Passkey in der Praxis
Schlüssel statt Passwörter: So funktioniert ein sicheres Login mit einem Zugangsschlüssel
Passwörter haben bald ausgedient. Mit dem Nachfolger Passkeys können Sie sich passwortlos, aber dennoch sicher und komfortabel auf Webseiten einloggen. Erste Anwendungen unterstützen dies bereits.
Sicherheitsexperten wie Bruce Schneier sind schon lange der Ansicht, dass Passwörter weder sicher noch zeitgemäß sind. Passkeys hingegen sind so konzipiert, dass der menschliche Faktor bei der Authentifizierung so weit wie möglich ausgeschaltet wird: schwache Passwörter, mehrfach verwendete Passwörter, aufgeschriebene Passwörter, vergessene Passwörter.
Phishing und andere Angriffe haben in der Regel eines zum Ziel: Passwörter. Ohne Passwörter könnte die Welt also eine bessere sein. Versuche, die Passwörter zu beerdigen, gab es schon mehrere. Alle sind gescheitert – an der Komplexität, an den Kosten beispielsweise für Hardwareschlüssel oder an der unkomfortablen Anwendung. Der neue Anlauf mit FIDO2 und Passkeys klingt vielversprechender. FIDO steht übrigens für Fast Identity Online.
Schlüssel statt Passwörter
Das Authentifizierungsverfahren wurde von der FIDO Alliance entwickelt, der neben Google auch Apple, Microsoft und viele weitere namhafte Unternehmen angehören. So funktioniert es: Wenn Sie sich bei einem Konto oder Dienst anmelden wollen, dann nutzen Sie ein biometrisches Merkmal, etwa indem Sie kurz in die Kamera schauen, fertig.
Dahinter verbergen sich asymmetrische, kryptografische Schlüsselpaare, die beim Anlegen des Kontos automatisch erzeugt werden. Der öffentliche Schlüssel geht an den Betreiber oder Anbieter, der private Schlüssel verbleibt auf Ihrem Rechner und verlässt diesen nie.
Wenn Sie sich beim Anbieter anmelden, müssen Sie beweisen, dass der Account tatsächlich Ihnen gehört. Dazu wird eine mit dem öffentlichen Schlüssel verschlüsselte Aufgabe verschickt, die nur der private Schlüssel lösen kann. Das Prinzip ähnelt somit dem Mining von Bitcoins. Die kryptografischen Berechnungen laufen im Hintergrund ab. Der Benutzer muss lediglich per Gesichtserkennung oder Fingerabdruck den privaten Schlüssel zur Verfügung stellen. Sie beweisen somit dem Anbieter, dass Sie den privaten Schlüssel besitzen, ohne den Schlüssel preiszugeben.
Unterschiede zu FIDO2
FIDO2 stellt keine Konkurrenz zu Passkeys dar, sondern bildet die technische Grundlage. Bei FIDO2 ist der private Schlüssel fest an das Gerät gebunden. Das bietet zwar die ultimative Sicherheit, hat aber zur Folge, dass man jedes Gerät einzeln anmelden muss. Um einen Service etwa auf dem PC, dem Smartphone und einem Tablet zu nutzen, sind damit drei Registrierungen erforderlich. Das ist äußerst umständlich.
Passkeys, das ursprünglich den sperrigen Namen FIDO Multi-Device Credentials trug, versucht einen Mittelweg. Hier lässt sich der private Schlüssel über alle verbundenen Geräte hinweg abgleichen. Das mindert zwar die Sicherheit ein wenig, erhöht aber den Komfort und damit letztlich die Akzeptanz. Außerdem können Sie ein Smartphone als Generalschlüssel einsetzen. Damit lässt sich die dortige FIDO-Authentifizierung nutzen, um sich bei einer App auf einem anderen Gerät anzumelden.
Vor- und Nachteile von Passkeys
Der größte Vorteil von Passkeys besteht schlichtweg darin, dass sich der Benutzer keine Passwörter mehr merken muss. Auch ist die Gefahr eliminiert, dass ein Passwort für mehrere Webseiten oder Anwendungen zum Einsatz kommt. Hacker laufen ins Leere, wenn sie einen Autorisierungscode erbeuten, denn beim nächsten Mal gilt bereits ein anderer Code.
