Passkeys bieten umfassenden Schutz vor Datendiebstahl
Passkeys bieten umfassenden Schutz vor Datendiebstahl

Nie wieder Passwörter merken

Sicherer Login mit Passkey

Ein Internet ganz ohne Passwörter und ohne Phishing – das kann mit der Passkey-Technologie gelingen. Immer mehr Online-Dienste wie Google, Amazon und PayPal bieten diese Funktion für die Anmeldung an. Doch Passkeys sind noch nicht im Alltag der Menschen angekommen. Viele Nutzerinnen und Nutzer kennen die Passwort-Alternative nicht oder haben Fragen zu der neuen Technologie. Wir erklären, wie Passkeys funktionieren, wie man sie nutzen kann und welche Anbieter sie bereits verwenden.

Account ohne Passwort

Monika R. sitzt zuhause an ihrem Rechner und möchte Fotos in ihr Google Drive Konto hochladen, um sie später mit Freunden zu teilen. „Als sie sich mit ihren Benutzerdaten einloggen möchte, wird sie gefragt, ob sie „Passkey verwenden?“ möchte. Da sie sich damit nicht auskennt, ignoriert sie die Aufforderung und meldet sich stattdessen wie gewohnt mit ihrem Passwort an. Diese Situation kommt wahrscheinlich einigen Internetnutzerinnen und -nutzern bekannt vor. Denn wer sich in seinem Google-, Apple- oder Microsoft-Konto einloggen möchte, wird neuerdings immer eindringlicher zur passwortlosen Authentifikation und zur Anmeldung über einen sogenannten Passkey (übersetzt: „Hauptschlüssel“) aufgefordert. Das Versprechen dahinter: Man muss sich nicht mehr für jeden einzelnen Onlinedienst Abfolgen von Buchstaben, Ziffern und Zeichen als Passwort merken. Zudem sollen Passkeys im Gegensatz zu Passwörtern sicher gegen den Diebstahl von Benutzerdaten (Phishing) sein. Mussten Nutzerinnen und Nutzer bisher noch selbst aktiv werden, um Passkeys zu aktivieren, etwa in den Sicherheitseinstellungen bei Google-Diensten, bekommt man nun immer öfter die direkte Aufforderung, einen solchen „Hauptschlüssel“ zu erstellen und zu verwenden. Viele Nutzerinnen und Nutzer wissen nicht, ob und wie sie auf das neue Anmeldeverfahren umsteigen sollen. Können uns Passkeys tatsächlich der Schlüssel für eine passwortlose Zukunft sein?

Wie Passkeys funktionieren

Bei Passkeys gibt es keine Passwörter mehr, die in die falschen Hände fallen können. Das Prinzip: Anstelle eines Passworts wird auf dem Smartphone oder dem Rechner ein digitaler Schlüssel (Kryptoschlüssel) abgelegt. Dieser Schlüssel besteht aus einer langen, zufällig generierten Zeichenfolge. Im Gegensatz zu Passwörtern bleibt dieser private Schlüssel allein bei den Nutzerinnen und Nutzern gespeichert. Der jeweilige Online-Dienst, zum Beispiel Amazon, lagert auf seinem Server nur das Gegenstück, einen sogenannten öffentlichen Schlüssel. Selbst wenn dieser bei Datenlecks abgefischt wird, lässt sich daraus nicht der private Schlüssel ableiten. Per „digitalem Handschlag“ können die beiden Softwareschnipsel abgleichen, ob die Anmeldung berechtigt ist. Der große Vorteil für Nutzerinnen und Nutzer: Im Gegensatz zum Passwort muss man sich den Passkey nicht selbst merken. Das übernehmen der Computer oder das Smartphone. Nutzerinnen und Nutzer müssen also nichts mehr eintippen. Sie melden sich stattdessen per Fingerabdruck-Scan oder Gesichtserkennung an. Im Hintergrund sendet der Online-Dienst, bei dem man sich einloggen möchte, bestimmte Daten an den eigenen Rechner oder das Smartphone. Man spricht dabei auch von einer Aufgabe (Challenge). Das Gerät löst die Aufgabe, indem es die Challenge mit dem privaten Schlüssel digital signiert und zurück an den Dienst schickt. Anhand der digitalen Signatur kann der Webdienst zweifelsfrei feststellen, dass die Challenge mit dem eigenen privaten Schlüssel signiert wurde. Kurz gesagt: Man beweist dem Online-Dienst, dass man den privaten Schlüssel besitzt, ohne den Schlüssel preiszugeben. Der Passkey bleibt geheim und wird sicher auf dem Endgerät gespeichert – in der Regel in einem sicheren Speicherbereich wie einem Krypto-Chip. Falls Kriminelle die persönliche Passkey-Verwaltung in die Finger bekommen sollten, können sie damit nichts anfangen. Denn die Schlüssel allein funktionieren nicht ohne den jeweils dazugehörigen Fingerabdruck- oder Gesichts-Scan. Wichtig ist jedoch: Für ein optimales Funktionieren und aus Sicherheitsaspekten sollte man das Betriebssystem und den Browser unbedingt immer auf dem neusten Stand halten.

