Der regelmäßige „Ändere-dein-Passwort-Tag“ ist ein Relikt vergangener Zeiten. Es geht ja nicht darum, Passwörter regelmäßig zu ändern, sie sollen vielmehr sicher sein. Doch da beginnt das Problem: Viele Nutzer schützen ihre Accounts nur unzureichend, sei es aus Bequemlichkeit oder Unkenntnis.
In der Praxis sind die Zugangscodes oft einfach zu knacken, zu erraten oder gar öffentlich zugänglich. Nämlich dann, wenn Zugangsdaten durch Hacks oder Sicherheitslücken ins Darknet geraten und man nicht jedes Konto mit einem singulären Passwort abgesichert hat. So haben Kriminelle gleich mehrfach Zugriff.
Das Risiko von Kontrollverlust und Folgeschäden lässt sich durch Verwendung eines Passwortmanagers und wo immer möglich die Absicherung mit einem zweiten Faktor zwar deutlich reduzieren. Aus der Welt aber sind die durch Phishing, Man-in-the-Middle-Angriffe, Trojaner, Brute-Force-Attacken und nicht zuletzt die Schwachstelle Mensch verursachten Risiken jedoch nicht.
Schon diese knappe Analyse macht die Risiken durch Passwörter deutlich. So empfiehlt das Bundesamt für Sicherheit in der Informationstechnik (BSI) auch nicht mehr, Passwörter regelmäßig zu ändern – trotzdem gab es den „Ändere-dein-Passwort-Tag“ auch 2023 Anfang Februar wieder.
Wenn es doch nur etwas gäbe, das Passwörter nicht nur ersetzen könnte, sondern das Einloggen auch sicher und einfach machen würde!
Fido 2: Sicherer und komfortabler als Passwörter
Dieser Fido-2-Sicherheitstoken von Yubico verfügt über einen Fingerabdrucksensor. Modelle ohne Fingerscan sind äußerlich kaum von solchen mit dieser Funktion zu unterscheiden.
IDG
Genau das bietet der Authentifizierungsstandard Fido 2. Die Abkürzung steht für „Fast IDentity Online“, also schnelles Anmelden im Internet. Zertifiziert und verabschiedet wird die Technik von der Fido-Allianz, der diverse IT-Großkonzerne wie Amazon, Apple, Google, Intel, Meta (Facebook, Whatsapp), Microsoft, Paypal, Qualcomm und Samsung angehören. Ziel des Konsortiums ist nichts Geringeres als die „passwortfreie Zukunft“.
Kern von Fido 2 ist ein fest an eine bestimmte Hardware gebundener Sicherheitsschlüssel, den man anschließend mit seinen Onlinekonten verknüpft. Da sich dieser Sicherheits-Chip nicht kopieren lässt, muss man die Hardware zum Anmelden tatsächlich besitzen. Das kann ein Zusatzgerät in Form eines USB-Sticks („Token“) sein oder ein PC, Notebook, Smartphone oder Tablet. Denn darin steckt meist ein Sicherheits-Chip, der sich als Fido-2-Authenticator eignet. Das spart mindestens 20 Euro für den Token.
Soll Fido 2 nicht nur als zweiter Faktor genutzt werden, sondern die Passwörter vollständig ersetzen, sollte man die Sicherheitshardware zusätzlich absichern: entweder biometrisch per Finger- oder Gesichtsscan oder mit einer PIN.
Kommt man bei der PIN nicht sprichwörtlich vom Regen in die Traufe? Nein, denn die PIN ersetzt ja keine einzelnen Passwörter, sondern entsperrt den Sicherheitsschlüssel, mit dem die Onlinekonten verknüpft sind. Der Besitz der Hardware ist weiterhin zwingend, die PIN schützt zusätzlich bei Verlust oder Dieb- stahl von Token, Smartphone oder PC.
Vorteil: Statt einer Vielzahl von Kennwörtern muss man sich nur diese eine PIN merken.
Tipp: Wenn Sie einen Token mit Fingerabdruck kaufen, achten Sie darauf, dass er die Funktion tatsächlich besitzt. Modelle mit einem Drücktaster als Besitznachweis sehen äußerlich praktisch genauso aus.
Alternativ empfiehlt sich das Entsperren von Smartphone, Tablet, Notebook und PC per Kamera oder Fingerscan. Die dabei erfassten Daten werden ebenso wenig über das Internet übertragen wie die PIN. Sie dienen nur zur Authentifizierung und bleiben lokal auf dem jeweiligen Gerät.
Das passwortlose Anmelden ausprobieren
Auf der Webseite WebAuthn.io können Sie das Anmelden ohne Passwort innerhalb von Sekunden ausprobieren: Fiktives Konto registrieren, absichern und authentifizieren.
IDG
Wenn Fido 2 nun so sicher und einfach funktionieren soll, stellt sich die Frage, weshalb sich dieser offene Authentifizierungsstandard nicht bereits durchgesetzt hat.
