Wenn es nach Microsoft, Google und Apple geht, sollen Passwörter möglichst bald Geschichte sein. Möglich machen soll das FIDO 2, ein hardwaregestütztes Verfahren zur Anmeldung in Internet-Konten. Im brandneuen iOS 16 heißt die Funktion Passkeys.

Die Liste der Regeln für gute Passwörter ist lang: Sie sollen etwa möglichst viele Zeichen haben und nicht mehrfach für unterschiedliche Dienste verwendet werden. Das ist vielen Menschen offenbar zu aufwendig oder überfordert sie schlicht. So führte die Zahlenreihe "123456" auch im Jahr 2021 wieder die vom Hasso-Plattner-Institut jährlich veröffentlichte Liste der beliebtesten Passwörter an. Aber selbst starke und einzigartige Passwörter können abgefangen oder gestohlen werden.

Und die Anmeldung in zwei Schritten (Zweifaktor-Authentisierung/2FA), bei der neben dem Passwort noch ein zweiter Faktor geprüft wird (etwa ein von einer 2FA-App generierter Code oder der Fingerabdruck), erhöht zwar die Sicherheit, macht Einloggen aber nicht unaufwändiger.

Einfach kein Passwort lautet die Lösung

Für diese Probleme gibt es eine Lösung, die einfach das Passwort selbst überflüssig machen soll. Die Rede ist von FIDO (Fast Identity Online), was zu Deutsch so viel wie schnelle Online-Identifikation bedeutet. Der lizenzfreie Standard wurde von der FIDO-Allianz entwickelt, einem Zusammenschluss von vielen verschiedenen Unternehmen, zu denen auch Google, Microsoft und Apple gehören.

Der neueste Standard, FIDO 2, soll die sichere, passwortlose Anmeldung bei Online-Diensten ermöglichen. Das Passwort könnte dann ausgedient haben. Aber wie funktioniert das? Wer sich per FIDO 2 einloggen will, muss dafür zunächst ein Gerät bei dem jeweiligen Dienst registrieren.

Das geht etwa mit Smartphone, Tablet oder Computer. Bei der Registrierung werden mittels mathematischer Verfahren zwei kryptografische Zeichenfolgen generiert, die zusammen ein Paar bilden: den öffentlichen und den privaten Schlüssel. Den öffentlichen Schlüssel bekommt der Dienst, der geheime Schlüssel wird im Gerät gespeichert, das dadurch zum sogenannten Authentifikator wird.

Wie eine Unterschrift

Wenn man sich nun einloggen möchte, erstellt das Gerät mithilfe des geheimen Schlüssels eine digitale Signatur. Diese kann der Dienst dann durch den öffentlichen Schlüssel auf Authentizität überprüfen.

Im Prinzip funktioniere das wie die klassische Unterschrift auf Papier, erklärt Markus Dürmuth vom Institut für IT-Sicherheit an der Leibniz-Universität Hannover. "Nur ich weiß, mit welchem Schwung ich die Unterschrift schreibe - mit einer Vergleichsprobe kann jeder diese überprüfen."

Das Verfahren ist im Vergleich zum Passwort sicher, weil der private Schlüssel nur beim Nutzer liegt. Passwörter hingegen sind Geheimnisse, die über Tastaturen eingeben werden: Sie können lokal oder auf dem Weg durchs Netz abgefangen werden.

Zudem werden die Passwörter auch beim jeweiligen Dienst in verschlüsselter Form abgelegt, um das vom Nutzer eingegebene Passwort abgleichen zu können, sagt Dürmuth. Beim Abgleich liege das Passwort kurzzeitig im Klartext vor, was ein Sicherheitsrisiko darstellt.

FIDO 2 dagegen bietet sogar noch mehr Sicherheit: Die digitale Signatur beinhalte einen Zeitstempel, sagt Dürmuth. Selbst wenn es Angreifern gelänge, die Signatur abzufangen, könnten sie diese später nicht nutzen.

Spezieller Chip speichert Schlüssel

Außerdem ist der private Schlüssel, auch Geheimnis genannt, auf den Authentikator-Geräten sicher: Der Schlüssel wird auf den Geräten in einem sogenannten Trusted Platform Module (TPM) gespeichert, erklärt Jan Mahn vom Fachmagazin "c't". "Das sind Hardware-Chips, die so designt sind, dass sie keinen Ausgang für das Geheimnis haben."

Der private Schlüssel werde einmal im Gerät berechnet und dort gespeichert. Beim Log-in verlässt nur besagte Signatur das Gerät, nicht der private Schlüssel selbst, so Mahn. TPMs mit Krypto-Chips stecken mittlerweile in den allermeisten Smartphones sowie in neueren PCs und Notebooks. Microsoft hat ein TPM sogar zu einer Voraussetzung für die Installation von Windows 11 auf Rechnern gemacht.

