Wir alle nutzen sie, wir alle sind (mehr oder minder) davon genervt: Passwörter. Vor allem ist der Anspruch daran mit steigenden Sicherheitsrisiken und Hackerangriffen gestiegen. Hier knüpft der Nachfolger Passkeys an und will alles so viel besser machen.
TL;DR: Passkeys sind der Nachfolger von Passwörtern und sollen alles einfacher machen. Anstelle von Text und einen 2FA-Code, wird der Fingerabdruck, ein Gesichtsscan oder ein physischer Schlüssel (ein kleiner USB-Stick) genutzt. Damit funktioniert das Anmelden schneller und unsichere kurze Passwörter gehören der Vergangenheit an. Das klappt bei immer mehr Diensten (Apple, Google, 1Password, TikTok, WhatsApp, PayPal uvm.).
Passwörter sind für Nutzer*innen und Menschen im IT-Sicherheitssektor ein schwieriges Thema. Einerseits sollen sie lang und kompliziert, am besten auch noch mit einer Zwei-Faktor-Authentifizierung geschützt sein. Andererseits sollen normale User*innen davon nicht komplett überfordert werden. „So komplex wie nötig, so einfach wie möglich“, lautet die Devise bei der IT-Sicherheit.
So gut wie alle aktuellen Smartphones und Notebooks haben eine Art der biometrischen Authentifizierung. Sei es nun ein Fingerabdrucksensor oder eine Kamera, die das Gesicht scannt. Das ist bequem, schnell und deutlich sicherer als ein kleines Stück Text. Genau darauf bauen Passkeys auf und wollen das Anmelden auf Webseiten und Apps ebenfalls super einfach machen.
Hier ein Werbevideo von 1Password zum Thema:
DATENSCHUTZHINWEIS: Dieses Video ist im erweiterten Datenschutzmodus von YouTube eingebunden. Durch den Klick auf das Wiedergabesymbol willige ich darin ein, dass eine Verbindung zu Google hergestellt wird und personenbezogene Daten an Google übertragen werden, die dieser Anbieter zur Analyse des Nutzerverhaltens oder zu Marketing-Zwecken nutzt. Weitere Infos hier.
Der dafür nötige technische Unterbau ist dank der unzähligen biometrischen Scanner, Web Authentication (WebAuthn) und FIDO2 (für Security-Keys) schon seit einer ganzen Weile draußen. Doch erst jetzt nimmt Passkey so richtig Fahrt auf und immer mehr Anbieter (Apple, Google, 1Password, TikTok, WhatsApp, 1Password, PayPal uvm.) nutzen diese Technik.
Inhaltsverzeichnis
Was ist ein Passkey?
Ein Passkey ist eine von einem Gerät mit biometrischer Authentifizierung erzeugte Datei. Diese besteht aus komplett zufällig erzeugten 100-1.400 Bytes an Daten, die als einzigartiger „digitaler“ Schlüssel oder Ausweis dienen sollen.
Dieser Passkey wird über den Browser bei einer Webseite (z.B. PayPal) registriert und an einem sicheren Ort gespeichert. Dieser Ort kann das Betriebssystem sein, der Browser oder ein Passwort-Manager. Das läuft exakt so, wie bisher bei gespeicherten Passwörtern. Jeder Passkey ist für einen Account bzw. Zugang zuständig. Ihr könnt so viele haben, wie ihr wollt.
Nachdem der Passkey für den jeweiligen Account registriert ist, kann man sich über einen Button, der in die Richtung „Anmelden mit Passkey“ lauten sollte, angemeldet werden. Damit sollte der PW-Manager, Browser oder das Betriebssystem eine Aufforderung bringen, euch mit dem Fingerabdruck, Gesicht oder Geräte-PIN zu verifizieren. Dabei werden die (biometrischen) Daten nicht an die Webseite oder App weitergeleitet, sondern nur ein „Das ist der/die Nutzer*in“ oder „Nicht“.
Passkeys lösen nicht eure Passwörter ab. Ihr könnt euch mit beiden Varianten anmelden, was wichtig ist, falls ihr eure Passkeys – warum auch immer – einmal verlieren solltet.
Praktisch: Bei der Nutzung von Passkeys wird meist die Zwei-Faktor-Authentisierung gleich übersprungen. Das mag kurz „unsicherer“ wirken, jedoch ist das Gerät auf dem ihr Passkeys nutzt, sowieso schon durch eine biometrische Anmeldung geschützt. Kennwörter und 2FA-Seeds können geklaut werden, euer Gerät samt Fingerabdruck etc. nicht so leicht.
Speicherung und Sicherung
Passkeys sind also kleine Dateien mit zufälligen Daten auf dem PC. Wie funktioniert das ganze System aber, wenn das Notebook oder das Smartphone kaputt gehen oder gar gestohlen werden?
