![It's Not Magic: Securing Modern Apps with PKCE [video]](/images/45614606-B3C7-4F8D-A328-7968749903DA)
In der Welt der modernen Softwareentwicklung gewinnt die Sicherheit von Anwendungen zunehmend an Bedeutung. Mit der immer weiter voranschreitenden Digitalisierung und dem Überangebot an Applikationen steigt auch die Notwendigkeit, sensible Nutzerdaten bestmöglich zu schützen. Eine entscheidende Rolle spielt hierbei die Authentifizierung, also die Verifikation der Identität eines Nutzers gegenüber einer Anwendung oder einem Dienst. Eine innovative Methode zur Absicherung moderner Apps ist das sogenannte Proof Key for Code Exchange, kurz PKCE. Trotz seiner Wirksamkeit ist es keine Zauberei, sondern basiert auf klar definierten technischen Standards, die Entwickler für mehr Sicherheit in ihren Anwendungen einsetzen können.
In diesem Artikel wird umfassend erläutert, was PKCE ist, wie es funktioniert und warum es gerade für moderne mobile und Web-Applikationen unverzichtbar geworden ist. Moderne Applikationen und der Sicherheitsbedarf Moderne Apps verbinden Nutzer mit unterschiedlichsten Diensten, oft über das Internet. Sei es das Einloggen bei sozialen Netzwerken, das Verwalten von Bankgeschäften oder die Nutzung von Cloud-Diensten – überall müssen Nutzer nachweisen, dass sie tatsächlich jene Personen sind, für die sie sich ausgeben. Diese Prozesse wurden lange Zeit vor allem mit Passwörtern realisiert, doch diese Methode birgt zahlreiche Schwachstellen. Denn Passwörter können gestohlen, erraten oder auf andere Weise kompromittiert werden.
Vor diesem Hintergrund wurden Authentifizierungsmethoden weiterentwickelt und verbessert. Insbesondere im Zusammenhang mit der OAuth-2.0-Technologie, die den sicheren Zugriff auf Webressourcen von Drittanbietern ermöglicht, spielt PKCE eine wichtige Rolle. OAuth-2.0 ist das Rückgrat moderner Zugriffssteuerungen und wird von großen Dienstleistern wie Google, Microsoft und Facebook eingesetzt.
Allerdings war OAuth-2.0 in seiner ursprünglichen Form für öffentliche Clients, etwa mobile Apps ohne eigene Serversicherheit, anfällig für sogenannte Autorisierungscode-Abfangangriffe. Die Wissenschaft hinter PKCE: Was steckt dahinter? PKCE wurde 2019 als RFC 7636 offiziell standardisiert, um OAuth-2.0 vor Angriffen zu schützen, die auf dem Abfangen von Autorisierungscodes basieren. Ein Autorisierungscode ist ein einmaliger Code, den der OAuth-Provider nach erfolgreicher Authentifizierung vergibt.
Wenn Angreifer diesen Code abfangen, können sie sich theoretisch Zugriff auf den Account des Nutzers erschleichen. Der Kern von PKCE liegt in der Verwendung eines dynamischen Verifizierungscodes, der bei jeder Authentifizierung einzigartig erzeugt wird, dem sogenannten Code Verifier, und dessen verschlüsselter Version, dem Code Challenge. Diese beiden Werte werden zwischen Client und Autorisierungsserver ausgetauscht und dienen dazu, den Missbrauch des Autorisierungscodes zu verhindern. Hierbei erzeugt der Client vorab einen zufälligen Code Verifier. Aus diesem wird ein Code Challenge durch eine sichere Einwegfunktion entwickelt, beispielsweise SHA-256.
Während des Authentifizierungsprozesses sendet der Client den Code Challenge an den OAuth-Server. Wenn der Server im Anschluss den Autorisierungscode zurückgibt, fordert der Client den Server auf, das Token mit dem zuvor generierten Code Verifier einzutauschen. Nur wenn der übermittelte Code Verifier zur zuvor gesendeten Code Challenge passt, erfolgt die Ausgabe des Zugriffstokens. Diese Paralellisierung verhindert, dass ein abgefangener Autorisierungscode alleine für Angriffe genutzt werden kann. Praktische Vorteile von PKCE Der bedeutendste Vorteil von PKCE ist die erhöhte Sicherheit im Vergleich zu klassischen OAuth-2.
0-Implementierungen ohne diese Erweiterung. Da bei der Token-Einlösung immer der Code Verifier validiert wird, ist eine Code-Weitergabe oder Code-Abfangung weitgehend nutzlos. Für Entwickler ist diese Methode auch praktisch, weil sie speziell auf öffentliche Clients ausgelegt ist, die keine sicheren Backends besitzen. Mobile Apps, Single Page Applications (SPA) und sogar einige Desktop-Anwendungen profitieren von PKCE besonders stark. Sie sind häufig ohne eigene Secret-Keys unterwegs, die einen sicheren Backend-Schutz ermöglichen.
PKCE garantiert hier ein höheres Maß an Schutz gegen Man-in-the-Middle-Angriffe und Session Hijacking. Integration von PKCE in moderne Anwendungen Die Einbindung von PKCE in moderne Apps ist mittlerweile Standardpraktik. Viele Authentifizierungsbibliotheken und SDKs für unterschiedlichste Plattformen unterstützen PKCE nativ. Entwickler können damit ohne großen Mehraufwand die Sicherheit ihrer Apps steigern und Compliance-Anforderungen erfüllen, die zum Beispiel bei DSGVO-konformen Anwendungen zunehmend wichtig sind. Der Implementierungsprozess verlangt neben der Erstellung des Code Verifier und Code Challenge Aufmerksamkeit hinsichtlich sicherer Zufallsgeneratoren und der korrekten Hash-Berechnung.
Die Dokumentation des OAuth-Anbieters sollte gründlich studiert werden, um die speziellen Details bei der Nutzung von PKCE zu verstehen. Idealerweise erfolgt eine umfassende Testphase, um mögliche Sicherheitslücken zu erkennen und auszuschalten. Best Practices und Herausforderungen Obwohl PKCE sehr effektiv ist, ersetzt es nicht andere wichtige Sicherheitsmaßnahmen. Es ist ein Teil eines ganzheitlichen Sicherheitskonzepts, das etwa TLS-Verschlüsselung, sichere Speicherung von Tokens und regelmäßige Sicherheitsupdates umfasst. Entwickler sollten sich zudem über die jeweiligen Einschränkungen und Möglichkeiten informieren, beispielsweise wie lange Autorisierungscodes gültig sind und wie Refresh Tokens gehandhabt werden.
Es gilt, auch die Benutzerfreundlichkeit im Auge zu behalten. Eine zu komplexe Implementierung kann die User Experience negativ beeinflussen, etwa durch zu häufiges erneutes Anmelden oder technische Probleme bei der Tokenverwaltung. Moderne Frameworks und SDKs helfen, die Balance zwischen Sicherheit und Benutzbarkeit zu finden. Blick in die Zukunft: PKCE und die Entwicklung sicherer Authentifizierung PKCE ist ein wichtiger Meilenstein auf dem Weg zu sicheren und benutzerfreundlichen Authentifizierungslösungen. Gerade da das Internet der Dinge (IoT) und zunehmend vernetzte Endgeräte eine Herausforderung darstellen, bietet PKCE eine robuste Grundlage für das Identity-Management.
Zukünftige Entwicklungen werden diese Technologie sicher ergänzen, zum Beispiel durch die Kombination mit biometrischer Authentifizierung oder dezentralen Identitätslösungen. Fazit Die Absicherung moderner Anwendungen verlangt nach effektiven Mechanismen wie PKCE. Diese Methode sichert den OAuth-2.0-Autorisierungsprozess bedeutend ab und schützt Nutzer vor zahlreichen Angriffen. Die Integration von PKCE ist heute Standard in der modernen App-Entwicklung und trägt wesentlich dazu bei, Vertrauen und Sicherheit in digitalen Anwendungen zu schaffen.
Es handelt sich nicht um Magie, sondern um eine intelligente und technisch gut durchdachte Lösung, die Entwickler und Nutzer gleichermaßen profitieren lässt.
