Wir sind wieder da mit einem weiteren Beitrag in unserer Serie über Passkeys! Bevor Sie weiterlesen, konsultieren Sie unsere letzten beiden Beiträge, um zu erfahren, was Passkeys sind und wie sie sich verwalten lassen.
Passkeys werden immer beliebter und von immer mehr Menschen genutzt. Darum erhalten wir zunehmend genauere Fragen dazu, wie sie zusammen mit älteren Authentifizierungstechnologien funktionieren. In diesem Beitrag beantworten wir diese Fragen und liefern Informationen dazu, wie sich Passkeys auf Multi-Faktor-Authentifizierung (MFA) auswirken.
Sind Passkeys sicherer als MFA?
Im Wesentlichen lautet die Antwort ja.
Wie wir bereits festgestellt haben, sind Passwörter von Natur aus problematisch. Sie können von Haftnotizen und unsicheren digitalen Speichern gestohlen bzw. durch Brute-Force-Angriffe erraten werden und sind grundsätzlich nicht sehr sicher.
Der Bedarf nach zusätzlicher Passwortsicherheit hat zur Einführung von MFA geführt. MFA ist eine sicherere Methode zur Anmeldung bei Online-Konten als die Verwendung von Benutzername und Passwort allein. Dabei muss ein Benutzer mindestens zwei Identitätsnachweise (Authentifizierungsfaktoren genannt) erbringen.
Die gängigsten Authentifizierungsfaktoren basieren auf einer Kombination aus etwas, das der Benutzer kennt (Wissen), etwas, das der Benutzer ist (Biometriefunktion) und etwas, das der Benutzer physisch besitzt. Hier sind einige Beispiele:
- Wissen: Anmeldedaten wie ein Kontoname und ein alphanumerisches Passwort, eine PIN oder die Antwort auf eine Sicherheitsfrage
- Biometriefunktion: Die Stimme einer Person, Sprachmuster, Gesichts-Scan oder Fingerabdruck
- Physischer Besitz: Ein Schlüsselanhänger, ein Ausweis oder ein physisches Gerät, das einen Einmalcode generiert
2-Faktor-Authentifizierung (2FA) ist eine Form von MFA, die – wie der Name schon sagt – zwei Faktoren für die Authentifizierung erfordert. Ein gängiges Beispiel für 2FA sind die zwei Schritte, die viele Banken zur Anmeldung bei einem Online-Banking-Konto vorschreiben: Sie geben Ihren Benutzernamen und Ihr Passwort ein (Faktor 1) und erhalten dann auf Ihrem Mobiltelefon eine SMS mit einem Code, den Sie zur Bestätigung eingeben müssen (Faktor 2).
Welche Rolle spielen nun Passkeys?
Leider ist 2FA nicht perfekt; in manchen Fällen können Cyberkriminelle den zweiten Faktor immer noch abfangen. Da heutzutage fast überall Verifizierungen erforderlich sind, ist es nicht ungewöhnlich, dass Menschen unter so genannter „Push-Müdigkeit“ leiden. Anders ausgedrückt: Menschen haben es satt, dass Nachrichten auf ihren Smartphones auftauchen. Deswegen neigen sie dazu, sie einfach wegzuwischen oder wegzutippen. Das kann jedoch negative Auswirkungen haben – wenn Ihr Passwort gephisht wird und Sie in einem 2FA-Pop-up-Fenster ohne nachzudenken auf „Bestätigen“ klicken, wird das betreffende Konto einem Risiko ausgesetzt.
Passkeys hingegen lassen sich praktisch nicht phischen. Sie sind von Natur aus Phishing-resistent, da sie nur bei der Website funktionieren, für die sie erstellt wurden. Selbst wenn ein Benutzer eine Phishing-Website besucht, wird sein Passkey nicht angefordert. Das bedeutet, dass nichts abgefangen werden kann (im Gegensatz zu einem Passwort oder einem MFA-Code).
Macht eine Deaktivierung von MFA Passwörter anfälliger für Angriffe?
Ja! Verstehen Sie uns nicht falsch – Sie sollten 2FA für Ihre Konten immer noch aktivieren. Zwar bieten nicht alle Dienste Optionen für MFA. Viele tun es jedoch. Dienste wie Dashlane oder Google Authenticator machen es leicht, als zweiten Authentifizierungsfaktor sichere, zeitbasierte Codes zu generieren. SMS-Codes stellen eine weitere Option dar, diese Option ist aber nicht ganz so sicher. SMS-Nachrichten sind unverschlüsselt, und in letzter Zeit nehmen Fälle zu, bei denen SMS-Authentifizierungscodes abgefangen werden.
