#41: Passkey statt Passwort?

Lisa Fröhlich: Lisa Fröhlich Hallo und herzlich willkommen zu einer neuen Folge von Follow the White Rabbit, dem Link11 IT Security Podcast. Mein Name ist Lisa Fröhlich, bin Unternehmenssprecherin bei Link11 und es freut mich total, dass ihr euch heute wieder die Zeit nehmt und mit mir in den digitalen Kaninchenbau Cybersicherheit absteigt. Sicher anmelden, ganz ohne Passwort, das ist mehr als nur ein Komfortfeature. Es geht digitale Sicherheit, Vertrauen, Kontrolle in einer ziemlich vernetzten Welt. Die Frage ist, wie sicher sind Pass-Keys wirklich und welche Rolle spielen dabei Big-Tech-Unternehmen, politische Rahmenbedingungen und offene Standards? Darüber spreche ich heute mit einem echten Experten auf diesem Gebiet, Dominik Schürmann. Dominik ist Gründer und Geschäftsführer von heylogin und hat als Sicherheitsforscher langjährige Erfahrungen mit sicheren Authentifizierungsverfahren, mobiler Kryptographie und Datenschutz bei Design. Ja, schön, dass du da bist, Dominik. Vielen Dank, dass du dir die Zeit genommen hast und dem weißen Kaninchen gefolgt bist. Doch bevor wir jetzt in die Folge starten und die spannenden Fragen, die unsere Hörerinnen und Hörer erwarten, beantworten, stell dich doch bitte kurz vor. Wie kam es zu heylogin und worauf hast du dich eigentlich spezialisiert?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, Schön, dass ich dabei sein kann. Vielleicht ganz kurz zu mir. Genau, ich habe in IT-Sicherheit promoviert tatsächlich 2018 an der Uni. Und ich habe eigentlich schon immer interessiert, ich sage so immer, the edge zwischen usable security, also wie macht man die Sachen wirklich einfach zu benutzen, und angewandter Kryptographie. Und ich bin ganz ehrlich, wir haben nicht sofort nach meiner Promotion angefangen, Halogin zu entwickeln. Wir hatten zwei andere Produkte, die wir erst probiert haben.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ich sag mal so die typische Story, so ein Tech-Founder hat. Man kennt Lösungen, aber nicht das Problem. Und 2020 haben wir heylogin angefangen zu entwickeln und ganz kurz heylogin, nur dass man den Kontext noch versteht. Heylogin ist ein Passwort-Manager, aber eben ein Passwort-freier Passwort-Manager. Das klingt erst mal abstrus, aber alle anderen Passwort-Manager funktionieren so, dass es ein weiteres Passwort gibt, das Master Passwort.

Lisa Fröhlich: Lisa Fröhlich Ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Und mit dem Master Password werden alle Passwörter geschützt, die im Password Manager gespeichert sind. Und das ist bei uns nicht so. Bei uns bestätigt man auf dem Smartphone und entsperrt damit alle Passwörter auf dem Laptop. Das kurz zu mir. Das war schon der Werbeblock. Jetzt können wir einsteigen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, spannend. Dabei war es gar keine Werbung, weil die wird ja mal hart abgestraft hier in den Podcasts, deswegen mache ich keine. Aber es ist natürlich spannend zu wissen, wie kommen die Menschen eigentlich dahin, wo sie sind. Und du hast gesagt, du bist immer sozusagen auf der Ebene gewesen zwischen dem Thema Usability und sozusagen Sicherheit. Und das ist auch für mich Ein ganz großes Thema aktuell, weil sich ja viel auch in den aktuellen Diskussionen auch digitale Souveränität dreht und das ist aber auch die Frage, ist digitale Souveränität möglich? Weil das bedeutet nämlich eigentlich auch, wenn man das mal durchdenkt, dass viele Dinge einfach nicht mehr so usable werden, wie sie jetzt aktuell sind, wenn wir beispielsweise von den US-amerikanischen Cloud-Anbietern weggehen würden. Aber das ist eine andere Folge, ist ein anderes Thema. Darüber spreche ich sicherlich auch noch mal mit einem meiner Gäste. Ich will mit dir natürlich über das Thema sozusagen Pass-Keys und den ganzen Hintergrund darüber sprechen. Jetzt ist es ja so, Passwort vergessen. Also ich persönlich kenne das sehr gut, weil ich weiß nicht, wie oft ich das schon da eingeben müssen, weil diese Frage hat sich ja wohl wahrscheinlich jeder und jede meiner Hörerinnen schon mal mit Frust selber.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich beantworten müssen oder auch gestellt oder eben diese, ja, Zurücksetzenoptionen genutzt, die eben Gott sei Dank die meisten Anbieter, Webseiten und Shops sozusagen in petto haben, weil das passiert ja doch relativ häufig. Jetzt ist es ja so, wir wollen über Passkeys sprechen und das ist ja im Grunde das, was wäre, wenn Passwörter bald der Vergangenheit angehören. Also Tech-Giganten wie Apple, Google, Microsoft und so weiter und so fort. setzen ja inzwischen auch schon ziemlich stark auf sogenannte Pass-Keys. Doch ich will mit dir bisschen zuerst darauf eingehen, was dahinter steckt und was da eigentlich drin ist in diesem neuen Authentifizierungsverfahren und warum jetzt gerade der richtige Moment ist für diesen Umbruch. Ich hätte als allererstes mal die Frage an dich, warum setzen große Tech-Unternehmen wie Apple, Google und Microsoft so stark auf Passkeys und welche Probleme versuchen sie damit zu lösen im Vergleich zu den klassischen Passwörtern, die wir kennen und vielleicht auch in unseren Passwort-Managern hoffentlich alle gespeichert haben?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also es gibt da natürlich, ich sag mal so, die gute und die schlechte Seite von dem Ganzen. ich meine, positiv gesehen gibt es durchaus Menschen bei Google, Microsoft, Netflix, Apple und Co., die wirklich das Internet verbessern wollen, das muss man so sehen. Und Passkey sind per se eine bessere Technologie, eine sicherere Technologie als Passwörter.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das heißt, es ist schon sinnvoll, jetzt mal langsam von Passwörtern wegzukommen. Jeder hat viel zu viele Passwörter und vielleicht auch nicht pro Webseite ein eindeutiges. Das heißt, wir brauchen eine neue Technologie. Wir sind jetzt so ein bisschen in dem Umbruch, der wahrscheinlich lange dauern wird. Aber wir befinden uns da und es muss irgendjemand lösen. Und fairerweise ist es so, dass nur die großen Tech-Giganten es lösen können, weil nur die haben die Marktmacht, auch eine neue Technologie durchzudrücken. So, ich meine...

