Passkey: Sichere Alternative zum Passwort?

Immer öfter werden Passwörter von Kunden bei Datenlecks gestohlen, die persönlichen Daten werden missbraucht. Eine neue Technik verspricht mehr Sicherheit.

Weniger als die Hälfte aller Deutschen fühlt sich aktuell mit den eigenen Passwörtern im Netz sicher. Das geht aus einer repräsentativen Umfrage im Auftrag von GMX und web.de hervor. Zum einen könnte das daran liegen, dass fast 60 Prozent der Personen bei mehreren oder allen Diensten dasselbe Passwort verwenden.

Zum anderen ist die altbewährte Authentifizierungsmethode aus Benutzername und Passwort sehr anfällig für Datendiebstahl durch Kriminelle im Netz. Anlässlich des Welt-Passwort-Tags am 2. Mai erklären wir eine neue Alternative zum altbewährten Passwort: die Passkeys.

Was sind Passkeys?

Passkeys sind digitale Schlüssel, die für die Anmeldung bei einem Account generiert werden. Dafür muss der Dienst – zum Beispiel die Bank oder ein Streaminganbieter – die Funktion jedoch unterstützen, über die sich Nutzer dann sicher und ohne Passwort einloggen können. Aktuell ist die Zahl der Anbieter und Webseiten, die das Verfahren anbieten, noch überschaubar – sie wächst aber stetig an.

Für die Nutzung von Passkeys ist eine einmalige Einrichtung beim jeweiligen Dienst erforderlich. Das geht in der Regel mit wenigen Klicks auf der Website oder in der jeweiligen App des Anbieters. Ist der Passkey einmal eingerichtet, wird ein verschlüsselter Code im internen Speicher des Geräts hinterlegt – also Ihrem Smartphone oder Computer.

Gleichzeitig wird beim Dienstanbieter ein öffentlicher Schlüssel als Gegenstück gespeichert. Selbst wenn dieser bei einem Hackerangriff gestohlen werden würde, ist er für Kriminelle ohne Zugang zu dem privaten Schlüssel auf Ihrem Endgerät nutzlos. Passkeys versprechen somit eine passwortfreie, sichere Internetnutzung. Um das zu gewähren, wird zusätzlich eine Zwei-Faktor-Authentifizierung verwendet, beispielsweise mit Fingerabdruck oder Face-ID (Gesichtserkennung).

Wie sicher sind Passkeys?

Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es unwahrscheinlich, dass der Code auf Ihrem Gerät – selbst bei Phishing-Angriffen durch Kriminelle – gestohlen werden kann. Außerdem erfolgt die Anmeldung immer auch mithilfe von Gesichtserkennung, Fingerabdruck-Scanner oder einer PIN.

Da kein Passwort verwendet wird, sinkt zudem die Gefahr durch Hackerangriffe bei Datenlecks. Darüber hinaus besteht keine Gefahr, dass Hacker einfache Passwortkombinationen wie "123456" schnell erraten können.

Wie funktioniert die Anmeldung mithilfe von Passkeys?

Nach der Authentifizierung erzeugt der Dienst ein Einmal-Passwort, das durch den gespeicherten privaten Code verschlüsselt und bei jeder Anmeldung auf der Website an den Dienstleister geschickt wird. Der Server entschlüsselt dieses Einmal-Passwort mit dem hinterlegten öffentlichen Schlüssel und prüft, ob es gültig ist.

Ist der Schlüssel gültig, wird dem Nutzer der Zugang zum Account gewährt. Dementsprechend hat der Dienstleister keinen Zugang zum privaten Code, dieser ist nur auf Ihrem Gerät gespeichert. Auch persönliche Daten werden nicht übertragen.

Wo sind Passkeys gespeichert?

Für die Speicherung der jeweiligen Schlüssel braucht es ein Gerät oder Programm. Das kann eine App auf dem Smartphone, ein Programm auf dem Computer oder ein spezieller Hardware-Stick sein. Cloud-Lösungen auf dem Smartphone oder Computer bieten mehr Flexibilität bei der Nutzung über mehrere Geräte. Jedoch werden die privaten Schlüssel dabei nicht mehr lokal gespeichert, sondern auf den Servern der Anbieter.

Laut Verbraucherzentrale Nordrhein-Westfalen gilt zum Beispiel der FIDO2-Stick als besonders sicher, da die Passkeys auf dem Stick gespeichert werden und in Verbindung mit der Authentifizierung durch Gesichtserkennung, Fingerabdruck oder PIN verwendet werden können. Dadurch wird das Erstellen und Merken von Passwörtern überflüssig.

Allerdings benötigt es für die Anmeldung dann auch immer dieses konkrete Gerät. Wo sich mit Passwörtern zur Not auch auf dem Handy einer Freundin eingeloggt werden kann, wären Sie mit Passkeys ohne das eigene Gerät erst einmal aufgeschmissen. Zum Problem wird das auch, wenn das Gerät kaputtgeht, verloren oder gestohlen wird.

Die Sperre mit Fingerabdruck oder Gesichtserkennung verhindert zwar, dass Dritte auf die Passkeys zugreifen können. Jedoch müssten Sie bei Verlust des Geräts den Zugang zu jedem einzelnen Online-Account neu einrichten, sofern Sie kein Backup erstellt haben. "Im schlimmsten Fall könnte man den Zugriff auf seine Accounts ganz verlieren", heißt es in einer Pressemeldung der Verbraucherzentrale Nordrhein-Westfalen.

• Lesen Sie hier: Haben Hacker Ihre Login-Daten erbeutet?

Wie richte ich Passkeys ein?

Voraussetzung dafür ist, dass die jeweilige Website Passkeys unterstützt. Dann erscheint meist ein Hinweis bei der Anmeldung. Wenn Sie darauf klicken, werden Sie zur Authentifizierung über Fingerabdruck oder Face-ID aufgefordert. Dadurch wird der private Schlüssel des Passkeys auf dem Gerät gespeichert.

Handelt es sich bei dem Gerät um ein Handy oder einen Computer, werden die Passkeys auf dem internen Speicher des Geräts gesichert und können von dort für ein Backup in die Cloud oder auf eine externe Festplatte geladen werden.

Sollten Sie einen FIDO2-Stick verwenden, werden die Schlüssel auf dem USB-ähnlichen Stick gespeichert. Wenn Sie den FIDO2-Stick in den Computer stecken, müssen Sie einen PIN für den Stick festlegen. Zukünftig drücken Sie bei der Anmeldung auf einen Knopf auf dem Stick und geben Ihre PIN ein. Dann können Sie auf Ihr Konto zugreifen.

• Lesen Sie hier: Wie lange dauert es, Ihr Passwort zu knacken?

Wer bietet Passkeys an?

Online-Dienste nutzen Passkeys immer häufiger für eine sichere Anmeldung. Laut dem BSI unterstützen auch die meisten Betriebssysteme von Computern und Mobilgeräten die Funktion bereits.

Auch bei vielen großen Online- und Social-Media-Plattformen können Sie sich bereits mit Passkeys anmelden. Dazu gehören zum Beispiel Google, Amazon, PayPal und WhatsApp.

Wer steckt hinter Passkeys?

Entwickelt wurden Passkeys von der nicht-kommerziellen FIDO-Allianz. Diese wurde 2013 gegründet und arbeitet mit verschiedenen Unternehmen an der Entwicklung von Standards für die Authentifizierung im Internet. FIDO steht für Fast Identity Online (zu Deutsch: schnelle Identität bei digitalen Verbindungen).