Am 5. Mai – dem World Password Day – sind wir vielleicht einen Schritt näher gekommen, dass Passwörter der Vergangenheit angehören.
In einer gemeinsamen Anstrengung gaben die Technologiegiganten Apple, Google und Microsoft am Donnerstagmorgen bekannt, dass sie sich verpflichtet haben, im kommenden Jahr Unterstützung für die passwortlose Anmeldung auf allen von ihnen kontrollierten Mobil-, Desktop- und Browserplattformen aufzubauen. Dies bedeutet effektiv, dass die passwortlose Authentifizierung in nicht allzu ferner Zukunft auf allen wichtigen Geräteplattformen verfügbar sein wird: Android- und iOS-Mobilbetriebssysteme; Chrome-, Edge- und Safari-Browser; und die Windows- und macOS-Desktopumgebungen.
„So wie wir unsere Produkte so gestalten, dass sie intuitiv und leistungsfähig sind, gestalten wir sie auch privat und sicher“, sagte Kurt Knight, Senior Director of Platform Product Marketing bei Apple. „Die Zusammenarbeit mit der Branche, um neue, sicherere Anmeldemethoden zu entwickeln, die einen besseren Schutz bieten und die Schwachstellen von Passwörtern beseitigen, ist von zentraler Bedeutung für unser Engagement, Produkte zu entwickeln, die maximale Sicherheit und ein transparentes Benutzererlebnis bieten – alles mit dem Ziel, die Benutzer zu halten ‘Persönliche Daten sicher.”
Ein passwortloser Anmeldeprozess ermöglicht es Benutzern, ihre Telefone als Hauptauthentifizierungsgerät für Apps, Websites und andere digitale Dienste auszuwählen, wie Google in einem am Donnerstag veröffentlichten Blog-Beitrag erläutert. Das Entsperren des Telefons mit der als Standardeinstellung festgelegten Aktion – Eingabe einer PIN, Zeichnen eines Musters oder Entsperren per Fingerabdruck – reicht dann aus, um sich bei Webdiensten anzumelden, ohne jemals ein Passwort eingeben zu müssen, was durch die Verwendung von ermöglicht wird Ein einzigartiges kryptografisches Token, das als Passkey bezeichnet wird und zwischen dem Telefon und der Website geteilt wird.
Indem Anmeldungen von einem physischen Gerät abhängig gemacht werden, sollen Benutzer gleichzeitig von Einfachheit und Sicherheit profitieren. Ohne ein Passwort besteht keine Verpflichtung, sich Anmeldedaten über Dienste hinweg zu merken oder die Sicherheit zu gefährden, indem dasselbe Passwort an mehreren Stellen wiederverwendet wird. Ebenso wird es ein passwortloses System für Hacker viel schwieriger machen, Anmeldedaten aus der Ferne zu kompromittieren, da die Anmeldung den Zugriff auf ein physisches Gerät erfordert; und theoretisch werden Phishing-Angriffe, bei denen Benutzer zur Passworterfassung auf eine gefälschte Website geleitet werden, viel schwieriger zu montieren sein.
Vasu Jakkal, Vizepräsident von Microsoft für Sicherheit, Compliance, Identität und Datenschutz, betonte den Grad der plattformübergreifenden Kompatibilität. „Mit Passkeys auf Ihrem Mobilgerät können Sie sich auf nahezu jedem Gerät bei einer App oder einem Dienst anmelden, unabhängig von der Plattform oder dem Browser, auf dem das Gerät ausgeführt wird“, sagte Jakkal in einer per E-Mail gesendeten Erklärung. „Benutzer können sich beispielsweise bei einem Google Chrome-Browser anmelden, der unter Microsoft Windows ausgeführt wird – mit einem Hauptschlüssel auf einem Apple-Gerät.“
Die plattformübergreifende Funktionalität wird durch einen Standard namens FIDO ermöglicht, der die Prinzipien der Kryptographie mit öffentlichen Schlüsseln verwendet, um eine passwortlose Authentifizierung und Multi-Faktor-Authentifizierung in einer Reihe von Kontexten zu ermöglichen. Das Telefon eines Benutzers kann einen eindeutigen FIDO-kompatiblen Passkey speichern und teilt ihn nur dann mit einer Website zur Authentifizierung, wenn das Telefon entsperrt ist. Laut dem Beitrag von Google können Passkeys auch einfach mit einem neuen Gerät aus der Cloud-Sicherung synchronisiert werden, falls ein Telefon verloren geht.
Obwohl viele beliebte Anwendungen bereits Unterstützung für die FIDO-Authentifizierung enthielten, erforderte die Erstanmeldung die Verwendung eines Passworts, bevor FIDO konfiguriert werden konnte – was bedeutet, dass Benutzer immer noch anfällig für Phishing-Angriffe waren, bei denen Passwörter unterwegs abgefangen oder gestohlen wurden.
Aber die neuen Verfahren werden die anfängliche Anforderung eines Passworts beseitigen, wie Sampath Srinivas, Produktmanagementdirektor für sichere Authentifizierung bei Google und Präsident der FIDO-Allianz, in einer E-Mail-Erklärung an sagte Der Rand.
„Diese erweiterte FIDO-Unterstützung, die heute angekündigt wird, wird es Websites ermöglichen, zum ersten Mal eine passwortlose End-to-End-Erfahrung mit Phishing-resistenter Sicherheit zu implementieren“, sagte Srinivas. „Dies umfasst sowohl die erste Anmeldung auf einer Website als auch wiederholte Anmeldungen. Wenn die Passkey-Unterstützung in den Jahren 2022 und 2023 branchenweit verfügbar wird, haben wir endlich die Internetplattform für eine wirklich passwortlose Zukunft.“
Bisher haben Apple, Google und Microsoft alle gesagt, dass sie davon ausgehen, dass die neuen Anmeldefunktionen im nächsten Jahr plattformübergreifend verfügbar sein werden, obwohl eine genauere Roadmap noch nicht angekündigt wurde. Obwohl der Plan, das Passwort zu töten, seit Jahren im Gange ist, gibt es Anzeichen dafür, dass er dieses Mal endlich erfolgreich war.