Was sind Passkeys, wie sie funktioneiren und wie man sie verwendet

Was sind Passkeys?

Passkeys sind eine Verifizierungsmethode mit zwei Schlüsseln, bei der ein Verifizierungscode zwischen dem Nutzer und einer Website oder App ver- und entschlüsselt wird. Im Gegensatz zu einem Passwort mit einer festen Zeichenfolge, die sich die Nutzer merken oder in einem Passwort-Manager speichern müssen, werden bei einem Passkey zwei Schlüssel generiert, die nur für das Konto der Nutzer gelten.

Wie funktionieren Passkeys?

Der öffentliche Schlüssel (Public Key), wird auf der Website oder in der App gespeichert, während sich der private Schlüssel immer nur auf einem Gerät wie einem Smartphone oder einem FIDO2 USB-Stick befindet. Bei jeder Anmeldung erstellt das verbundene Gerät ein neues, mit dem privaten Schlüssel verschlüsseltes Einmalpasswort, das nur mit dem öffentlichen Schlüssel der Website oder App entschlüsselt werden kann. Dieser Vorgang wird entweder durch eine biometrische Verifizierung, wie beispielsweise Fingerabdruck, Gesichtserkennung, Iris-Scanner, oder durch die Eingabe einer PIN oder eines Musters ausgelöst. Das Gerät überträgt das Einmalpasswort dann an den Empfänger, wo es für den Zugang verifiziert wird.

Unterschide zwischen Passwort und Passkey

Der grundlegende Unterschied zwischen herkömmlichen Passwörtern und der Passkey-Methode liegt darin, dass Passwörter unverändert bleiben, bis sie von beiden Parteien aktualisiert werden. Bei Passkeys werden bei jeder Anmeldung neue, verschlüsselte Einmalcodes verwenden. Außerdem kann jeder eine Kombination aus Benutzernamen und Passwort verwenden, während Passkeys benutzerspezifisch sind.

Wie verwende ich Passkeys?

Um die Passkey-Technologie zu nutzen, können die Nutzer ihre Smartphones mit Kamera und Fingerabdrucksensor verwenden oder sich für einen FIDO2 USB-Stick entscheiden, der entweder einen Fingerabdruckscanner enthält oder die notwendigen Sicherheitsdaten per Bluetooth oder NFC überträgt.

Vorteile von Passkeys

  • Die Nutzer müssen sich keine Passwörter merken oder aufschreiben und minimieren so das Risiko von einfachen Passwörtern, die leicht zu knacken sind.
  • Es besteht kein Risiko, dass das gleiche Passwort auf verschiedenen Websites oder in verschiedenen Apps verwendet wird.
  • Für Angreifer ist es aussichtslos, den Authentifizierungscode abzufangen, da jedes Mal ein neuer Code verwendet wird.
  • Passkeys sind resistent gegen Phishing und eliminieren das Risiko gestohlener fester Passwörter.
  • Passwörter werden nicht auf Websites gespeichert, was das Risiko von Datendiebstahl bei Hacks verringert. Oft werden die Passwörter sondern die Hashes davon gespeichert, was das Passwort selbst nicht direkt enthüllt.
  • Jede Passkey-Kombination ist an eine bestimmte Website gebunden und damit für andere Websites unbrauchbar.

Nachteile von Passkeys

  • Experten warnen vor schwachen Verschlüsselungsmethoden, die anfällig für Durchbrüche im Quantencomputing sein könnten.
  • Biometrische Identifikationsprobleme könnten den Zugang zu Apps und Websites verhindern.
  • Einige Nutzer könnten sich weigern, die Technologie anzunehmen, so dass eine doppelte Anmeldemethode erforderlich ist, was ein Sicherheitsrisiko darstellt.
  • Möglicherweise unterstützen nicht alle Websites die neue Technologie und zwingen die Nutzer dazu, auf traditionelle Methoden zurückzugreifen.
  • Die gemeinsame Nutzung eines Kontos wird unmöglich; nur der Nutzer kann sich mit einem Hauptschlüssel anmelden.
  • Der Verlust des Identifizierungsgeräts könnte die Nutzer ausschließen, auch wenn die Schlüsselpaare zur Wiederherstellung in der Cloud gespeichert werden, was möglicherweise vorab generierte Sicherheitsschlüssel erfordert.
  • Risiken durch erzwungene Entschlüsselung: Kriminelle oder Behörden könnten Konten entsperren, indem sie das Gerät einfach in die Nähe des Gesichts oder der Finger des Nutzers/der Nutzerin halten.

Die flächendeckende Einführung von Passkeys wird Zeit brauchen: Millionen von Websites müssen sich umstellen, der technische Zugang für alle Nutzer muss gewährleistet sein und die Technologie muss auf breiter Basis akzeptiert werden.

Wo werden passkeys verwendet?

Bei Apple, Google und Microsoft werden beispielsweise die Passkeys verwendet, indem man auf anderen Webseite sich mit dem Dienst anmelden. Dabei erscheint dann neben dem herkömmlichen Login, ein Button mit “mit Apple anmelden”, “Weiter mit Google” oder “Weiter mit Microsoft Account”.

Man logged sich daraufhin bei dem Google, Applem oder Microsoft ein, diese erstellen die entsprechenden Schlüssel und man nutzt diese Accounts dann anstatt des nativen Logins. Das ist nicht nur komfortabel, sondern sicherer, weil man sich die Passworteingabe dank Passkeys spart.