Ein Schlüssel liegt auf einer Platine (Quelle: IMAGO / IlluPics)
Bild: IMAGO / IlluPics

Multimedia | Beitrag | Lesedauer etwa 4 Minuten - Passkeys: Schlüssel zum Glück

Mit Passkeys sollen Passwörter abgelöst werden. Absolut sicher will die neue Authentisierungsmethode sein. Wo ist der Haken?

Passwörter sollen die eigenen Daten im Netz, also etwa Bankkonten, E-Mailkonten oder Datenclouds schützen - sind aber oft nur ärgerlich. Entweder, ich bin zu faul, benutze eines für alle Konten und deshalb nagt ständig das schlechte Gewissen an mir. Oder ich habe viele, komplizierte, wunderbare Passwörter, die ich mir leider nicht merken kann. Passwortmanager schaffen in beiden Fällen willkommene Abhilfe - aber zu knacken sind die theoretisch auch. Auch die Zwei-Faktor-Authentisierung - aktuell der Standard in Sachen Netz-Sicherheit - lässt sich für Auskenner vergleichsweise einfach aushebeln.
 
Diesen unbefriedigenden Zustand haben diverse multinationale Digital-Unternehmen, Organisationen und, zum Beispiel, auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkannt. Zusammengeschlossen als FIDO-Allianz ("Fast IDentity Online") haben sie deshalb ein neues Authentifizierungsverfahren entwickelt. Drauf aufbauend wurden dann die Passkeys entwickelt - und im vergangenen Jahr von den Vorreitern Google, Microsoft und Apple - alle Teil der FIDO-Allianz - uns Nutzerinnen und Nutzern zur Verfügung gestellt.
 
Passkeys beschreiben ein komplexes Verschlüsselungssystem, das zusätzlich nur mithilfe weiterer Sicherheitsmerkmale wie etwa biometrischer Daten funktioniert. Heißt: Wenn es nicht ich bin, der sich einloggen will, wird das nichts.

Was ist Passkey und wie funktioniert dit?

Keine Überraschung: Die Funktionsweise von Passkeys ist relativ kompliziert, da läuft im Hintergrund sozusagen die kryptografische Riesensause ab - die Handhabung soll allerdings umso einfacher sein!
 
Ein "Passkey" umschreibt den Vorgang, sich passwortlos anzumelden. Statt ein Passwort in einer App oder auf der Website eines Accounts einzugeben, authentisiert man sich per Passkey. Der wird vorab einmalig in den Sicherheitseinstellungen von App oder Website eingerichtet - und auf unserem Endgerät wird das Gegenstück gespeichert - in einem extra sicheren Tresor, wenn man so will. Auf diesen zweiten Schüssel kann nur zugegriffen werden, wenn man weiß, wie man ihn "herausholt" - das geht etwa per Fingerabdruck, Gesichtsscan oder PIN.
 
"Wenn Sie sich von nun an einloggen möchten, wählen Sie nur noch aus, wer sich anmeldet und bestätigen den Login etwa mit Ihrem Fingerabdruck oder einem Gesichtsscan", erläutert das BSI das Verfahren.
 
Alle übrigen sicherheitsrelevanten Berechnungen sollen dann - für Nutzerin und Nutzer unmerkbar - ablaufen: Der Diensteanbieter und unser Gerät tauschen - ermöglicht durch die beiden passenden Schlüssel - im Hintergrund alle nötigen Daten und Berechnungen aus, ohne dass wir weitere Eingaben machen müssen. Nach diesem komplexen kryptografischen Verfahren "sind Sie angemeldet und können wie gewohnt shoppen, bezahlen oder streamen", so das BSI.

Welche Pros & Contras gibt es?

Vorteile
 
Passkeys zu verwenden ist schneller und einfacher, als Passwörter zu nutzen - schon allein, weil man sie nicht vergessen kann, so das BSI.
 
Sie sind sicherer, da es extrem unwahrscheinlich ist, dass ein Passkey durch Datendiebstahl verloren geht. Selbst wenn das passieren sollte, ist jeder Passkey immer an einen Account gebunden - es kann also nie dazu kommen, dass andere Accounts mitgeknackt werden.
 
Sollten Nutzende auf einen Phishingversuch hereinfallen und versuchen, sich auf einer Fake-Seite einzuloggen (und dabei sensible Daten preisgeben), wird dies nicht funktionieren, denn der Passkey funktioniert einfach nicht mit der Phishing-Website. Es fehlt das entsprechende Gegenstück.
 
Kurz gesagt ist es so: Je weniger wir wissen, desto weniger können wir preisgeben. Und da die Passkeys nur im System selbst - und dort extrem sicher - hinterlegt sind, nicht aber irgendwo auf einer Passkey-Liste oder ähnlichem bei uns, sind sie so sicher.
 
