FIDO-Studie zeigt: Passwörter sollen in den nächsten Jahren durch bessere Alternativen ersetzt werden
von Benjamin Mamerow | 24 Kommentare
Eine Studie, die von der FIDO-Allianz (Fast IDentity Online) und LastPass durchgeführt wurde, zeigt, dass Passwörter in Unternehmen in den nächsten Jahren größtenteils durch sichere Alternativen ersetzt werden. Die meisten IT-Verantwortlichen glauben demnach, dass bis 2028 weniger als 25 Prozent der Anmeldungen über Passwörter erfolgen werden. Bereits jetzt setzen 95 Prozent der Befragten passwortlose Alternativen wie Passkeys ein, um die Sicherheit zu erhöhen. Die Mehrheit der IT-Verantwortlichen plane, Passkeys über Passwort-Manager von Drittanbietern zu verwalten.
Obwohl Passwörter immer noch von vielen Unternehmen als Login-Methode angeboten werden, gibt es Bedenken hinsichtlich der Nutzerakzeptanz passwortloser Alternativen. Man sieht vor allem die Aufklärung der Nutzer als Herausforderung an und fordert mehr Informationen über die Funktionsweise und den Einsatz der passwortlosen Technologie. Die Studie betont zudem noch einmal, dass Datenschutzverletzungen oft auf die Verwendung von Passwörtern zurückzuführen sind. Immer mehr Unternehmen würden diese Sicherheitsrisiken erkennen und setzen daher auf eine passwortlose Authentifizierung.
Die Umfrage wurde von Sapio Research in Form einer Online-Befragung unter 1.005 IT-Entscheidungsträgern in den Vereinigten Staaten, Deutschland, Australien, dem Vereinigten Königreich und Frankreich durchgeführt.
Wird geladen ...
Ein gestohlenes Passwort kann man ändern.
Einen gestohlenen Fingerabdruck nicht.
So sieht’s aus. Deswegen bleibe ich bei komplexen Passwörtern.
Immer dagegen. Da freuen sich die bösen Buben aber!
„Man sieht vor allem die Aufklärung der Nutzer als Herausforderung an und fordert mehr Informationen über die Funktionsweise und den Einsatz der passwortlosen Technologie.“
Dann fangen wir mal an: Der gestohlene Fingerabdruck hilft dem Angreifer rein gar nichts, denn der dient nur als eine von mehreren Möglichkeiten, den Passkey auf dem lokalen Gerät zur Authentifizierung freizugeben. Der Fingerabdruck selbst reicht nicht zur Authentifizierung.
Wenn mir jemand das Gerät und den Finger stiehlt, habe ich Pech. Das ist aber nicht das Geschäft der Phishing- und Ransomware-Gangs.
Zum Thema Aufklärung:
Es geht der FIDO-Allianz (=Zusammenschluss der BigTech-Konzerne) nicht darum, Anmeldungen sicherer zu machen. Es geht ihnen darum, die biometrischen Daten der Nutzer zu sammeln.
Du meinst die biometrische Daten, die im Gerät verbleiben und nicht relevant für die Passkeys sind?
OMG
Ernsthaft?
Und ich dachte, die biometrischen Merkmale werden überhaupt nicht zentral irgendwo gespeichert, sondern nur lokal verwendet, um den Geheimen Schlüssel gemäß FIDO zu entsperren, um die Challenge Response zur Anmeldung zu berechnen.
Aber was weiß ich schon.
@stadt-bremerhaven: Darf man hier wirlich so undifferenzierten Quatsch posten? Ich dachte, das wird moderiert
„ich dachte, die biometrischen Merkmale werden überhaupt nicht zentral irgendwo gespeichert, sondern nur lokal verwendet, um den Geheimen Schlüssel gemäß FIDO zu entsperren, um die Challenge Response zur Anmeldung zu berechnen.“
Was aber letztendlich niemals prüfen könnte, da man ja keinen Serverzugriff hat und somit nicht weiß was mit dem geheimen Schlüssel passiert? Ich würde Passkeys daher nicht als sicherer betrachten, einfach nur als bequemere Alternative zur Eingabe eines langen, sicheren Passwortes (was noch immer kaum ein Dienst verlangt).
