Passkey

So werden Passwörter überflüssig

30.01.2023 von Steffen Zellfelder
Abschied ohne Tränen: Sogenannte Passkeys sollen klassische Passwörter bald in den Ruhestand schicken. Wie die neue Technik funktioniert und was Sie davon haben, lesen Sie hier.
Passkey
Foto: BestForBest - shutterstock.com

Bei der Wahl ihrer Passwörter sind die Deutschen nicht besonders kreativ. Das zeigt sich immer dann, wenn es mal wieder zu einem größeren Daten-Leak kommt. In den Top-Codewörtern tummelten sich 2021 beispielsweise Begriffe wie „passwort“, „123456“, „hallo“ oder „qwertz“. Angesichts dieser digitalen Naivität raten Experten immer wieder zu Passwort-Generatoren – oder zumindest ein wenig mehr Einfallsreichtum.

Erhört werden solche Rufe aber seit Jahren nicht und obwohl sich Hacker deswegen dankbar die Hände reiben, spielt die Passwort-Tollpatschigkeit am Ende vielleicht gar keine Rolle mehr: Der klassische Code-Zugriff auf Konten und Dienste im Internet befindet sich nämlich im Abmarsch. Passkeys kommen und werden das digitale Leben einfacher und sicherer machen – während böswillige Akteure das Nachsehen haben. Apple hat das neue Verfahren mit iOS 16 bereits eingeführt.

Passkey und Passwort – das ist der Unterschied

Wie Passwörter funktionieren, müssen wir Ihnen nicht erklären. Die Nachteile dieser klassischen Sicherheitstechnik sind ebenfalls offensichtlich: Sie müssen möglichst lang und kryptisch sein, damit man sie nicht so leicht knacken kann. Gleichzeitig sollte man niemals das gleiche Passwort für verschiedene Dienste verwenden. Beides macht es aber schwierig, sich die Codes dann noch zu merken.

Brute-Force-Attacken, aber auch viele andere Cyberangriffe können zudem jedes Passwort an seine Grenzen bringen. Während Passwortmanager und die Zwei-Faktor-Authentifizierung solche Probleme zwar reduzieren, bleiben die Grundprobleme bestehen: Mangelnde Sicherheit und die menschliche Vergesslichkeit.

Passkeys können das Risiko kompromittierter Accounts deutlich verringern, weil durchgesickerte oder gestohlene Zugangsdaten für den Authentifizierungsprozess alleine nicht mehr genügen – bei einem Login werden immer zwei Sicherheitsschlüssel abgeglichen: Ein privater (Private Key) und ein öffentlicher (Public Key).

Außerdem können Passkeys, anders als Passwörter, nicht bei mehreren Diensten oder Internetseiten wiederverwendet werden. So kann es gar nicht passieren, dass mehrere Konten gleichzeitig verwundbar werden.

Aber wie funktionieren Passkeys jetzt genau?

Kurz gesagt: Anstatt lange Passwörter einzutippen, genügt mit Passkeys ein Blick in die Kamera oder das Berühren des Fingerabdrucksensors, um Zugang zum Mail-Konto, dem Social-Media-Profil oder dem Online-Banking zu erhalten. Passkeys basieren auf dem WebAuthn-Standard und verwenden die Mobilgeräte von Nutzern, um zu beweisen, dass man eine Zugangsberechtigung hat.

Genauer gesagt: Statt Codewörtern kommen bei Passkeys eigene Sicherheitsschlüssel zum Einsatz, die etwa mithilfe biometrischer Daten einen Serverabgleich erlauben. Dabei werden zwei kryptografische Schlüssel verwendet: Ein Private Key auf dem mobilen Gerät des Nutzers und ein Public Key, der auf dem Server des Zugangsanbieters abgelegt wird. Den privaten Schlüssel bekommt dabei niemand zu sehen, dank Ende-zu-Ende-Verschlüsselung bleiben die Keys geheim.

Bevor man einen Dienst oder einen Account auf einer Webseite nutzen kann, muss man sich dort einmalig registrieren, woraufhin die beschriebenen Sicherheitsschlüssel erstellt werden. Damit ist der Zugang dann auch nur bei der jeweiligen Webseite möglich. Hat man das einmal getan, genügt fortan die Authentifizierung am mobilen Gerät, etwa per Biometrie.