Nachteile
 
Der offensichtlichste Nachteil bei Passkeys: Das Gerät mit dem einen Schlüssel muss immer dabei sein. Geht das Smartphone zum Beispiel verloren, kann man die Passkeys zwar wiederherstellen, doch erstmal steht ein bisschen Arbeit an.
 
Ein weiterer Nachteil laut BSI ist, dass es bei der Verwendung von Passkeys aktuell noch zu häufig eine Bindung der Schlüssel an konkrete Produkte und Ökosysteme gäbe, die eine plattformunabhängige Nutzung erschwerten. Wer weder Apple- noch Google- oder Microsoft-Produkte benutzen möchte, braucht ebenfalls einfache Passkey-Alternativen. Die kommen nach und nach auf den Markt, laufen vielfach allerdings weit unterm Radar neben den Platzhirschen.
 
Schwierig ist es bislang auch noch, Passkeys in einem Zusammenhang zu benutzen, bei dem mehrere Personen auf einen Account zugreifen, etwa im Arbeits- oder Familienleben, da die Passkeys ja an ein Endgerät gebunden sind. Auch hier wird an Lösungen gearbeitet.
 
Zuletzt: Auch mit Passkeys wird Datendiebstahl noch möglich sein, und natürlich arbeiten Betrüger jetzt schon daran, Schwachstellen des Standards auszumachen und zu nutzen.

Auf Passkeys umsteigen - ja oder nein?

Trotzdem es bei Passkeys noch Verbesserungsbedarf gibt - und auch dieses kryptografisch ausgefeilte Verfahren vor Hackern nicht hundertprozentig sicher ist, - sind sich viele Fachleute einig, dass Passkeys die Zwei-Faktor-Authentisierung ablösen werden - und Passwörter sowieso.
 
Das BSI empfiehlt Verbrauchenden schon heute: "Wenn Ihnen (...) von einem vertrauten Diensteanbieter vorgeschlagen wird, Passkey einzurichten, können Sie die Technologie ohne weiteres verwenden und Ihr Passwort ersetzen."
 
Wer weiterhin auf Passwörter statt Schlüssel setzen will, kann alternativ wie folgt vorgehen, um seine Daten zu sichern:
 
• Ein starkes Passwort pro Account, das regelmäßig geändert wird.
 
• Unterstützung durch einen unabhängigen Passwortmanager.
 
• Zwei-Faktor-Authentifizierungen, wo immer es möglich ist.

WICHTIGE FRAGEN UND ANTWORTEN

Darf ich mich dann immer nur mit ein- und demselben Gerät einloggen?

Der Einfachheit halber werden die meisten ihre Passkeys auf dem Smartphone speichern. Das bedeutet allerdings nicht, dass man sich nur mit dem Smartphone bei seinen Accounts einloggen kann. Das Login geht auch am Rechner. Dafür müssen Computer und Smartphone via Bluetooth verbunden werden - die Authentisierung wird dann vom Computer ans Smartphone durchgereicht, die Passkeys werden "ineinandergesteckt" und wenn alles passt, wird auf dem Rechner der Account geöffnet.

Sind meine biometrischen Daten geschützt, wenn ich mich mit einem Fingerabdruck einloggen soll?

Das Login selbst funktioniert nicht mit dem Fingerprint oder dem Gesichtsscan und auch nicht mit der Eingabe einer PIN - mit diesem Schritt wird das Login nur ermöglicht, dem Schlüssel im Tresor wird damit quasi das Zeichen gegeben: "Jetzt schließ mal auf". Da unsere biometrischen Daten nur auf unserem Endgerät bleiben und dieses nicht verlassen, sind sie genau so sicher, wie in anderen Situationen, wo wir sie etwa für das Entsperren unseres Smartphones nutzen.

Was, wenn mein Gerät futsch ist?

Wer mit Passkeys arbeitet, statt mit Passwörtern, speichert diese nicht nur auf einem Gerät ab, sondern macht ein Backup auf einem weiteren Gerät oder auf einer Festplatte. Sind die Passkeys nicht mehr auf dem Erstgerät (etwa durch Diebstahl des Geräts), ist man geschützt und kann die Passkeys wiederherstellen.

Wo kann ich mich schon mit Passkeys anmelden?

Neben Apple, Google und Microsoft und deren verschiedenen Diensten bieten mittlerweile diverse weitere Anbieter eine Anmeldung per Passkey an, etwa Amazon, Paypal, Ebay oder X (Twitter). Weitere Anbieter lassen sich hier finden.

Mehr Wissen? Weiterführende Links!

Das Bundesamt für Sicherheit in der Informationstechnik erläutert auf seinen Seiten, was Passkeys sind. Wer tiefer in die Materie einsteigen möchte, kann sich alles zum kryptografischen Verfahren dahinter auf diesen Seiten des BSI durchlesen.

Ein Beitrag von DEM, 22.03.2024.