Was ist ein sicheres Passwort?

In unserer digitalen Welt, in der unsere persönlichen und beruflichen Aktivitäten zunehmend online stattfinden, wird die Sicherheit unserer digitalen Identitäten immer wichtiger. Sichere Passwörter sind seit Langem ein Grundpfeiler des Schutzes gegen unbefugten Zugriff, doch die Realität zeigt, dass selbst komplexe Passwörter nicht immer ausreichend sind. Cyberkriminelle entwickeln ständig neue Methoden, um Passwörter zu knacken oder zu umgehen, was zu erheblichen Sicherheitsrisiken führt.

Hier kommen Passkeys ins Spiel, eine innovative Technologie, die das traditionelle Passwortsystem revolutioniert. Passkeys bieten eine stärkere, benutzerfreundlichere und sicherere Alternative zu herkömmlichen Passwörtern. Sie nutzen moderne Authentifizierungsmethoden wie biometrische Daten oder kryptografische Schlüssel, die auf einem Gerät sicher gespeichert sind. Dies macht es nahezu unmöglich für Hacker, Zugang zu sensiblen Informationen zu erhalten, selbst wenn sie Zugangsdaten abfangen oder -Angriffe durchführen.

In diesem Blog-Beitrag – der sich ursprünglich nur um sichere Passwörter drehte – gehe ich auf die Schwächen traditioneller Passwörter ein und erläutere, warum Passkeys heute die bessere Wahl für die Sicherung unserer digitalen Identitäten sind.

Was sind Passkeys

Passkeys sind eine moderne Technologie, die die Verwendung von Passwörtern zur Authentifizierung im Internet überflüssig macht. Sie basieren auf dem Web-Authentication-Protokoll (WebAuthn) und bieten durch asymmetrische Kryptographie eine sichere Alternative zu herkömmlichen Passwörtern. Sie bieten eine sichere und benutzerfreundliche Alternative zu herkömmlichen Passwörtern. Sie schützen effektiv vor Phishing und anderen Cyber-Angriffen und erleichtern gleichzeitig den Anmeldeprozess für die Nutzer.

Funktionsweise von Passkeys

Ein Passkey besteht aus zwei Teilen: einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel wird sicher auf dem Gerät des Nutzers gespeichert, während der öffentliche Schlüssel bei dem Dienst hinterlegt wird, bei dem der Passkey eingerichtet wird. Dieser Schlüsseltausch erfolgt bei der Registrierung des Passkeys.

Bei der Anmeldung generiert der Dienst eine kryptografische Herausforderung (Challenge), die vom Gerät des Nutzers mit dem privaten Schlüssel signiert wird. Der Dienst überprüft dann die Signatur mit dem öffentlichen Schlüssel. Nur wenn diese Prüfung erfolgreich ist, wird der Zugriff gewährt.

Vorteile von Passkeys

  1. Phishing-Schutz: Passkeys sind immun gegen Phishing-Angriffe, da der private Schlüssel niemals das Gerät verlässt und somit nicht abgefangen oder gestohlen werden kann.
  2. Kein Passwort-Management: Nutzer müssen sich keine Passwörter mehr merken oder verwalten. Jede Anmeldung erfolgt einfach und sicher über den Passkey.
  3. Sicherer und bequemer: Passkeys können schnell eingerichtet und genutzt werden, oft durch biometrische Methoden wie Fingerabdruck oder Gesichtserkennung.

Anwendung von Passkeys

Um Passkeys zu nutzen, muss man diese zunächst in den Sicherheitseinstellungen des entsprechenden Online-Dienstes einrichten. Dies kann über ein Smartphone, einen PC oder andere Geräte geschehen. Bei der Anmeldung wählen Nutzer dann die Passkey-Option und authentifizieren sich über eine zusätzliche Sicherheitsmaßnahme wie Biometrie oder eine PIN. Diese Methode sorgt dafür, dass nur der rechtmäßige Besitzer des Geräts den Passkey nutzen kann.

Passkeys werden bereits von vielen modernen Betriebssystemen und Browsern unterstützt. Auch große Plattformen wie Online-Shops, soziale Medien und Finanzdienste integrieren diese Technologie zunehmend. Sollte ein Gerät verloren gehen, können Passkeys oft durch Synchronisierung über die Cloud oder durch Backups wiederhergestellt werden.


