Radikaler Wechsel: Microsoft geht dem Passwort an den Kragen - Passkeys neuer Standard
Microsoft hat eine große Änderung an den eigenen Accounts vorgenommen: Ab sofort sollen diese ohne Passwort, sondern nur noch mit Passkey erstellt werden. Auch bestehende Accounts sollen migrieren, um Passwörter komplett loszuwerden.
Pünktlich zum 1. Mai, dem World Password Day, hat Microsoft eine Änderung an den Accounts des Unternehmens vorgenommen. Gefeiert werden Passwörter anhand ihres Ehrentags aber nicht - ganz im Gegenteil. Stattdessen hat das Unternehmen den World Passkey Day ausgerufen und die zunehmende Abkehr von Passwörtern verkündet. Nutzer sollen sich in Zukunft stattdessen über den Login-Screen des Geräts anmelden.
Passkey statt Passwort
Die Abkehr von Passwörtern treibt Microsoft schon seit Jahren mit Windows Hello voran, jetzt wird dieser Ansatz aber radikal ausgebaut. So können Microsoft-Accounts ab sofort auch komplett ohne Passwort erstellt werden. Und nicht nur das: Ebendieser Weg wird sogar der neue Standard. Beim Erstellen eines neuen Accounts müssen Nutzer also nur noch einen Passkey einrichten, ein Passwort ist nicht vorgesehen. Zudem sollen auch bestehende Nutzer beim nächsten Login zum Wechsel aufgefordert werden. Bestehende Passwörter können in den Account-Einstellungen gelöscht werden.
Von diesem Schritt erhofft sich Microsoft eine höhere Sicherheit für die Nutzer. Zudem sollen Logins schneller und erfolgreicher ablaufen. Angeblich schaffen es 98 Prozent der Passkey-Nutzer, sich beim ersten Versuch einzuloggen. Mit dem etablierten Passwort-Login soll dieser Wert hingegen nur bei 32 Prozent liegen. Die Nutzer haben das passende Passwort also häufig nicht im Kopf und probieren herum, bis der Login klappt.
Ebenso spannend: Windows 11 25H2: Zweifel an "großem Release"
Zumindest vorerst werden bestehende Passwörter von Microsoft zwar noch unterstützt. Mit Passkeys als neuer Standard und dem nun laufenden Versuch, Nutzer zum Wechsel zu bewegen, sind die Tage der alten Login-Methode aber gezählt. Microsoft schreibt in der entsprechenden Ankündigung, dass es langfristig das Ziel ist, den Passwort-Support aus den eigenen Accounts komplett zu entfernen. Wie lange es bis dahin dauern wird, ist aktuell aber noch nicht abzusehen. Das dürfte wohl maßgeblich von der Akzeptanz der Nutzer abhängen.
Haben Sie schon komplett auf 2FA / Passkeys gewechselt? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.
Natürlich ist es genauso praktisch unmöglich, ein PW zu einem Hash aus dem nichts zu erraten wie inen private Key zu erraten. Nur sind Leute was das angeht ziemlich blöd wenn man ihnen oft frei überlässt welches Passwort sie wählen.
Entweder es gibt keinen alternativen Weg oder das System ist unsicher.
In dem Moment, wo ein (Wiederherstellungs-)Log-In ohne Passkey möglich ist, gehen die Sicherheitsvorteile dieses Verfahrens größtenteils verloren, denn der Angreifer kann einfach die weniger sichere Alternative nutzen. Geradezu bescheuert ist in diesem Rahmen die gängige Praxis, den regulären Zugriff mit mehreren komplexen Abfragen inkl. Biometrie und 2FA abzusichern, aber ein Reset über eine beliege Mail-Adresse zu ermöglichen. In so einem Szenario entfällt durch Passkey nur noch die Gefahr einer direkten Passwort-Ausspähung, da ein Beobachter eben nicht bei der Eingabe des (nicht mehr genutzten) z.B. Microsoft-Passworts, sonder der des Mailaccounts zuschauen muss. Aber das ist keine deutliche Verbesserung und ließe sich genauso über einen Passwort-Manager realisieren.
Natürlich ist es genauso praktisch unmöglich, ein PW zu einem Hash aus dem nichts zu erraten wie inen private Key zu erraten. Nur sind Leute was das angeht ziemlich blöd wenn man ihnen oft frei überlässt welches Passwort sie wählen.
