#41 – Das Ende des Passworts – Passkeys

Hallo und herzlich willkommen zu einer neuen Folge HITCAST. Heute am 16.11. und ja, ich bin wie immer nicht alleine, beziehungsweise wie alle 14 Tage nicht alleine. Dennis ist auch mit dabei.

Ja, guten Tag. Und heute sind wir wieder nur zu zweit. Vor 14 Tagen waren wir zu dritt. Danke an dieser Stelle nochmal an unseren damaligen Gast. Heute wieder zu zweit mit einem recht spannenden Thema, wie ich finde. Und zwar haben wir uns ja in unserer ersten Staffel quasi vor der Sommerpause immer mal wieder und auch im Speziellen in einer daran gewidmeten Folge mit Passwörtern beschäftigt, der Komplexität von Passwörtern. Warum ist es wichtig, dass Passwörter geändert werden? Warum ist es wichtig, dass Passwörter komplex sind? Und was passiert jetzt? Jetzt gibt es bald keine Passwörter mehr. Was ist denn da los?

Ja, es gibt etwas Neues am Passwort-Himmel, wenn man so will. Passwort-Himmel nennt sich Passkeys. Ja, Passkeys.

Und wer hat es erfunden?

Wer hat es erfunden? Nicht die Schweizer, sondern es war Apple anscheinend. Genau, und zwar, ja, nicht ganz alleine, sondern im Rahmen der sogenannten FIDO Alliance hat man sich zusammen mit unter anderem auch Google und Microsoft gedacht, Mensch, wir brauchen mal irgendwas Neues für das Thema Passwörter. Wir brauchen da mal irgendwie eine neue Richtung, ein neues System. Und ja, daraus ist Passkeys entstanden. Jetzt kann man sich fragen, was ist denn eigentlich genau Passkeys? Und ja, wie kann man das eigentlich nutzen und was bringt mir das?

Na, spannend wird es, glaube ich, wenn man sich anguckt, dass es ja im Prinzip ein bisschen dem ähnelt, worüber wir auch mal in einem anderen Thema gesprochen haben, und zwar E-Mail-Verschlüsselung. Da gibt es ja auch zwei Keys sozusagen. Genau, genau. Und dann gibt es auch ein paar, die gebraucht werden, um sich an einer gewissen Stelle zu identifizieren. Und exakt so funktioniert es hier mit Passkeys auch. Also wir haben einmal einen öffentlichen Schlüssel und einmal einen privaten Schlüssel. Der öffentliche Schlüssel wartet im Prinzip an der App, an dem Dienst, an dem ich mich anmelden will, darauf, dass ich mich mit meinem privaten Schlüssel identifiziere.

Genau, also das klassische Public- und Private-Key-Verfahren und dann eben hier in dem Kontext. Genau, genau. Genau, aber das ist, glaube ich, ganz gut erklärt. Hast du auf jeden Fall Schlüsselpaar und nur wenn man beide hat, dann führt es zum Erfolg. Ist ein bisschen wie beim Bankschließfach, ne? Ja. Die Bank hat einen Schlüssel und man selber hat einen und nur wenn beide passen, dann kann man auch das Schließfach öffnen. Und ich glaube, so kann man es ganz gut vergleichen, auch für Passkeys in der digitalen Welt.

Ja, was macht, glaube ich, an der Stelle schon mal die Rechnung? Ja, genau. Also man muss mal vielleicht einfach mal sagen, von der Nutzbarkeit her geht es natürlich darum, dass man sich nicht so einfach an den Dienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handelsdienst, an den Handels

dass man nicht mehr Benutzernamen und Passwort braucht, sondern eben nur diese Passkeys irgendwann nutzt zur Anmeldung, um einfach nicht mehr diese Notwendigkeit zu haben, dass irgendwo ein Passwort gespeichert werden muss in den Passwortmanager und regelmäßig geändert werden muss, etc. und man dazu irgendwie noch einen Benutzernamen braucht. Darum geht es eigentlich bei Passkeys. Was man fairerweise dazu sagen muss, wer jetzt hektisch anfangen will, irgendwie bei seinen Online-Accounts den Login umzustellen auf Passkey, der wird so ein bisschen in die Röhre gucken, weil zum einen ist Apple der erste Hersteller, der das in sein mobiles Betriebssystem iOS integriert hat, die Unterstützung für Passkeys. Android und Windows hängen da noch hinterher und zum anderen gibt es bisher auch jetzt nicht wirklich viele Seiten, auf denen man das nutzen kann oder Apps, auf denen man das nutzen kann, vor allen Dingen in Deutschland noch nicht.