Technische Hintergründe der Kryptographie bei Passkeys

Die Sicherheit von Passkeys beruht auf einer soliden kryptographischen Basis, die durch das Web-Authentication-Protokoll (WebAuthn) realisiert wird. Hierbei kommen mehrere technische Konzepte und Mechanismen zum Einsatz, die eine sichere und benutzerfreundliche Authentifizierung ermöglichen.

Asymmetrische Kryptographie

Im Zentrum der Passkey-Technologie steht die asymmetrische Kryptographie. Diese Methode verwendet zwei unterschiedliche, aber mathematisch miteinander verbundene Schlüssel: einen privaten Schlüssel und einen öffentlichen Schlüssel.

  • Privater Schlüssel: Dieser bleibt sicher auf dem Gerät des Nutzers und wird niemals versendet oder offengelegt.
  • Öffentlicher Schlüssel: Dieser wird bei dem Dienst hinterlegt, bei dem der Passkey registriert wird. Er dient zur Überprüfung der vom privaten Schlüssel erzeugten Signaturen.

Schlüsselpaar-Erzeugung

Bei der Registrierung eines Passkeys erzeugt der Authentikator (das Gerät des Nutzers) ein neues Schlüsselpaar. Der private Schlüssel wird sicher gespeichert, während der öffentliche Schlüssel an den Online-Dienst gesendet wird. Für jede Webseite und jeden Benutzer wird ein eigenes Schlüsselpaar erstellt, was die Sicherheit und den erhöht.

Challenge-Response-Verfahren

Die Authentifizierung erfolgt durch ein Challenge-Response-Verfahren:

  1. Challenge: Der Online-Dienst sendet eine kryptographische Herausforderung (Challenge) an den Client des Nutzers. Diese Challenge ist eine zufällig generierte Zahl.
  2. Response: Der Authentikator erstellt eine Signatur über diese Challenge mit dem privaten Schlüssel.
  3. Überprüfung: Der Online-Dienst überprüft die Signatur mit dem bei der Registrierung hinterlegten öffentlichen Schlüssel. Ist die Signatur korrekt, wird der Zugang gewährt.

Technische Begriffe

  1. WebAuthn: Ein Web-Authentifizierungsprotokoll, das Teil des FIDO2-Standards ist und zur sicheren passwortlosen Authentifizierung verwendet wird.
  2. FIDO2: Ein Authentifizierungsstandard, der das Client to Authenticator Protocol (CTAP) und die Web-Authentifizierungs-API (WebAuthn) kombiniert, um starke, passwortlose Authentifizierungsmethoden zu ermöglichen.
  3. Authentikator: Das Gerät oder die Software, die die Schlüsselpaar-Erzeugung und Signatur durchführt. Dies kann ein Smartphone, ein Tablet, ein PC oder ein Hardware-Token sein.
  4. Challenge: Eine zufällig generierte Zahl, die als Grundlage für die Authentifizierungsprüfung dient. Sie stellt sicher, dass jede Authentifizierungssitzung einzigartig ist.
  5. Signatur: Eine kryptographische Berechnung, die mit dem privaten Schlüssel erstellt wird und die Authentizität und Integrität der Challenge bestätigt.

Gestaltung von Passwörtern

Wie zuvor erwähnt: Passkeys sind die bessere Wahl. Gleichwohl gehe ich im Folgenden darauf ein, was gute Passwörter sind: Aus meiner Sicht ist es sinnvoller, zu fragen, wie ein unsicheres Passwort aussieht, da ansonsten etwas Utopisches avisiert wird: absolute Sicherheit.

Tatsächlich gibt es einige Faktoren, die unsichere Passwörter ausmachen bzw. Unsicherheitsfaktoren darstellen:

