Sie möchten niemals, dass die Identität eine Barriere zwischen Ihnen und Ihren Kunden darstellt. Der aktuelle Customer Identity Trends Report von Okta hat jedoch Folgendes ergeben:
- gaben 33 Prozent der Befragten an, es als frustrierend zu empfinden, die Komplexitätsvoraussetzungen für ein Passwort erfüllen zu müssen. 33 % der deutschen Umfrageteilnehmer geben an, dass es sie frustriert, ein Passwort wählen zu müssen, das bestimmten Vorgaben genügt
- 63 Prozent der Befragten gaben an, sich mindestens einmal im Monat nicht in einen Account einloggen können, weil sie ihren Usernamen oder ihr Passwort vergessen haben.
Trotz all dieser Frustration bleiben Passwörter eine der häufigsten Formen der Online-Authentifizierung, obwohl sie unbequem und unsicher sind.
Um die Plage der Passwörter zu bekämpfen, hat die passwortlose Authentifizierung im Laufe der Jahre an Akzeptanz gewonnen, da Unternehmen so ihre Kunden schützen und gleichzeitig mehr Komfort bieten können. Die jüngste Innovation in diesem Bereich sind Passkeys, mit freundlicher Genehmigung der FIDO Alliance.
In dem Jahr seit der Erstankündigung von Passkeys hat sich einiges geändert, sowohl in puncto Nomenklatur als auch Verfügbarkeit. Eines, das sich bis dato noch nicht geändert hat, ist die Tatsache, dass Aufklärungsbedarf im Hinblick darauf besteht, was Passkeys sind, wie sie funktionieren und welche Vorteile sie bieten.
Ziel dieses Posts ist es, diese neue, innovative und aufstrebende Technologie zu entmystifizieren, sodass es bald nicht mehr „Pass-was?“, sondern „Passkey“ heißt.
Was sind Passkeys
Passkeys ersetzen Passwörter durch das, was FIDO als „schnellere, einfachere und sicherere Anmeldungen bei Websites und Apps auf allen Geräten eines Benutzers“ bezeichnet. Hinzufügend, dass „im Gegensatz zu Passwörtern, Passkeys immer stark und phishing-resistent sind.“
Da Passkeys Passwörter ersetzen, gelten sie als eine Form der passwortlosen Authentisierung.
Etwas technischer ausgedrückt ist ein Passkey ein Paar kryptografischer Schlüssel – einer für Ihre Organisation, der öffentlich ist, und einer für Ihren bekannten Benutzer, der privat ist. Wichtig ist, dass es sich um einen privaten Schlüssel handelt, da Ihre Organisation ihn nie sieht. Diese Schlüsselpaare spielen eine entscheidende Rolle bei der eigentlichen Authentifizierung eines Benutzers, aber dazu kommen wir gleich.
Passkeys gibt es in zwei Varianten:
- Synchronisierte Passkeys, die über einen Cloud-Dienst, wie ein Betriebssystem-Ökosystem oder einen Passwort-Manager, zwischen den Geräten eines Benutzers synchronisiert werden. Für Kunden besteht der Vorteil darin, dass derselbe Passkey über mehrere Geräte in einem bestimmten Ökosystem hinweg verwendet werden kann.
- Gerätegebundene Passkeys, die das Gerät, auf dem sie generiert werden, nie verlassen. Diese können auf FIDO-Sicherheitsschlüsseln verwendet werden, einschließlich solcher, die eine Sicherheitszertifizierung erreicht haben.
Vor allem Synced Passkeys bieten eine nahtlose User Experience, die dem Entsperren von mobilen Endgeräten – via Biometrie, PIN oder Muster – ähnelt.
Wie funktionieren Passkeys?
