Unternehmen und Konzerne
Schützen Sie Ihr Unternehmen vor Cyberkriminellen.
Jetzt gratis testenPasskey ist eine moderne, passwortlose Authentifizierungstechnologie, mit der sich Benutzer bei ihren Konten mittels eines kryptografischen Schlüssels anstelle von Passwörtern anmelden. Ein Passkey nutzt biometrische Merkmale (Fingerabdruck, Gesichtserkennung usw.) zur Bestätigung der Benutzeridentität.
Trotz des ähnlichen Namens sind Passkeys etwas gänzlich anderes als Passwörter.
Ein Passwort ist eine Abfolge von Zeichen, die ein Benutzer eingeben muss, um sich bei einer Webseite oder in einer App anzumelden. Darüber hinaus wird meist noch ein Benutzername benötigt. Zur Verhinderung von Datendiebstählen und Kontoübernahmeangriffen empfiehlt das NIST (National Institute for Science and Technology der USA), dass Passwörter folgende Kriterien erfüllen sollten:
Ein Passkey ist eine neue Authentifizierungstechnologie, die auf Schlüsselpaar-Kryptografie beruht und bei der Benutzer für die Anmeldung bei Webseiten und Apps keine Passwörter eingeben müssen. Stattdessen authentifizieren sich Benutzer auf dieselbe Weise, wie sie ihre Smartphones und Tablets entsperren: mit einem Fingerabdruck, mit Gesichtserkennung oder anderen biometrischen Merkmalen, per Wischmuster oder durch die Eingabe einer PIN. Die bequemste Lösung ist die Anmeldung mit biometrischen Merkmalen.
Benutzer legen hierbei für die Anmeldung statt eines Passworts einen Passkey mit einem Authenticator an. Dieser Passkey besteht aus einem privaten und einem öffentlichen Schlüssel. Der Authenticator kann ein Gerät wie ein Smartphone oder Tablet, ein Internetbrowser oder ein Passwortmanager sein, der die Passkey-Technologie unterstützt.
Vor der Erstellung des Passkeys ist es erforderlich, dass sich die Benutzer beim Authenticator mit einer PIN, einem Wischmuster oder biometrischen Merkmalen identifizieren. Der Authenticator sendet dann den öffentlichen Schlüssel (entspricht in etwa einem Benutzernamen) zum Kontoserver, wo er gespeichert wird. Der Authenticator speichert gleichzeitig den privaten Schlüssel lokal auf dem Gerät. Wenn der Authenticator ein Smartphone oder anderes Gerät ist, wird der Schlüssel im Schlüsselspeicher des Geräts verwahrt. Ist er ein Passwortmanager, dann wird der private Schlüssel im verschlüsselten Tresor des Passwortmanagers gespeichert.
Zur Erstellung eines Passkeys müssen sich Benutzer wie gewohnt bei ihrem Konto anmelden und dann das Passkey-Verfahren in den Sicherheitseinstellungen der Webseite oder App aktivieren. Die Webseite/App wird den Benutzer dann auffordern, einen Passkey auf dem Gerät zu speichern. Der Browser oder das Betriebssystem wird dann eine biometrische Authentifizierung verlangen, um die Anfrage zu bestätigen. Dann ist der Passkey schon gespeichert.
Bei zukünftigen Anmeldungen auf der Webseite müssen die Benutzer dann den Passkey von ihren Geräten für die Anmeldung nutzen und nicht mehr das Passwort. Falls der Browser die Passkey-Synchronisierung auf mehrere Geräte unterstützt, können Benutzer den Passkey auch von anderen Geräten aus nutzen.
Verwenden Benutzer ein Gerät, dass keinen Passkey für die Webseite oder App hat, dann können sie eventuell ein anderes Gerät nutzen. Unterstützt der Internetbrowser die geräteübergreifende Authentifizierung, bietet der Browser eventuell die Möglichkeit an, einen QR-Code zu scannen, um die Anmeldung abzuschließen. Geräteübergreifende Authentifizierung nutzt zudem Bluetooth, um die Nähe der Geräte zueinander sicherzustellen.
Das sehen die Endbenutzer. Werfen wir mal einen Blick darauf, was hinter den Kulissen geschieht, also auf den Servern. Versucht ein Benutzer, sich mit einem Passkey anzumelden, sendet der Server eine "Herausforderung" an den Authenticator, die aus einer Reihe von Daten besteht. Der Authenticator nutzt den privaten Schlüssel, um die Herausforderung zu lösen, und schickt anschließend die Antwort zurück an den Server. Der Prozess ist die Signierung der Daten und Verifizierung der Benutzeridentität.
Wie Sie sehen, hat der Server zu keinem Zeitpunkt des Prozesses Zugriff auf den privaten Schlüssel des Benutzers. Das heißt, es werden keine sensiblen Daten übermittelt. Das ist nur möglich, weil der auf dem Server gespeicherte öffentliche Schlüssel mathematisch vom privaten Schlüssel abgeleitet wird. Der Server benötigt nur den öffentlichen Schlüssel und die signierten Daten, um zu bestätigen, dass der private Schlüssel dem Benutzer gehört.
Passkeys sind aus mehreren Gründen sicherer als Passwörter:
Passkeys werden Passwörter irgendwann ganz ablösen. Passwortmanager werden sie aber nicht ersetzen. Vielmehr werden diese noch wichtiger werden, denn Passkeys sind an einen Authenticator gebunden. Benutzer können dafür ein Gerät verwenden (üblicherweise ein Smartphone, aber Tablets, Laptops oder Desktop-PCs gehen auch) oder einen Passwortmanager nutzen, der Passkeys unterstützt.
Auf den ersten Blick klingt es logisch, ein Smartphone als Authenticator zu nutzen, da die meisten Menschen fast immer eins bei sich tragen. Allerdings wird das schnell umständlich, denn die meisten Menschen nutzen mehrere Geräte. Will man sich auf einem anderen Gerät bei einer App oder Webseite anmelden (z. B. dem Laptop oder Tablet) muss erst ein QR-Code auf dem Gerät erstellt werden, der vom Authenticator-Gerät gescannt werden muss und schließlich müssen die biometrischen Merkmale bestätigt werden, um sich endlich anmelden zu können.
Ein Passwortmanager wie Keeper kann den Prozess stark vereinfachen, indem der Passkey an eine Anwendung statt eines Geräts gebunden wird. Für Keeper stellen wir deshalb ab Anfang 2023 die Passkey-Unterstützung bereit.
Zum Verfassungszeitpunkt des Texts bieten nur einige wenige Webseiten und Apps die Unterstützung für Passkeys an. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak und eBay zählen zu den großen Marken, die Passkey aktuell unterstützen.
Wegen des höheren Komforts und der besseren Sicherheit nimmt die Beliebtheit von Passkeys aber rasant zu. Google hat die Passkey-Unterstützung im Dezember 2022 für Chrome Stable-Version M108 für Windows, Android und macOS ausgerollt. An der Unterstützung für iOS und ChromeOS wird gearbeitet. Zudem arbeitet man an einem neuen API-Set, mit der die Passkey-Unterstützung auch in Android-Apps ermöglicht werden soll.