Passkeys sind immun gegenüber Phishing, denn es gibt keine statischen Passwörter mehr, die abgefangen oder ergaunert werden können. Und die Kombination der beiden Passkeys ist immer an die Webseite gebunden und funktioniert auf anderen Seiten nicht. Außerdem sind Passkeys viel schneller als das Einloggen per Passwort, und sie sind offen und herstellerunabhängig.
Die Nachteile sind eher theoretischer Natur. So warnen Sicherheitsexperten, dass eines Tages Quantencomputer die Verschlüsselung knacken könnten. Wenn die biometrische Identifikation muckt oder ausfällt, kommt man nicht mehr an die verbundenen Dienste. Das Teilen von Konten etwa für Netflix wird nicht mehr möglich sein. Zudem wird es immer Websites geben, die Passkeys nicht einführen wollen oder können und weiterhin Passwörter erfordern. Das Gleiche gilt für die Benutzer. Das führt zu einem mehrgleisigen Login-Verfahren, was wiederum ein Sicherheitsrisiko darstellt.
Passkeys in der Praxis
Um Passkeys auszuprobieren, müssen Sie nichts kaufen oder herunterladen. Lediglich einer der folgenden Browser in einer aktuellen Version ist notwendig: Chrome, Edge oder Safari. Firefox bleibt derzeit außen vor. Eine Passkey-Unterstützung ist für Version 120 anvisiert, die im Winter erscheint. Apple hat in Sachen Passkeys bislang die Nase vorne, beschränkt den Service aber in gewohnter Manier auf das eigene Ökosystem.
Bisher bleiben Passkeys dem iCloud-Schlüsselbund vorbehalten. Microsoft und Google bieten Passkeys als zweiten Faktor bei der Anmeldung eigener Konten an. Mit der vollständigen Integration ins System dauert es mindestens bis Android 14, also Spätsommer bis Herbst. Android 14 soll dann Passkeys über eine API bereitstellen. Bei Windows könnte es mit dem Herbst-Update so weit sein.
Eine Spielwiese, um gefahrlos das Prinzip Passkeys kennenzulernen, bietet die Seite webauthn.io. Geben Sie dort einen Benutzernamen ein und klicken Sie dann auf Register. Der Browser bietet an, Windows Hello oder das Smartphone für das Zusammenspiel mit Passkeys zu verwenden. Bei Windows Hello geben Sie lediglich den PIN ein. Danach können Sie sich mit Authenticate per Passkeys einloggen – einfach, oder?
Passwortmanager wie Dashlane, Keeper und 1Password etwa arbeiten bereits an der Unterstützung von Passkeys, um sie zumindest als zweiten Faktor anbieten zu können. Ausprobieren lässt sich hier noch nichts. Bitwarden soll im Laufe des Sommers eine Unterstützung für Passkeys erhalten. Anwender können dann Passkeys, die mit Webseiten und Anwendungen verbunden sind, im Bitwarden-Tresor speichern und verwalten. Auch das Hauptpasswort, um den Tresor zu öffnen, lässt sich dann in Rente schicken.
Paypal bietet die Unterstützung von Passkeys derzeit nur seinen amerikanischen Kunden an. Bei Ebay funktioniert zwar die Anmeldung mit Passkeys, nicht aber die Bezahlung. Die Anmeldung erfordert Windows Hello und Chrome und auf iPhones iOS 16, Safari und einen aktivierten iCloud-Schlüsselbund, und bei Android-Smartphones Android 9 oder neuer.
Die Passkeys ermöglichen nach der Ersteinrichtung den Login über eines der unterstützten Biometrieverfahren oder über Windows Hello. Ebay bietet die Nutzung von Passkeys automatisch nach dem Login auf der Webseite an und führt die Anwender Schritt für Schritt durch den Vorgang. Wenn Sie sich dann das nächste Mal mit demselben Gerät und Browser einloggen, benötigen Sie kein Passwort mehr.