Das hat vor allem zwei Gründe: Verwendet man weiter seine Passwörter, muss man nichts ändern, einrichten oder anpassen. Weil zweitens jeder über Fido 2 abgesicherte Account an den Sicherheits-Chip und damit an eine Hardware gebunden ist, erschwert diese die Nutzung auf mehreren Geräten. Jedes Onlinekonto müsste mit jedem Gerät neu verknüpft werden. Dieser Aufwand dürfte manchen interessierten Nutzer in der Vergangenheit abgeschreckt haben. Doch die Einschränkung fällt durch die neuen „Passkeys“ zunehmend weg – wir kommen später darauf zurück.
Sofort und einfach ausprobieren können Sie das passwortfreie Einloggen mit Ihrem Smartphone, Notebook und PC, auf dem Windows Hello bereits eingerichtet ist. Auf der Webseite Webauthn tippen Sie ins Feld „example_username“ einen beliebigen Namen ein, klicken auf „Register –› Externer Sicherheitsschlüssel oder integrierter Sensor“ und wählen Fingerabdruck, Gesichtserkennung, PIN oder Sicherheitsschlüssel. Augenblicklich vermeldet der Browser „Success! …“. Das überprüfen Sie mit einem Klick auf „Authenticate“, nach der Authentifizierung meldet die Seite „You’re logged in!“. Ihr fiktiver Account wird nach 24 Stunden wieder gelöscht.
Fido 2 bei Microsoft und Google einrichten
Microsoft wirbt fürs Anmelden ohne Passwörter und hilft Schritt für Schritt beim Einrichten: Nach wenigen Minuten ist das Log-in per Authenticator-App am Smartphone möglich.
IDG
So geht’s bei Microsoft: Schon beim Einloggen im Browser wirbt Microsoft für das passwortlose Konto inklusive Einrichtungsoption. Alternativ starten Sie die Einrichtung nach dem Log-in über „Mein Microsoft-Konto –› Sicherheit –› Erweiterte Sicherheitsoptionen –› Kennwortloses Konto aktivieren“.
Fahren Sie mit „Weiter –› Jetzt herunterladen“ fort, so erscheint die Aufforderung, zum Browser auf dem Smartphone zu wechseln. Dort tippen Sie aka.ms/authapp ein und installieren so den „Microsoft Authenticator“. Der „Google Authenticator“ funktioniert an dieser Stelle nicht!
Öffnen Sie die Authenticator-App, melden Sie sich mit Ihrem Microsoft-Konto an, und nutzen Sie die Option, den am PC-Bildschirm gezeigten QR-Code zu scannen. Daraufhin dauert es rund 30 Sekunden, bis Sie das Synchronisieren und automatische Ausfüllen Ihrer Kennwörter aktivieren können. Das ist jedoch nur eine Option, notwendig für die Fido-2-Nutzung ist sie nicht. Bestätigen Sie die weiteren Schritte; die kennwortfreie Anmeldung wird aktiviert.
Zum Testen melden Sie sich vom Microsoft-Konto ab und wieder an. Statt das Passwort eintippen zu müssen, meldet sich die Authenticator-App per Push-Nachricht auf dem Smartphone mit der Aufforderung, die Anmeldung zu bestätigen. Dazu entsperren Sie das Mobilgerät und fahren mit „Genehmigen“ fort – ganz ohne Passworteingabe werden Sie an Ihrem Windows-Rechner automatisch ein- geloggt.
Hinweis: Wenn Sie später auf Ihrem Windows-Rechner den Browser wechseln oder sich von einem anderen Computer anmelden möchten, erscheint beim Log-in einmalig eine weitere Sicherheitsabfrage. Weitere Infos und FAQs zum kennwortlosen Microsoft-Konto finden Sie im Web.
Die Browser-Anmeldung bei Google mit der App „Google Authenticator“ anstelle eines Passworts ist ähnlich einfach und schnell eingerichtet wie bei Microsoft.
IDG
Bei Google funktioniert die passwortlose Anmeldung ähnlich. Zum Einrichten loggen Sie sich mit Ihrem Gmail-Konto ein, klicken auf „Google-Konto verwalten –› Sicherheit –› Über das Smartphone anmelden –› Weiter“, wählen das Mobilgerät aus, installieren darauf den „Google Authenticator“ und folgen den weiteren Schritten.
PC mit Windows Hello einrichten
Statt sich im Browser ohne Passwort bei Microsoft einzuloggen, können Sie dies in einem Schritt gleich mit der Windows-Anmeldung über „Windows Hello“ erledigen. Dahinter steckt eine sichere Log-in-Option ebenfalls per PIN, Gesichtserkennung oder Fingerabdruck anstelle eines Kennworts. Voraussetzung für den Gesichts- oder Fingerscan ist eine hochwertige Webcam beziehungsweise ein Fingerabdrucksensor, wie ihn viele Notebooks bieten.
Ob Ihre externe oder die im Notebook integrierte Kamera den Hello-Anforderungen genügt, überprüfen Sie folgendermaßen: Öffnen Sie die Einstellungen-App und klicken Sie auf „Konten –› Anmeldeoptionen –› Gesichtserkennung (Windows Hello)“. Meldet Windows dort „Diese Option ist derzeit nicht verfügbar“, liegt es an der Kamera.
