Apple, Google, Amazon – viele Firmen setzen neuerdings auf Passkeys, die herkömmliche Anmeldemethoden ersetzen sollen. Was steckt dahinter?
Passwort-AlternativeWas sind „Passkeys“ und wie funktionieren sie?
Von Steffen Haubner
Lesezeit 3 Minuten
Logins mit Passkey versprechen mehr Sicherheit.
Copyright: dpa-tmn
Passwörter sind ein Reizthema für die meisten Nutzer: Möglichst kompliziert sollen sie sein, man soll für jeden Zweck ein eigenes benutzen und merken muss man sich das Ganze am Ende auch noch irgendwie. Doch das alles soll nun ein Ende haben. So will es unter anderem der Google-Konzern, der auf „Passkeys“ anstelle von Passwörtern setzt.
Was sind Passkeys?
Passkeys sind eine Alternative zu Passwörtern, die den Zugang zu digitalen Diensten einfacherer und sicherer machen sollen. Bislang läuft es gewöhnlich so ab: Man vereinbart mit einem Dienst ein Passwort, dass dieser abfragt, sobald man sich anmelden will. Die Übertragung läuft zwar verschlüsselt ab, dennoch ist das Verfahren unpraktisch und unsicher, weil das Passwort in die falschen Hände gelangen kann. Bei einem Passkey ist das nicht möglich. Er wird auf dem Gerät, mit dem man sich anmelden will, gespeichert, und zwar so, dass er nicht auslesbar ist.
Auf dem Gerät, etwa einem Smartphone, weist man sich mittels biometrischer Daten aus, etwa einem Fingerabdruck oder einem 3D-Abbild des eigenen Gesichts. Auch die Verwendung von PINs oder Fingergesten ist möglich. Sicherheitsexperten zufolge bieten Passkeys den besten Schutz vor Bedrohungen wie etwa Phishing, also dem Ausspionieren von Nutzerdaten. Es ist aber wichtig, dass man Passkeys nur auf privaten Geräten erstellt, die man selbst verwaltet.
Wie funktionieren Passkeys?
Jeder Passkey besteht aus zwei Teilen. Es gibt einen öffentlichen Schlüssel, der mit der Website oder App geteilt wird, bei der man sich anmelden möchte. Er ist nicht geheim und muss nicht geschützt werden. Und es gibt einen privaten Schlüssel, der dauerhaft auf dem Gerät gespeichert bleibt, auf dem es erstellt wurde. Es handelt sich um eine zufällig erstellte, sehr lange Zeichenfolge, von der niemand Kenntnis erhält.
Bei der Anmeldung stellt ein Server des Dienstanbieters eine Anfrage an das Gerät, mit dem man sich anmeldet, und kann dann anhand der Antwort feststellen, ob der private Schlüssel verwendet wurde, ohne dass dieser preisgegeben wird. Da ein Schlüsselteil ohne den anderen nutzlos ist, muss man also immer physischen Zugang zum Handy, Tablet oder PC haben und diese entsperren, um sich anmelden zu können.
Wie erstellt man einen Passkey?
Das hängt von dem Dienst oder Anbieter ab, bei dem man einen Passkey erstellt. Auf iPhones (ab iOS 16) müssen der iCloud-Schlüsselbund sowie die Zwei-Faktor-Authentifizierung aktiviert sein. Melden Sie sich zum Beispiel mit einem bereits bestehenden Passwort bei PayPal an, bekommen Sie eine SMS mit einem sechsstelligen Code geschickt, um die Anmeldung zu verifizieren. Nun gehen Sie auf dem iPhone in die Einstellungen und zu „Login und Sicherheit“, tippen auf „Passkey“ und „Passkey erstellen“. Dieser wird im iCloud-Schlüsselbund gesichert und kann auch über andere Apple-Geräte abgerufen werden. Auf Android-Geräten werden Passkeys automatisch erstellt. Sie können sie über den Chrome-Browser aktivieren. Melden Sie sich mit Ihrem Google-Konto an, gehen Sie auf die Seite www.google.com/account/about/passkeys/ und folgen Sie den Anweisungen.
Sind Passwörter künftig überflüssig?
Nein. Man kann Passwörter weiter parallel zu Passkeys benutzen. Schließlich müssen sich Passkeys erst das Vertrauen der Nutzerinnen und Nutzer verdienen. Außerdem bieten längst noch nicht alle Dienste eine Anmeldung über Passkeys an. Zudem bindet man sich mit dem Passkey-System zwangsläufig an große Konzerne wie Apple oder Google, wie Kritiker nicht zu unrecht einwenden. Der beste Weg scheint bis auf Weiteres die parallele Nutzung von Passwörtern, 2-Faktor-Authentifizierung, Passwort-Managern und Passkeys zu sein.