Im Gespräch mit: Cole Hecht von Passage by 1Password

Ich glaube, dass passwortlose Authentifizierungsmethoden und insbesondere Passkeys innerhalb der nächsten Jahre zur Norm werden.

Aktuelle Studien sind sich einig: Traditionelle Passwörter bergen heute viele Risiken. Gleichzeitig gehören gestohlene Zugangsdaten zu den beliebtesten Angriffsmethoden Cyberkrimineller, um in die Systeme von Organisationen einzudringen. Als Folge ist ein Umschwung hin zu sichereren Authentifizierungsmethoden wie passwortlosen Verfahren zu beobachten.  Angefeuert wird dieser Trend von führenden Tech-Giganten, die passwortlose Methoden verstärkt auf Mobil- und Desktop-Geräten sowie in Webbrowsern einsetzen.

Der Leiter von Passage by 1Password Cole Hecht bot SoSafe kürzlich im Gespräch Experteneinblicke zum Thema. Mit einem Fokus auf Passkeys zeigte er auf, wie die passwortlose Authentifizierung die Zukunft der Cybersicherheit verändern wird. Neben den Vorteilen und Herausforderungen bei der Implementierung und wichtigen Tipps zur erfolgreichen Umsetzung erläuterte er auch die weitreichenden Auswirkungen dieser aufstrebenden Authentifizierungsmethode für Organisationen.

Bevor wir einsteigen, erzählen Sie doch erst einmal ein bisschen über Ihren Hintergrund.

Nach einer Laufbahn im Application Security Consulting gründete ich Passage mit Fokus auf passwortloser Authentifizierung. Heute leite ich bei 1Passwort das Team von Passage by 1Password. Unsere Aufgabe ist es, Unternehmen bei der Einführung der passwortlosen Authentifizierung in ihren Web- und Mobile-Apps zu unterstützen.

Wie würden Sie einem Laien beschreiben, was passwortlose Authentifizierung ist und was sie für ihn bedeutet?

Es gibt viele verschiedene Arten der passwortlosen Authentifizierung und ich hoffe, dass wir heute auch darauf näher eingehen können. Idealerweise führt passwortlose Authentifizierung zur Humanisierung von Anmeldevorgängen. Menschen sind nicht für die Nutzung von Passwörtern geschaffen. Unser Gehirn ist nicht dafür gemacht, sich eine Reihe von Buchstaben, Zahlen und Sonderzeichen einzuprägen und im richtigen Moment abzurufen. Mit passwortlosen Methoden können wir uns auf Webseiten und in Apps genauso einloggen, wie wir es auf unserem Smartphone tun – per Fingerabdruck oder durch einen einfachen Blick auf das Gerät dank Diensten wie Face ID oder Windows Hello. Solche Anmeldeverfahren sind sehr bedienerfreundlich und können für jede Art von Dienst, App oder Webseite genutzt werden.

Schauen wir uns doch etwas genauer an, wie das genau funktioniert und wo die Unterschiede zu herkömmlichen Passwörtern liegen.

Das ist vielleicht ein guter Moment, um auf die verschiedenen Formen passwortloser Authentifizierungsmethoden einzugehen. Wie der Name schon sagt, handelt es sich einfach ausgedrückt um Anmeldeverfahren, die ohne Passwort auskommen. Und da gibt es vielzählige Möglichkeiten – vom Eingeben einer vierstelligen PIN bis hin zum Berühren einer Schaltfläche zur Bestätigung der Identität, um nur einige wenige zu nennen.

Beim Thema „Passwordless“ liegen mir vor allem die Passkeys am Herzen. Passkeys sind die neueste und bisher beste Iteration von WebAuthn bzw. Web Authentication. Diese Entwicklung ist Teil der großartigen Arbeit der FIDO Alliance im Bereich des FIDO2-Protokolls. Passkeys ermöglichen Nutzern die Anmeldung auf Webseiten und in Apps mittels Face ID, Touch ID, Windows Hello und anderer nativer Technologien.