  • Passwortlänge: Je kürzer ein Passwort ist, umso unsicherer ist es schon alleine, weil Brute-Force-Angriffe umso leichter werden. Das BSI rät zu jedenfalls 8 Zeichen bei Internet-Passwörtern, während bei Geräten wie WLAN-Routern zu jedenfalls 20 Zeichen geraten wird.
  • Zeichen: Nutzen Sie jedenfalls Buchstaben sowohl gross- wie kleingeschrieben, wenigstens ein Sonderzeichen (Ausrufezeichen, Fragezeichen, Klammeraffe) und wenigstens eine Ziffer.
  • Keine allgemeinen Bezeichnungen: Verwenden Sie keine allgemeinen Begriffe die man in einem Duden findet, keine Zeichen- oder Zahlenketten die eingängig sind und auch keines der bekannten unsicheren Passwörter. Verwenden Sie all dies auch nicht „nur“ als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Keine persönlichen Bezeichnungen: Vermeiden Sie persönliche Daten wie Geburtsdaten von Familienmitgliedern, Hochzeitsdatum, Vornamen, Nachnamen, Hausnummern, Postleitzahlen etc. Verwenden Sie all auch hier all dies nicht „nur“ als Bestandteil Ihres Passworts, vor allem nicht, in dem Sie dann einfach ein simples Sonderzeichen dran hängen.
  • Passwort-Manager verwenden: Mit einer allgemeinen Empfehlung diesbezüglich tue ich mich schwer. Zentral in einem Passwortmanager alle Passwörter zu sichern ermöglicht hochkomplexe Passwörter, schafft aber eine zentrale Angriffsstelle. Hier kann man Kritik üben, man muss es aber nicht. Dabei sollte man auch wissen, dass die Stiftung Warentest im Jahr 2017 bei einem Test von Passwort-Managern ebenfalls teilweise Kritikpunkte gefunden hatte.
  • Kein unverschlüsseltes Speichern: Wenn Sie sich Passwörter notieren, tun Sie dies nicht unverschlüsselt. Also nicht am Schreibtisch unter der Auflage „versteckt“, nicht im Notizbuch, nicht in einer unverschlüsselten Text-Datei oder Cloud-Notiz.
  • Passwort regelmäßig ändern: Aus meiner Sicht vollkommen überholt ist der Ratschlag, das Passwort regelmäßig zwingend zu ändern. Berechtigt ist hier die Kritik dahin gehend, dass gerade der Zwang regelmässig ggfs. kurzfristig zu wechseln dazu führt, erst recht einfache Passwörter zu verwenden.

Allgemeines zu Passwörtern

Ansonsten gilt für mich: Mitdenken ist angesagt. Bei der Süddeutschen Zeitung gab es Mitte 2017 einen Artikel Zum Thema „unsichere Passwörter“ der mit Mythen aufräumen wollte, aber aus meiner Sicht weitere Bauchschmerzen verursacht: So wird beispielsweise gesagt, die Empfehlung Sonderzeichen zu verwenden sei überholt, als Beispiel wird angeführt, was Nutzer daraus machen:

Das NIST empfiehlt Seitenbetreibern deshalb, auf allzu komplizierte Vorgaben zu verzichten. So sollen Passwörter nicht mehr einen Großbuchstaben und zwei verschiedene Sonderzeichen enthalten müssen. Die Nutzer, argumentiert das NIST, variierten sonst nur ihre Standard-Chiffre: Aus „Passwort“ werde „Pa$$w0rt1!!“ – eine Variation, die Algorithmen leicht erraten können. Besser sei es, weniger Sonderzeichen und dafür unterschiedliche Sätze als Grundlage zu nutzen.

SZ Artikel online, 16. Juli 2017, 19:01 Uhr – Sicherheitstipps

Das ist natürlich ein lustiges Beispiel, aber nicht dafür, wie unnötig Sonderzeichen sind, sondern wie dämlich User sein können. Die Zahl der Kombinationen zu verringern weil man einfache Varianten wählen kann ist ein Denkfehler, der sich zeigt, wenn man auf die Alternative blickt: Lange Sätze sollen nämlich die Lösung sein.

Was ist ein sicheres Passwort? - Rechtsanwalt Ferner
Quelle: NCSC,  Contains public sector information licensed under the Open Government Licence v3.0., http://www.nationalarchives.gov.uk/doc/open-government-licence/version/3/

Hier aber kann man auch tolle Konstruktionen wie „DasIstMeinPasswort“ verwenden. Am Ende läuft es immer darauf hinaus, dass der individuelle Nutzer das hauptsächliche Risiko ist. Von mir verbleibt es dabei, dass es sinnvoll ist Sonderzeichen zu nutzen. Entgegenstehende Meinungen wird es sicher wie Sand am Meer geben.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.