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Google hat quasi den Chrome Browser fest im Griff, jedenfalls aktuell noch, und kann entscheiden, was da für Technologie eingebaut wird, Microsoft den Edge Browser, und nur wenn die zusammenarbeiten, gibt es überhaupt so einen großen Wechsel im Internet. Also das ist die gute Seite, sage ich mal. Jetzt kann man, jetzt kann man, also möchte ich ganz kurz zu Ende führen, man kann jetzt natürlich auch irgendwie anders argumentieren. Also ich meine, Passwörter sind eine Hürde beim Einloggen.

Lisa Fröhlich: Lisa Fröhlich Hmm...Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann beim Nutzen von Webseiten. Wenn die Cookies wieder gelöscht wurden und der Browser zurückgesetzt wurde, der Cache gelöscht wurde, wie auch immer, muss man sich neu einloggen auf den Webseiten. Und das heißt, diese Tech-Giganten können einen nicht automatisch reidentifizieren. Thema Tracking. So, und ich meine, mit Pass-Keys geht es halt einfacher und schneller. Dann ist man schneller wieder drin im System, man ist sofort wieder eingeloggt. Es ist dann...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Man könnte sogar so argumentieren, wenn man jetzt so ein E-Commerce-Anbieter ist wie Shopify beispielsweise, das ist einer der Beispiele, die Passkeys auch schon ausgerollt haben. Das erhöht, das verbessert den Checkout-Prozess zum Beispiel auch an der Stelle, weil die Leute viel schneller sich einleihen können und dann viel schneller kaufen. Also es ist auch aus Business-Sicht eine gute Entscheidung.

Lisa Fröhlich: Lisa Fröhlich Mhm, mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, jetzt reden wir ja schon über Pass-Keys. Vielleicht kannst du noch mal in zwei, drei Sätzen sagen, wie das eigentlich funktioniert und was Pass-Keys eigentlich sind und wieso sie quasi einfacher zu handhaben sind als Passwörter.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, Also erstmal vielleicht Passwörter, wenn man sich das nochmal bewusst macht, was bedeutet das? Es ist quasi ein Geheimnis, was ich in meinem Kopf mit mit trage. Etwas, was ich mir merken muss. Und Passkeys ist nichts mehr, was ich mir merken muss. Das heißt aber auch, sie sind woanders. Es ist ein Mechanismus, sich auf einer Website einzuloggen. ich habe immer so drei Sätze, die ich ganz gerne dazu als Erklärung sage. Passkeys sind wie Passwörter, die ich mir nicht merken kann. Und Passkeys ist wie Passwörter, die ich mir nicht merken muss. Und das Schlimmste so ein bisschen ist, Passkeys ist wie Elster-Zertifikate. Also, weil im Endeffekt, also irgendwo müssen die Passkeys ja trotzdem sein. wenn man jetzt sich das ganz stumpf vorstellt, könnte man sie natürlich auch wieder in einer Datei lagern. Und dann müsste man die Datei aber überall hin synchronisieren, wo man sich einloggen will, also wie in Elster-Zertifikat.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Haha!

Lisa Fröhlich: Lisa Fröhlich Ja, genau.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das kennen halt die deutschen Zuhörer. Und da kommen die Tech-Giganten ins Spiel wieder. sagen, hey, wir haben die Infrastruktur. Wir können deine Passkeys überall hin synchronisieren. Wenn du Google auf deinem Android-Phone benutzt, wenn du Chrome auf deinem Desktop benutzt, dann sind die Passkeys automatisch da. Das Gleiche gilt für Apple. Die synchronisieren die Passkeys überall hin. Das ist sozusagen der moderne Weg, Passkeys umzusetzen. Es gibt in der Historie der Entwicklung einen...