Genauer gesagt, nutzt WebAuthn anstatt traditioneller Passwörter öffentliche und private Schlüssel – auch Public-Key Cryptography genannt – um sicherzustellen, dass Sie wirklich die Person sind, für die Sie sich ausgeben. Öffentliche und private Schlüssel bzw. Keys sind mathematisch miteinander verknüpft; wir können sie uns wie ineinandergreifende Puzzleteile vorstellen. Sie wurden als Einheit entwickelt und man braucht beide Teile, um seine Identität erfolgreich zu bestätigen. Der Public Key kann öffentlich geteilt werden, d. h. die Webseite, auf der Sie sich anmelden möchten, kann Ihren öffentlichen Key einsehen und speichern. Der private Key bleibt jedoch geheim und sicher verwahrt.

Wenn Sie zum Beispiel einen Passkey für Ihr Google-Konto erstellen, erstellen Sie einen privaten Schlüssel, den Sie geheim halten. Er wird entweder lokal auf Ihrem Gerät oder in der Cloud gespeichert und über Ihre Apple- bzw. Android-Geräte hinweg synchronisiert. Wenn Sie noch sicherer gehen wollen, könnten Sie auch sowas wie einen YubiKey nutzen, der Ihren privaten Schlüssel speichert, während der öffentliche geteilt wird.
Bei der Nutzung von Passkeys gibt es keine hochsensiblen Daten, die irgendwo auf einem Server gespeichert sind wie bei einem Passwort, das noch so gut gehasht sein und trotzdem geknackt werden kann. Bei Passkeys befindet sich auf dem Server allein der öffentliche Schlüssel. Selbst wenn Angreifende in die Datenbank eindringen würden, hätten sie einen Haufen öffentlicher Keys, mit denen sie absolut gar nichts anfangen können. Zum öffentlichen Key gehört zwar auch ein privater Key, doch die Angreifenden haben keine Möglichkeit, diesen zu knacken oder anderweitig zu erlangen. Sie können unter keinen Umständen auf das Konto zugreifen.

Passkeys lösen auch das Problem identischer Passwörter. Nicht selten nutzen Personen dasselbe Passwort für mehrere Dienste. Wird das Passwort einmal geknackt, kann es auch auf allen anderen Webseiten ausprobiert werden. In der Welt der Passkeys wird dieser Bedrohungsvektor vollständig ausgehebelt.

Welche Vor- und Nachteile hat Passwordless Authentication?

Ich bin vielleicht nicht ganz unparteiisch, doch meiner Meinung nach überwiegen die Vorteile ganz klar die Nachteile. Trotzdem gibt es natürlich gute wie auch schlechte Seiten. 

Beginnen wir bei den Vorteilen. Ich denke, wenn ich die Funktionsweise von Passkeys beschreibe, wird sofort klar, dass einer der großen Vorteile ihre Benutzerfreundlichkeit ist. Der Anmeldevorgang wird einfacher und es besteht kein Risiko, sich zu vertippen, da die Person nicht mehr tun muss, als etwas zu berühren oder anzuschauen oder eben das in ihr Gerät integrierte Authentifizierungssystem zu nutzen. Die Nutzererfahrung ist nicht nur nahtlos, sondern auch sicher. Passwordless muss meiner Meinung nach unbedingt an Fahrt aufnehmen. Passkeys lassen in Sachen sicherer Identifizierungsmethoden keine Wünsche offen.

Es gibt vielzählige Möglichkeiten, sichere und benutzerfreundliche Passwordless-Systeme aufzusetzen. Was Passkeys besonders vorteilhaft macht, ist ihre Anpassbarkeit. Viele der Tech-Giganten pushen das Wachstum von Passkeys aktiv. Sie kommunizieren Passkeys als die Passwordless-Technologie, in die sie investieren und vertrauen. Sie machen es ihren Nutzern schmackhaft und integrieren es in ihre Betriebssysteme. Hier handelt es sich also nicht um einen beliebigen Anbieter eines proprietären Passwordless-Systems. Passkeys ist für Entwickler zugänglich, praktisch per Fingerabdruck. Das sind die wichtigsten Vorteile, die mir auf Anhieb einfallen.