So erstellt man einen Passkey

Zur Erstellung und Verwaltung von Passkeys sind die meisten aktuellen Smartphones und Computer geeignet. Internet-Dienste, die das Anmelden mit einem Passkey anbieten, führen Nutzerinnen und Nutzer in der Regel Schritt für Schritt durch die Einrichtung:

  • Falls noch nicht geschehen, registriert man sich auf der Webseite, in der App oder dem Dienst zunächst wie gewohnt mit seinen persönlichen Daten wie Benutzername, E-Mail oder Telefonnummer.
  • Anschließend meldet man sich mit diesen Benutzerdaten auf der Webseite oder in der App an und tippt auf „Passkey erstellen“ oder „Passkey einrichten“. Wird man nicht automatisch dazu aufgefordert, findet man die Funktion im Bereich „Einstellungen“, „Konto“ oder „Sicherheit“)
  • Anschließend bestätigt man das Speichern des Passkeys per Fingerabdruck oder Gesichtsscan. Zum Speichern und Verwalten benötigt man ein Gerät oder ein Programm – einen so genannten Authenticator. Das kann zum Beispiel ein FIDO2-Stick sein (ein spezielles Gerät ähnlich wie ein USB-Stick), ein Programm auf dem Computer (z. B. Passwort-Manager) oder eine Authenticator-App auf dem Smartphone. Einen FIDO2-Stick kann man online oder im Fachhandel für etwa 20 bis 100 Euro kaufen und über eine USB-Schnittstelle mit seinem Endgerät verbinden.
  • Um sich bei einem Online-Dienst anzumelden, für den ein Passkey eingerichtet wurde, kann man seine Identität von nun an bequem per Fingerabdruck, Gesichtsscan oder durch die Eingabe einer PIN bestätigen.

Passkeys beschleunigen die Anmeldung per Fingerabdruck oder Gesichts-Scan

Passkeys beschleunigen die Anmeldung per Fingerabdruck oder Gesichts-Scan

Best Seller / stock.adobe.com

Vor- und Nachteile

Vorteile:

  • Man muss sich keine Abfolge von Buchstaben, Ziffern und Zeichen für jede Webseite bzw. jeden Onlinedienst merken.
  • Man kann sich ganz einfach und schnell per Fingerabdruck oder Gesichtserkennung in Konten anmelden.
  • Passkeys lassen sich in verschiedenen Betriebssystemen und Browsern sowie auf Websites und in Apps verwenden.
  • Passkeys sind so stark, dass sie niemals erraten oder wiederverwendet werden können. So sind Sie bestmöglich vor Hackerangriffen geschützt.
  • Passkeys sind mit der App oder Website verknüpft, für die sie erstellt wurden. Sie können sich also nicht aus Versehen bei einer betrügerischen App oder Website anmelden.