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ich sag mal, den initialen Weg, der war eigentlich anders gedacht. Da war die Idee, man speichert Pass-Keys auf so einen externen USB-Stick. Auf solchen Security-Keys, so einem Yubi-Key beispielsweise. Aber man ist so ein bisschen davon weg. Eigentlich läuft es dahin, dass Pass-Keys über einen Password-Manager synchronisiert werden müssen.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, jetzt ist es ja so, und das hattest du ja eben gerade in deinem Beispiel, was du vorhin ausgeführt hast, schon gesagt, dass so Plattformen wie Shopify zum Beispiel auch schon sagen, hey, wir haben im Grunde eine höhere Conversion Rate, weil die Nutzer sich mit einem Klick statt mit einem Passwort anmelden und abmelden können. Und die Frage ist auch für mich so ein bisschen, dass natürlich, und das hast du ja schon so angedeutet, Passkeys nicht nur einen sicherheitsrelevanten Vorteil haben, weil sie einfacher sind quasi in der Handhabung. Wir müssen nicht irgendwie 48 Passwörter in unserem Kopf haben oder auf jedem unserer Devices einen Password Manager installieren, der dann auch wieder ein Masterpasswort hat und so weiter und so fort. Wenn du jetzt sozusagen aus deiner, auch ein bisschen aus deiner Krypto-Vergangenheit auf diese Entwicklung von Passkeys schaust, schaust, wie haben die sich historisch entwickelt? Gab es irgendwie Herausforderungen bei der Einführung? Und sind wir denn heute schon da, wo wir am Ende mit Passkeys sein werden oder sein können?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also das hat schon etwas längere Historie tatsächlich. Also einige der Tech-Giganten damals noch ohne Apple haben sich zusammengeschlossen in der Fido-Alliance und die haben sich als Ziel gesetzt, ja, Authentifizierung im Internet zu verbessern. Das ist ja natürlich ein Mammut-Projekt, deswegen haben die auch ein bisschen kleiner angefangen. Die haben am Anfang gelauncht mit FIDO 1 quasi, also U2F hieß das.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Und Fido ist quasi die Abkürzung für?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Fast Identity Online glaube ich. Ich muss jetzt selbst nachgucken.

Lisa Fröhlich: Lisa Fröhlich ja, okay. Nein, nein, aber das ist dass es nun nicht, dass wir hier mit so Abkürzungen uns werfen, die dann keiner am Ende versteht.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Aber wenn ich es schon nicht weiß, also es ist ein Haufen Abkürzungen, dann über die Zeit entstanden sind. Wichtig ist, dass das so ein Zusammenschluss von großen Firmen ist, die diese Standards entwickeln, sich zusammensetzen. Man kann da joinen, also man kann Mitglied werden und dann auch teilnehmen an der Standardisierung. Punkt ist, die haben angefangen, mal einen Zweifaktor-Mechanismus zu entwickeln und haben da auch echt gute Design-Entscheidungen tätigt und dann, ich sag mal so unter Nerds, hat sich das dann auch ein bisschen verbreitet.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Und dann ging es los mit, hey, okay, wir müssen den nächsten Schritt wagen, komplett passwordless das Ganze umzusetzen. Und das ist dann der FIDO2, also die zweite Iteration dieses Standards geworden. Damals hieß der auch noch nicht Passkey, damals hieß der noch FIDO2. Und dann gibt es die nächste Abkürzung. Die Umsetzung davon im Browser hat dann wieder eine andere Standardisierungsorganisation übernommen, dass die W3C, die so für die Browser Standards verantwortlich ist,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Hmm... Hmm...

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das hieß dann Web Authentication, Web Authent. Und diese Kombination war aber damals immer noch gedacht mit diesen Hardware-Schlüsseln, mit diesen externen Dingern.

Lisa Fröhlich: Lisa Fröhlich Naja, okay. Ja, die kann ich aber ja auch irgendwo verlieren. Also ich meine, das ist natürlich schwierig. also ich stelle mir das ja immer so ein bisschen, wie gesagt, für mich ist ja klar. Und das hatten wir ja auch schon kurz angerissen, so dieses Thema Usability. Und Menschen sind ja grundsätzlich schon auch, ich will jetzt nicht sagen faul, aber das klingt so negativ, aber eigentlich sind sie ja schon auch eher bequem.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das stimmt, das stimmt.

Lisa Fröhlich: Lisa Fröhlich Und ich meine, es ist löblich, wie du sagst, dass die großen Unternehmen sich da zusammengeschlossen haben und sich überlegt haben, okay, wie können wir im Grunde den Zugang zu den im Internet vorhandenen Ressourcen und Dingen, die wir tagtäglich in dieser digitalen Welt nutzen und auch immer stärker nutzen werden, vereinfachen? Also ich glaube, dass natürlich auch schon Passkeys gewisse Vorteile für Unternehmen und Nutzer mit sich bringen.

Dr. Dominik Schürmann: Dr. Dominik Schürmann ...genau.

Lisa Fröhlich: Lisa Fröhlich Welche sind es aus deiner Meinung nach? Gibt es da auch noch irgendwelche Hürden oder irgendwelche Dinge, wo du sagst, da sind wir noch lange nicht da, wo wir eigentlich sein könnten?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also... Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann ja, Also vielleicht das abzuschließen ganz kurz. Das ist immer noch was, was im Unternehmensumfeld viel benutzt wird, also Passkeys auf diesen externen Dingern. Aber man hat ganz schnell herausgefunden, Privatnutzer sind nicht bereit, 30 Euro für diese Dinger zu geben, damit ihre Passwörter abzusichern. wie du sagtest, eigentlich brauchst du zwei, so wie deine Hosttour-Schlüsse. Wenn du einen verlierst, brauchst du einen Backup. Leute sind nicht bereit, für Sicherheit wirklich Privatgeld in die Hand zu nehmen. So und das...

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Lisa Fröhlich: Lisa Fröhlich Mh.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Und das haben auch die Großen erkannt und haben gesagt, okay, das ist eine Adoption Hürde, die müssen wir abbauen. Und dann kam man weg davon und hat gesagt, hey, wir müssen wir machen es doch wieder als Datei und synchronisieren die überall hin. Das ist so bisschen die Historie. Dann haben wir die auch abgeschlossen. Und ich sage mal, die die Probleme also aus meiner europäischen Sicht ist Problem Nummer eins. Vertraue ich den Tech-Giganten, meine Pass-Keys zu synchronisieren? Und ich sage nein, weil also

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann So ein Google-Account ist zum Beispiel schnell mal, ja, suspended von Google. Also das hängt ja alles zusammen. Wenn ich jetzt irgendwie auf YouTube irgendwie was Falsches hochlade, dann wird auch mal mein Google-Account suspended und dann ist mein Google Password Manager suspended.

