HH maczarr.de

Passkeys

Anfang des Jahres hab ich es jetzt endlich mal gewagt und habe angefangen Passkeys zu benutzen. Bisher verläuft das recht unspektakulär – was für ein Sicherheits-Feature gar nicht schlecht ist. Doch fangen wir vorne an: Was sind eigentlich Passkeys?

Was sind Passkeys?

Passkeys sind eine neue Möglichkeit sich bei Diensten ohne Benutzername und Passwort anzumelden. Dabei bauen Passkeys auf etablierter Technik auf – nämlich einem Public-Private-Key-Verfahren und sie bieten Vorteile gegenüber bisherigen Authentifizierungsoptionen.
Ein Passkey funktioniert nämlich nur auf der Domain, für die er auch registriert wurde. Das heißt Phishing-Attacken – also z.B. das Nachbilden einer täuschend echt aussehenden Login-Seite eines Dienstes auf einer Domain, die fast genauso lautet, wie die echte – funktioniert dann einfach nicht mehr.

Wer bietet's an?

Kaum ein Dienst bietet bisher leider an, dass man sich direkt mit einem Passkey registrieren kann. Daher ist die Vorgehensweise eher so, dass man in seinem bestehenden Account zusätzlich den Login per Passkey einschaltet. Derzeit gewinnt man damit nur ein bisschen Sicherheit – ich hoffe, dass sich das nach etwas Etablierungszeit ändert und man sich dann gleich mit Passkeys registrieren kann.
Auch die Liste der Dienste, die überhaupt Passkeys unterstützt, ist noch eher dünn, das ändert sich hoffentlich in Zukunft. Aktuell listet passkeys.directory zwar gut 140 Dienste – aber auf's gesamte Internet gesehen sind das eher wenig.

Vendor Lock-In

Vendor Lock-In ist nicht zu verwechseln mit dem Vendor-Login – gut, dass das hier kein Podcast ist! Der Vendor Lock-In bindet einen an einen bestimmten Anbieter. Passkeys werden derzeit nämlich vor allem von Apple und Google beworben – in der Form, dass das Android- oder iOS-Smartphone als Passkey fungiert. Dann werden die privaten Schlüssel direkt auf dem Smartphone in einer sicheren Umgebung gespeichert und von dort zum Login verwendet – das funktioniert auch, wenn man sich an einem PC einloggen will. Das Smartphone muss dann lediglich griffbereit sein.
Das Übertragen der Login-Daten zu einem anderen Anbieter funktioniert jedoch nicht und so müsste man derzeit beim Wechseln von z.B. Android zu iOS sich überall nochmal mit dem neuen Gerät registrieren.

Alternative: Hardware-Token

Es gibt Passkeys jedoch auch ohne die Bindung an Apple oder Google in Form von sogenannten Hardware-Tokens, z.B. von YubiKey, Nitrokey oder auch Google Titan.
Der Vorteil der Hardware-Tokens liegt darin, dass sie nicht an ein Smartphone gebunden sind – was gleichzeitig auch als Nachteil gesehen werden kann. Es ist ein weiteres Stück Hardware, das man dabei haben muss und nicht verlieren sollte.

Allgemein gilt für Passkeys, dass man sie nicht sichern kann – also einfach eine Kopie der Keys irgendwie ablegen. Deshalb sollte man von den Hardware-Tokens immer mindestens zwei besitzen und beide bei jeder Website registrieren. Denn geht ein Hardware-Token verloren und man hat keine andere Login-Möglichkeit mehr, funktioniert tatsächlich nichts mehr. Da es kein Passwort gibt, gibt es dann auch keine „Passwort vergessen“-Funktion oder ähnliches. Man hat sich dann tatsächlich aus seinem Account ausgesperrt.