Was die Nachteile angeht, werfen wir doch mal einen Blick auf andere passwortlose Authentifizierungsmethoden, wie die sechsstelligen Zahlencodes, die wir per SMS oder E-Mail erhalten. Dieses Verfahren ist zwar passwortlos, doch es ist nicht unbedingt resilienter gegenüber Phishing als übliche Passwörter. Cyberkriminelle können den User hier immer noch auf gefakte Webseiten leiten und die Zugangsdaten an die echte Webseite weiterleiten, um sich so nicht autorisierten Zugang auf das Konto zu verschaffen. In Sachen Sicherheit machen die Codes Passwörtern also nichts vor. Vor dieser Art von Angriff schützen selbst die meisten Arten der Multi-Faktor-Authentifizierung (MFA) nicht. Angreifende können sich auch mit einem Passwort plus Code per SMS oder sogar mit einer Authenticator-App mit zeitlich begrenzten One-Time-Passwörtern (TOTP) Zugang auf Ihr Gerät verschaffen oder einen SIM-Swapping-Angriff durchführen.

Passkeys schließen diese beiden Sicherheitslücken. Da sie an eine bestimmte Domain geknüpft sind, kann ein für google.com erstellter Passkey nicht auf einer gefakten Webseite, wie g00gle.com mit zwei Nullen genutzt werden. Diese auf Protokollebene integrierte Sicherheitsmaßnahme schützt effektiv vor Phishing-Angriffen. Das Risiko für SIM-Swapping wird ausgehebelt, weil jede Passkey-Authentifizierung über einen unabhängigen SMS-Kanal stattfindet.
Die Implementierung von Passkeys ist nicht ganz unkompliziert, Passwörter sind hingegen recht einfach einzurichten. In unzähligen Blogposts und umfassenden Bibliotheken auf jedem Tech-Stack findet man Frameworks zur Implementierung von Passwortsystemen. Für Passkeys ist das leider nicht der Fall. Die User sind auf ein Gerät und einen Browser angewiesen, die Passkeys unterstützen, und auf eine korrekte Softwareversion. Eine Sache müssen Betreiber von Apps und Webseiten realisieren und anpacken: Nicht alle User können Passkeys jederzeit nutzen. Das stellt sie vor die komplexe Aufgabe, diesen Usern intuitive Anmeldeprozesse bereitzustellen. Genau darauf fokussieren wir uns bei Passage. Unser Ziel ist es, diesen Prozess für Entwickler zu vereinfachen.

Auch Fallbacks und Wiederherstellung stellen uns vor eine massive Herausforderung. Verliert ein User seinen einmaligen privaten Schlüssel, baucht er eine Möglichkeit, einen neuen zu beschaffen. Dazu später noch mehr.

Letzten Endes wirft jeder neue Ansatz Fragen auf. Ein Nachteil einer völlig neuen Methode liegt in der Zeit, die die Menschen brauchen, um zu verstehen, wie sie funktioniert, und ihr zu vertrauen. Erst dann beginnen sie, sie zu nutzen. Was Passwörter betrifft, gibt es kaum noch Fragen, die noch nicht beantwortet wurden. Das ist bei Passkeys anders. 

Passkeys ersparen uns jede Menge Security-Herausforderungen, die mit Passwörtern verbunden sind.

Nehmen wir an, ich bin ein Security-Verantwortlicher, CISO, CIO oder IT-Leiter und ich will Passkeys einführen. Was gibt es dabei zu beachten?

Für die nächsten Jahre und auch bereits für die Gegenwart erwarte ich, dass Workforce Identity Provider Passkeys annehmen und zügig irgendeine Form der passwortlosen Authentifizierung im Workforce-Identity-Kontext einführen. Als CISO oder IT-Teamleiter orientieren Sie sich für die Integration von Passkeys wahrscheinlich an Ihrem Identity Provider – Active Directory (AD), Okta und dergleichen.

Dabei gibt es natürlich einiges zu bedenken, es ist schließlich ein neues Modell. Deshalb werden nicht alle Passkeys auf Anhieb flächendeckend einbinden; während der Umstellung muss das letztliche Ziel jedoch klar sein. Da gibt es einige Dinge zu berücksichtigen.

Die Aufklärung der Mitarbeitenden ist unumgänglich. Als CISO eines Großunternehmens hat man es mit vielen Mitarbeitenden zu tun, die vor allem ihre täglichen Aufgaben erledigt bekommen wollen. Sie planen einen Eingriff in Ihre alltägliche Arbeitsroutine, die sie vielleicht schon seit Jahrzehnten gewohnt sind. Es ist wichtig, ihnen das Gefühl zu vermitteln, dass sie gesehen und respektiert werden, und zu erklären, wie die Veränderung ihren Arbeitsalltag erleichtern kann und die Sicherheit steigert. Genauso wichtig ist, die Nachricht auf einfach verständliche Weise zu kommunizieren.

