Das Konzept von Passwörtern existiert vermutlich bereits seit Menschengedenken. "Nenne mir ein Geheimnis und ich erkenne dich als Freund", wobei das Geheimnis manchmal eben auch Parole, Losungswort oder in der digitalen Welt Passwort oder Passphrase genannt wird. Beim Aufsagen der Parole am Stadttor konnte auch damals schon das Gesinde im Gebüsch hockend mithören (im digitalen Zeitalter nennen wir dies etwa "Man-in-the-Middle" oder "Man-on-the-Side") und dann später selbst mit der korrekten Parole passieren. Um dies möglichst zu verhindern, wurden die Parolen der Städte und Burgen regelmäßig geändert.

In unserer digitalen Gesellschaft bleibt mit Passwörtern als Schutzmechanismus die Sicherheit von Onlinekonten ein Problem, für Verbraucher ebenso wie für Unternehmen. Herkömmliche passwortbasierte Authentifizierungsmethoden, die seit jeher im Internet zum Schutz vor unbefugtem Zugriff verwendet werden, sind anfällig für Bruteforce- oder Phishing-Angriffe, aber auch für sogenanntes Credential Stuffing mit geleakten Logindaten, die häufig von anderen Anbietern stammen. Das Risiko schwacher und leicht zu erratender sowie geleakter Kennwörter bedroht die IT-Sicherheit in der digitalen Welt also im Grunde schon weit vor dem Zeitalter der Digitalisierung.

Benutzer sind nicht besonders gut darin, sichere Passwörter zu erstellen und sich zu merken. Sie greifen daher oft auf bereits verwendete oder leicht zu erratende Phrasen zurück, wodurch ihre Konten anfällig für unbefugten Zugriff werden. Cyberkriminelle nutzen diese Schwäche aus und verwenden unterschiedliche Techniken, um Passwörter zu knacken, in Konten einzubrechen und unbefugten Zugriff auf sensible Daten zu erhalten. Aus diesem Grund ist die Entwicklung einer Authentifizierungsmethode, die über die Grenzen herkömmlicher Passwörter hinausgeht, von größter Bedeutung.

Der Bedarf, eine robuste, benutzerfreundliche und sichere Authentifizierung einzuführen, ist nicht neu und gefühlt in den letzten Jahren immer weiter gestiegen. Um dieser Herausforderung zu begegnen, wurde vor über zehn Jahren die "Fast IDentity Online Alliance" (FIDO-Alliance) ins Leben gerufen. Gründungsmitglieder waren unter anderem PayPal und Lenovo. Kurze Zeit später traten weitere Branchengrößen wie Google oder Microsoft der Allianz bei.

Angetrieben vom notwendigen Schutz der eigenen Infrastruktur vor Missbrauch durch Kriminelle und damit einhergehenden Vertrauensverlust der Benutzer, hat Google für die eigenen Konten nun den FIDO2-Standard übernommen und bietet seit diesem Jahr Passkeys [1] als Authentifizierungsmethode an. FIDO2 wurde als Protokoll von der FIDO Alliance entwickelt und bietet Nutzern basierend auf Public-Key-Kryptografie eine sichere Möglichkeit, Phishing-Angriffe und die Übernahme von Konten praktisch unmöglich zu machen.

Google ist mit dem Streben nach einer passwortfreien Zukunft nicht allein. Mehrere andere bekannte Anbieter haben bereits FIDO2-Passcodes als Teil ihres Authentifizierungsprozesses integriert. Durch die Einführung von FIDO2-Log-ins stärken alle diese Websites am Ende die Sicherheitsinfrastruktur des gesamten Internets und bieten ihren Nutzern ein modernes und im Grunde problemloses Anmeldeerlebnis.

Die eher späte Realisierung von FIDO2 durch verschiedene große Anbieter, immerhin fast zehn Jahre nach der Veröffentlichung des ersten Standards, zeigt auch, dass offenbar erst heute die Dringlichkeit und Relevanz dieses Authentifizierungsverfahrens für den Praxiseinsatz erkannt wurde. Es verdeutlicht aber auch, dass jetzt die Zeit und die Benutzer offenbar reif dafür sind.

Google Passkeys könnte also einen Durchbruch für mehr Sicherheit bei Onlinezugängen darstellen. Dank Passkeys können Nutzer fortan mit Hardware-Sicherheitsschlüsseln, biometrischen Sensoren oder anderen FIDO2-kompatiblen Authentifikatoren auf ihre Google-Konten zugreifen. Wenn ein Nutzer einen Hardware-Sicherheitsschlüssel oder biometrischen Sensor in seinem Google-Konto registriert, erzeugt der Authentifikator ein eindeutiges kryptografisches Schlüsselpaar. Der private Schlüssel bleibt sicher im Authentifkator gespeichert, während der öffentliche Schlüssel zur Überprüfung während des Anmeldevorgangs an Google gesendet wird. Als Authentifikator eignen sich alle modernen Smartphones und Betriebssysteme mit TPM-Zugang.