Jemand, der die Hashdatei frei verfügbar hat und nicht auf irgendwelche Anzahl Versuche pro zeit limitiert ist kann mit schnellen GPUs heutzutage zig Millionen PWs in kurzer Zeit durchprobieren. Zum erraten starker langer Passwörter oder Privatekeys viel zu wenig aber um die häufigsten 10.000 PWs sowie alle Wörterbücher der Menschheit und Kombinationen daraus schnell mal durchzutesten mehr als genug.
Aber selbst wenn Angreifer all das haben, wären damit nur die 0815-Rainbow-Tables in übersichtlicher Zeit abarbeitbar. Gegen generierte Passwörter hilft es gar nicht und gegen die, bei wichtigeren Accounts, mittlerweile doch recht weit verbreiteten Sonderzeichen- und Variationsstrategien auch nur bedingt. Rechenbeispiel: Man kann zwar für einen Großteil der User relativ leicht einen in Frage kommenden, aktiven Wortschatz von vielleicht 1.000-2.000 Vokabeln abgrenzen. Aber wenn man dann noch verschiedene Kurzschreibweisen und gängige Buchstabenersatzmöglichkeiten dazunimmt, hat man trotzdem schnell 100.000 Möglichkeiten, bei einem aus nur drei Bestandteilen gebildeten Passwort also 1.000.000.000.000.000 Wort-Basiselemente; zwei-drei Ziffern an zehn denkbaren Stellen hängen mindestens einen weiteren Block Nullen an und ein weiterer kommt mit möglichen Sonderzeichen.
Das ist dann zwar weiterhin nur eine Trilliarde naheliegender Möglichkeiten, aber eine 5090 mit 1.000 MH/s (in sehr einfachen Algorithmen, in härteren eher ein Zehntel) wäre damit trotzdem einige Jahrtausende beschäftigt. Klar: 100.000 RTX 5090 könnten die statistische Hälfte der Kommunikationsmöglichkeiten in unter einem Quartal abarbeiten, weswegen man bei el Dictatores Atomwaffenprogramm vielleicht noch eine vierte Silbe integrieren sollte. Aber ein Krimineller, in dessen geklauten Datensatz pro Million registrierter Accounts vermutlich 900.000 Fake-/Einweg-Anmeldungen und 50.000 kommerziell nicht verwertbare enthalten sind, hat weder diese Hardware noch pro Account soviel Zeit.
Identifizierung erfolgt über Passkey bzw MS-Authenticator-App. Mir ist nur nicht ganz klar, was ich machen soll bzw kann, wenn der Zugriff auf die App nicht klappt (Handy defekt/geklaut/Akku leer....) und ich mich auf nem neuen Gerät anmelden will. Oder die Authenticator-App auf nem neuen Handy einrichten will - ohne Zugriff auf ein bereits verknüpftes Gerät zu haben.
Also kurz gefragt: Wie bekomme ich Zugriff auf mein MS-Konto auf einem neuen Gerät ohne Smartphone, ohne Email, ohne auf dem neuen Gerät bei WindowsHello angemeldet/eingerichtet zu sein?
Zum einen kannst den Authentifikator auf mehreren Geräten einrichten. (In meinem fall zum beispiel für mich auch auf dem Handy meiner Frau und umgekehrt) Zum anderen kannst noch deine handynummer wie auch alternative Email hinterlegen.
Natürlich ist es genauso praktisch unmöglich, ein PW zu einem Hash aus dem nichts zu erraten wie inen private Key zu erraten. Nur sind Leute was das angeht ziemlich blöd wenn man ihnen oft frei überlässt welches Passwort sie wählen.
Jemand, der die Hashdatei frei verfügbar hat und nicht auf irgendwelche Anzahl Versuche pro zeit limitiert ist kann mit schnellen GPUs heutzutage zig Millionen PWs in kurzer Zeit durchprobieren. Zum erraten starker langer Passwörter oder Privatekeys viel zu wenig aber um die häufigsten 10.000 PWs sowie alle Wörterbücher der Menschheit und Kombinationen daraus schnell mal durchzutesten mehr als genug.
Das Argument "sicherer" kann ich bei der Zielgruppe "User ohne IT-Ahnung " also durchaus nachvollziehen, denn die werden vermutlich erschreckend häufig passwort123 benutzen wollen und erst wenn MS sagt "geht nicht siehe PW-Policy" sich etwas wie "HansOtto17.03.1963" ausdenken was für nen guten Bruteforcer mit Hashdateizugriff genauso leicht knackbar ist.
Der einzige (für mich) echte Grund für passkey statt Passwort ist, den Unsicherheitsfaktor Mensch deutlich weiter zu begrenzen. Für neudeutsch "Poweruser" die genau wissen was sie tun ist es aber ggf. nur ein Mehraufwand ohne Mehrnutzen.