Bedenken Sie außerdem den Recovery-Aspekt. Sagen wir, Sie geben YubiKeys an Ihre gesamte Belegschaft aus. Dieser Ansatz ist zwar lobenswert. Es wird jedoch zwangsläufig passieren, dass jemand seinen YubiKey und damit seine Private Keys verliert. In solchen Fällen braucht man einen Wiederherstellungsprozess, der Mitarbeitern ermöglicht, einen neuen Key und somit Zugriff auf ihren Account zu erlangen. Dieser Prozess unterscheidet sich nicht allzu sehr von dem bestehenden Prozess zur Wiederherstellung vergessener Passwörter oder blockierter Konten – er muss lediglich auf Passkeys abgestimmt werden.

Dabei sind auch Reporting und Widerruf nicht zu vernachlässigen. An unserem YubiKey-Beispiel ist das einfach zu veranschaulichen, da es sich um einen physischen Gegenstand handelt, der verloren geht. Es liegt im Interesse der Organisation, dass Angreifende mit dem verlorenen YubiKey keinen Zugriff auf die Systeme erlangen. Deshalb braucht es einen Prozess zum Melden verlorener Passkeys oder Authentifizierungsgeräte und zum Ungültigmachen kompromittierter Passkey-Kombinationen. Genauso wie bei den Phishing-Simulationen, mit denen Organisationen ihre Schwachstellen aufdecken wollen, ist es hier wichtig, Mitarbeitende nicht zu verurteilen, die ihrer Arbeit nachgehen und dabei versehentlich auf einen schädlichen Link klicken. Stattdessen ist eine konstruktive Reaktion gefragt; wir müssen Mitarbeitende schulen und befähigen, nächstes Mal richtig zu handeln. Dadurch schaffen wir ein sicheres und offenes Umfeld, das Lernen und Wachstumsdenken fördert. Das gilt für YubiKeys, Passkeys und alle anderen Sicherheitsthemen. Es geht darum, Menschen zu helfen und sie zu befähigen.

In Bezug auf Backups ist die Herausforderung geringer, wenn man mehrere Geräte nutzt, anstatt sich von einem einzigen Gegenstand abhängig zu machen. 1Password unterstützt inzwischen das Speichern von Passkeys, die synchronisiert, in Vaults gespeichert und vom IT-Team verwaltet werden können – das ist von großem Vorteil. Wenn ein Unternehmen mehrere Geräte im Kontext von Unternehmenskonten nutzt, können Plattformen Abhilfe schaffen. Passkeys sind zum Beispiel auf iCloud synchronisierbar. Ein auf dem Mac erstellter Passkey ist dann auch vom Diensthandy aus zugänglich. Solange man auf ein Gerät mit Passkey zugreifen kann, ist der Zugang wie auch das Hinzufügen neuer Passkeys möglich.

Wie lange wird es Ihrer Einschätzung nach dauern, bis passwortlose Authentifizierung zur Norm wird?

Ich verstehe, dass viele Menschen Passwordless als möglichen Standard mit Skepsis betrachten. Immerhin wurde uns schon seit geraumer Zeit der Untergang der Passwörter prophezeit, wie zum Beispiel von Bill Gates, der das schon vor Jahren ankündigte. Und trotzdem nutzen wir sie bis heute noch. Allgegenwärtigkeit braucht Zeit und vielleicht erreichen wir sie nie. Trotzdem glaube ich, dass passwortlose Authentifizierungsmethoden und insbesondere Passkeys innerhalb der nächsten Jahre zur Norm werden. Schon bald werden sich Passwörter wie eine Art Fremdkörper, schon fast ein Ärgernis anfühlen.

Was mich zu dieser Behauptung veranlasst sind die unzähligen Vorteile von Passwordless Authentication – von der Sicherheit über die Nutzererfahrung bis hin zum Datenschutz. Wirklich jeder profitiert davon. Für kundenorientierte Webseiten, die ihre Conversions steigern und mehr Registrierungen erzielen wollen, sind Passwörter wie ein Klotz am Bein. Passwortlose Verfahren bieten einen klaren Vorteil für Conversions und die Benutzererfahrung. Kunden können sich mit einem Blick oder einer Berührung registrieren, anstatt ein Passwort eingeben zu müssen. Auch für CISOs, die die Sicherheit und den Schutz vor Kontenübernahmen zum Ziel haben, lassen sich die Vorteile nicht abstreiten.