Lisa Fröhlich: Lisa Fröhlich Mmh.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ach, das hängt ja natürlich dann alles miteinander zusammen. ich dann irgendwie jetzt ... Ganz aktuell haben wir ja Listen, die man nicht ... Die von Wörtern, die nicht mehr benutzt werden dürfen. Und das ist ja auch so was, was ich persönlich total abstrus und absurd finde. Aber das ist ja genau die Hürde, wenn du dann relativ, ich sag mal, kritisch bist und vielleicht auch im US-amerikanischen Umfeld aktiv bist.

Dr. Dominik Schürmann: Dr. Dominik Schürmann You know.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich Dann hast du ja quasi gar keine Chance, Passkeys zu nutzen, weil die großen, ja, also die Googles dieser Welt dich dann irgendwie aus ihrem System werfen, weil du leider fünf von den 50 bösen Wörtern benutzt hast.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Genial.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, also ich würde meine Passkeys nicht bei Google lagern und auch nicht bei Microsoft. Falls die jemals Passkeys synchronisieren, tun sie aktuell noch nicht. Ich meine, wir hatten auch gerade wieder das Beispiel mit dem geblockten Microsoft-Account von dem Politiker. Das ist nichts, was man unbedingt gerne will. Das heißt, meine Zugänge, privaten persönlichen Zugänge will ich vielleicht nicht bei den Tech-Giganten selber lagern. So, das ist so die eine Sache. Bei Apple kann man noch so bisschen abwägen. Deren Geschäftsmodell visiert immerhin nicht auf meinen Daten.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Aber ja, ich denke, man sollte da eine andere Lösung wählen und deswegen gibt es auch einfach diese ganzen Third-Party Password Manager, die das ganze Problem für einlösen und dann die Passkeys wieder synchronisieren.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Das heißt aber so, dass ich, ich will ja kurz einhaken, das heißt, wenn ich so ein Third-Party-Passwort-Passkey-Manager nutze, Passkey ist ja kein Passwort, sondern Passkey-Manager nutze, dann ist er in der Lage quasi sämtliche Passwörter, die ich auch bei den unterschiedlichsten Tech-Giganten habe, immer dann auch zu synchronisieren, weil quasi der Passkey in dieser Datei, die in dieser Third-Party

Dr. Dominik Schürmann: Dr. Dominik Schürmann Mhm.

Lisa Fröhlich: Lisa Fröhlich beim Third-Party-Anbieter, also beim Drittanbieter steckt, sozusagen überall hinpacken kann und auspacken kann. Okay.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja. Genau, was ich cool finde, also was ich interessant finde, durch deine Zusammenfassung wird einem schon klar, für Lieschen Müller ist das eine Black Box. am Ende fühlt es an, Magie Parskis zu benutzen, weil die tauchen irgendwie auf und irgendwie synchronisiert Google die im Hintergrund und selbst wenn ich mich entscheide, einen

Lisa Fröhlich: Lisa Fröhlich Ja, total.

Dr. Dominik Schürmann: Dr. Dominik Schürmann einen Third-Party-Password- Passkey-Manager zu benutzen, gibt es einfach viele Teile, also Mechanismen, die ein bisschen versteckt bleiben. Aber ich glaube, das ist leider eine Entwicklung unserer komplexen Welt. Leute denken bei Passwörtern noch, sie hätten alles im Griff und würden genau verstehen, was die Bedingungen und Randbedingungen sind von der Sicherheit. Und am Ende haben sie doch nur irgendwie 1, 2, 3 Passwörter, die sie auf 20 Seiten benutzen.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, aber man gibt so ein bisschen seine Kontrolle ab an dem Moment. Und man muss dann gucken, wem vertraut man wieder damit.

Lisa Fröhlich: Lisa Fröhlich Ja, und das ist ja wirklich schwierig, weil wenn es Vertrauen geht, da sind ja Menschen dann doch wieder sehr eigen am Ende des Tages. Auf der einen Seite wollen sie vielleicht keine 30 oder 60 Euro ausgeben für Hardware, der ihr Passkey sicher gespeichert wäre, den sie auch immer mit sich tragen können. Und auf der anderen Seite haben sie aber natürlich ein Thema mit Vertrauen. Auf der einen Seite, auf der anderen Seite sind Daten ja auch so, ja... mich wundert es immer, was die Leute alles im Netz über sich preisgeben. wir sind ja schon auch relativ gläsern geworden. Und ich glaube, du hattest das angesprochen, Apple hat jetzt nicht irgendwie als Geschäftsmodell Arbeit mit unseren Daten, also Google ist ja davon, also macht genau damit ja eigentlich, glaube ich, das meiste Geld am Ende des Tages. Und ich finde, auf der einen Seite

Dr. Dominik Schürmann: Dr. Dominik Schürmann Möchtest du es?

