Das Login ohne Passwort ist nicht länger mehr ein Wunschdenken, sondern seit 2019 relativ problemlos möglich. Durch Smartphones und Computer, die über biometrische Authentifizierungsmethoden verfügen, melden sich Benutzer nun auch problemlos ohne Passwort bei den verwendeten Diensten an. Genutzt wird dafür WebAuthn, ein neuartiges Verfahren vom W3C. Das verwendet zur Überprüfung nicht mehr endlos lange Passwörter, sondern Fingerabdruck und Gesichtserkennung auf dem jeweiligen Gerät des Nutzers.
Ein einfaches System also, welches noch dazu sicher nutzbar ist? In der Theorie ist das der Fall, doch viele Nutzer haben noch große Vorbehalte gegenüber biometrischen Authentifizierungs- und passwortlosen Zugriffsmethoden. Warum das so ist, wo aktuell noch die großen Probleme liegen und vor allem auch, wie ein passwortloses SSO einem Penetrationstest unterzogen werden kann, um Ihre Sicherheit zu garantieren, klären wir in unserem heutigen Blogbeitrag. Es wird also wieder überaus lehrreich und spannend.
Wie funktioniert ein Login ohne Passwort?
Im Grunde ist die Technik hinter dem Login ohne Passwort gar nicht allzu komplex aufgebaut. WebAuthn steht für Web Authentication und damit für einen modernen Authentifizierungsstandard. Nutzer loggen sich gänzlich ohne Passwort ein, erhalten dafür aber dennoch einen höheren Sicherheitsstandard, als dies bei einer klassischen Passworteingabe der Fall wäre. Wie? Durch moderne biometrische Technik, in modernen Eingabegeräten der Nutzer.
Mittels Endgerät (z. B. Smartphone mit Face ID oder Fingerabdrucksensor) wird während der Registrierung über WebAuthn ein öffentlicher und ein privater Key generiert. Der öffentliche Key landet anschließend auf dem Server des Anbieters, der private verbleibt auf dem jeweiligen Endgerät. Meldet der Nutzer sich nun an, wird dies auf dem entsprechenden Eingabegerät überprüft, wobei eine digitale Signatur mit dem privaten Key erstellt und gesendet wird. Technisch gesehen gibt es da noch viele weitere Kleinigkeiten in der Kommunikation, doch die spielen hier gar keine so große Rolle.
WebAuthn basiert auf asymmetrischer Kryptografie, wobei zwei Schlüssel erzeugt werden, von denen der private eben beständig auf dem Gerät des Nutzers verbleibt. Während Passwörter auf dem Server liegen, ist das bei WebAuthn tatsächlich nicht der Fall. Es ist somit nahezu ausgeschlossen, dass Angreifer sich einen Zugang erschleichen können oder ein Passwort stehlen.
Warum ist WebAuthn sicherer als klassische Passwörter?
Die einfache Antwort auf diese Frage ist kurz und knapp, dass es mit WebAuthn gewissermaßen keine Passwörter mehr gibt. Wird WebAuthn verwendet, wird weder ein Passwort verschlüsselt auf dem Server gespeichert, noch muss ein solches beim Login eingegeben werden. Der große Vorteil ist hier, dass WebAuthn aktiv Gebrauch von biometrischen Authentifizierungsmethoden macht. Es handelt sich demnach auch um ein vollkommen passwortloses Login.
Infolgedessen kann Ihnen, wie oben schon erwähnt, auch niemand mehr Ihr Passwort stehlen oder Sie beim Eintippen von ebendiesem beobachten, um es auf andere Weise zu erlangen. Auch ein Hack bei dem genutzten Web-Service würde nichts bringen, da dort gar kein Passwort mehr hinterlegt ist. Es gibt schlichtweg kein Passwort, sondern nur zwei Schlüssel, von denen der private immer bei Ihnen auf dem Gerät verbleibt und die biometrische Authentifizierung verlangt. Den Login bestätigen Sie also ausschließlich mit einer solchen Methode, wie dem Scan des Fingerabdrucks, nicht aber mit einer klassischen Passworteingabe.
Sollte der Fingerabdrucksensor einmal ausfallen oder eine Funktion wie Face ID nicht möglich sein, wird Sie WebAuthn nach Ihrem Code oder Ihrer PIN fragen. Beides ist aber ebenfalls mit Ihrem Gerät verbunden und somit nicht auf einem fremden Server gespeichert. Wichtig ist auch, dass nichts übertragen wird. Das alles macht WebAuthn nicht nur sicherer als klassische Passwörter, sondern auch ungleich praktischer, da Sie sich nie wieder ein solches merken müssen, um sich bei einem Dienst anzumelden.
Kann ich einen Single Sign-On mit WebAuthn nutzen?
