Schneller, einfacher und sicherer einloggen - und das ohne Passwort! Das verspricht Fido. Nun kündigen auch Google, Apple und Microsoft an, den Standard zu integrieren. Ab Ende 2023 soll es bei ihnen möglich sein: passwortlose und sichere Log-ins auf allen Plattformen und Geräten.
"qwertz", "basteln", "123456" und "hallo" – das sind vier der beliebtesten Passwörter des Jahres 2021. Sie sind leicht zu merken, enthalten keine Sonderzeichen und sind keine Kombination aus Zahlen, Klein- und Großbuchstaben. Und das heißt: Sie erfüllen keines der Kriterien, die ein sicheres oder sehr sicheres Passwort erfüllen sollte.
Sichere Passwörter sind aber schwer zu merken. Vor allem, wenn man sie regelmäßig ändern und nicht mehrfach benutzen soll. Ein Alltagsproblem, das jeder kennt - aber das könnte sich künftig ändern.
"In der Praxis merkt sich der Mensch komplizierte Passwörter schlecht und nutzt für viele Angebote das gleiche, einfach zu merkende Passwort, das dann auch womöglich leicht zu knacken ist."
Fido (kurz für: Fast Identity Online), ein weltweiter Verbund von hunderten Unternehmen, arbeitet schon seit 2013 an einem Login-Verfahren, das Passwörter unnötig machen soll. Mit dabei sind große Firmen wie Paypal, Samsung oder Visa - und eben auch Microsoft, Google und Apple.
"Man soll auf einer Internet-Seite in Zukunft nur noch den Usernamen eingeben und den Wunsch, sich anzumelden und dann erfolgt die Freigabe über das Handy. "
In Zukunft soll es bei Log-ins genügen, den Usernamen einzugeben und den Wunsch, sich anzumelden. Dann erfolgt die Freigabe über das Handy - etwa per Fingerabdrucksensor am Handy oder mit Pin.
Einloggen mit Identifikation per Handy und ohne Passwort
Ähnliche Verfahren nutzen beispielsweise Google und Microsoft zwar schon, aber bislang noch komplizierter: über eine eigene Authenticator-App, wo man häufig zur Sicherheit auch noch eine Zahlen-PIN eintragen muss, die die APP anzeigt oder die per SMS geschickt wird. Das soll wegfallen, wenn Fido im Betriebssystem integriert wird.
Wie die Anmeldung per FIDO funktioniert
Wollen User*innen ein neues Angebot nutzen, melden sie sich wie bislang mit ihren Daten wie Username und Email-Adresse an. Dann wird aber kein Passwort mehr erstellt, sondern...
- das Angebot vergibt ein Schlüsselpaar für die Public-Key-Authentifizierung.
- Einer dieser Schlüssel wird zentral auf einem Server gespeichert.
- Der andere Schlüssel wird beim Nutzer hinterlegt - in der App oder direkt im Betriebssystem.
- Will man sich später bei einloggen, auf einer Plattform wie Instagram etwa, fragt das Handy den privaten Schlüssel ab.
- Diese Abfrage sieht man dann auf dem Handy und bestätigt etwa mit Pin, Fingerabdruck oder Face-ID.
Diebstahl? Kein Problem!
Sollte ein Handy geklaut werden, sind die Daten weiterhin sicher, sagt unser Netzreporter Andreas Noll: Denn die Passkeys lassen sich mit einem neuen Mobiltelefon wiederherstellen. Allerdings würden wir für den Wiederherstellungsprozess doch wieder ein sicheres Passwort benötigen, erklärt er - zumindest für den Zugang auf unser eigenes E-Mail-Postfach.
Falls ein privater Fido-Schlüssel durch einen Cyberangriff gestohlen wird, ist auch das kein Problem, denn der Dieb kann nicht herausfinden, für wen ein solcher Key erstellt wurde und zu welchen Seiten im Netz die kryptischen Zeichenketten des Schlüssels Zugang gewähren.
Ab wann können wir Passörter vergessen?
Die wichtige Grundlagen für Fido wurden bereits geschaffen, sagt Andreas. Ein paar Funktionen fehlen aber noch, etwa die geräteübergreifende Weitergabe. Im kommenden Jahr soll das System stärker verbreitet werden. Microsoft, Apple und Google haben nun angekündigt, bis Ende 2023 zu starten. Bis sich der Standard überall durchsetzt, wird es trotz der Bigplayer an Bord sicher noch etwas dauern. Aber dann könnte es bald tatsächlich heißen: Bye bye, Passwort!