Eingeführt am Markt wurde Passkey im Jahr 2022. Die Technologie wird von der FIDO Alliance vorangetrieben. Das Ziel: Die Sicherheit und Benutzerfreundlichkeit im Prozess der Authentifizierung zu verbessern. Zur FIDO Alliance [EN] zählen namhafte Unternehmen wie Apple, Google und Microsoft.
Wie sicher ist passwortloses Anmelden?
Konzeptionell sehr sicher. Passkey basiert auf bewährten Verfahren, in deren Zentrum asymmetrische Kryptographie und digitale Signaturen stehen. Asymmetrische Kryptographie verwendet ein Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Das ist der Passkey, den der Browser zur Anmeldung speichert. Sie müssen sich keine Passwörter merken. Zum Login an einer Website müssen Sie diesen Passkey nur entsperren: durch einen Fingerabdruck oder via Gesichtserkennung z.B.
Ein weiterer Vorteil ist der Schutz vor Brute-Force-Angriffen. Da es keine Passwörter gibt, die erraten werden könnten, sind solche Angriffe wirkungslos. Dies erhöht die Sicherheit erheblich und macht Passkeys zu einer robusten Lösung für die Authentifizierung.
Der Heilige Gral asymmetrischer Kryptographie
Verfahren dieser Art verwendet man üblicherweise zur Objektverschlüsselung. Doch mehr ist möglich: Jeder, der eine Website via HTTPS aufruft, profitiert automatisch durch digitale Zertifikate über den Nachweis der Urheberschaft des Webseiten-Betreibers. Man „weiß“ also, mit der richtigen Gegenstelle „zu sprechen“. Ein weiteres Beispiel ist S/MIME, das digitale Zertifikate verwendet, um die Authentizität und Integrität von E-Mails zu gewährleisten.
Welche Vorteile bieten Passkeys?
Und genauso einfach macht Passkeys einem den Verzicht auf Anmeldeverfahren mit Benutzernamen und Passwörtern. Gleichzeitig besitzt diese Authentifizierung auch viele weitere Vorteile:
- Passkey bietet erhöhte Sicherheit (Chain-of-trust)
- Besserer Schutz vor Phishing-Attacken (öffentliche und private Schlüssel verwaltet der Web-Browser für Benutzer; eine E-Mail-Adresse ist nicht involviert und wird nur initial einmal benötigt.)
- Die Frage nach Passwort-Längen stellt sich bei Passkey nicht mehr
- Keine Brute-Force-Angriffe auf Passwörter
- Passwörter müssen nicht mehr memoriert oder im Passwort-Safe gespeichert werden
- Das Verfahren ist um vieles benutzerfreundlicher
- Das Verfahren erzeugt Passkeys automatisiert
- Jeder Login zu verschiedenen Diensten hat seinen eigenen Passkey
Im Vergleich zum Anmeldeverfahren mit Benutzernamen und Passwort ist Passkey nicht nur bequemer, sondern in mehrfacher Hinsicht überlegen. Passkeys bieten nicht nur erhöhte Sicherheit, sondern auch Schutz vor Phishing-Angriffen und eine vereinfachte Benutzererfahrung.
Wie funktionieren Passkeys?
Möchten Sie sich nun bei einem Online-Dienst einloggen, wird eine Anmeldeaufforderung an Ihren Browser gesendet. Der Browser signiert die Anforderung mit dem gespeicherten privaten Schlüssel und sendet die Anfrage zur Kontrolle an den Online-Dienst zurück. Der Dienst prüft die signierte Zeichenkette auf Richtigkeit durch Ihren öffentlichen Schlüssel. So bleibt Ihr privater Schlüssel bei Ihnen und wird niemals an den Dienst gesendet. Dies stellt sicher, dass Ihre Anmeldedaten sicher und geschützt bleiben.
FAQ zu Passkeys
Was ist ein Passkey?
Ein Passkey ist eine digitale Anmeldeinformation, die aus einem Schlüsselpaar besteht – einem öffentlichen und einem privaten Schlüssel. Das Schlüsselpaar bleibt sicher auf Ihrem Gerät gespeichert. Der öffentliche Schlüssel wird zur Authentifizierung an den Online-Dienst gesendet, während der private Schlüssel sicher auf Ihrem Gerät verbleibt. Mit dem öffentlichen Schlüssel kann der Online-Dienst die Signatur, die mit dem privaten Schlüssel erstellt und vom Online-Dienst angefragt wurde, auf Richtigkeit prüfen.
Wie sehe ich meinen Passkey?
Normalerweise müssen Sie Ihren Passkey nicht direkt sehen oder verwalten. Ihr Browser oder Ihr Betriebssystem verwaltet diese für Sie im Hintergrund.
Wo speichere ich den Passkey?
Der Passkey wird sicher auf Ihrem Gerät gespeichert, oft in einem speziellen Sicherheitsmodul oder einem sicheren Bereich des Betriebssystems, dem Truststore. Bei Bedarf kann er auch in einem sicheren Cloud-Speicher synchronisiert werden, um die Nutzung auf mehreren Geräten zu ermöglichen.
Welche Nachteile haben Passkeys?
Neben den bereits erwähnten Vorteilen besitzen Passkeys natürlich auch Nachteile, wenn auch keine von Gewicht.
- Begrenzte Akzeptanz: Noch unterstützen nicht alle Online-Dienste Passkeys. Das bedeutet, dass Sie möglicherweise weiterhin Passwörter für einige Dienste verwenden müssen.
- Geräteabhängigkeit: Passkeys sind an ein bestimmtes Gerät gebunden. Wenn Sie Ihr Gerät verlieren, wird es schwierig, auf Ihre Konten zuzugreifen, es sei denn, Sie haben eine Backup-Lösung eingerichtet.
- Weitergabe: Im Gegensatz zu Passwörtern können Passkeys nicht einfach an andere Personen weitergegeben werden. Das ist natürlich gleichzeitig ein Vorteil.