Also wie du schon sagst, wer jetzt sagt, okay, ich stelle es um, der wird maximal enttäuscht, machen wir uns da nichts vor.

Ja, genau. Was aber tatsächlich recht spannend ist, finde ich, und das sollte man auf jeden Fall im Hinterkopf behalten, ist, ähm, dass das ganze System schon so ein bisschen das Potenzial hat, äh, auch langfristig das Thema Passwörter, äh, einfach nochmal neu aufzurollen. Passwörter gibt es halt irgendwie seit es IT-Systeme gibt und da hat sich, ja, außer so Komplexitätsanforderungen etc. nicht viel daran geändert. Und, ähm, von daher ist das schon eine spannende Sache und, äh, ich glaube, da sind in dem Fall auch die richtigen Partner am Werk, ähm, um das dann auch wirklich, ja, nachhaltig zu implementieren. Und voranzubringen, ähm, wenn so, äh, im Rahmen von so einer Geschichte dann irgendwie Apple, Microsoft und Google, ähm, als drei der, der größten Player in dem Bereich dann zusammenarbeiten, ähm, dann ist das schon mal nicht verkehrt.

Ja, jetzt, jetzt, ähm, wissen ja unsere ZuhörerInnen mittlerweile, du bist hier, äh, technisch der deutlich versiertere von uns beiden, ähm, was genau macht denn dieses Passkey-Verfahren jetzt sicherer, als wenn ich mir äh, äh,

äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh Äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh, äh Ähm, dass es möglicherweise Angriffswege gibt, um den Schlüsselspeicher zu kompromittieren. Also wenn jetzt jemand an meinen privaten Schlüssel rankommt, dann ist natürlich, äh, ist er im Besitz quasi meiner digitalen Identität und kann dann genauso, als wenn er irgendwie meinen Passwortmanager, äh, knackt, ähm, sich natürlich überanmelden, wo ich Passkeys verwende. Aber das ist eine Thematik, ähm, ja, die ist, wie gesagt, da an der Stelle nichts Neues und, äh, ja, da wird, werden sich die Gerätehersteller beziehungsweise die, ähm, Hersteller solcher Passwort- oder Schlüssel-Tresore entsprechend darum bemühen müssen, das dann auch sicher zu gehalten, ja.

Ja, jetzt, jetzt haben wir ja kurz angerissen, dass ja quasi die Authentifizierung dann auch über sowas wie Face-ID stattfinden kann. Äh, nun möchte ich aber vielleicht ja gar nicht immer alles, wo ich mich einlogge, gerade am Handy machen. Mhm. Äh, sondern, um jetzt mal ein Beispiel zu, zu nennen, wir haben unseren Microsoft 365-Account, den habe ich jetzt mit einem Passkey gesichert. Äh, jetzt möchte ich mich aber am Browser anmelden. Mhm. Und, ähm, jetzt unterstützt hier an den meisten Fällen wahrscheinlich immer noch, ähm, der Browser beziehungsweise das Notebook Face-ID nicht. Ja, genau. Wie würde das denn dann funktionieren? Also, wie kann ich denn... Wie kann ich denn jetzt meinem, äh, Laptop sagen, okay, pass auf, ich bin schon der Richtige, der Private Key ist hier in meinem iPhone?