Wer noch einen älteren Rechner oder ein älteres Smartphone ohne TPM hat, kann den privaten Schlüssel aber auch auf Sticks speichern, die per USB (Rechner) oder NFC (Smartphone) verbunden werden. Diese Sticks mit eingebautem Krypto-Chip werden auch Token genannt und können bei FIDO 2 nicht nur das Passwort ersetzen.

Stick als Passwort-Ersatz oder zweiter Faktor

Je nach Dienst kann ein USB-Token auch als zweiter Faktor dienen. Ist der Stick am Gerät eingesteckt, muss man nur noch eine PIN eingeben oder sich per Fingerabdruck authentisieren, wenn der Stick einen Sensor dafür hat. Denn auch 2FA ist Teil der FIDO-Standards.

Aber was ist, wenn ein Nutzer etwa das Smartphone verliert, auf dem der private Schlüssel liegt? "Die offizielle Empfehlung bei FIDO 2 ist es, zwei Geräte zu registrieren", sagt Dürmuth. Das zweite Gerät muss nicht zwingend ein Smartphone oder Computer sein: Als Backup bietet sich etwa auch ein sicher verwahrter USB-Token an.

Jan Mahn nennt noch eine Möglichkeit, im Notfall an ein Konto zu kommen: Zahlreiche Dienste geben bei der Registrierung einen Backup-Code aus. Den notiert man sich am besten auf Papier und verwahrt ihn an einem sicheren Ort.

Schlüssel in die Cloud?

Eine relativ neue Idee zur Lösung des Verlust-Problems und für noch mehr Nutzerfreundlichkeit ist es, den privaten Schlüssel zusätzlich in der Cloud, also auf Internet-Servern, zu sichern beziehungsweise ihn auf unterschiedlichen Geräten über das Internet zu synchronisieren.

Grundsätzlich geht durch den Cloud-Weg zwar ein Stück Sicherheit verloren. Doch das sei angesichts der höheren Nutzbarkeit von FIDO 2 vertretbar, findet Markus Dürmuth. Die Cloud-Speicher seien zudem besonders geschützt.

Neuer Schwung durch iOS 16

Apple, Google und Microsoft haben im Frühjahr beschlossen, FIDO 2 bis 2023 um weitere Funktionen zu ergänzen. Benutzerinnen und Benutzer sollen auf verschiedenen - auch neuen Geräten - automatisch auf die Zugangsdaten zugreifen können, ohne sich für jedes Konto neu anmelden zu müssen. Zudem soll es möglich werden, sich mit einem Mobilgerät als Authentikator bei einer App oder Website auf einem anderen Gerät in der Nähe anzumelden, und zwar unabhängig von Betriebssystem oder Browser.

Neuen Schwung könnte FIDO 2 mit iOS 16 bekommen. Apple hat das Verfahren in Form von Passkeys in das iPhone-Betriebssystem integriert. Sie nutzen Touch ID oder Face ID für die biometrische Verifizierung. Über iCloud Schlüsselbund werden die Passkeys über iPhone, iPad, Mac und Apple TV hinweg mit durchgehender Verschlüsselung synchronisiert.

Microsoft hat passwortloses Anmelden unter anderem für die Outlook-Webversion sowie für sein Spielenetzwerk Xbox Live eingeführt. Es kann in den erweiterten Sicherheitseinstellungen des Microsoft-Kontos aktiviert werden.

Und Dropbox, Google oder Twitter unterstützen FIDO 2 zumindest schon als zweiten Faktor per USB-Token, App oder SMS, auch wenn in der Regel nicht von FIDO 2, sondern von Sicherheitsschlüssel oder Passkey die Rede ist.

BSI Mitglied der FIDO-Alianz

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist ebenfalls Mitglied der FIDO-Allianz. Das Amt bewertet den FIDO-2-Standard in vielen Aspekten positiv, wie ein Sprecher der Behörde sagt. Ein echter Sicherheitsgewinn ergebe sich allerdings nur, wenn das Authentikator-Gerät entsprechend gesichert sei.

Für höhere Sicherheitsniveaus müsse laut BSI zudem unabhängig geprüft und zertifiziert werden, wie der FIDO-2-Standard etwa auf einer Webseite implementiert wird. Denn die Sicherheit hänge immer davon ab, wie der jeweilige Anbieter FIDO 2 für seinen Dienst umsetzt.

2FA und Passwort-Ersatz aktivieren, wo immer möglich

"IT-Sicherheit soll im besten Fall den Angreifer nerven", sagt Jan Mahn - und Nutzerinnen und Nutzer möglichst wenig. "FIDO 2 schafft das, vor allem mit den neuen Implementierungen." Mit den meisten Android-, iOS- und macOS-Geräten, aber auch unter Windows sei es mittlerweile sehr einfach, FIDO 2 mit bestehender Hardware zu nutzen.

Mahn rät, in den Kontoeinstellungen des jeweiligen Dienstes im Bereich Sicherheit zu prüfen, welche Optionen es gibt, und FIDO 2 zu nutzen, wo immer es geht: entweder als Passwort-Ersatz oder als zweiten Faktor.