Nachteile:

  • Passkeys sind keine Generalschlüssel. Es reicht nicht aus, einen einzigen Passkey zu haben, um in alle Online-Accounts zu kommen. Für jeden Account hat man einen eigenen Passkey.
  • Passkeys sind gerätegebunden. Bei Verlust des Geräts, etwa dem Smartphone, geht auch der Zugang verloren. Zwar kann man Passkeys wiederherstellen, doch das ist bislang noch mit viel Aufwand verbunden.
I

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) klärt auf seiner Webseite ausführlich über das Sicherheitsniveau von Passkeys und die technischen Vorgänge dahinter auf.

Wo man Passkeys bereits nutzen kann

Die Verbreitung von Passkeys nimmt täglich zu. Die meisten Betriebssysteme von Computern und Mobilgeräten unterstützen die Funktion bereits. Auch große Onlineshopping-Plattformen, Soziale Medien, Foren, Finanzportale oder Messengerdienste ermöglichen das Anmelden komplett ohne Passwort. Bekannte Namen sind zum Beispiel Amazon, Apple, Ebay, Google, LinkedIn, Microsoft, Nintendo und PayPal. Darüber hinaus gibt es Dienste, die Passkeys lediglich als zusätzlichen Login-Faktor nach Eingabe des Passworts anbieten. Dazu zählen unter anderem Facebook und Instagram. Eine vollständige Liste aller Dienste, die Passkeys verwenden, gibt es zum Beispiel auf der Internetseite „passkeys.directory“.

BSI will Bekanntheit erhöhen

Im März und April 2024 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Umfrage durchgeführt, bei der 1.519 Bundesbürger mit einem Mindestalter von 16 Jahren befragt wurden. Die Studie hat untersucht, wie bekannt und akzeptiert Passkeys derzeit bei den Verbraucherinnen und Verbrauchern sind und welche Barrieren die Nutzung derzeit noch beeinflussen. Dabei kam heraus: Nur gut jeder Dritte kannte den Begriff Passkey und etwa jeder Sechste verwendet ihn bereits. Aus diesem Grund empfiehlt das BSI allen Online-Diensten, Passkeys bekannter zu machen und stärker zu bewerben. „Wir müssen Cybersicherheit so einfach wie möglich und gleichzeitig robust gestalten“, sagte BSI-Präsidentin Claudia Plattner. „Passkeys sind ein perfektes Beispiel dafür, wie man mit technischen Lösungen technischen Herausforderungen begegnen kann. Ihnen gehört die Zukunft.“
KF (29.11.2024)

Weitere Infos zum Thema Internet und Mobil

Angebot und Bedarf genau prüfen

Wie sinnvoll sind Cyberversicherungen?

Wer sich gegen die Folgen von Betrug und Mobbing im Internet absichern will, kann eine sogenannte Cyberversicherung abschließen. In Deutschland gibt…

| mehr

Smartwatches für Kinder: Nutzen und Gefahren

Abhören verboten!

Immer mehr Eltern, die um das Wohlergehen ihrer Kinder besorgt sind, nutzen digitale Hilfsmittel, um etwa herauszufinden, wo sich ihr Kind gerade…

| mehr

Weiterführende Links zur Prävention und Information

Probleme mit Cybercrime - Informationsquellen für Unternehmen

Es gibt zahlreiche seriöse Institutionen, die das Wissen rund um Cyberkriminalität für mittelständische Unternehmerinnen und Unternehmer aufbereiten…

| mehr

Was ist bei der Nutzung von sprachgesteuerten Lautsprechern zu beachten?

Wanzen im Wohnzimmer

„Smart Home“ – Mit diesem Trend halten viele mit dem Internet vernetzte Geräte Einzug in unsere Haushalte. Sprachgesteuerte Lautsprecher wie Amazons…

| mehr

Gefährliches Trinkspiel im Internet

Neknominate

Neknominate oder Socialbeergame nennt sich ein Trinkspiel, das wahrscheinlich aus Australien nach Deutschland schwappte. Bei dieser kettenbriefartigen…

| mehr