Lisa Fröhlich: Lisa Fröhlich So Login ganz ohne Passwort, das klingt natürlich auch sehr modern, klingt natürlich sehr bequem, aber auf der einen Seite ist es natürlich auch so, wie du schon gesagt hast, diese Pass-Keys werden ja natürlich auch in den Ökosystemen wie in der iCloud oder in einem Google-Konto gespeichert und das bringt natürlich auch die entsprechenden Abhängigkeiten mit sich, die du auch schon angesprochen hast. ich sag mal so, da stellen sich ja in erster Linie vielleicht bei dem ein oder anderen geneigten Nutzer ja schon auch die Frage nach wie sicher sind meine Daten dort und wie souverän wird damit mein Daten umgegangen. Also es ist natürlich schon auch so, dass diese enge Bindung an die großen Tech-Konzerne schon auch aus meiner Sicht kritisch zu bewerten ist. Weil, und das hattest du ja eben angesprochen, dann gibt es eben auch Drittanbieter, die die Möglichkeit haben, Passkeys unabhängig zu verwalten, damit eben deine Abhängigkeit sozusagen kleiner wird oder G0 geht. Wie ist denn das so, wenn wir jetzt mal so auf die lange Sicht blicken? Was müssten denn Unternehmen und vor allen Dingen Nutzer beachten, wenn sie langfristig unabhängig bleiben wollen? Also gibt es denn abgesehen von diesen Drittparty, also von den Drittanbietern, irgendeine Möglichkeit?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich dass wir mal eine unabhängige Nutzung auch über die großen Anbieter sehen werden oder sehen könnten.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also vielleicht eine Sache noch vorneweg, bevor ich da reingehe. Also das in den Kontext zu setzen, ich glaube, dass Passkeys unvermeidlich sind. ich bin technisch gesehen, auch aus kryptografischer Sicht ist das top, was die gebaut haben. Es ist super cooles Protokoll, super sicher. wie gesagt, dadurch, dass wir immer mehr Passwörter haben, brauchen wir eine neue Lösung. Also Passkeys sind unvermeidbar und ich bin eigentlich ein Fan davon. So das vorneweg gesagt.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann unabhängig mit den großen Tech-Giganten nutzen. Naja, also wenn ich jetzt zum Beispiel den Chrome Browser benutze und ich logge mich im Chrome Browser bei ne, Shopify wieder mit einem Passkey ein, dann muss dieser Passkey nicht von Google kommen. Wenn ich in dem Chrome Browser einen anderen Password Manager oder Passkey Manager installiert habe, dann kann der durchaus daherkommen. dadurch, es eine standardisierte Technologie ist,

Lisa Fröhlich: Lisa Fröhlich Hmm?

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm. Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Es ist im Endeffekt den Webseiten, sag ich mal, egal wie der dahin kam und synchronisiert wurde.

Lisa Fröhlich: Lisa Fröhlich Egal. Ja, klar, okay. Ja. Jetzt hast du ja die Kryptographie angesprochen, die mich ja total interessiert, weil ich das total spannend finde. Und du sagst, na ist das, was die sich da mit passkeys überlegt haben, ist super sicher, das ist standardisiert. Kannst das so ein bisschen in einfachen Worten erklären, was da so eigentlich im Kern drinsteckt? Also ich meine, bei einem Passwort weiß ich das, weil das überlege ich mir. Und natürlich haben ganz viele Webseiten und auch Shops ...

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich gewisse Passwortrichtlinien. Das macht es ja dann so kompliziert. Das müssen Sonderzeichen, Groß, Klein und mindestens zwölf Zeichen und so weiter und so fort. das hängt ja damit zusammen, dass natürlich auch gerade mit Hilfe von Algorithmen ja immer mehr Passwörter auch geknackt werden können, weil das einfach sozusagen ja dann im Grunde abhängig von der Rechenleistung ist, können die ja unfassbar viele Passwörter durchspielen.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich Ich stelle mir das immer so vor, die fangen dann mit A am Anfang an und dann gehen sie alles Mögliche durch und versuchen sich dann so sukzessive da so an die Passwörter ran zu tasten, wie das immer in diesen Science-Fiction-Filmen oder in diesen Mission Impossible-Filmen so auf den Bildschirmen zu sehen ist, wo sie dann irgendwelche Passwörter knacken. Und natürlich ist ja für mich auch so ein Thema, was die Kryptographie angeht, ist ja auch so ein Thema, was sicherlich kommen wird, ist Post-Quantum-Kryptographie. Also da gibt es natürlich auch

Dr. Dominik Schürmann: Dr. Dominik Schürmann Mhm.

Lisa Fröhlich: Lisa Fröhlich Strömungen, sagen, ja, wenn wir dann mal das Quantencomputing irgendwann so implementiert haben, dass das quasi, ich will jetzt nicht sagen, alltagstauglich ist, aber dass es in der größeren, ja, dass es schon auch eine größere Verbreitung findet, dann sind ja alle hinlänglichen kryptografischen Verfahren angeblich sozusagen für die Füße, in Anführungsstrichen. Das ist ja immer so das, womit die, womit

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, nicht alle.

Lisa Fröhlich: Lisa Fröhlich die meisten da die Ecke kommen. Ich habe tatsächlich auch noch einen Gast im Sommer im Podcast. Da mache ich im Sommer eine Folge zum Thema Postquanten-Kryptographie. Deswegen mich persönlich interessiert das total. Vielleicht hast du die Möglichkeit, ich traue dir das zu, dass du das sozusagen so kurz mal kurz darstellen kannst, dass wir alle das verstehen. Ohne.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, ich kann, Ja klar.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also, ich kann das probieren. Es ist, zu verstehen, was der Sicherheitsvorteil ist, es ist immer super wichtig zu verstehen, wo wir herkommen. Das heißt, wir brauchen eigentlich erstmal kurz ein Verständnis für Passwörter, bevor wir zu Passkeys gehen. Nur dann weiß man, wo der Sicherheitsvorteil liegt. Und wenn man sich überlegt, wie eine Authentifizierung auf einer Website mit einem Passwort funktioniert,