Ja, da gibt es verschiedene Varianten, beziehungsweise, ähm, jetzt kann man natürlich, kann man sagen, okay, wenn es ein Mac ist, auf dem ich mich anmelde, ähm, dann wird Apple da relativ schnell dafür sorgen, dass es auch da über den entsprechenden iCloud-Schlüsselbund funktioniert. Mhm. Ähm, aber es gibt auch da Möglichkeiten in Form, ähm... Ja, die verwenden QR-Codes nachher für die Authentifizierung. Ähm, ich glaube, um das jetzt im Detail zu erklären, ist es zu komplex, aber, ähm, man kann auf jeden Fall festhalten, ich kann auch da eben mich auf einer Seite mit paar Skis anmelden, da wird entsprechend ein QR-Code eingeblendet, den scanne ich mit dem Handy ab und dann wird im Hintergrund da auch die Autorisierung vorgenommen. Ja.

Wir haben, wir haben auch, äh, passt, glaube ich, auch ganz gut in diesen Kontext, äh, mal in einer Folge so ein bisschen das Thema Passwortmanager mit angerissen. Mhm. Ähm, jetzt habe ich ja im Zweifel am Ende dann eine Menge Passkeys für vielleicht diverse Einlog-Verfahren, die ich gerne nutzen möchte. Ähm, das heißt, der Passwortmanager als solches wird dann zu einem Passkey-Manager oder wird der dann obsolet?

Ja, kann man, glaube ich, nicht, ähm, ganz klar, ganz deutlich sagen. Ähm, zum einen ist es ja so, dass es immer... Zumindest in, in naher Zukunft auch, äh, Dienste und Webseiten geben wird, die Passkeys nicht unterstützen. Wo ich ganz normal benutzerne Passwort zur Anmeldung brauchen werde, heißt, dafür brauche ich auch weiterhin einen Passwortmanager. Und, ähm, auch die Passwortmanager werden, ähm, eine Passkey-Unterstützung sicherlich implementieren, sodass ich im Zweifel über den Passwortmanager meiner Wahl, ähm, dann auch meine Passkeys speichere und verwalte. Und somit quasi dann, ja. Den Passwortmanager behalte, der vielleicht irgendwann kein Passwortmanager, sondern dann nur noch ein Passkey-Manager ist. Ähm, aber, ja, also grundsätzlich ist der Markt für diese, äh, diese Drittanbieter weiterhin auch vorhanden. Und dann gerade auch, wenn ich vielleicht sage, okay, ich, ähm, will mich ein bisschen unabhängig machen, ob ich jetzt ein iPhone oder ein Android-Telefon nutze, ähm, oder vielleicht was ganz anderes, wer weiß, was da in Zukunft auch noch, ähm, sich ergeben wird. Dann gibt's da weiterhin natürlich einen Markt für. Ja.

Wie, wie ist so deine generelle persönliche, äh, Angelegenheit? Deine Einschätzung? Ähm, glaubst du, das ist was, das uns jetzt länger begleiten wird, was auch tatsächlich dann, ich sag mal, state of the art wird? Oder ist das wie mit so, oder wie leider mit so vielen anderen Dingen auch? Erstmal gut, gut gemeint, aber das setzt sich am Ende nicht durch.

Ja, ich glaube, zum einen ist die Chance recht groß, dass es sich durchsetzt, weil eben relativ viele große Namen dabei sind, ähm, die das entsprechend auch vorantreiben können. Und zum anderen muss man ja auch sagen, ähm. Generell ist der Mensch ja in vielen Bereichen einfach faul. Und alles, was ihm zur Erleichterung angeboten wird, ähm, das werden die meisten auch nutzen. Und, äh, Parskeys ist an der Stelle, glaube ich, schon für viele eine Erleichterung, das zu nutzen nachher. Und, ähm, es steht und fällt jetzt einfach mit den Diensten, die es anbieten. Also, das ist so ein bisschen wie, ähm, die Online-Ausweisfunktion des neuen Personalausweises. So neu ist er nicht mehr, aber, ähm. Genau. Jeder, der. Gutes Beispiel. Ja, jeder, der. Da mal sich, äh, dazu entschieden hat, die Online-Funktion zu aktivieren. Ähm, und dann mal geschaut hat, was kann ich jetzt eigentlich damit tun, der weiß, okay, ich kann damit vielleicht meine Punkte in Flensburg abfragen. Ähm, und in Berlin kann ich, glaube ich, mich inzwischen auch ummelden, äh, online damit. Aber dann hört's auch schon fast auf. Also, die Liste der, der Anbieter, die das unterstützen, ist wahnsinnig überschaubar, sehr schnell durchgescrollt. Und, ähm, ja, das liegt einfach daran, dass es wenige unterstützen. Und ich glaube. Ich glaube, das ist einfach das Ziel. Und das muss auch das Ziel oder wird wahrscheinlich auch das Ziel der Video-Appliance sein, ähm, da jetzt möglichst viele Anbieter mit ins Boot zu holen, die sagen, okay, ich implementiere diesen Passkeys Standard in meine Dienste. Und, ähm, dann hat das durchaus die Chance, sich durchzusetzen, ja. Ja.

