Neu waren Passkeys eigentlich vor ein paar Jahren, aber durchs Dorf werden sie immer noch getrieben - endlich keine Passwörter mehr, kein Phishing, keine Frau Klöckners als willige Opfer mehr, hach. Und dann kommt der Alltag und beißt Euch in den Arsch.
Dorfsäue - eine kleine Rant-Serie. Aktuell durchs Dorf getrieben wird KI. Was wird's? Engel? Teufel? Oder einfach mist - wie so viele Säue der Vergangenheit. Can't make it unseen ;)
So funktionieren Passkeys
Man könnte bücherweise über Passkeys schreiben, ich versuche mal, es so kurz wie irgend möglich zu halten.
Bei Passkeys wird ein Schlüsselpaar genutzt: Ein öffentlicher Schlüssel, der bei Euch und dem Webservice zur Verfügung steht. Und ein privater Schlüssel, der nur bei Euch liegt. Bei einer Anmeldung beim Webservice wird dann eben kein Passwort oder sonst etwas Vertrauliches übertragen, sondern es wird über kryptografische Verfahren geprüft, ob Ihr berechtigt seid - sprich den privaten Schlüssel habt. Im Grunde so ähnlich wie auch bei PGP-Email-Verschlüsselung nur einfacher und mit mehr Automatismen.
Der private Schlüssel liegt dabei in einem Passwortspeicher, sei es der Google Password Manager, Windows Hello oder ein eigenständiges Produkt wie KeePassXC. In der Praxis heißt das: Statt dem Webservice eine Authentifizierung (PIN/Passwort/TOTP) zu schicken, authentifiziert Ihr Euch gegenüber dem Passwortspeicher und dieser übernimmt dann die Anmeldung am Webservice auf deutlich sicherere Weise.
Wenn der Passkey auf dem Gerät liegt, auf dem Ihr Euch auch anmelden wollt - alles gut, die Anmeldung läuft schlicht über einen Fingerabdruck oder eine PIN. Besser ist Cross-Device-Authentication (CDA): Der Passkey liegt hier auf einem anderen Gerät, oft ein USB-Stick (im geschäftlichen Bereich) oder ein Smartphone (im privaten Bereich).
Wie das in der Praxis in Bildern aussieht, habe ich eben erst gezeigt. Aber am Ende eben jenes Artikels bin ich dann auf die Schnauze gefallen: Meine Tests schlugen fehl.
So funktionieren Passkeys nicht
Registrierung und Anmeldung auf meinem normalen Windows-Rechner haben wunderbar funktioniert. Dann wollte ich die Authentifizierung auf einem anderen Rechner testen - einem Ubuntu in einer virtuellen Maschine. Ergebnis: Geht nicht, nichtssagende Fehlermeldung, ein QR-Code zum Scannen erscheint erst gar nicht.
Na gut, dann halt erstmal einen anderen Browser auf der Windows-Maschine probiert: alles gut. Es liegt also nicht an irgendwelchen im Browser gespeicherten Dingen.
Okay, dann halt meine Test-Windows-VM probiert: Wieder geht nichts, wieder keine brauchbare Fehlermeldung.
ChatGPT gefragt: Viel Blabla, Gebrabbel über unsichtbare Speicherung im TPM, Fantasien über eine kaputte Implementierung ... yada yada yada ... keine Hilfe.
Nächster Test auf dem Laptop: Windows - geht! Linux - geht!
Und dann wird schnell, nun, nach ein wenig Stöberei in den FIDO-Specs, das Problem oder verantwortliche Feature klar: Passkeys benötigen einen Proximity-Check. Es muss Nähe nachgewiesen werden - in der Regel passiert das völlig transparent via Bluetooth. Ein USB-Stick erledigt das - na? - über seine Präsenz im USB-Slot.
Der Sinn dahinter: QR-Codes allein genügen nicht, sie könnten als Screenshot abgegriffen und verschickt werden und schon gäbe es wieder Phishing-Möglichkeiten.
Passkeys? Nope.
Die Kurzfassung des Problems: Passkeys vom Handy funktionieren nicht in VMs - oder sonstwo, wo es kein oder eingeschränktes Bluetooth gibt. Im Business-Bereich dürften eher USB-Security-Sticks zum Einsatz kommen und wer Google, Microsoft oder Apple eh das ganze Leben anvertraut, wird über deren Konten und Passwortspeicher vermutlich recht problemlos in der Passkey-Welt landen.
Auch wird sich Bluetooth bei manchen Gast-Host-Systemen zur VM durchreichen lassen. Bei VirtualBox allerdings schon mal allenfalls per separatem USB-Dongle.
Fakt ist: Ich habe mich mit Passkey bei WebAuthn.io registriert und kann mich partout nicht in meinen Standard-VMs anmelden. Ob das nun ein verbreitetes Szenario ist oder nicht, für mich ist es ein absoluter Showstopper.
Und das ist nur ein Kratzen an der Oberfläche. Passkeys wollen die Welt supereinfach und supersicher machen - auf Kosten von Transparenz, Verwaltbarkeit und universeller Nutzung.
Nicht falsch verstehen, für Otto Normalverbraucher sind Passkeys ein Segen! Die Sicherheit wird gesteigert, der Komfort wird gesteigert und da sich tendenziell eh kein Schwein für das Was-Wie-Wo interessiert und das ganze digitale Dasein einfach Google, Microsoft und Apple anvertraut wird, alles im grünen Bereich. Und irgendwann werden Passkeys vielleicht sogar halbwegs konsistent implementiert.
Ich persönlich werde vorerst bei der traditionellen 2FA-Variante verweilen. Das hat im Grunde nur einen tatsächlichen Nachteil: Phishing bleibt möglich. Die üblichen Phishing-Attacken wie kürzlich bei Signal oder die typischen gefälschten Emails traue ich mir allerdings gerade noch zu, zu erkennen ;) Ein Restrisiko bleibt eh immer.
Naja, warten wir mal ab, ob Passkeys nach der Durchs-Dorf-Treiberei irgendwann mal ausentwickelt und -implementiert werden und dann die schöne supersichere und superkomfortable digitale Welt Realität wird. Oder ob man einfach bei 80 Prozent aufhört - wieder mal.
Das Schöne daran: Stand Heute zeigen Passkeys, dass Versprechen und Wirklichkeit im Tech-Bereich ständig auseinanderlaufen. Warum sollte es bei KI anders laufen? Und da wäre es doch nicht schlecht, wenn letztlich nur 80 Prozent der Versprechen und Drohungen wahr würden, oder? Dann blieben ja noch 20 Prozent der Menschen, Jobs und Gehirnzellen übrig - supi!
Einstiegsbild basiert auf: Icon Blast vonPixabay und Josef Stückel vonPixabay
