Sie denken jetzt vielleicht: Ich hab' das schon geregelt – und nutze längst einen Passwortmanager. Damit muss ich mir nur noch ein einziges Passwort merken oder es aufbewahren, alle anderen sind ja im Manager sicher gespeichert. Nun ja. Man könnte auch sagen: Wer ein Passwort kennt bzw. klaut, kennt sie alle. Denn es bestehen weiterhin Risiken durch Datenlecks oder Phishing. Ob es eins oder viele verschiedene Passwörter sind: Sie können verloren gehen oder gestohlen werden. Passkeys ändern das grundlegend. Weil Passwörter nicht mehr nötig sind.
Um sich bei einem Onlinedienst – einer Website oder App – anzumelden, ist bisher die Kombination aus Nutzername und Passwort erforderlich. Nun ermöglichen viele Dienste schon jetzt, stattdessen einen Passkey einzurichten. Das kann man in den Sicherheitseinstellungen des Anbieters tun. Damit wird im Speicher des eigenen Geräts ein geheimer privater Schlüssel und anbieterseits ein sogenannter öffentlicher Schlüssel eingerichtet. Nur beide zusammen gewähren Zugang zum Account. Um den Passkey zu aktivieren, wird ein kryptografisches Verfahren zwischen der „Relying Party” – dem Onlinedienst – und dem Endgerät initiiert. Grundlage hierfür ist das etablierte Web-Authentication-Protokoll. Dabei sendet der Dienst eine kryptografische Challenge an den Client, z.B. das Smartphone. Mit der Lösung entsteht die kryptografische Signatur.
Als Nutzer:in wird man nun aufgefordert, sich auf dem eigenen Gerät zu authentifizieren–mitbiometrischen Daten (per Fingerabdruck oder Gesichtserkennung) oder der gerätespezifischen PIN. Damit ist der Passkey eingerichtet und jede weitere Anmeldung erfolgt auf die gleiche Weise. Als Authentikator kann auch ein Hardware-Token (USB-Stick, Chipcard) dienen. „Der Zugangscode liegt also auf der Hardware und nicht mehr in unseren Hinterköpfen oder wackligen Ablagen. Was für eine Erleichterung", sagt Karl Schulz, Consultant Security bei Bechtle.
Sicher und anwenderfreundlich zugleich
Von Passkeys profitieren alle Beteiligten. Natürlich wir, die Passwörter zukünftig vergessen können, – aber auch die Anbieter, die ebenfalls keine Passwörter mehr speichern und aufwendig sichern müssen. Und für Hacker gibt es an dieser Stelle schlicht nichts mehr zu holen. Angriffe zwecklos. Übrigens: Die eigenen biometrischen Daten werden niemals an die Anbieterseite übertragen. Sie sind und bleiben an das eigene Gerät gebunden, ganz sicher.
Die private Nutzung verbreitet sich schnell. Bei unseren Kunden setzt sich das Verfahren immer zügiger durch.
Steffen Weiler, Lead Consultant, Competence Center Microsoft Hybrid + Cloud Solutions
Es mag trotzdem sein, dass sich ein Gefühl von Kontrollverlust einstellt. Anstatt das Passwort selbst in der Hand – bzw. im Kopf – zu haben, muss man auf das Verfahren und darauf vertrauen, dass der öffentliche Schlüssel sicher aufgehoben ist. Wie erwähnt, basieren Passkeys auf bewährten Sicherheits-Protokollen, die von der FIDO-Allianz und dem World Wide Web Consortium als FIDO2 weiterentwickelt wurden und den jetzigen Standard bilden. Der Allianz gehören zahlreiche internationale Tech-Unternehmen an, alle Passkey-Anbieter nutzen das offene Verfahren. Und davon gibt es immer mehr.
Passkeys lassen sich auch bei großen Cloud-Anbietern wie Apple, Google und Microsoft hinterlegen und so mit weiteren Geräten synchronisieren. Wenn der ursprüngliche Authentikator verloren geht, kann der geheime Schlüssel zudem auf einem anderen Tablet, Laptop oder Smartphone wiederhergestellt werden.
Theoretisch besteht bei Speicherung in der Cloud die Möglichkeit, dass Server kompromittiert werden. Deshalb gilt die Nutzung von Hardware-Token als die allerallersicherste Variante für besonders sensible Anwendungen. So oder so: Passkeys sind vermutlich der zukünftige Standard für die Authentifizierung im Netz. Weil’s nicht nur sicher, sondern auch komfortabel ist. Und wir können über alles Mögliche, Weltverändernde nachdenken, anstatt uns den Kopf über Passwörter zu zerbrechen.