Die dritte Option ist inzwischen Passkeys in Passwort-Manager-Software, z.B. Bitwarden oder 1Password abzulegen. Mittlerweile bieten das diverse Anbieter an. Jedoch finde ich das etwas schwierig, da es einen Teil der Sicherheitsvorteile von Passkeys aushebelt. Das ganze Sicherheitskonzept hängt dann wieder an dem Passwort-Manager und das der gut gesichert ist. Jedoch als Sweetspot aus Sicherheit und Nutzerfreundlichkeit durchaus akzeptabel.

Welche Passkeys nutze ich?

Nach langem Hin- und Herüberlegen habe ich mich für einen YubiKey 5C NFC und einen Google Titan Security Key USB-C entschieden. Der YubiKey bietet Platz für 25 Passkeys mit Resident Key und der Google Titan 250.
Bei den unterstützten Standards gibt es eigentlich keine großen Unterschiede, vor allem, wenn man die Hardware-Token eh eigentlich nur für Passkeys einsetzen will. Wichtigster Aspekt ist dann der mögliche Speicherplatz. Ich habe mich für unterschiedliche Anbieter entschieden um mehr Erfahrungen zu sammeln und um Serienfehlern zu entgehen.

Erste Erfahrungen mit Passkeys

Wie sind nun die ersten Erfahrungen mit Passkeys? Vor allem unspektakulär, würde ich sagen. Wie oben erwähnt, so viele Dienste gibt es noch nicht, die Passkeys unterstützen und so habe ich sie bisher bei lediglich 4-5 Anbietern eingerichtet. Ärgerlich ist ein bisschen, dass ich mir das irgendwie merken oder notieren muss, wo ich schon Passkeys eingerichtet habe, denn sonst logge ich mich ganz schnell aus Gewohnheit wieder mit Username+Passwort+2FA ein.

Ein Negativbeispiel hatte ich auch bereits. Bei Linkedin konnte ich meine Passkeys beide einrichten, aber der Login damit anschließend hat nicht funktioniert. Die Website behauptet schlichtweg, keine passenden Passkeys zu finden.
Auch die fehlende Möglichkeit, die Passkeys beim Anlegen selbst benennen zu können stieß negativ auf. Die heißen jetzt einfach "Passkey #1" und "Passkey #2". Wenn ich mal einen davon verliere und gerne bei LinkedIn entfernen möchte hab ich 'ne 50:50-Chance den falschen zu erwischen. Solche schlechten Implementierungen sind auch ärgerlich, da ich nicht einen einzelnen Login vom Hardware-Token löschen kann, sondern nur den gesamten Speicher zurücksetzen kann. Das heißt beim YubiKey belegt jetzt ein nicht-funktionierender Login 1 von 25 Speicherplätzen (bzw. beim Titan 1 von 250).

Gut hat es hingegen GitHub gemacht. Die Einrichtung lief einfach, ich konnte sofort einen eigenen Namen für den Token vergeben und auch der Login funktioniert problemlos.

Den Ablauf beim Login mit YubiKey finde ich noch etwas besser. Der Titan-Key lässt mich immer nochmal meine Identität beim Login-Dialog auswählen, was etwas unnütz erscheint, wenn ich nur einen Login auf einer Website im Titan-Key hinterlegt habe. Der YubiKey stellt diese Frage nicht. Ich nehme an, dass die Abfrage für mehrere Accounts auf der selben Domain ist, die alle mit dem selben Hardware-Token verwaltet werden, aber bisher hatte ich diesen Fall nicht.

Fazit

Prinzipiell gefallen mir Passkeys mit Hardware-Token gut. Aber man merkt, dass das Ganze noch neu ist. Den Hardware-Token fehlen Möglichkeit die Keys einfach einzusehen und Websites habe noch nicht alle einen guten, standardisierten Ablauf. Das wird sich hoffentlich alles in nächster Zeit noch entwickeln, ohne, dass es einen neuen Sicherheitsstandard braucht, der uns Early-Adopter dann wieder zu neuen Geräten nötigt.