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann dann ist es wichtig zu verstehen, dass eine sogenannte gehashte Version des Passworts beim Anbieter gespeichert ist. Also wenn ich mich initial registriere bei einer Webseite und mir ein Passwort auswähle, dann wird dieses Passwort vom Anbieter gehasht. Das heißt, es wird durch so eine Funktion geschickt. So eine mathematische Funktion, so eine Einmalfunktion, sagt man. Und dann kommt so eine gehashte Version daraus. Also das heißt, man sieht das Passwort nicht mehr, sondern es ist so ein gibberish, sage ich mal.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Trotzdem ist es so, dass das beim Anbieter gespeichert wird. Das heißt, eine abgewandelte Art des Passworts liegt beim Anbieter. Und das ist notwendig, weil wenn ich mich dann später einlogge beim Anbieter, wird jedes Mal der gleiche Vorgang durchgeführt. Mein Passwort wird genommen, es wird gehashed und dann verglichen, ob es der gleiche Hash ist wie in der Datenbank. Und dann weiß der Anbieter alles klar, wenn es der gleiche Hash ist, ich bin eingeloggt. So funktioniert ein klassischer Einlog-Vorgang mit Passwort.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Und es ist extrem wichtig zu verstehen, eine Art, eine gehashte Art des Passworts beim Anbieter liegt. Wenn der Anbieter nicht die neuesten Hash-Funktionen benutzt, ist immer die Gefahr, dass das nicht sicher ist. Und wenn der Anbieter gehackt wird, das sind die klassischen Data Leaks, die die ganze Zeit passieren. Und es ist auch bei einfachen Passwörtern leicht zu raten, welcher Hash rauskommt. ja, wir müssen da nicht zu tief reingehen, aber es ist wichtig zu verstehen, dass das der klassische Mechanismus mit Passwörtern ist. Und der ist halt super.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann gefährlich, weil diese Data Leaks passieren können von diesen Datenbanken mit den Passwörter-Hashes. Und die meisten Leute benutzen leider Passwörter öfter als nur auf einer Website und das ist das große Problem. So, jetzt das Verständnis, dann wie es bei Passkeys. Bei Passkeys wird sogenannte asymmetrische Kryptographie benutzt, aber ohne da zu tief einzusteigen, man muss sich das wie folgt vorstellen. Beim Anbieter wird eigentlich

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Es wird kein Hashtag mehr gespeichert von irgendwas. Es wird auch nicht mehr so was verglichen. Sondern es ist ein sogenanntes Challenge-Response-Verfahren. Das heißt, beim Einlog-Vorgang wird eine sogenannte Challenge geschickt vom Anbieter zum Endnutzer. Und die ist jedes Mal neu. Also, wie kann man das vergleichen? Es wie so eine mathematische Aufgabe. kannst du mir das hier berechnen? Und dann diese Challenge wird genommen und dann signiert.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann mit dem Passkey. Der Passkey ist sozusagen der private Schlüssel, kryptographisch gesehen, und kann dann diese Challenge signieren und das ist dann die Response, die wird zurückgeschickt. Ohne da zu tief einzusteigen. Das Wichtige ist, wenn jetzt dieser Anbieter gehackt wird, es gibt keine Datenbank von Passkeys beim Anbieter. Passkeys bleiben immer bei Privatnutzer. Das heißt Passkeys können nicht leaken. nicht wie Passwörter. Genau.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja klar, es ist ja immer die Aufgabe sozusagen, die die Authentifizierung, über die Challenge wird ja die Authentifizierung gemacht und nicht über beispielsweise den Vergleich zwischen dem gehashten und dem wieder neu gehashten Passwort. Also von daher, mit dem Passkey, so wie ich dich verstanden hab, signier ich ja im Grunde nur die Aufgabe, die Challenge im Sinne von hey, hier ist sozusagen die Bestätigung, dass ich diese Aufgabe lösen kann.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Wisst ihr es?

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, genau richtig, das genau so ist es. Und man kann tausend andere Dinge betrachten, aber das größte Problem, was wir aktuell haben mit Passwörtern, sind Data Leaks. Man kann sich jetzt über Brute Force Attacken, wie du gesagt hast, Gedanken machen und so weiter und so fort. Aber das größte Problem sind Data Leaks. wirklich 80 % aller Angriffe im Internet funktionieren einfach nur, irgendwie, keine Ahnung, ein Data Leak

Lisa Fröhlich: Lisa Fröhlich Für dich.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, das glaube ich auch.

Lisa Fröhlich: Lisa Fröhlich Ja. Ja, ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Es gab mehrere Data Leaks von Facebook, gab Data Leaks von LinkedIn, gab... Wenn da jemand mein Passwort aus einem Hash aus diesem Data Leak zurückrechnet, dann... Und ich benutze das nochmal woanders, dann bin ich schon am Ende.

Lisa Fröhlich: Lisa Fröhlich Ja, das ist ja tatsächlich so. Also ich muss mich da nur in meiner näheren älteren Verwandtschaft umschauen und ich glaube, hat meine Kinder, weiß ich nicht, 30 Sekunden gekostet, den Telefonpinn meiner Mutter rauszufinden. Und ich habe dann auch zu ihr gesagt, so, bitte Mama, wenigstens nicht 0000. Bitte.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Lisa Fröhlich: Lisa Fröhlich Das ist nicht sicher, wenn meine kleinen Kinder das rausfinden. Das finden alle anderen auch raus. Das ist natürlich auch so, ich sag mal so, das ist ja auch eine Generationsfrage und ich finde immer so, das Thema Cyber-Sicherheit ist nicht nur ein unternehmensinternes Thema, sondern eigentlich für mich auch ein gesellschaftliches Thema, weil es uns alle betrifft. Wir sind alle exponiert im Netz. haben unsere, wir fast alle nutzen Online-Banking.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also...