Wie bereits erwähnt, verwenden Passkeys anstelle von Passwörtern Public Key Cryptography zur Authentisierung. Dieser Ansatz ist wesentlich sicherer, da kein gemeinsames Geheimnis (Passwort) an einen Anwendungsserver übertragen wird. Stattdessen wird ein Paar aus Public Key und Private Key verwendet, um sich gegenüber einer App zu authentisieren. Der Public Key wird (anstelle eines Passworts) auf dem Anwendungsserver gespeichert, und der zugehörige Private Key wird auf dem Gerät des Users gespeichert. Wichtig ist, dass der Private Key nicht wie ein Passwort an die App weitergegeben wird.
Anstatt die Identität mit einem Passwort zu verifizieren, wenn ein User versucht, sich einzuloggen, generiert der Server in diesem Modell eine digitale Herausforderung, die nur mit Hilfe des Private Key bewältigt werden kann. Dies geschieht durch vertrautes Entsperren via Biometrie, PIN oder Muster auf einem Smartphone, Laptop oder Tablet. Nach dem Entsperren „signiert“ der Private Key die Herausforderung und überträgt sie zur Validierung mit dem Public Key zurück an den Server.
Wichtig: Die User Experience beschränkt sich auf das simple Entsperren, während die Komplexitäten der Kryptografie (und die Sicherheitsvorteile) hinter den Kulissen stattfinden.
Vorteile von Passkeys
Passkeys verbessern sowohl Komfort als auch Sicherheit.
Für Kunden, die auf Ihre Anwendung zugreifen, können Sie die Konversionsraten verbessern, indem Sie Sign-up und Sign-in vereinfachen und gleichzeitig die Kundenbindung durch ein Höchstmaß an Account-Sicherheit stärken.
Da sie auf FIDO -Standards basieren, sind Passkeys absichtlich so konzipiert, dass sie resistenter gegen Angriffe wie Phishing sind, bei denen böswillige Akteure schriftliche Kommunikationen (z. B. E-Mails, SMS-Nachrichten oder gefälschte Websites) verwenden, um sich als seriöse Quelle auszugeben und die Anmeldedaten einer Person zu stehlen.
Und wie oben erwähnt, können Unternehmen mit Passkeys die bestehende Technologie nutzen, die Verbraucher täglich kennen und verwenden. Ein standardisierter Ansatz ermöglicht es Verbrauchern, die Geräte im Apple-, Google- oder Microsoft-Ökosystem verwenden, einen Passkey auf die gleiche Weise zu erstellen und darauf zuzugreifen, wie sie ihre Geräte entsperren.
Betrachten wir die Vorteile für die Sicherheit und die User Experience im Detail.
Vorteile für die Sicherheit
- Phishing-resistent: CNBC berichtete über einen Anstieg von 61 % bei Phishing-Angriffen im Jahr 2022. Passkeys blockieren Social-Engineering-Angriffe, da sie nur für die Website funktionieren, für die sie erstellt wurden.
- Sicherer vor Datenschutzverletzungen: Datenbanken sind ein Hauptziel für Cyberkriminelle, da sie häufig Passwörter und andere persönliche Daten speichern. Da kein gemeinsames Geheimnis (ein Passwort) weitergegeben wird, werden die Server Ihres Unternehmens zu einem weniger attraktiven Ziel für böswillige Akteure, die Kundendaten stehlen möchten.
- Standardmäßig stark: Im Gegensatz zu Passwörtern sind Passkeys immer stark, können nie erraten oder gesehen werden, wodurch sie weniger anfällig für Social-Engineering-Angriffe sind.
Vorteile für die User Experience
- Passwortlose Kontoerstellung: Passkeys können die Conversion-Rate verbessern, indem sie den Weg vom „unbekannten Benutzer“ zum „bekannten Kunden“ passwortlos gestalten. Daten von Google zeigen, dass Benutzer, die sich mit Passkeys authentifizieren, viermal häufiger konvertieren.
- Skalierbar auf jedem Gerät: Verbraucher haben mehr als eine Möglichkeit, mit Ihrer Marke zu interagieren. Passkeys ermöglichen einen nahtlosen Zugriff, indem sie es Verbrauchern ermöglichen, denselben Passkey auf mehreren Geräten in einem bestimmten Ökosystem zu verwenden. Im Gegensatz zu Passwörtern erstellen sie einen Passkey einmal und können ihn überall verwenden.
