Überspringen und zum Hauptinhalt gehen

Fünf wichtige Erkenntnisse der Authenticate 2022 Conference

|Alexandra Dumitriu
To

Co-Autoren: Rew Islam und Corentin Mors

Wir sind gerade von der Authenticate 2022 Conference zurückgekehrt, „der einzigen Konferenz der Branche, die dem ‚wer, was, warum und wie‘ der Benutzerauthentifizierung gewidmet ist und einen Fokus auf dem FIDO-basierten Ansatz aufweist“. Falls das kompliziert klingt: Das ist es. Wir haben aber spannende Einsichten zu Passkeys, passwortloser Authentifizierung und Multi-Faktor-Authentifizierung mitnehmen können. Als Dashlane-Authentifizierungsexperten helfen wir Ihnen dabei, alles genau zu verstehen.

Hier sind unsere fünf wichtigsten Erkenntnisse hinsichtlich der Zukunft von Authentifizierung.

Erkenntnis Nr. 1: Die Migration von Passwörtern zu Passkeys hat nun ernsthaft begonnen.

Eine der größten Veränderungen im Bereich Authentifizierung ist die Umstellung von Passwörtern auf Passkeys. Einfach ausgedrückt: Ein Passkey ist ein passwortloses Login. Dieser neue Standard nutzt Public-Key-Verschlüsselung zur Authentifizierung Ihres Zugriffs auf Websites und Apps. Anstatt ein Passwort für Ihr Konto erstellen zu müssen, richten Sie einen Authenticator ein, der einen Passkey generiert – zwei miteinander verwandte kryptografische Schlüssel.

Als Authenticator kann Ihr Smartphone, ein anderes mobiles Gerät oder Desktopgerät bzw. ein Passwort-Manager dienen, das bzw. der Passkeys unterstützt. Entscheidend ist, dass es sich um etwas handelt, das bei Ihnen bleibt – und nur bei Ihnen.

Zwar ist keine Authentifizierungsmethode vollkommen sicher, doch sorgen verschiedene Aspekte dafür, dass Passkeys sicherer sind als Passwörter:

  • Passkeys lassen sich nicht erraten oder wiederverwenden.
  • Sie sind nicht anfällig für Phishing. Da Passkeys für die App oder Website, für die sie erstellt werden, eindeutig sind, können böswillige Akteure Sie nicht dazu verleiten, den Passkey bei einer ähnlich aussehenden oder betrügerischen Website zu verwenden.
  • Sie sind einfach zu nutzen. Sie müssen nicht mehr mit Standardpasswörtern, einmaligen Passwörtern (OTPs) oder PINs hantieren.
  • Passkeys sind interoperabel. Das bedeutet, dass sie bei allen Plattformen und Browsern funktionieren.

Nur wenige Websites unterstützen derzeit Passkey-basierte Authentifizierung. Das wird sich voraussichtlich aber bald ändern, da große Tech-Unternehmen die Lösung in ihren Plattformen implementieren. Apple hat in iOS 16, iPadOS 16 und macOS Ventura bereits Passkey-Unterstützung für Apps und Websites implementiert. Google hat Pläne verkündet, dass das Unternehmen passwortfreie Unterstützung in Android und Chrome OS implementieren wird.

Want to learn more about using Dashlane Password Manager at home or at work?

Check out our personal password manager plans or get started with a free business trial.

Erkenntnis Nr. 2: Die Migration von Passwörtern zu Passkeys wird ggf. dauern.

Es besteht kein Grund zur Panik: Sie müssen nicht alle Ihre Passwörter verbannen und Authentifizierungsmethoden jetzt sofort ändern. Es wird wahrscheinlich eine längere Übergangszeit zwischen Passwörtern und Passkeys geben. Daher bleibt die Verwendung von einer der beiden Lösungen eine geeignete Option für die absehbare Zukunft.

Für diejenigen, die sich für die neue Technologie interessieren und sie testen möchten, haben bestimmte Websites wie Paypal bereits damit begonnen, bei Apple-Geräten sowohl Passwörter als auch Passkeys zu unterstützen. Wenn Sie sich kürzlich in den USA bei Paypal angemeldet haben, wird Ihnen ggf. eine Aufforderung mit einem Vorschlag aufgefallen sein, zu einem Passkey zu migrieren. Neue Benutzer werden zunächst zu Passkeys weitergeleitet.

Viele Plattformen, die Passkeys noch nicht unterstützen, beginnen damit, Ähnliches zu tun: Apps wie Discord, Outlook, WhatsApp und mehr verwenden QR-Codes, um plattformübergreifende Logins zu ermöglichen. Passwort-Manager, die Passkeys unterstützen, könnten dieses Verfahren in Zukunft weiter vereinfachen.

Erkenntnis Nr. 3: Die Qualität der passwortlosen Benutzererfahrung wird entscheidend für rasche Akzeptanz sein.