Lisa Fröhlich: Lisa Fröhlich Wir haben alle irgendeine Krankenkassen-App auf unserem Telefon. Also wir sind ja, und das wird ja nicht weniger werden. Also im Koalitionsvertrag, auch wenn ich da bei dem Satz geschmunzelt habe, steht was von One-Stop-Shop-Mentalität bei bürokratischen Dingen. Und ich dachte mir nur so, hm, okay, digitales Deutschland, das wird noch eine Weile dauern. Ob die das in den vier Jahren hinkriegen, wage ich mal zu bezweifeln. Aber das steht auch auf einem anderen Papier. Gleichwohl ist es ja so, alles wird immer digitaler.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Mhm.

Lisa Fröhlich: Lisa Fröhlich Das verschwindet ja nicht mehr. Also wir werden ja nicht mehr zurückgehen und den Schritt zurück machen. du hast, wie gesagt, 80 Prozent der Passwörter sind geleakt von irgendwelchen Data-Breaches und so, die irgendwo dann im Darknet für teuer Geld an irgendwelche Leute verkauft werden, die dann eben Möglichkeiten haben, vielleicht Zugriff zu meinem Online-Banking und so weiter zu bekommen. Und das, ich, ist immer so eine...

Dr. Dominik Schürmann: Dr. Dominik Schürmann Nö. Nö.

Lisa Fröhlich: Lisa Fröhlich Das ist so eine Krux, weil da sind wir ja schon wieder an so einem Punkt. Wie kann ich quasi und das wären ja aus meiner Sicht Pass-Keys schon. Sie haben eine hohe Usability meines Erachtens, weil du ja eigentlich im Grunde, gut, du könntest dir, wenn du es gerne unabhängig haben willst, dann nimmst du einen Trittanbieter. Du hast aber schon auch eine größere Sicherheit. Du musst dir nichts mehr merken. Das synchronisiert sich automatisch und das kryptografische Verfahren, was darunter liegt, ist auf jeden Fall insofern sicherer als das eigentliche Passwortverfahren, was genutzt wird.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Genau, Vielleicht kann ich da nochmal einhaken. Wir haben sozusagen die Technik, die Kryptographie gerade betrachtet dahinter und die von Parskeys verhindert sozusagen Data-Bridges in Zukunft. Also oder macht die halt sinnlos, sagen wir mal so. Data-Bridges passieren trotzdem, aber sie sind dann nicht mehr hilfreich für den Angreifer. Und das zweite extrem wichtige ist, das hast du gerade schon nebenbei erwähnt, die Usability.

Lisa Fröhlich: Lisa Fröhlich Mhm. Ja, ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Da kommt nämlich der zweite große Schutz gegen Fishing. Also das Ding ist, klassischer Fishing-Angriff. Aktuell ist es jetzt so, ich kriege eine Mail, da steht irgendwas drin, da habe ich mal so ein, so eine klassische CEO-Angriff irgendwie vielleicht auch intelligent gemacht. Ich klicke da drauf und dann würde jemand sagen, hey, gib bitte dein Passwort ein. So und ich bin aber gar nicht auf der Seite, auf der ich denke zu sein, sondern auf der Seite des Angreifers.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm. Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Mit Passkeys ist das Problem auch gelöst, weil ich gebe ja nichts mehr ein und Passkeys funktionieren ja automatisch nur auf der Seite, auf der sie erstellt wurden, auf der richtigen Domain. Das heißt Passkeys lösen eigentlich zwei der größten Probleme, die wir aktuell haben.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, ja.

Lisa Fröhlich: Lisa Fröhlich Jetzt ist es ja die Frage, warum, also ja, ich habe das mitbekommen, dass es Pass-Keys gibt, weil ich tatsächlich auch schon eine Folge mit einem Tech-Journalisten gemacht habe und da haben wir eben auch über das Thema Passwortless gesprochen und welche Möglichkeiten es im Bereich Passwortless gibt, sei es jetzt eben Pass-Keys, Biometrie etc. Jetzt ist es aber so, dass ich nicht so den Eindruck habe, dass das besonders proaktiv in die Welt gepusht wird. Ja, so, jetzt würde ich gerne zum Abschluss unserer Folge von dir wissen, zum einen, ja, gibt es denn Bestrebungen sozusagen, dass im Grunde diese Lösung stärker verbreitet wird? Oder warum gibt es kaum Bestrebungen? Oder gibt es Initiativen, wo du sagst, hey, das macht echt Sinn, dass ... Da müssen sich nur mehr Leute mit beschäftigen oder was bräuchte es sozusagen als Schlusswort, damit Pass-Keys sozusagen jetzt endlich auch in der Breite ausgerollt werden, ohne dass es irgendwelche, ja, sag ich jetzt mal, Vorbehalte dagegen gibt.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Also, es gibt Bestrebungen, muss man erstmal feststellen. Wie gesagt, die Tech-Giganten arbeiten sehr hart da dran, muss man fairerweise sagen. Ich glaube auch, vor kurzem haben es einige Leute mitgekriegt, weil WhatsApp Parskis gepusht hat. Man darf nicht vergessen, dass es tatsächlich ein relativ hoher Implementierungsaufwand ist für die

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Genau.