Verschiedene Websites haben unterschiedliche Vertrauensschwellen. Bei Websites, die vertrauliche Daten von Ihnen speichern, müssen Sie sich möglicherweise jedes Mal mit MFA anmelden, während andere Websites nach der erstmaligen MFA-Verifizierung möglicherweise eine bestimmte Zeit lang Anmeldungen allein mit dem Passwort erlauben. Entwickler von Websites und Anwendungen wissen, dass es dabei ein heikles Gleichgewicht zwischen ausreichender Sicherheit und einem angenehmen Anmeldeerlebnis zu beachten gilt. Deshalb suchen Dienste immer wieder nach Möglichkeiten, um Reibung im Authentifizierungsverfahren zu reduzieren und gleichzeitig sicherzustellen, dass Benutzer auch die sind, für die sie sich ausgeben.
MFA ist zwar nicht unfehlbar – insbesondere bei der Verwendung von SMS-basierten Codes –, dennoch stellt die Option eine weitere Schutzebene zwischen Ihnen und gestohlenen Anmeldedaten dar. Wenn Sie keinen Passkey verwenden, sollten Sie also bei Ihren Konten MFA aktivieren, wo immer dies möglich ist.
Einen von der Community verwalteten Index mit Websites, Anwendungen und Diensten, die Anmeldungen mit Passkeys unterstützen, finden Sie in unserem umfassenden Passkey-Verzeichnis.
Wie werden Passkeys die Nutzung von 2FA und MFA verändern?
Die kurze Antwort lautet: Es kommt darauf an.
Wie oben bereits erwähnt, erfordern verschiedene Websites und Dienste unterschiedliche Sicherheitsniveaus bei der Passkey-Authentifizierung. Die Anmeldung bei einer Finanzanwendung wie PayPal erfordert beispielsweise eine stärkere Sicherheitsverifizierung als bei einer Anwendung zur Erkennung von Pflanzen. Finanzwebsites haben eine hohe Schwelle, um sicherzustellen, dass Sie wirklich die Person sind, für die Sie sich ausgeben. Andernfalls könnte es zu Betrug und rechtlichen Folgen kommen, sollte eine fremde Person auf Ihr Konto zugreifen. Daher schreiben Websites wie PayPal in vielen Fällen neben Ihrem Passkey noch einen zweiten Authentifizierungsfaktor vor – um ganz sicher zu gehen. Ihre Anwendung zur Erkennung von Pflanzen hingegen geht davon aus, dass Ihr Passkey Nachweis genug ist und Sie tatsächlich die Person sind, die sich anmeldet um zu ermitteln, ob es sich bei einem Blatt um einen Bestandteil von Unkraut oder einer Blume handelt.
Werden Passkeys in naher Zukunft zur Abschaffung von MFA führen?
Wahrscheinlich nicht in naher Zukunft, aber möglich ist es.
Wenn sich die Technologie weiterentwickelt, werden frühere Versionen der Technologie veraltet sein. Genauso wie Passkeys Passwörter in naher Zukunft nicht vollständig ersetzen werden, wird das auch für MFA gelten.
Passkey-Technologie ist noch relativ neu und entwickelt sich weiter. Doch irgendwann werden Passkeys wahrscheinlich zum Goldstandard für vertrauenswürdige Authentifizierung werden. Aufgrund der langsam wachsenden Akzeptanz und Bereitstellung von Passkey-Anmeldefunktionen bei Websites ist das aber noch nicht der Fall. Außerdem sind Passkeys auch nicht 100 % sicher – sie sind zwar sehr sicher, müssen aber noch in einigen Aspekten verbessert werden.
Zur Erinnerung: Passkeys nutzen Ihr Smartphone oder ein anderes unterstütztes Gerät, um zu nachzuweisen, dass Sie die Person sind, für die Sie sich ausgeben, bevor Sie ein Konto aufrufen können. So wie die Technologie jetzt existiert, sieht der Vorgang folgendermaßen aus: Wenn ein Benutzer einen Passkey auf einem bestimmten Gerät einrichtet und dann auf demselben Gerät wiederverwendet, erkennt die Website oder Anwendung das Gerät und weiß, dass sie dem Benutzer und seinem Passkey vertrauen kann. Wenn sich ein Benutzer mit demselben Passkey jedoch bei einem anderen Gerät anmeldet, vertrauen einige Websites möglicherweise nicht darauf, dass der Benutzer die Person ist, für die sie der Passkey ausgibt. Irgendwann wird es reichen, lediglich Ihren Passkey zu verwenden, um Ihre Authentifizierung ohne MFA zu durchzuführen. Derzeit muss das Vertrauen in diese neue Technologie allerdings noch verdient werden, sodass MFA immer noch ein gängiger Sicherheitsstandard ist.
Wie Passwörter auch wird MFA in absehbarer Zeit nicht weitergeführt werden. Es ist jedoch wichtig, die Auswirkungen der neuen Authentifizierungstechnologie auf die alte zu berücksichtigen. Irgendwann werden wir wahrscheinlich in einer Welt leben, in der wir uns mit einem einzigen Klick oder Tipp überall anmelden können. Vorerst sollten Sie jedoch MFA verwenden, wo immer es geht. Ein paar zusätzliche Sekunden mögen nerven, sind aber die Sicherheit Ihres Kontos wert.
Erfahren Sie, wie Sie Ihre digitale Sicherheit mit Passkeys erhöhen können.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