Bin gespannt ob es sich durchsetzen oder eine der vielen Totgeburten wird, die Potential hatten aber wo es nie ausgenutzt wurde (RCS z. B.).
„Was aber letztendlich niemals prüfen könnte, da man ja keinen Serverzugriff hat und somit nicht weiß was mit dem geheimen Schlüssel passiert?“
Das ist Unsinn.
Du kannst (mit genügend technischem Sachverstand) nachprüfen was Dein Browser bei FIDO Passkey Authentifizierung übermittelt.
Und das ist nicht der geheime Schlüssel.
Häää? Aluhut?
Ihr habt Passkeys echt nicht verstanden oder? Das hat nichts mit biometrischen Dingen zu tun. Höchstens sekundär und zur Bequemlichkeit für ein Master-PW. Man kann auch Passkeys ohne Biometrie nutzen, indem man ein Master-PW benutzt. So wie bei 1Password bspw. Und mit der Zeit werden auch kostenlose Alternativen nachziehen. Im Grunde sind Passkeys das, was man asymmetrische Verschlüsselung nennt und auch schon bei E-Mails zum Einsatz kommt: Pivate- und Public-Key.
So viel Unwissenheit auf einem Tech-Blog …
Die biometrischen Daten haben Google und Apple (auf den Smartphones) doch bereits lange. Denkst du da werden noch nennenswert mehr Leute dazu kommen?
BTW: Du kannst Passkeys auch ohne biometrische Daten nutzen.
Außerdem ist er auf dem Personalausweis gespeichert und ich habe gehört, es soll Leute geben, die ihre Fingerabdrücke und sogar DNA Material jeden Tag völlig unüberlegt und willkürlich irgendwo hinterlassen… OMG.
Das klingt nach dem typischen Bullshit von Verschwörungstheroretikern.
Auf den Geräten werden eben nicht die biometrischen Informationen, sondern lediglich die Hash-Werte gesichert. Selbst diese werden nicht übermittelt, sondern lediglich lokal abgeglichen.
Meinst Du wirklich, Dein Fingerabdruck ist überhaupt für irgendwen (außer für Dich) relevant?
Die haben sie doch schon durch den Chip, de sie uns bei der C-Impfung eingepflanzt haben
Achtung: Ironie!!!
Der Fingerabdruck ist der Private Schlüssel. Damit wird der PrivateSchlüssel des Anbieters verschlüsselt. Daraus kann man sich anmelden. Also, nur den Fingerabdruck zu haben, reicht nicht aus.
Im Grunde warte ich nur darauf, dass Bitwarden endlich den Passkey-Support scharf schaltet.
In Deutschland kann man im Unterschied zu Unrechtsstaaten wie Großbritannien im Rahmen von Strafverfahren o. ä. die Herausgabe seiner Passwörter verweigern, ohne dass das mit rechtlichen Nachteilen verbunden wäre, weil niemand gezwungen werden darf, sich selbst zu inkriminieren. Aber so wie die Polizei Fingerabdrücke nehmen darf, um biometrisch gesperrte Geräte zu entsperren, darf sie selbstverständlich auch FIDO-Tokens oder Smartphones beschlagnahmen, um sich damit Zugang zu Accounts oder anderen Geräten zu verschaffen. Unter dem Gesichtspunkt empfinde ich das Schlagen der Werbetrommel für solche Lösungen – ähnlich wie den Staatstrojaner und die Chatkontrolle – als Angriff auf ebenjenes Recht, sich selbst nicht inkriminieren zu müssen. Und wenn wir FIDO jetzt noch mit biometrischer Entsperrung kombinieren, haben wir hier den perfekten Single Point of Failure.
Ein Passwort trage ich zudem im besten Fall immer überall in meinem Kopf mit mir rum; und wenn ich es doch dummerweise mal vergesse, ist in den meisten Fällen eine Wiederherstellung unkompliziert möglich. Ein FIDO-Token oder ein Smartphone kann man aber auch mal vergessen oder verlieren oder es kann einem Defekt zum Opfer fallen. Kann man dann auch ganz unkompliziert ein neues Token registrieren? Wenn ja, wovor schützt FIDO mich dann noch gleich?