Die Benutzererfahrung ist stets entscheidend, und nirgendwo ist das wahrer als bei der passwortlosen Erfahrung. Das Bereitstellen einer reibungslosen Erfahrung kann über Akzeptanz oder Ablehnung entscheiden, wenn passwortlose Authentifizierung erst einmal an Fahrt gewinnt. Während Passwort-Manager Ihnen durch das Autovervollständigen Ihrer Logins das Leben erleichtern, bleibt abzuwarten, wie die passwortlose Benutzererfahrung in einzelnen Plattformen und Passwort-Managern aussehen wird.

Die gute Nachricht lautet, dass die wichtigsten passwortlosen Akteure dies bereits berücksichtigen. Die FIDO Alliance („Fast IDentity Online“) – eine Gruppe, die bereits seit 2013 an Authentifizierungsstandards und -technologien arbeitet – hat kürzlich ihr neues Designsystem vorgestellt, um der Branche dabei zu helfen, Einigkeit zu erzielen und die Erfahrung zur Erhöhung der Akzeptanz zu vereinfachen.

Erkenntnis Nr. 4: Die Passkey-Erfahrung auf Desktops soll offener werden, um bessere Benutzererfahrungen zu ermöglichen.

Passwort-Manager werden auch weiter ein wesentliches Instrument darstellen, um Ihre Konten in der passwortlosen Zukunft zu schützen.

Es gibt wichtige Unterschiede zwischen der Authentifizierung bei mobilen Geräten und Desktop-Geräten. Apps sind die Methode der Wahl zum Aufrufen von Inhalten auf mobilen Geräten, während die meisten Inhalte auf Desktops per Browser aufgerufen werden. Typischerweise kommt bei der ersten Authentifizierung einer mobilen App ein Passkey zum Einsatz. Danach wird Authentifizierung anhand lokaler Biometriefunktionen (wie Fingerabdruck) vorgenommen werden – eine Methode, die den meisten mobilen Nutzern vertraut ist.

Bei Desktop-Browsern wird die Verwendung von Passkeys möglicherweise Verwirrung stiften. Es gibt eine Vielzahl von Browsern. Jede Kombination aus Browser und Betriebssystem wird eine spezielle Passkey-Erfahrung aufweisen. Hier kommen Passwort-Manager ins Spiel: Sie sorgen bei verschiedenen Browsern und Betriebssystemen für eine einheitliche Benutzererfahrung.

Aus diesem Grund glauben manche Authentifizierungsexperten, dass Passwort-Manager mehr Kontrolle über die Passkey-Erfahrung auf Desktops erhalten sollten. Wir sehen das genauso.

Erkenntnis Nr. 5: Multi-Faktor-Authentifizierung muss überarbeitet werden.

Multi-Faktor-Authentifizierung (MFA) und 2-Faktor-Authentifizierung (2FA) dienen als zusätzliche Schutzebene – die Technologie könnte aber noch verbessert werden. Viele Menschen sind es gewohnt, Push-Benachrichtigungen bei jedem Auftreten zu genehmigen, und neigen dazu, es automatisch zu tun (oft bezeichnet als MFA-Müdigkeit, die teilweise für die jüngste Sicherheitsverletzung bei Uber verantwortlich war).

Zur Bekämpfung dieser Müdigkeit sollte MFA mit einer Anforderung zur Bestätigung der Absicht kombiniert werden, damit Benutzer kurz innehalten und nachdenken müssen, bevor sie fortfahren. Beispielsweise zeigt Google während des Push-Benachrichtigungsverfahrens drei Zahlen an, aus denen gewählt werden muss (wie bei einem CAPTCHA). Das ist wirklich einfach. Der Prozess ist aber ausreichend, um zu überlegen: „Moment … ich versuche gerade gar nicht, mich bei Google anzumelden … wer ist das?“


Authenticate 2022 war eine aufschlussreiche Konferenz. Die bei der Veranstaltung erörterten Informationen haben untermauert, dass Dashlane Ihnen helfen kann, Logins zukunftssicher zu machen. Wir haben vor Kurzem integrierte Passkey-Unterstützung eingeführt. Damit sind wir das erste Unternehmen der Branche, das eine In-Browser-Passkey-Lösung anbieten kann.

Egal ob Sie Passwörter oder Passkeys verwenden, können Sie sie in Dashlane speichern und sich so bei verschiedenen Websites automatisch anmelden. Außerdem sorgt unsere patentierte Zero-Knowledge-Architektur dafür, dass niemand außer Ihnen auf Ihre Logins zugreifen kann (nicht einmal wir).

Möchten Sie mehr über unsere integrierte Passkey-Unterstützung erfahren? Unser Blog-Eintrag Dashlane als Wegbereiter für eine passwortlose Zukunft bietet Ihnen einen Insider-Blick.

Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten