Was ihr jetzt über Passkeys wissen müsst
Die Sicherheit des eigenen Accounts steht und fällt in aller Regel mit dem Passwort. Genau das ist aber oftmals ein Problem. Denn noch immer nutzen viele Menschen ein und dasselbe Passwort für mehrere Dienste. Kommt es bei einem dieser Dienste zum Datenklau, ist dementsprechend schnell die gesamte digitale Identität dieser Menschen betroffen.
Die Tech-Branche reagierte darauf mit der Einführung der Zwei-Faktor-Authentifizierung (2FA). Zusätzlich zum Passwort musste dann noch ein zusätzlicher Faktor, meist ein zeitlich begrenzt gültiger Zahlencode, eingegeben werden. 2FA sorgte zwar dafür, dass die Passwortsicherheit weniger wichtig wurde, das Prinzip hatte aber ebenfalls gewisse Nachteile.
Zum einen bieten zwar die großen Tech-Konzerne heute alle 2FA an, bei kleineren Web-Diensten oder Onlineshops ist die Technik aber nach wie vor eher die Ausnahme. Außerdem dauert der Anmeldeprozess dadurch länger, was für ungeduldige Naturen ebenfalls ein Nachteil ist.
Der richtige Einsatz von Passwortmanagern kann den Umgang mit Passwort und 2FA zwar deutlich vereinfachen, es bleibt jedoch eine Einstiegshürde, die vor allem für technisch weniger versierte Nutzer:innen ein Problem ist.
Was wäre aber, wenn wir einfach komplett auf Passwörter verzichten können, ohne Sicherheit einbüßen zu müssen? Genau das ist das Konzept hinter den Passkeys.
Ein Passkey ist im Prinzip eine lange Zeichenkette, die beim Einrichten von eurem Endgerät zufällig generiert wird. Im Gegensatz zum Passwort müsst ihr euch diese Zeichenkette nicht selbst merken. Das übernimmt euer Smartphone oder Computer.
Empfehlungen der Redaktion
Auch wird der Passkey an sich – im Gegensatz zum Passwort – nicht mit dem Webdienst geteilt, bei dem ihr euch damit anmeldet. Vielmehr wird bei der Anmeldung eine sogenannte Challenge an euer Endgerät gesendet. Die wiederum wird von eurem Gerät kryptografisch signiert. Der Webdienst weiß damit, dass ihr den privaten Schlüssel besitzt, der eure Identität belegt, ohne diesen Schlüssel selbst einsehen zu können.
Als Nutzer müsst ihr lediglich die Gesichtserkennung oder den Fingerabdruckscanner eures Endgeräts nutzen, um euch gegenüber eurem eigenen Endgerät zu verifizieren. Diese biometrischen Daten werden aber nur zur Freigabe des Passkeys auf dem Gerät verwendet und nicht an den Webdienst übertragen, bei dem ihr euch anmeldet.
Nein. Ein privater Schlüssel kann über die Cloud mit mehreren Geräten geteilt werden. Auf die Art verliert ihr den Zugang zu euren mit Passkeys gesicherten Accounts nicht, falls euch mal euer Smartphone abhandenkommen sollte.
Ja, auch das ist möglich. Wenn ihr beispielsweise den Rechner einer anderen Person verwendet, dann könnt ihr euch beim Login einen QR-Code anzeigen lassen. Den scannt ihr dann beispielsweise mit einem Smartphone, auf dem der entsprechende Passkey hinterlegt ist, und schon seid ihr angemeldet. Möglich ist das sowohl mit iOS als auch mit Android.
Passkeys sind schon deshalb sicherer als Passwörter, weil die häufig zum Diebstahl von Login-Daten genutzten Phishing-Methoden nicht mehr funktionieren. Ihr seid schlicht nicht in der Lage, versehentlich eure Anmeldedaten an Kriminelle herauszugeben. Und euer Smartphone oder Computer verifiziert euch nur gegenüber der bei der Anmeldung genutzten Website oder App.
Die Passkey-Funktion könnt ihr sowohl unter Android und Windows als auch unter den Apple-Betriebssystemen iOS, iPadOS und macOS einsetzen. Bei Letzterem müsst ihr lediglich sicherstellen, dass sowohl iCloud-Schlüsselbund als auch Zwei-Faktor-Authentifizierung in den Einstellungen aktiviert ist. Außerdem benötigt ihr mindestens macOS Ventura oder iOS 16. Microsoft-Nutzer:innen benötigen wiederum mindestens Windows 10. Unter Android steht das Verfahren seit Version 9 zur Verfügung.
Derzeit werden Passkeys von Safari, Chrome und Edge unterstützt. Nur Firefox wird die Funktion wohl erst ab Version 120 unterstützen. Die soll im November 2023 veröffentlicht werden.
Auch Passwortmanager unterstützen teilweise bereits das Passkey-Verfahren. Bereits verfügbar ist das Feature beispielsweise in 1Password, Nordpass, Roboform oder Dashlane.
Dank der Unterstützung durch Apple, Google und Microsoft steht dem Einsatz von Passkeys heute fast nichts mehr im Wege. Damit sich das Verfahren aber flächendeckend im Netz durchsetzt, muss die Technik auch von Websites und Apps eingesetzt werden. Da hapert es allerdings noch ein wenig. Bis wir also wirklich ganz ohne Passwörter auskommen, dürfte es noch ein wenig dauern.