Sicherheitslösungen, die versuchen, die Komplexität, die echte Sicherheit mit sich bringt, vor dem User zu verbergen und mit „Ist alles voll einfach!“ werben, sollten immer besonders kritisch betrachtet werden und taugen erfahrungsgemäß eher ausnahmsweise als regelmäßig was.
Glaubst Du allen Ernstes, ALLE Wiederherstellungsmechanismen werden durch Passkeys abgeschafft? Warum sollte so etwas passieren?
Man könnte z. B. einen (zweiten) FIDO2-Stick als Backup einrichten.
Zur Komplexität: Warum sollte mir ein Programm die Arbeit nicht abnehmen dürfen? Ich muss eine Sicherheitslösung nicht verstehen müssen, um sie einzusetzen. Ganz im Gegenteil: die meisten Nutzer sind froh, wenn sie wissen, wie sie den Rechner starten können. Je mehr von denen man zur besseren Sicherheit bewegen kann, desto besser. Für den höheren Komfort muss dann auch etwas Sicherheit opfern. Solange das dann nicht unsicherer wird als vorher. Wobei Trivialpasswörter, Mehrfachverwendung und ungeeignete Cloudsicherungen von Browsern schwer zu unterbieten sind.
Jeder, der sich die Mühe machen will, kann immer noch die „komplizierte“ Lösung mit den FIDO-Sticks wählen. Und wenn Du Dir die Mühe gemacht hättest, Dich zu informieren, wüsstest Du auch von den Vorteilen von Passkeys (mit FIDO-Sticks).
Zum Thema Unrechtsstaat nur ein Gegenbeispiel: Zufallsfunde dürfen in Deutschland verwendet werden.
Und ich nutze lieber US-amerikanische Dienste, weil die Daten dann *nur* die Amis haben und nicht auch noch die deutschen Behörden (wenn du nicht Osama bist).
Anscheinend lebst du in den USA, ansonsten ergibt deine Aussage keinen Sinn.
Kann mir mal jemand versuchen zu erklären, wie ich mich bei (m)einem Firmenrechner mit einem Passkey anmelden soll?
Dass ich mich mit einem bereits entsperrten Gerät mit einem Passkey bei einer Software oder Webseite anmelden kann, ist mir ja noch verständlich, aber einen Rechner damit entsperren?
Muss ich dann demnächst mein Handy mit dem Rechner koppeln und meinen Rechner dann übers Handy entsperren? Oder einen USB Fingerprintscanner kaufen?
Sorry, das klingt wieder nach halbgarem Kram für mich.
Dafür sind Passkeys m. W. nicht gemacht. Hier gibt es z. B. mit Windows Hello auch die Alternative, eine PIN zum Login zu verwenden. Natürlich steht dahinter auch wieder mehr Technik, die PIN ist gerätespezifisch und dient nur dazu, die tatsächlichen Anmeldedaten freizugeben, die ebenfalls wieder gerätespezifisch sind.
Wir sind im Unternehmen tatsächlich schon „passwordless“, d. h. ich brauche nicht nur kein Passwort, ich habe nicht mal eines.
Man kann sich bei Windows auch mit seinem (Microsoft-)Konto anmelden. Das kann man bestimmt auch mit dem (Firmen-)Handy verknüpfen. Oder man nutzt einen „physischen Sicherheitsschlüssel“, eine Art USB-Stick. Das kann z.B. ein Nitrokey oder Yubikey sein. Ob die das mit den FIDO2-Passkeys machen weiß ich nicht, Windows entsperren können die aber.
Im Artikel ging es doch darum, dass in Unternehmen wohl die Passwörter abgeschafft werden sollen und ggf. auf Passkeys gewechselt werden soll.
Da lag für mich der Schluss auf Desktop PCs nahe.
Und natürlich auch die Tatsache, dass das in dem Umfeld irgendwie nicht so passt.