Dr. Dominik Schürmann: Dr. Dominik Schürmann die dies sozusagen als erstes umsetzen. Wenn es dann erstmal sich mehr etabliert hat und die APIs, die Programmierschnittstellen abgehangen sind, das Ganze gut funktioniert und auch die Synchronisierungsseite gut funktioniert. Das ist auch eine riesengroße Baustelle noch. Also die Password Manager.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm. Mhm. Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Da gibt es Bestrebungen, dass die interoperabel funktionieren, also dass ich jetzt irgendwie Passkeys aus meinem Google Password Manager exportieren kann und bei Apple importieren kann. So diese Sachen. Da ist noch einiges offen und auch Microsoft ist wahrscheinlich entwickelt Microsoft zum Beispiel auch gerade an Passkey-Synchronisierungsmechanismen. Aber bei Microsoft, die reden da nicht drüber öffentlich und dann irgendwann kommt das Feature.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Mhm. Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das heißt, es gibt da schon noch sehr viel auf der Endnutzerseite an Implementierungsaufwand, fehlt. Aber ja, trotzdem, trotzdem. Es gibt gerade die Technik-Garten pushen da schon in die Richtung. Das gesagt, wenn man sich so Statistiken anguckt, ich glaube, es gibt unter 1000 Webseiten, die grad Passkeys supporten.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Das sind nicht viele. Fairerweise, wie gesagt, sind da viele Tech-Giganten dabei. Adobe kann Passkeys, Google, Microsoft, Apple, Meta macht jetzt viel mit Passkeys. da merkt man schon, ich sag mal, bis der letzte deutsche Mittelständler auf seiner Website Passkeys anbietet, wird sehr viel Zeit vergehen. Also das, ich glaub, ja.

Lisa Fröhlich: Lisa Fröhlich Mhm.

Lisa Fröhlich: Lisa Fröhlich Ja, das finde ich immer spannend, dass solche Übergänge auch so lang dauern, weil, sind wir mal ehrlich, weiß nicht wie lange es noch bis zur Post-Quantum-Kryptographie-Notwendigkeit kommt, aber da habe ich kürzlich auch in einem Vortrag gehört, das Problem ist nicht, dass die post-quantum-kryptographischen Verschlüsselungsverfahren nicht vorhanden wären, sondern das Problem ist die Implementierung.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja, definitiv.

Lisa Fröhlich: Lisa Fröhlich bei den Unternehmen oder bei entsprechenden Dingen. Weil alles wächst ja. Also, das Internet wächst pro Monat fünf Prozent. Das heißt, es sprießen, ich weiß nicht, wie viele neue Shops, Webseiten aus dem Boden. Und wie du schon gesagt hast, bis der letzte Mittelständler auf seiner Webseite Passkeys initiiert, sind wir vielleicht schon wieder drei Schritte weiter und bräuchten vielleicht noch was ganz anderes am Ende des Tages.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Ja.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Mhm. Ja, dann bin ich in Rente.

Lisa Fröhlich: Lisa Fröhlich So und das ist ja so ein, das ist ein ziemlich offener Ausblick für diese Folge, würde ich mal behaupten, dass wir sagen, na ja, wir brauchen auf jeden Fall ein bisschen mehr Geschwindigkeit bei der Umsetzung und bei der sozusagen Implementierung der Passkeys. Ich glaube, es ist, was die Nutzerinnen und Nutzer angeht, eine ziemlich sinnvolle Geschichte, weil, wie du schon gesagt hast, es ist sicherer, es ist deutlich einfacher, weil ich muss mir nichts mehr merken. Und ich kann natürlich auch mich unabhängig machen, indem ich eben sozusagen Trittanbieter nutze und deren Passkey-Manager quasi auf die einzelnen Browserseiten implementiere, sodass das immer verknüpft ist mit dem Browser, den ich gerade benutze, was den Vorteil hat, dass ich natürlich auch unterschiedliche Browser vermutlich nutzen kann und nicht nur einen, der mir das immer synchronisiert.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Genau.

Lisa Fröhlich: Lisa Fröhlich Super spannend. Unsere Zeit ist abgelaufen. Wir könnten hier jetzt auch noch wahrscheinlich die nächste halbe Stunde weiter zu dem Thema sprechen. Das ist super spannend, weil ich glaube, vielleicht schaut ihr ein oder andere von euch da draußen mal nach Passkey-tauglichen Webseiten. Vielleicht sind es ja ein bisschen mehr als 1000, aber 1000 ist ja an der schieren Masse, die im Internet verfügbar ist, ein Tropfen auf dem heißen Stein, würde ich mal sagen. Ja Dominik, der Stelle bleibt mir nur zu sagen vielen Dank, dass du uns mitgenommen hast, dass du uns Passkeys näher gebracht hast und uns mal sozusagen ein aktuelles Bild vermittelt hast und wie die Verbreitung von Passkeys aussieht und welche sozusagen Bestrebungen es auch gibt für alternative und techunabhängige Lösungen und vor allen Dingen, dass wir vor allen Dingen dieses Thema Passwort vergessen eigentlich ad acta legen können.

Dr. Dominik Schürmann: Dr. Dominik Schürmann Gerne.

Lisa Fröhlich: Lisa Fröhlich Ja, ja, vielen Dank fürs Zuhören da draußen. Das an dieser Stelle bleibt mir wie immer nur zu sagen, wenn euch die Folge gefallen hat, dann lasst gerne ein Like da, abonniert den Podcast, empfehlt ihn gerne euren Freunden, Verwandten, Arbeitskollegen, wem auch immer. Alle Menschen, die da draußen sozusagen mehr über das Thema IT-Sicherheit und Cyber-Sicherheit wissen sollten, sind natürlich herzlich eingeladen, hier zuzuhören. Und wie immer bleibt mir an der Stelle nur ein Keepcom Get Protected. Macht's gut, bis zum nächsten Mal. Ciao!