Wenn ein Nutzer nun versucht, sich anzumelden, läuft der Authentifizierungsprozess komplett passwortlos ab. Durch Eingabe des Hardware-Sicherheitsschlüssels oder, falls vorhanden, durch Verwendung des biometrischen Sensors, bestätigt der Nutzer seine Identität, ohne ein Kennwort eingeben zu müssen. Dies schließt die Möglichkeit des Passwortdiebstahls durch Keylogging oder Phishing-Angriffe aus, was einen erheblichen Sicherheitsvorteil darstellt. Darüber hinaus ist FIDO2 so konzipiert, dass es interoperabel ist und den Nutzern ermöglicht, dieselben FIDO2-kompatiblen Authentifikatoren auf mehreren Plattformen und Diensten zu verwenden, die diesen Standard unterstützen. Das bedeutet, dass Nutzer ihren Hardware-Sicherheitsschlüssel oder biometrischen Sensor nicht nur für ihre Google-Konten, sondern auch für andere kompatible Onlinedienste verwenden können.

Passkeys lässt sich außerdem nahtlos in die Multifaktor-Authentifizierung (MFA) integrieren, sodass Nutzer die Sicherheit ihres Kontos durch die Kombination mehrerer Authentifizierungsmethoden erhöhen können. Die Anwender koppeln dabei ihren Hardware-Sicherheitsschlüssel oder biometrischen Sensor mit anderen Authentifizierungsfaktoren wie einer PIN oder einem zweiten Gerät.

Das Einrichten von Googles Passkeys ist in wenigen Schritten möglich. Wir führen Schritt für Schritt durch den Prozess der Aktivierung für Ihr bestehendes Google-Konto und zeigen auch das Aufsetzen alternativer Authentifizierungsmethoden für Notfälle. Google Passkeys unterstützen eine Reihe von FIDO2-kompatiblen Authentifikatoren. Hardware-Sicherheitsschlüssel, die im USB- oder Bluetooth-Format verfügbar sind, generieren für jede Anmeldung eindeutige kryptografische Schlüssel und bieten so eine zusätzliche Sicherheitsebene. Biometrische Sensoren wie Fingerabdruckscanner oder Gesichtserkennungstechnologie ermöglichen schnelle, passwortfreie Anmeldungen.

Für unser Beispiel demonstrieren wir die Schritte an einem iOS-Gerät, der Ablauf ist bei Android-Geräten oder Microsoft Hello aber ähnlich. Rufen Sie von Ihrem Smartphone zunächst die Google-Kontoeinstellungen auf, indem Sie auf einer beliebigen Google-Seite oben rechts auf Ihr Profilbild klicken. Wählen Sie "Ihr Google-Konto verwalten", um auf die Kontoeinstellungen zuzugreifen. Suchen Sie in den Google-Kontoeinstellungen im Menü nach der Registerkarte "Sicherheit" und klicken Sie darauf. In diesem Bereich suchen Sie nach "Bei Google anmelden" und klicken darauf, um auf Ihre Anmeldeeinstellungen zuzugreifen. Klicken Sie nun auf "Google Passkey" und anschließend auf "Passkeys verwenden".

Befolgen Sie jetzt die Anweisungen von Google auf dem Bildschirm, um Ihren FIDO2-kompatiblen Authentifikator zu registrieren. Lesen Sie den angezeigten Hinweis und klicken Sie anschließend auf "Weiter". Bild 3 zeigt Ihnen den iOS-Dialog für die Erstellung und Speicherung des Passkeys. Bestätigen Sie diesen Dialog und Sie erhalten anschließend die Bestätigung von der Google-Seite, dass Ihr Passkey angelegt wurde.

Schließen Sie die Einrichtung ab und führen Sie im Anschluss einen kurzen Authentifizierungstest mit Ihrem Smartphone durch, um sicherzustellen, dass alles ordnungsgemäß funktioniert. Nun wählen Sie bei der Anmeldung zu Ihrem Google-Konto die Verwendung Ihres Passkeys aus. Sie erhalten anschließend noch einmal die Bestätigung des Betriebssystems, bei der Sie der Verwendung für den Login auf "google.com" zustimmen müssen. Gehen Sie anschließend noch einmal in Ihrer Kontoansicht auf den Menüpunkt "Sicherheit". Hier taucht nun der eben angelegte Passkey auf. An dieser Stelle können Sie auch weitere Passkeys erzeugen, etwa für unterschiedliche Geräte jeweils einen eigenen.

