Surfen ohne Passwort - Mit Passkeys sicher durchs Netz

04. März 2024

• Das neue LoginVerfahren wurde über zehn Jahre entwickelt und ermöglicht sicheres Surfen im Netz ohne Passwort.
• Passkeys arbeiten mit zwei digitalen Schlüsseln, die kryptografisch produziert werden.
• Die neue Authentifizierungsmethode wird sich nach Ansicht von Experten erst allmählich durchsetzen, bei Google beispielsweise können Nutzerinnen und Nutzer sie schon testen.

"Ich habe es schon mal ausprobiert und es war viel leichter als gedacht. Am Ende war die Anmeldung über einen Passkey genauso komfortabel und leicht wie mit einem althergebrachten Passwort. Und so sage ich ganz leise Servus zu 1,2,3,4,5,6,7,8 und Hallo zu Passkeys.“

Michael Münz, Host im Podcast „Update verfügbar“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Folge #40 „Passkey statt Passwort – was steckt dahinter?“

Was ist ein Passkey?

Passkey ist eine revolutionäre Art, um sich ohne Passwort online auszuweisen. Die Idee dahinter – wir loggen uns nicht mit einem Passwort und einem Nutzernamen ein, sondern agieren direkt mit digitaler Kryptografie, einem digitalen Verschlüsselungsverfahren. Dafür bekommen wir einen einzigartigen digitalen Krypto-Schlüssel, der auf unseren Geräten sicher gespeichert wird. Mit diesem Schlüssel können wir uns dann überall im Netz anmelden. Einzige Voraussetzung: Der Dienst muss mit dem neuen Passkey-Verfahren arbeiten. Passkeys ermöglicht so den Nutzerinnen und Nutzern „die Anmeldung bei Apps und Websites auf die gleiche Weise, wie sie ihre Geräte entsperren - mit einem Fingerabdruck, einem Gesichtsscan oder einer PIN für die Bildschirmsperre. Und im Gegensatz zu Passwörtern sind Passkeys resistent gegen Online-Angriffe wie Phishing, was sie sicherer macht als Dinge wie SMS-Einmalcodes,“ preist Google die neue Technik auf einer Erklärseite an.

Wer steckt hinter dem Verfahren?

Entwickelt wurde das Passkey-Verfahren von der FIDO-Allianz. FIDO steht dabei für Fast IDentity Online – übersetzt „schnelle Identität bei digitalen Verbindungen. Die Allianz wurde von zum einen internationalen Elektronik- und Digital-Unternehmen wie beispielsweise Infineon, PayPal, Alibaba, Google, Microsoft und Samsung gegründet. Zum anderen sind staatliche Institutionen mit organisiert. Seit 2015 gehört auch das Bundesministerium für Sicherheit in der Informationstechnik (BSI) zur FIDO-Allianz. Das Ziel der Allianz ist laut eigenem Verhaltenskodex, „Passwörter durch einfachere, sichere Authentifizierungsmethoden zu ersetzen.“

Wie funktioniert das Passkey-Verfahren?

Das Passkey-Verfahren beruht auf einem Schlüsselpaar – einem privaten Kryptoschlüssel und einem öffentlichen Schlüssel. Ersterer besteht aus einer langen Zeichenfolge und wird auf unseren unterschiedlichen Geräten gespeichert. Er ist Geräte-gebunden und kann nicht durch z.B. Phishing abgegriffen werden, da er nur auf unseren Geräten lokal gespeichert wird. Wenn wir uns nun im Netz anmelden, sendet die Website oder App eine Anfrage an unser Gerät. Diese müssen wir per Pin, per Face-ID oder Touch-ID bestätigen. Danach schickt unser Gerät eine digitale Signatur – den öffentlichen Schlüssel – zurück an die Website und bestätigt damit unsere Identität. Fertig! Der Schlüsselaustausch funktioniert automatisch und ist komfortabel. Das Passwort wird durch Passkey ersetzt, wir müssen lediglich unsere Identität per Scan oder PIN bestätigen.

Wie sicher ist das Passkey-Verfahren?

Das Passkey-Verfahren gilt im Vergleich zur Anmeldung mit traditionellen Passwörtern als wesentlich sicherer. Durch die Verwendung von Kryptografie in Kombination mit biometrischen Daten ist das Passkey-Verfahren gegen viele gängige Angriffsmethoden immun. Da keine Passwörter gespeichert oder bei der Anmeldung übermittelt werden, sind Passkeys auch z.B. vor Phishing und anderen Formen des Identitätsdiebstahls geschützt. Die Einzigartigkeit jedes Passkeys und die Bindung an ein spezifisches Gerät erschweren es Betrügern, an sensible Daten gelangen zu kommen. Das Passkey-Verfahren wird das Passwort aber nicht kurzfristig ersetzen. Der Übergang wird eher allmählich verlaufen und solange können wir auch noch mit unseren Passwörtern agieren. Zudem kritisiert das BSI, dass Passkeys die Anhängigkeit von einem digitalen Ökosystem, wie Apple oder Android, intensiviert. Ein einfacher Wechsel ist aufgrund der lokalen Speicherung des Passkeys nicht möglich.  

Sind Passkeys schon verfügbar und wie richte ich sie ein?

Um einen Passkey einzurichten, müssen wir zunächst prüfen, ob der Dienst, den wir nutzen möchten, diese Option anbietet. In der Regel finden wir diese Information in den Sicherheitseinstellungen der jeweiligen Online-Konten. Die Einrichtung erfolgt dann in wenigen Schritten: Wir wählen die Passkey-Option, verbinden unser Gerät und folgen den Anweisungen zur Authentifizierung, oft unter Verwendung einer biometrischen Methode. Besonders einfach ist das bei einem Passwort-Manager. Einmal eingerichtet, haben wir anschließend unser privaten Kryptoschlüssel für alle Websites und Apps verfügbar. Google, Apple und Microsoft beschreiben auf entsprechenden Websites die Einrichtung von Passkeys. Sie versprechen, dass die Passkeys so verschlüsselt sind, dass die Firmen selbst keinen Zugriff haben.