Andererseits gibt es auch Vorbehalte gegenüber Passkeys. Die Menschen haben Zweifel zur Seriosität der Technologie und fragen sich, ob sie sich wirklich durchsetzen wird. Doch nach und nach machen sie sich mit ihr vertraut und erkennen, dass die Antwort Ja lautet. Letzten Monat führte Google für mehr als eine Milliarden Nutzer Passkeys ein und stellte damit sicher, dass jeder Inhaber eines Google-Kontos mit Passkeys auf sein Konto zugreifen kann. Dabei handelt es sich nicht um eine im Einstellungsmenü verborgene Option. Google pusht Passkeys aktiv, was den Menschen signalisiert, dass es sich um eine legitime und langfristige Lösung handelt.

Für Menschen wie mich, die eng an der Technologie dran sind, ist dieser Schritt von Google wenig überraschend – schließlich hat das Unternehmen, genauso wie Microsoft und Apple, über die Jahre maßgeblich zur Entwicklung der Passkeys beigetragen. Hinzu kommt, dass jedes Jahr weitere Anbieter hinzukommen, die Passkeys einführen. So hat zum Beispiel auch Binance vor Kurzem Passkeys eingeführt, das ist richtig cool. Wir befinden uns in einer Phase, in der die Vorteile von Passkeys immer deutlicher werden, und auch die Einführungen nehmen an Fahrt auf. Deshalb gehe ich davon aus, dass sie in den nächsten Jahren zum Standard werden.

Wir haben die Auswirkungen von Passkeys auf CISOs und IT-Leiter und einige Schritte zur Einführung besprochen. Doch was bedeutet das alles für die Einzelperson, die am Computer einfach ihre Arbeit erledigen will? Muss es Ihrer Ansicht nach zu einer Verhaltensänderung im Bereich der Passwortsicherheit kommen? Können wir sozusagen alles, was wir über die Passwortlänge und die Kombination von Groß- und Kleinbuchstaben gelernt haben, wieder vergessen?

Seit vielen Jahren wurden Passworthygiene gepredigt, Passwörter jedes Quartal aktualisiert, komplexe Zeichenkombinationen entwickelt und Eselsbrücken geschaffen, um sie sich merken zu können. Mit Passkeys schaffen wir die Passwortrotation ab, sodass man nur noch ein einziges starkes Passwort braucht. Dazu ist großes Umdenken gefragt. Gleichzeitig ersparen Passkeys uns jede Menge Security-Herausforderungen, die mit Passwörtern verbunden sind.

Man muss zwar weiterhin vorsichtig vorgehen, wenn man auf einer Webseite seine Anmeldedaten eingibt. Doch das Risiko, sein Passwort auf einer schädlichen Webseite einzugeben ist ohne Passwörter deutlich geringer. Das entschärft auch eines der wichtigsten Themen im Security Awareness Training – Phishing und Credentials-Diebstahl. 

Hinzu kommt, dass Passkeys eine Produktivitätssteigerung bedeuten können. Auch wenn Passwortmanagement nicht den Großteil unseres Arbeitstags ausmacht, summieren sich die Minuten und Stunden, die wir im Laufe der Tage, Wochen, Monate und Jahre damit verbringen. Berücksichtigt man die Eingabe von Passwörtern, das Erstellen neuer Passwörter, die Interaktion mit IT und so weiter, ist die kumulative Wirkung über eine große Belegschaft hinweg immens.

Ich denke, das steigert die Produktivität und bedeutet somit einen messbaren Geschäftsvorteil. Sie sind eingeloggt und verbringen ihre Zeit bei der Arbeit, anstatt sich ständig neu einzuloggen. Ich bin davon überzeugt, dass die Einführung von Passkeys letztlich den Mitarbeitenden zugutekommt.

Letzte Frage: Gibt es abgesehen von passwortloser Authentifizierung und Passkeys weitere Entwicklungen im Bereich Cybersecurity, die Sie spannend finden?