Also, äh, korrigiere mich, wenn, wenn der Vergleich jetzt, äh, absolut falsch ist. Aber ich glaube, um bei deinem Beispiel zu bleiben mit dem, ähm, Personalausweis, womit ich mich online identifizieren kann. Da ist ja in diesem System meines Wissens nach noch so ein Stolperstein eingebaut, der da eben bedeutet, ich brauche ja auch ein entsprechendes Gerät zu Hause, ähm, wo ich meinen Ausweis einmal reinstecken kann, damit der sagt, okay, das passt hier alles, dein Ausweis ist dafür freigeschaltet. Und das ist natürlich jetzt in diesem Szenario von Passkeys ganz charmant umgangen, weil das Smartphone, was eben ja im Prinzip dieses Gerät ist, hat ja eh jeder.

Ja und nein. Das war mal anfangs so, es ist aber schon seit ein paar Jahren so, dass ich, ähm, ein halbwegs aktuelles Smartphone, die haben eigentlich alle ein NFC-Lesegerät drin, mit der E-Ausweis-App, äh, mit der offiziellen, verwenden kann als Lesegerät. Also ich brauche gar kein Lesegerät mehr extra, ich kann einfach, also entweder kann ich es direkt übers Handy machen, ähm, oder ich kann das Handy tatsächlich als externes Lesegerät verwenden für meinen Online-Ausweis, also. Ja. Vielleicht, wenn jemand sagt, Mensch, würde ich mal nutzen, irgendwo. Dann einfach mal die, ich weiß gar nicht, wie sie heißt, Ausweis-App 2 oder so heißt sie, glaube ich. Okay. Genau, die kann man verwenden, die kann man runterladen und dann kann man darüber dann auch den, die Online-Funktion des neuen Personalausweises verwenden. Ja.

Wir haben noch ein bisschen, ein bisschen Seitenwissen mitgegeben, sehr gut. Genau, richtig. Ich glaube, dass man, dass man das mal abschließend sagen kann, ähm, da man es ja faktisch noch nicht so richtig nutzen kann, müssen wir hier ein bisschen am Ball bleiben und gucken, wie sich das, wie sich das entwickelt. Ähm, für alle, die iOS-Geräte haben, äh, die können es schon ausprobieren. Es gibt die ein oder andere, den ein oder anderen Dienstleister, ähm, der es unterstützt. Da gibt es dann den iCloud-Schlüsselbund, nennt sich das. Genau. Ähm, da, da kann man es mal testen.

Mit iOS 16, richtig, ne? Also erst ab iOS 16 ist das implementiert. Andere Hersteller wollen nachziehen. Ich glaube auch, in welcher Weise. Ja.

Genau, dass auch Microsoft und Google sich jetzt nicht unendlich viel Zeit lassen werden. Ähm, und, äh, wie du schon sagst, dadurch, dass da eben diese drei großen Namen im, im Pod sind, ähm, werden da, ich sag mal, andere große Namen sicherlich folgen und sagen, wir implementieren das für das Login auf unseren Seiten.

Genau, da ist von auszugehen, ja. Perfekt. Gut, dann soll es das gewesen sein, ähm, zum Thema, ja, Ende der Passwörter. Ja. Und wir hören uns in 14 Tagen wieder. In 14 Tagen. Vielen Dank, Dennis. Vielen Dank. Und bis zum nächsten Mal. Bis zum nächsten Mal. Vielen Dank.