Wichtig: Für den Check und die Einrichtung („Mit Kamera anmelden“) müssen Sie den Rechner mit einer PIN absichern. Die legen Sie ebenfalls in den Anmeldeoptionen fest. Ist das Anmelden per Gesichts- oder Fingerscan möglich, klicken Sie bei der gewünschten Anmeldeoption auf „Einrichten –› Los geht’s“ und folgen dem Assistenten.
Windows Hello funktioniert sowohl mit einem Microsoft- als auch mit einem lokalen Benutzerkonto. Die mit dem Microsoft-Konto verknüpften Dienste wie E-Mail, der Cloudspeicher Onedrive und so weiter stehen bei der lokalen Variante jedoch erst nach Eingabe des Passwortes oder über die Authenticator-App zur Verfügung. Weitere Infos finden Sie bei Microsoft online.
Mit Passkeys auf mehreren Geräten einloggen
Google hat die Passkeys bereits seit Ende 2022 in seinem Webbrowser implementiert, Microsoft will in diesem Jahr bei den Fido-2-Schlüsseln in der Cloud nachziehen.
IDG
Der technische Unterbau von Fido 2 mit „Client to Authenticator Protocol“ (CTAP), W3C-Standard WebAuthn und dem Austausch des Schlüsselpaars aus öffentlichem (auf dem Server der Webseite) und privatem Schlüssel (im Sicherheits-Chip der eigenen Hardware) wurde bewusst ausgespart – hier geht es um den praktischen Einsatz. Die Gerätebindung des Schlüssels macht Fido 2 einerseits so sicher, das Anmelden über verschiedene Geräte jedoch etwas umständlich.
Da setzt der von Apple, Google und Microsoft gemeinsam unterstützte neue Standard „Passkeys“ an. Er bietet im Wesentlichen zwei Vorteile: Zum einen kann das Smartphone mit Authenticator-App den PC in Reichweite automatisch einloggen. Zum zweiten kann ein einmal erzeugter privater Fido-Schlüssel ebenfalls automatisch innerhalb einer sicher verschlüsselten Cloudumgebung wie der iCloud von Apple verteilt und synchronisiert werden. Die bisherigen Gerätegrenzen verschwinden damit, der gleiche private Schlüssel funktioniert nun auf mehreren Geräten. Noch haben die Passkeys unter Windows kaum Bedeutung, Google Chrome hat ihre Verwaltung jedoch schon integriert.
Diese Onlinedienste unterstützen Fido 2
So erkennt man Dienste, die Fido 2 unterstützen
Fido
Fido 2 funktioniert auf Geräten mit Windows 10 und 11, Mac-OS, Linux und Chrome-OS sowie auf Smartphones mit Android und iOS. Entscheidend ist, dass der Browser Web Authentication (WebAuthn) unterstützt: Das tun Google Chrome, Mozilla Firefox, Microsoft Edge, Apple Safari, Brave und Opera.
Welche Onlinedienste lassen sich mit Fido 2 nutzen? Dazu gehören neben den im Artikel genannten Google und Microsoft die Passwortmanager 1Password, Bitwarden, Keepass, Lastpass sowie Password Safe. Hinzu kommen Boxcryptor, Ebay, Electronic Arts, Dropbox, Facebook, Github, Instagram, Nintendo, Protonmail, Twitter, Youtube sowie Amazon AWS, nicht jedoch die gewöhnlichen Nutzerkonten von Amazon. Einige dieser Dienste beschränken den Einsatz von Fido 2 auf die Absicherung als zweiten Faktor, unterstützen also nicht das passwortfreie Anmelden.
Fazit
Das passwortlose Anmelden über Fido 2 ist so viel sicherer und bequemer als das bisherige Hantieren mit Kennwörtern, dass es fast uneingeschränkt zu empfehlen ist.
Weil man zum Einloggen aber zwingend die hinterlegte Hardware (Smartphone, Token, Notebook, Smartwatch oder ähnliches) benötigt, empfiehlt sich als zusätzliche Anmeldeoption ein starkes Passwort verbunden mit einer 2-Faktor- Authentifizierung, beispielsweise als Einmal-Code per Mail oder SMS.
Die Frage, welche Konten man auf die Authenticator-App & Co. umstellen sollte, stellt sich derzeit kaum. Denn noch existieren ohnehin erst wenige Anbieter, die das passwortfreie Log-in ermöglichen. Nachdem Google seit Ende des vergangenen Jahres die cloudgestützte Variante Passkeys unterstützt und Microsoft bald nachziehen will, könnten Nutzerinteresse und Einsatzmöglichkeiten steigen.
Autor: Peter Stelzel-Morawietz
Peter Stelzel-Morawietz schreibt über die Themen vernetztes Zuhause, Windows, Internet und Internet of Things, Cloud, GPS und Navigation, Digitalradio sowie IT im Alltag und Integration im Auto