Im Hintergrund kommt dabei das neue WebAuthn zum Einsatz. Der jüngst entwickelte Standard ist eine API (Application Programming Interface), die bereits mit allen gängigen Browsern kompatibel ist. Die neue Technologie verspricht sowohl Nutzern als auch Serviceprovidern im Web mehr Sicherheit, weil Angriffe wie Passwort Spraying oder Password Stuffing damit nicht mehr funktionieren. Für Nutzer ist es bequemer und vor allem sicherer, weil sie sich bei der Speicherung von Anmeldedaten nicht mehr darauf verlassen müssen, dass der jeweilige Dienstanbieter ordnungsgemäß arbeitet.

Bieten Passwortmanager nicht längst den gleichen Komfort?

Scheinbar ja, mit Blick auf die Sicherheit aber nicht. Wer etwa den digitalen Schlüsselbund der iCloud mithilfe biometrischer Daten aktiviert, hat zwar schon eine ähnliche Nutzererfahrung wie mit Passkeys – es gibt aber mehr Angriffsflächen. Denn bei dem Verfahren werden lediglich gespeicherte Passwörter aus dem iCloud-Schlüsselbund ins Login-Feld geschrieben und dann abgeschickt. Sowohl Phishing als auch tückische Man-in-the-Middle-Attacken sind damit noch möglich – und stellen reale Bedrohungen dar.

Private Passkeys können aber nicht gefälscht werden und verlassen die Geräte nicht, auf denen sie gespeichert sind. Das schließt eigene Fehler und Hackerangriffe weitgehend aus. Auch Leaks, bei denen immer wieder große Mengen kritischer Zugangsdaten öffentlich werden, stellen kein Risiko mehr dar: Die öffentlichen Schlüssel alleine genügen nämlich nicht, um einen Login durchzuführen. Es wird immer auch der Private Key für einen Abgleich benötigt und der liegt immer alleine beim Nutzer.

Apple ist schon so weit – Google, Microsoft und Co. ziehen nach

Bisher bietet nur Apple im neuen iOS 16 das Passkey-Feature an, über den iCloud-Passwortmanager werden die Schlüssel komfortabel auf allen Endgeräten synchronisiert. Doch auch Google und Microsoft wollen den verbesserten Sicherheitsstandart für ihre Geräte und Dienste anbieten. Alle drei Tech-Riesen haben sich erst Anfang des Jahres in der FIDO-Allianz („Fast Identity Online“) und dem Word Wide Web Consortium zusammengetan, um die risikobehafteten Passwörter zugunsten von Passkeys aus der digitalen Welt zu verbannen. Auch Amazon, Meta und Samsung wollen mitmachen.

Von Passkeys werden am Ende alle profitieren

Momentan unterstützten noch nicht viele Webseiten die neuen Passkeys, das dürfte sich aber nach und nach ändern. Derzeit können Sie die neue Authentifizierung auch nur im Apple-Ökosystem nutzen: mit Macs, dem iPhone oder per iPad. Bei Windows-Geräten wird künftig aber ein Umweg möglich: Hier sollen Nutzer bald in der Lage sein, sich über das Sannen eines QR-Codes mit ihrem iPhone zu identifizieren. Manche Passwortmanager haben ebenfalls eine Unterstützung der neuen Technologie in Aussicht gestellt, darunter etwa Dashline.

Dass man das klassische Passwort in Ihren wohlverdienten Ruhestand schickt, wird höchste Zeit. Weder beim Sicherheitsstandard noch beim Bedienkomfort zeigen sich die langen Zeichenketten zeitgemäß. Ohne Rücksicht auf das genutzte Betriebssystem oder den jeweiligen Dienstleister verspricht die Passkey-Methode einen schnellen, sicheren und einfachen Login.

Bis es systemübergreifend soweit ist, müssen wir uns aber noch ein wenig gedulden: Erst ab 2023 wollen auch Microsoft und Google das neue Verfahren einführen.