Wie funktionieren Passkeys, wenn man sich von einem anderen Gerät anmelden will? Meistens hat man ja mehrere internetfähige Geräte.
Hierfür gibt es drei Lösungsansätze:
- Passkeys werden auf einem physischen Security-Token (ähnlich eines kleinen USB-Sticks) erstellt und gespeichert. Dieser muss dann bei jeder Anmeldung kurz eingesteckt werden. Manchmal gibt es hier noch Schwierigkeiten, wenn man einen zweiten Key als Sicherungskopie nutzen will.
- Passkeys werden in einem PW-Manager gespeichert und verschlüsselt. Dank der Magie der Cloud werden sie auf anderen Geräten wieder entschlüsselt und können dort genutzt werden. Super bequem, aber die Cloud des Herstellers könnte ein Ziel für Hacker sein.
- Passkeys können auf einem integrierten und sicheren Chip gespeichert werden, der sich auf dem Computer oder Smartphone befindet (TPM oder Secure Enclave). Einerseits praktisch, aber auch hier gibt es Schwierigkeiten mit „Zweitschlüsseln“. Zudem ein hohes Risiko, da Passkeys und Gerät vereint sind.
Passkeys verloren oder gestohlen?
Wie oben beschrieben, liegen die Passkeys entweder auf einem physischen (Speicher-)Gerät oder in der Cloud. Was ist nun, wenn das Speichermedium geklaut wird oder die Cloud gehackt wird?
Zuerst: Einige Security-Keys bieten eine zusätzliche Absicherung durch eine PIN oder sogar einen Fingerabdrucksensor an. Das löst zwar das Problem nicht ganz, macht es Dieben aber schwerer. Diese zusätzliche Maßnahme empfiehlt sich, wenn ihr viel mit dem Speichermedium unterwegs seid. Wenn ihr das Ganze nur daheim nutzt, ist das nicht unbedingt nötig.
Sollte in die Cloud eures PW-Managers eingebrochen werden oder jemand hat den Zugangscode für euren Manager geknackt, gibt es leider keine Boni-Punkte von Passkeys gegenüber Passwörtern.
Bedeutet: Ihr solltet euch bei den Webseiten und Apps mit euren Kennwörtern einloggen und den derzeitigen Passkey löschen bzw. einen Neuen erstellen. Gleiches müsst ihr tun, wenn ihr – warum auch immer – eure Passkeys verliert.
Passkeys und Phishing
Etwas das nicht geplant so eingebaut wurde, aber ein netter Nebeneffekt ist: Passkeys sind ein bisschen sicherer gegenüber Phishing-Angriffen. Denn sie werden passgenau für eine Domain erstellt, die auch in der Datei selbst abgespeichert wird. Der Passkey funktioniert also nur bei dieser einen Domain.
Wenn jemand nun eine Phishing-Mail oder SMS öffnet, klappt der Anmeldeversuch mit dem Passkey nicht bzw. wird gar nicht erst ausgelöst. Denn die Hacker nutzen nicht die gleiche – aber eine sehr ähnlich lautende – Domain.
Leider gibt es dafür auch schon einen einfachen Ansatz von Kriminellen: Die Kriminellen schreiben einfach, dass der Passkey nicht mehr funktioniert und ihr euch mit dem Passwort anmelden sollt. Achtet also dennoch auf seltsam anmutende Phishing-Angriffe und werdet stutzig, wenn der Passkey nicht funktioniert bzw. erst gar nicht anspringt.
Cross-Site-Tracking
Einen weiteren Vorteil von Passkeys gibt es beim – immer stärker werdenden – Cross-Site-Tracking. Also das Webseiten mithilfe von Cookies und anderen Techniken versuchen, euer Surfverhalten abseits ihrer Seite herauszufinden. Damit noch passgenauere Werbung gespielt werden kann, was wiederum mehr Geld bringt.
Beim klassischen Modell mit E-Mail-Adresse und Kennwort kann man einen Nutzer durch die gleiche E-Mail-Adresse recht leicht zuordnen. Jeder Passkey ist quasi eine eigene Identität und nicht mit anderen Passkeys (auch wenn die sie gleiche E-Mail-Adresse innehaben) verbindbar. Jedoch geben sich Webseiten mit Cross-Site-Tracking viel Mühe, um über diverse Wege eine Identität ihrer Nutzer*innen aufzubauen.
Wenn der Passkey auf einem Security-Key oder im TPM-Speicher eines Geräts gespeichert ist, können Webseiten über die Hardware eine Identität aufbauen. Das geht – je nach Technik für CST – mal mehr und mal weniger genau.
Wer sich mit dem Thema genauer beschäftigen will, sollte nach „Signature Counter“ suchen. Übrigens geht ein ähnliches Identifizieren von Nutzer*innen bei Passwort-Managern.