Auf der Webseite passkeys.directory findet sich eine noch überschaubare Sammlung von Diensten und Webseiten mit Passkeys-Integration, die aber teilweise nur für Nutzer in den USA gelten. Linux unterstützt Passkeys derzeit nicht.
Um das Smartphone als Authenticator zu nutzen, wählen Sie etwa in Chrome auf dem Rechner die Option Smartphone oder Tablet verwenden, nachdem Sie die Authentifizierung gestartet haben. Danach scannen Sie den angezeigten QR-Code mit dem Smartphone. Dabei muss auf beiden Geräten Bluetooth aktiviert sein, da eine lokale Verbindung zwischen Rechner und Smartphone aufgebaut wird.
Totgesagte leben länger
Das Passwort ist vom Aussterben bedroht, aber bis es so weit ist, dürften noch etliche Jahre ins Land ziehen. Denn von ersten Schritten der großen Konzerne Apple, Google und Microsoft bis zu einer allgemeinen Verbreitung und Akzeptanz ist es ein weiter Weg. Heute stehen kaum Anwendungen zur Verfügung, im Laufe des Jahres kommt die ein oder andere Software wie etwa Bitwarden hinzu.
Es empfiehlt sich an dieser Stelle, einfach noch ein paar Monate abzuwarten. Da parallel dazu die Passwörter valide bleiben und die Trägheit der Anwender in der Regel eher ausgeprägt ist, lässt sich ein Schneckenrennen erwarten. Dennoch – die Technik ist sinnvoll und durchdacht. Früher oder später wird sie sich durchsetzen. Dann wartet auf Benutzer mit vielen Passwörtern eine Menge Arbeit.
Info: Das sind Passkeys und FIDO2
- Entwicklung durch die FIDO Alliance: FIDO2 und die davon abgeleiteten Passkeys unterstützen Apple, Google, Microsoft u. a.
- Passkeys: kryptografische Schlüssel: Im Hintergrund entsteht ein öffentlicher Schlüssel, den die Anwendung kennt, und ein privater Schlüssel auf Ihrem Gerät.
- Anmelden ohne Passwort: Beim Login erfolgt eine Aufgabe, die nur der private Schlüssel lösen kann.
- Private Schlüssel bleiben geheim: Damit beweisen Sie, dass Sie den privaten Schlüssel besitzen, ohne ihn preiszugeben.
- Unterschied FIDO2 und Passkeys: FIDO2 bindet die Schlüssel an das Gerät, Passkeys lassen sich synchronisieren.
Workshop: Passkeys einrichten mit Google
Die Google-Dienste stehen in Verbindung mit Chrome für Windows und Android mit Passkeys zur Verfügung.
- Um Google-Dienste mit Passkeys zu nutzen, öffnen Sie den Browser Google Chrome und surfen zum Google-Login.
- Loggen sich zunächst wie gewohnt mit Benutzername und einem Passwort in Ihr Google-Konto ein.
- Dann klicken Sie auf den Button Passkeys verwenden und wählen aus, ob Sie sich zukünftig per Fingerabdruck oder Gesichtserkennung anmelden wollen.
- Mit Windows Hello funktioniert es ebenfalls. Alternativ können Sie auch das Smartphone für den Login nutzen. Bestätigen Sie die Einrichtung mit Fertig. Wenn Sie sich nun bei Ihrem Google-Konto anmelden, erscheint nach der Eingabe des Benutzernamens das Fenster Passkey zur Bestätigung der Identität verwenden. Nach einem Klick auf Weiter erscheint die gewählte Authentifizierung wie Windows Hello oder ein Fingerabdruck. Nachdem diese durchgeführt ist, erhalten Sie Zutritt zu Ihrem Google-Konto.
- Wenn Sie Passkeys auf einem Android-Gerät anlegen, können Sie sich auch auf einem Windows-Rechner beim jeweiligen Dienst anmelden. Den Login müssen Sie dann über das verknüpfte Smartphone freigeben.