Für zusätzliche Sicherheit empfehlen wir, die Sicherungsoptionen zu aktivieren. Unter iOS synchronisieren Sie Ihre Daten bereits in die iCloud. Unter Android stehen Ihnen ähnliche Funktionen zur Verfügung. Falls Ihr primärer Authentifikator aber dennoch einmal nicht verfügbar ist, können Sie auf Backupmethoden wie Google Authenticator, SMS-Codes oder Backup-Sicherheitsschlüssel zurückgreifen, die Ihnen den Zugriff auf Ihr Google-Konto ermöglichen.

Für das Aktivieren gehen Sie wieder im Abschnitt "Sicherheit" auf den Punkt "bei Google anmelden" und wählen dort die Option "Bestätigung in zwei Schritten" aus, um die verfügbaren Sicherungsmethoden zu erkunden. Beispielsweise generiert Google Authenticator zeitbasierte Einmalpasswörter (TOTPs) auf Ihrem Smartphone und ermöglicht so den Zugriff auch dann, wenn Ihr primärer Authentifikator nicht verfügbar ist. Natürlich bringt das selbst auch wieder eine geringe Unsicherheit mit, bei der Sie selbst entscheiden müssen, ob Sie damit gut leben können.

Passkeys bieten Benutzern einige Optionen zur Administration. Mit Zugriff auf die Geräteverwaltung können User die mit ihrem Google-Konto verknüpften registrierten Authentifikatoren überwachen und steuern. Darüber hinaus besteht die Möglichkeit, den Zugriff zu widerrufen, wenn Geräte verloren gehen oder kompromittiert werden. Schließlich ermöglicht Google den Nutzern stets, die letzten Kontoaktivitäten zu überprüfen, und bietet so eine zusätzliche Sicherheitsebene, um verdächtiges Verhalten zu erkennen.

Durch Navigieren zu den Kontoeinstellungen im Abschnitt "Sicherheit" gelangen Sie auf das Geräteverwaltungs-Dashboard. Hier können Sie alle registrierten Authentifikatoren und den Status jedes Geräts einsehen. Das Dashboard ermöglicht es Ihnen, bestimmte Authentifikatoren basierend auf Ihren Präferenzen zu aktivieren oder zu deaktivieren. Wenn Sie beispielsweise über mehrere Hardware-Sicherheitsschlüssel oder konfigurierte biometrische Sensoren auf verschiedenen Geräten verfügen, können Sie auswählen, welche davon für die Google-Passkey-Authentifizierung aktiviert werden sollen. Das stellt sicher, dass nur vertrauenswürdige Geräte auf Ihr Google-Konto zugreifen können.

Im Fall eines verlorenen oder kompromittierten Geräts bietet Passkey eine schnelle Lösung: Durch den Widerruf des Zugriffs auf einen bestimmten Authentifikator über das Geräteverwaltungs-Dashboard verhindern Sie unbefugte Versuche, auf ihr Google-Konto zuzugreifen. Durch das Überprüfen des Abschnitts "Letzte Aktivitäten" in Ihren Kontoeinstellungen können Sie Anmeldeversuche, Gerätenutzung und andere Aktivitäten im Zusammenhang mit Ihrem Google-Konto verfolgen. Mithilfe dieser Übersicht erkennen Sie verdächtige Anmeldungen oder unerwartete Kontozugriffe und ergreifen bei Bedarf sofort Maßnahmen. So bieten sich die Sicherheitsfunktionen von Google wie die Bestätigung in zwei Schritten oder Optionen zur Kontowiederherstellung an, um die Sicherheit ihres Kontos zu erhöhen.

Natürlich sind auch Unternehmen gefordert, ihren Kunden den Login per FIDO2-Token zu ermöglichen. Im Artikel "Passwortersatz" in der Oktober-Ausgabe 2020 [2] haben wir übrigens ausführlich gezeigt, wie Sie eine sichere, passwortlose Authentifizierung auf Ihrer Webseite einrichten.

Die Einführung des FIDO2-Standards auf Google-Seite mit Passkeys spiegelt das Engagement für die Bereitstellung einer passwortlosen und sicheren Authentifizierungserfahrung wider. Trotz aller Kritik ist das Engagement von Google für den Schutz von Nutzerdaten und die Einhaltung branchenüblicher Best Practices zur Wahrung von Datenschutzstandards anzuerkennen.

Durch die Verwendung von Google Passkeys steht Ihnen eine sicherere wie bequeme Anmeldung für ihre Google-Konten und -Dienste zu Verfügung. Und natürlich können Sie, falls Sie in Ihrem Unternehmen für Ihre Kollegen oder Kunden entsprechende Onlinedienste anbieten, selbst die Einführung von FIDO2 für die Authentifikation anregen. Die Umsetzung ist schnell implementiert, und die notwendigen Umbaumaßnahmen der IT-Infrastruktur sind überschaubar.