- Weniger Passwörter, weniger Gründe für Absprünge: 83 % der Kunden brechen die Kontoerstellung ab aufgrund umständlicher Passwortrichtlinien. Mit Passkeys können Sie die Benutzerbindung und -retention verbessern, indem Sie die umständliche (und unsichere) Notwendigkeit, eine Zeichenfolge einzutippen, eliminieren.
Paskkeys erhöhen die Flexibilität
Fassen wir zusammen:
- Passkeys sind ein von der FIDO Alliance entwickelter Ersatz für Passwörter
- Sie machen es überflüssig, sich komplexe Passwörter zu merken
- User können sich auf die gleiche Weise einloggen, auf die sie ihre mobilen Geräte entsperren
- Sie erhöhen die Sicherheit, da sie Phishing-resistenter sind
- Und sie verringern Reibungsverluste beim Login, was die Konversionsraten verbessert
Das ist der Grund, warum die Security-Welt so begeistert von Passkeys ist.
Aber sie sind nur ein Teil der Geschichte. Während wir und viele andere vom Potenzial von Passkeys begeistert sind, müssen Unternehmen ihre Kunden dort abholen, wo sie sich befinden. Die Fähigkeit, flexibel auf unterschiedlichste Bedürfnisse eingehen zu können, ist entscheidend.
Dienstleister wie Apple und Google haben Flexibilität in die Anmeldung mit ihren Produkten integriert. Wenn Passkeys innerhalb einer starken CIAM-Plattform aktiviert sind, können Sie eine ähnliche Flexibilität anbieten – über Geräte und Plattformen hinweg.
Unser Ziel ist es, ein immer breiteres Spektrum an Anforderungen abzudecken und Unternehmen dabei zu unterstützen, die Authentisierung für ihre Kunden sinnvoll zu gestalten. Okta unterstützt out-of-the-box mehrere Formen der Authentisierung (einschließlich Passkeys) und bietet die zentralen Features, die von einer Customer Identity-Plattform in den Bereichen Autorisierung, User Management und Identity Security erwartet werden. Gepaart mit der Erweiterbarkeit unserer Plattform und der einfachen Implementierung, gibt die Okta Customer Identity Cloud Entwicklern und digitalen Teams die Tools an die Hand, die sie benötigen, um ihre User kennenzulernen, zu schützen und zufriedenzustellen.
Neugierig, mehr darüber zu erfahren, wie Ihr Unternehmen CIAM nutzen kann, um eine passwortlose Zukunft mit Passkeys zu sichern? Nehmen Sie Kontakt auf, um weitere Informationen zu erhalten.
–
Für Dokumente mit Datenschutz-/Rechtskonzepten oder Datenschutz-/Sicherheitshinweisen:
Diese Materialien und alle darin enthaltenen Empfehlungen stellen keine Rechts-, Datenschutz-, Sicherheits-, Compliance- oder Geschäftsberatung dar. Diese Materialien dienen ausschließlich allgemeinen Informationszwecken und spiegeln möglicherweise nicht die aktuellsten Sicherheits-, Datenschutz- und Rechtsentwicklungen oder alle relevanten Themen wider. Sie sind dafür verantwortlich, Rechts-, Sicherheits-, Datenschutz-, Compliance- oder Geschäftsberatung von Ihrem eigenen Anwalt oder einem anderen professionellen Berater einzuholen, und sollten sich nicht auf die hierin enthaltenen Empfehlungen verlassen. Okta haftet Ihnen gegenüber nicht für Verluste oder Schäden, die sich aus Ihrer Umsetzung von Empfehlungen in diesen Materialien ergeben. Okta gibt keine Zusicherungen, Garantien oder andere Zusagen in Bezug auf den Inhalt dieser Materialien ab. Informationen zu den vertraglichen Zusicherungen von Okta gegenüber seinen Kunden finden Sie unter okta.com/agreements.
