Login per Passkey: Noch mehr Sicherheit für Ihre Lernplattform
Mit der Passkey-Technologie für WebWeaver® setzt DigiOnline Maßstäbe – für den sicheren, benutzerfreundlichen und zukunftsorientierten Zugang zu digitalen Lernplattformen.
Die Verwendung von Passkeys ist eine Alternative zur Anmeldung durch die Eingabe von Benutzernamen und Passwort und wird vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) für sichere Login-Verfahren empfohlen.
Die Anmeldung auf der Lernplattform erfolgt bei der Verwendung von Passkeys über ein biometrisches Merkmal wie Gesichtserkennung, oder Fingerabdruck – ganz ohne Eingabe von Benutzernamen und Passwort. Die Passkey-Technologie vereinfacht somit den Anmeldeprozess erheblich.
So einfach funktioniert Passkey
Passkeys bestehen aus einem Schlüsselpaar – ein öffentlicher Schlüssel wird auf dem Server der Lernplattform gespeichert, der private Schlüssel bleibt sicher auf dem Gerät und bestätigt dort lokal die Identität des Nutzers.
- Der Nutzende erstellt in seinen persönlichen Einstellungen auf der WebWeaver®-Plattform den Passkey einmalig.
- Der auf der Plattform generierte Code ermöglicht es, auf einem persönlichen Gerät einen Schlüssel zu erstellen und zu speichern.
- Dieser Schlüssel ist einzigartig für jede Plattform und verlässt das Gerät nie. Er kann auch nicht ausgelesen werden.
- Wenn der Nutzer auf einem beliebigen Gerät im Browser das Login-Formular seiner Plattform aufruft, bietet der Browser „Passkey“ als Anmeldemethode an. Wird „Passkey“ ausgewählt, kann ein vorhandener Passkey für den Login genutzt werden.
- In einem letzten Schritt wird die Identität auf dem persönlichen Gerät per Face-ID oder Fingerabdruck bestätigt und der Login erfolgt.
Keine Eingabe von Daten
Es müssen keine Daten eingegeben oder gemerkt werden, und es können auch keine Daten versehentlich weitergegeben oder ausgespäht werden. Passkey funktioniert so auch sicher auf Geräten, die in der Bildungsinstitution mit anderen Nutzenden geteilt werden und sichert auch den Login an Beamer oder Whiteboard ab.
Passwort als Einfallstor Nr. 1 für Angriffe
Die meisten Datenlecks beginnen mit gestohlenen Login-Daten. Dabei bemerken die Opfer den Identitätsdiebstahl in dem allermeisten Fällen erst nach der Tat, wenn der Schaden schon entstanden ist.
Risiken in Bildungsinstitutionen
Bei kriminellen Angriffen geht es zumeist darum, Vermögensvorteile zu erlangen. Aber auch im Kontext einer Schul- oder Bildungsplattform können erhebliche Risiken auftreten. Es kann durch die Offenlegung von Benutzernamen und Passwörtern der Zugriff auf Nutzerdaten erfolgen, die in den unterschiedlichen Funktionen der Plattform gespeichert sind – von der persönlichen Kommunikation bis hin zu Lernstandsdaten oder Schulinterna.
Ein Identitätsmissbrauch kann einschneidende Folgen für das Opfer haben, insbesondere bei Kindern und Jugendlichen. Um den Ruf einer anderen Person zu schädigen, werden unter Umständen fragwürdige Inhalte im Namen des Opfers verbreitet.
Besonders dramatisch sind die Folgen, wenn ein Zugang mit Administrationsrechten durch die Offenlegung von Benutzernamen und Passwort gekapert wird. Dieser Zugang ermöglicht den Zugriff auf personenbezogene Daten Dritter, den Missbrauch und auch die Zerstörung von Daten. Auf WebWeaver®-Plattformen können Zugänge mit Administrationsrechten mit einem Passkey abgesichert werden.
Offen und herstellerunabhängig
Passkey wurde von der FIDO Alliance entwickelt, einem Zusammenschluss von privaten und staatlichen Akteuren. Die FIDO Alliance etabliert offene und herstellerunabhängige Industriestandards. So ist auch Passkey eine offene und herstellerunabhängige Möglichkeit zur Nutzerauthentisierung.
So schützen Passkeys die Sicherheit
Der Login per Passkey schützt vor verschiedenen Sicherheitsrisiken, die bei Passwörtern häufig auftreten, vor allem:
1. Phishing
| Schutz |
|---|
| Selbst wenn ein Nutzer Fake-Seite hereinfällt, kann der Passkey dort nicht verwendet werden. |
Passkeys lassen sich nicht einfach auf einer gefälschten Website eingeben, weil sie an eine bestimmte Webseite oder App gebunden sind.
2. Passwortdiebstahl
| Schutz |
|---|
| Es gibt nichts zu klauen oder abzugreifen. |
Da keine Eingabe eines Passworts erfolgt, kann auch kein Passwort gestohlen oder ausgespäht werden – etwa durch Keylogger, Datenlecks bei Webseiten, Betrug oder Manipulation.
3. Brute-Force- und Wörterbuchangriffe
| Schutz |
|---|
| Passkeys basieren auf Kryptografie, nicht auf "erratbaren" Zeichenfolgen. |
Angreifer versuchen oft mit automatischen Methoden tausende Passwörter.
4. Man-in-the-Middle-Angriffe
| Schutz |
|---|
| Selbst wenn jemand den Netzwerkverkehr abfängt, kann er nichts damit anfangen. |
Passkeys nutzen kryptografische Schlüsselpaare (öffentlich & privat), die nur lokal auf deinem Gerät funktionieren. Es werden keine Daten über das Internet ausgetauscht.
Hinweis zu verschiedenen Browsern
In welcher Weise die Passkey-Abfrage angezeigt wird, ist browserabhängig. Hier finden Sie Informationen zur Umsetzung in einigen gängigen Browsern.
- Firefox
Die Passkey-Abfrage wird direkt am Login-Feld angezeigt (getestet in Version 138.0.4). - Chrome
Die Abfrage versteckt sich im Kontext-Menü, dass Sie durch einen Rechtsklick auf das Login-Feld aufrufen können (getestet in Version 137.0.7151.41). - Edge
Sie finden unter der Login-Maske einen Link, über den Sie die Passkey-Abfrage starten können (getestet in Version 136.0.3240.76).
Flexible Integration in bestehende und zukünftige Plattformen
WebWeaver® ermöglicht es, die Passkey-Authentifizierung unkompliziert zu integrieren. Mit dieser innovativen Authentifizierungsmethode können alle bestehenden und zukünftigen Schul- und Bildungsplattformen auf Wunsch um ein zusätzliches Sicherheitsmerkmal erweitert werden.