristische Daten, bevor sie Sie wieder auf Ihre Konten zugreifen lassen. Der Wiederherstellungsprozess im Verlustfall ist ziemlich kompliziert. Das ist aus Sicherheitsgründen so.
c’t: Also werden Passwörter nie ganz verschwinden?
Shikiar: Ich weiß nicht, ob es wirklich so wichtig ist, dass das Passwort ganz verschwindet. Wir sind weniger daran interessiert, dass das Internet gänzlich frei von Passwörtern wird, als daran, das Passwort quasi vom Platz zu verweisen. Es dauerhaft auf die Ersatzbank zu schieben. Authentifizierungssysteme sind mit Risikosystemen und Risikomodellierung verknüpft. Wenn Sie sich plötzlich statt aus Deutschland aus Los Angeles bei einem Dienst anmelden würden, wäre das zum Beispiel ein Risikosignal. Vielleicht würden Sie dann eine E-Mail bekommen, die vor einem verdächtigen Login-Versuch warnt. Die Verwendung eines Passworts könnte künftig ein solches Risikosignal sein. Ich glaube, dass das mit der Zeit eintreten wird. Ob Passwörter jemals ganz verschwinden, spielt eigentlich keine Rolle. Was zählt, ist, dass das Internet mit der zunehmenden Verbreitung von Passkeys deutlich sicherer wird.
c’t: Aber das bedeutet dann doch, dass jemand, der es schafft, mein iCloud-Passwort und den zweiten Faktor und meinen Gerätecode zu stehlen, sich dann Zugriff auf alle meine Accounts verschaffen kann?
Shikiar: Die Bedrohung verlagert sich von der Übernahme eines einzelnen Benutzerkontos zur Übernahme aller Ihrer Konten. Deshalb ist es so wichtig, dass die Plattformen und Passwortmanager starke Sicherheitsvorkehrungen treffen. Apple unternimmt da enorme Anstrengungen. Aber ja, die Bedrohung verlagert sich von Hunderten Konten, deren Anmeldedaten ein Angreifer stehlen könnte, hin zu einer Handvoll Benutzeraccounts. In diesem unwahrscheinlichen Szenario wären tatsächlich potenziell alle Ihre Benutzerkonten im Internet gefährdet. Diese Handvoll Accounts sind jedoch alle sehr gut geschützt. Ich persönlich habe ein besseres Gefühl dabei, den Schutz meiner Internet-Accounts in die Hände eines Unternehmens wie Apple, Google oder 1Password zu legen, als darauf zu vertrauen, dass meine Passwörter bei Hunderten von E-Commerce-Anbietern und anderen Diensten sicher sind, wo es laufend Sicherheitslücken und Datenabflüsse gibt.
c’t: FIDO und FIDO2 gibt es schon seit einer Weile. Richtig Fahrt aufgenommen hat das Anmeldeverfahren aber bisher nicht. Wann wird sich das drehen?
Shikiar: Dem möchte ich widersprechen.
c’t: Was ich sagen wollte: Die meisten Menschen, zum Beispiel meine Mutter, haben noch nie von FIDO gehört. Und bisher bieten nur wenige Dienste das Anmeldeverfahren an.
Shikiar: Ich glaube, Ihre Mutter wird genau wie meine Mutter womöglich gar nicht bemerken, dass sie FIDO benutzt. Mittlerweile können Sie einen Passkey für Ihren Google-Account einrichten. Ich kann mir kaum eine besser skalierbare Implementierung vorstellen. Da geht es um Milliarden Nutzer, die für ihre Google-Konten einen Passkey anstelle eines Passworts verwenden können. Ich denke, das ist ein deutliches Signal. PayPal, Shopify und TikTok sind ebenfalls gerade dabei, Passkeys auszurollen. Ich glaube, wir haben den Wendepunkt gerade erreicht.
Damit Passkeys sich durchsetzen, sind zwei Dinge wichtig. Zum einen, dass die Endgeräte der Nutzer als Passkey-Authenticator funktionieren. Zum anderen, dass die Dienste das Passkey-Anmeldeverfahren anbieten. Beides gerät gerade ins Rollen. Die Passkey-Unterstützung der Betriebssysteme wird stetig besser und immer mehr Dienste bieten die Anmeldung per Passkey an. Gleichzeitig wird auch die klassische FIDO2-Anmeldung mit einem dedizierten Hardware-Sicherheitsschlüssel im Unternehmenskontext populärer werden.
c’t: Wie viel Zeit und Mühe kostet es ein durchschnittliches Entwicklerteam, den Login per Passkey für einen Webdienst einzurichten?
Shikiar: Man braucht einen FIDO-Server. Es gibt Anbieter, die Ihnen dabei helfen können, den Server in wenigen Tagen oder Wochen in Betrieb zu nehmen. passkeys.dev ist zum Beispiel eine gute Ressource für Entwickler, die sich einarbeiten wollen. Der Aufwand hängt von Ihrer Infrastruktur ab – haben Sie bereits einen Identitätsserver? Richtet sich das Angebot an Verbraucher oder Mitarbeiter? Am Ende des Tages sind es ein paar Zeilen Code und ein öffentliches API. Wenn sich Ihr Angebot an Verbraucher richtet, könnte das innerhalb von ein paar Tagen erledigt sein. Mit der Entwicklung ist es allerdings nicht getan. Man muss auch an die User Experience denken und zum Beispiel Usability-Tests durchführen. Insgesamt kann das einige Wochen oder sogar Monate dauern, wenn man es je nach Zielgruppe und Komplexität des Dienstes richtig machen will.
c’t: Wie teuer ist das? Können Sie eine Zahl nennen?
Shikiar: Eine Zahl kann ich nicht nennen. Es kommt darauf an, wie Sie vorgehen wollen. Sie können es komplett selbst machen und einen Open-Source-Server und Open-Source-Bibliotheken verwenden. Es gibt FIDO-Bibliotheken für alle möglichen Programmiersprachen. Das würde geringe Lizenzkosten mit sich bringen, verursacht aber Personal- und Wartungskosten. Oder Sie verwenden eine Plattform wie Hanko oder Okta. Das wäre teurer. Die Kosten werden bei den meisten Plattformen pro Nutzung berechnet, aber das unterscheidet sich von Anbieter zu Anbieter.
c’t: Würden Sie auch kleineren Diensten als Google oder PayPal empfehlen, bereits jetzt auf den Zug aufzuspringen?
Shikiar: Jedem Unternehmen, dessen Geschäft darauf fußt, dass Menschen online sind, würde ich das empfehlen. Wenn Sie sich bei einem Onlineshop nicht einloggen können, werden Sie dort nichts kaufen. Wir haben kürzlich eine Nutzerumfrage durchgeführt. 50 Prozent der Befragten gaben an, in den letzten Monaten einen Kauf abgebrochen zu haben, weil sie ihre Passwörter vergessen hatten. Das ist auch der Grund, warum PayPal, Kayak oder Shopify die Anmeldung per Passkey so früh einführen – für deren Geschäft ist es fundamental wichtig, dass Kunden sich reibungslos einloggen und Käufe tätigen können. Für jedes Unternehmen, für dessen Geschäft das ebenfalls gilt, lohnt es sich, die Passkey-Anmeldung schnell einzuführen. Denn das Verfahren ist nicht nur sicherer, es bringt auch mehr Umsatz. (kst@ct.de)