Geteilte Accounts
„Funktionieren geteilte Accounts noch?“, das war einer meiner ersten Gedanken. Das geht, es lassen sich mehrere Passkeys für einen Webseiten-Zugang erstellen.
So kann ein Passkey für die eigenen (biometrischen) Zugangsdaten genutzt werden und die Person, die ebenfalls den Account nutzen will, bekommt ihren eigenen Passkey mit eigenen (biometrischen) Zugangsdaten.
Betriebssysteme und die Cloud
Inzwischen bieten alle großen Betriebssysteme eine Art von Passwort-Manager an: Windows Hello, Googles Passwort Manager (in Android und ChromeOS) oder die iCloud Keychain (bei iPhones und macOS). Um sie benutzen zu können, braucht ihr einen Microsoft-, Google- oder Apple-Account. Manchmal funktionieren diese PW-Manager auch nur auf/für dieses eine Betriebssystem. Zudem wird neben den Passkeys und Passwörtern noch so viel mehr mit-synchronisiert. Das kann ein großes Plus an Bequemlichkeit bedeuten, aber auch viele Risiken oder „Unannehmlichkeiten“ mit sich bringen. Ihr seid damit auch meist in einem bestimmten Ökosystem gebunden.
Inzwischen bieten alle großen Passwort-Manager auch Passkey-Integration an und machen euch unabhängig vom Betriebssystem. Es ist damit viel leichter, seine Kennwörter etc. auf mehreren Geräten zu nutzen.
Zusammenfassung
Im Prinzip funktionieren Passkeys wie Kennwörter, nur das Anmelden damit ist leichter und sicherer. Denn Fingerabdrücke und Gesichter sind einzigartig. Die meisten Nutzer*innen sind das bereits von ihren Smartphones gewohnt.
Am Computer (bzw. beim Surfen im Browser) und bei Apps muss bisher aber noch mit Kennwörtern hantiert werden. Lange und komplexe Kennwörter sind nervig, weshalb viele Menschen kurze und einfache Passwörter verwenden. Passkeys bilden hier eine Brücke: Sehr sichere Anmeldung über biometrische Daten, dabei aber super einfach und schnell. Sie machen auch die – manchmal ebenfalls nervigen – Zwei-Faktor-Authentifizierungen unnötig, was den Vorgang nochmals beschleunigt und erleichtert.
Wenn ihr jedoch bereits sehr gut auf eure Datensicherheit mit langen Kennwörtern und Passwort-Managern achtet, dann sind Passkeys nur eine kleine Verbesserung. Die Verwendung eines Security-Keys gibt hierbei einen gewissen Sicherheitsschub, da Computer und Passkeys getrennt aufbewahrt werden.
Leider werden Passkeys noch nicht von allen Webseiten oder Apps unterstützt, es nimmt aber immer mehr Fahrt auf. So haben vor kurzem WhatsApp, PayPal, TikTok, Google und einige mehr Passkey-Optionen hinzugefügt. Für den Rest können Passwort-Manager verwendet werden, hier sind vor allem 1Password, Bitwarden und Dashlane empfehlenswert. Leider können ihre Apps bisher nicht für jede Plattform mit Passkeys umgehen. Das ist alles aber nur eine Frage der Zeit.
Alles in Allem betrachtet, sind Passkeys ein großer Schritt vorwärts. Vor allem für die Sicherheit bei der breiten Masse. Es lohnt sich nach und nach darauf umzusteigen. Jedoch läuft das ganze System darum noch nicht ganz rund, was aber an den Webseiten und Herstellern liegt.
Weiterführende Links
Das war die grobe Erklärung zum Thema „Passkeys“. Da Passkeys gerade erst so richtig Fahrt aufnehmen, ändert und erweitert sich regelmäßig daran etwas. Falls ihr mehr dazu wissen wollt, habe ich hier einige interessante Artikel verlinkt:
– The Verge – Nintendo Passkey
– The Verge – Google Passkey
– The Verge – Tiktok Passkey
– The Verge – Windows 11 Passkey
– The Verge – WhatsApp Passkey
– Computerbase – Paypal Passkey
– Heise – Amazon und WhatsApp
Wer sich für einen Security-Token bzw. Key interessiert, kann sich hier einmal einlesen. Der Artikel ist aus 2019 und nicht mehr ganz aktuell, die meisten Firmen und Produkte gibt es aber noch.
– The Verge – The best hardware Security-Keys
Zu guter Letzt: Als einer der beliebtesten Security-Tokens hat sich der YubiKey herausgestellt. Er ist sicher, bequem und kostet nicht die Welt. Dazu gibt es ihn für nahezu jede Art von Anschluss. Leider ist er – besonders im Vergleich zu einigen Konkurrenz-Produkten – nicht Open-Source.
Zum Shop: Security und Backup
*Stand: 11.2023