Da mein Fokus auf Customer Identity liegt, interessiere ich mich mehr dafür, wie sich Verbraucher in Apps und Webseiten anmelden, im Gegensatz zu Workforce Identity und Mitarbeiter-Logins. Grundsätzlich finde ich aber alle Aspekte der Cybersicherheit spannend.

Auch das Thema Autorisierung ist interessant. Neben Authentifizierung, dem Identitätsnachweis, der bereits seit Langem für Gesprächsstoff sorgt und durch Passkeys gelöst werden kann, gibt es auch den Aspekt der Genehmigungen. Es reicht nicht aus, nachzuweisen, dass Sie wirklich der sind, für den Sie sich ausgeben. Darüber hinaus muss festgelegt werden, welche Befugnisse Sie haben, welche Nachrichten Sie lesen und auf welche Dokumente Sie zugreifen dürfen. Nur weil Sie ein verifizierter User sind, können Sie noch lange nicht tun, was Sie wollen. Die Aufgabe der Autorisierung fasziniert mich, denn auch hier entstehen spannende neue Technologien.

Eine weitere Sache, die gerade am Kommen ist, sind Verifiable Credentials. Bei solchen verifizierbaren digitalen Nachweisen werden echte Ausweisdokumente, wie der Führerschein, Versicherungskarten oder Universitätsdiplome, gespeichert und verifiziert. Anstatt alle Informationen weiterzugeben, können einzelne Datenelemente kryptografisch verifiziert werden. So kann man zum Beispiel nachweisen, dass man volljährig ist, ohne seine Adresse, Augenfarbe oder das volle Geburtsdatum preisgeben zu müssen. Solche Technologie wird eine Bereicherung für unsere digitale Brieftasche, die uns sicherlich in den nächsten zehn Jahren erreichen wird.

Die wichtigsten Takeaways aus dem Interview mit 1Password

Dieser detaillierte Blick in die Welt der Passwordless Authentication macht eines deutlich: Diese Methode wird unsere Sichtweise und Nutzung der Authentifizierung maßgeblich verändern. Cole Hecht zufolge können Organisationen schon bald nicht mehr die Augen vor den unweigerlichen Vorteilen der passwortlosen Systeme – und Passkeys – verschließen. Von Conversion-Steigerung und verbessertem Nutzererlebnis über bessere Sicherheit und Datenschutz bis hin zu gesteigerter Arbeitsproduktivität: Passwordless hat das Potenzial, den täglichen Geschäftsbetrieb von Organisationen zu transformieren und ihren Erfolg zu steigern.

Neue Methoden sind jedoch auch immer mit neuen Herausforderungen verbunden. Über technische Aspekte hinaus kann auch die Akzeptanz bei den Mitarbeitenden zum Hindernis werden. Ob sie traditionelle Passwörter mögen oder nicht, sie sind sie inzwischen gewohnt. Und Gewohnheiten zu ändern, erfordert Zeit, Arbeit und – am wichtigsten – Training. Wie Cole Hecht betonte, sollten Organisationen ihren Mitarbeitenden das nötige Wissen zu passwortlosen Methoden und anderen Cybersicherheits-Themen vermitteln. Nur so können sie sie befähigen, in ihrem Arbeitsalltag die richtigen Entscheidungen zu treffen und sichere Gewohnheiten zu verinnerlichen, und vielleicht sogar ihre Begeisterung für das Thema Cybersicherheit wecken. Die Sensibilisierung der Mitarbeitenden ist der Grundstein für mehr Sicherheit in Ihrer Organisation.

Es ist wichtig, Mitarbeitende nicht zu verurteilen, die ihrer Arbeit nachgehen und dabei versehentlich auf einen schädlichen Link klicken. Stattdessen ist eine konstruktive Reaktion gefragt; wir müssen Mitarbeitende schulen und befähigen, nächstes Mal richtig zu handeln.

Für weitere wertvolle Einblicke anderer führender Sicherheitsexpertinnen und -expterten und deren Strategien zur Reduzierung des menschlichen Risikos werfen Sie gerne einen Blick in unseren neuesten Report, den Human Risk Review 2023.

Human Risk Review 2023

Report lesen

Exklusive Phishing-Daten, Expertenmeinungen und Strategien, mit denen Sie sicher durch die Cyber-Bedrohungslage kommen.