Bei einem SSO, also einem Single Sign-On, melden Sie sich als Benutzer einmalig an, um dann fortwährend Zugriff auf weitere Dienste zu erhalten. Sie können nach dem Login also auf mehrere Anwendungen zugreifen, ohne sich für jede einzelne davon erneut anmelden zu müssen. Bekannt wurde dies der breiten Masse durch Funktionen wie »Login with Google« oder der Anmeldung per Facebook Login. Ohne ein neues Konto erstellen zu müssen, wurden Sie dann automatisch auch bei anderen Diensten angemeldet, sobald Sie sich mit Google-Account oder Facebook-Nutzername legitimiert hatten. Das war unglaublich praktisch, nur eben nicht sonderlich sicher.
Mit einer passwortlosen Anmeldung wird der SSO nun abermals populär. Denn während Facebook bei einem Login sehr wohl Daten sichert und überträgt, verbleiben diese im Falle von WebAuthn auf Ihrem eigenen Gerät. Übertragen wird im Grunde nur die Bestätigung für den Login selbst, wobei Fingerabdruck oder der biometrische Scan jederzeit privat bleiben. Das wiederum erhöht die Sicherheit des SSOs beträchtlich, denn es können, wie oben schon erwähnt, keine Passwörter mehr gestohlen werden und Phishing funktioniert ebenfalls nicht mehr auf die bekannte Art und Weise. Selbst die Daten zu dem Login sind privater Natur und werden nicht, wie bei früheren Methoden, mit Facebook oder Google geteilt.
Dass WebAuthn derzeit noch ungern und sehr zurückhaltend genutzt wird, liegt unter anderem daran, dass die Funktion oft missverstanden wird. Viele glauben, es werden Passwörter direkt übertragen oder Feature versagt, wenn Fingerabdruck oder Gesicht nicht mehr erkannt werden. Doch das ist natürlich ganz und gar nicht so. Die Vorteile, die mit der modernen Technik in Verbindung stehen, sind jedoch bisher nicht offen genug kommuniziert worden. So herrscht weiterhin eine äußerst starke Zurückhaltung bei dem Wechsel von klassischen Passwörtern zu einem System oder einer SSO-Lösung auf Basis von WebAuthn.
Passwortloses Anmelden unter Apple iOS und Google Android
Auf Apple-Geräten nennt sich der Login via WebAuthn ganz einfach Passkey. Die erstellten Passkeys sind dann, je nach Wunsch, auch in der Apple iCloud bzw. dem dortigen Schlüsselbund, also Passwort-Manager zu finden. Damit stellt Apple sicher, dass die generierten Passkeys jederzeit kompatibel bleiben und entsprechend weitläufig genutzt werden können. Selbstverständlich muss diese Funktion aber seitens des Anbieters erst implementiert werden. Ein Login mit Passkey gelingt also nur dann, wenn der Dienst die Login-Methode unterstützt und bereits implementiert hat.
Auf Android-Geräten oder Tools von Google nennt sich das Ganze meist Sicherheitsschlüssel oder auch passwortloses Anmelden. Es funktioniert ebenso mit der Gesichtserkennung oder dem eigenen Fingerabdruck. Ein biometrisches Sicherheitsmerkmal also, welches nicht so einfach gefälscht oder gestohlen werden kann. Wenn Sie sich nicht authentifizieren, ist der Zugriff gesperrt. Ein Passwortklau oder ein Hack ändern daran nichts, genauer gesagt ist ersteres gar nicht erst möglich.
Die Technik sowie die Art und Weise der Implementierung variieren bei den Apple Passkeys und Googles passwortloser Anmeldung leicht voneinander. Schlussendlich handelt es sich aber bei beiden Methoden um eine passwortlose Anmeldung und die plattformspezifischen Implementierungen von WebAuthn sowie den Vorstoß, die passwortbasierten Anmeldungen vollständig aus unserem Alltag zu verbannen. Das ist auch bitter nötig, denn niemand kann sich die unzähligen Passwörter merken, weshalb sie zwangsläufig notiert werden, was wiederum ein enormes Sicherheitsrisiko mit sich bringt.
Pentesting im Bereich SSO und Login-Sicherheit
Das wiederum führt uns zurück zu unserem eigentlichen Thema, nämlich den so wichtigen Penetrationstests. Diese sind in nahezu jedem Bereich von gesonderter Bedeutung, ganz explizit aber in Bezug auf die Login-Sicherheit. Der SSO Pentest dient dazu, die Sicherheit von Single Sign-On Systemen zu gewährleisten und mögliche Schwachstellen der Systeme deutlich aufzuzeigen, um diese anschließend vollumfänglich schließen zu können.
Wir bieten solche Pentests für die Login-Sicherheit und andere Bereiche als festen Bestandteil unseres Services an. Dabei greifen wir den Login meist ganz gezielt an und versuchen ihn auf alle nur erdenklichen Weisen zu umgehen. Gelingt uns das, haben wir eine Schwachstelle gefunden, die beseitigt werden muss. Können wir das System dabei sogar manipulieren, handelt es sich gar um eine schwerwiegende Sicherheitslücke, die Ihre gesamte Systemintegrität gefährdet und höchste Aufmerksamkeit erfordert.