Warum sind Passkeys sicherer als jedes Passwort?
„Die Zukunft wird passwortfrei“ verlautbarte Google bereits 2022. Nun setzte der Internetriese einen aktiven Schritt, um Passwörter abzuschaffen. Wer sich künftig neu bei einem Google-Dienst einloggen will – etwa in Gmail oder YouTube – wird standardmäßig nach seinem Passkey abgefragt.
➤ Mehr lesen: Google: So wird die Zukunft passwortfrei
Beim Passkey handelt es sich um eine Anmeldemethode, die ohne Passwort auskommt. Stattdessen identifiziert man sich am Handy über Fingerabdruckscanner, Gesichtserkennung, PIN oder Muster-Eingabe. Am Laptop und PC kann man, wenn vorhanden, ebenso Fingerabdruckscanner verwenden. Alternativ gibt es auch USB-Sicherheitsschlüssel, die man an den Rechner anstecken kann. Auch mithilfe des Smartphones kann man sich am Laptop und PC anmelden. Dazu muss man einen QR-Code vom Bildschirm scannen.
Sicherer als Passwörter
Doch wieso will Google das Passwort abschaffen? Das Unternehmen gibt als Hauptgrunde die Sicherheit an. Viele Menschen verwenden nämlich unsichere Passwörter: Sie sind zu kurz, nicht komplex genug, oder das gleiche Passwort wird für mehrere Dienste genutzt. Abhilfe würden Passwortmanager schaffen. Diese erstellen automatisch komplexe Passwörter und speichern diese, damit man sie sich nicht merken muss. Der Großteil der Bevölkerung nutzt allerdings keine Passwortmanager und verlässt sich lieber auf sein Gedächtnis.
Richtet man sich das Passkey-Verfahren in einer App oder einer Webseite ein, werden 2 Schlüssel erstellt. Einer davon, der öffentliche Schlüssel, geht an die Stelle, wo man sich anmeldet. Dieser ist speziell für die Seite zugeschnitten und funktioniert nur dort. Diebstahl bringt also nichts. Der zweite, private Schlüssel, liegt auf dem eigenen Gerät.
Die beiden Schlüssel sind mathematisch miteinander verknüpft. Meldet man sich auf der Seite an, wird vom öffentlichen Schlüssel eine verschlüsselte Signatur an das eigene Gerät geschickt. Diese kann mit dem privaten Schlüssel entschlüsselt werden, wodurch man seine Identität bestätigt.
Phishing nicht möglich
Das Verfahren hat den Vorteil, dass Kriminelle bei Hacks mit dem öffentlichen Schlüssel nichts anfangen können, da dieser direkt mit der Website verbunden ist. Der private Schlüssel wird zudem nie übermittelt. Um an ihn zu kommen, bräuchten Hacker*innen die volle Kontrolle über das Gerät. Bei jeder Anmeldung wird lediglich die Signatur übertragen. Jene abzufangen bringt Angreifern nichts, da sie ohne privaten Schlüssel wertlos ist.
Durch Passkeys wird also die Gefahr eliminiert, dass Passwörter gestohlen werden. Entweder von den Webseiten selbst oder von den Nutzern durch Phishing. Dabei versuchen Kriminelle, mit täuschend echt aussendenden E-Mails von vermeintlichen Banken oder Paketdiensten, an die Passwörter von Kunden zu kommen.
FIDO-Allianz
In der FIDO-Allianz (FIDO = Fast IDentity Online) haben sich mehrere Tech-Unternehmen zusammengeschlossen, um einen Standard für die Web-Authentifizierung zu schaffen, auf dem auch Passkey basiert. Bekannte Mitglieder sind neben Google und Microsoft auch Mastercard, Alibaba und Samsung.
Bequemeres Anmelden
Als zweiten Punkt bringt Google Bequemlichkeit als einen weiteren Vorteil ins Spiel. Man müsse sich keine Passwörter mehr merken und könne sich dadurch schneller einloggen. Rund 15 Sekunden dauere es laut Google, sich mit Passkey bei einem Dienst einzuloggen. Mit einem klassischen Passwort dauere es doppelt so lange. Auch die Erfolgsrate, sich bei einem Dienst einloggen zu können, ist mit Passkey deutlich höher. Laut Google liegt diese bei Verwendung eines normalen Passworts bei nur 13,8 Prozent, was wohl auf Tippfehler oder vertauschte Passwörter.
➤ Mehr lesen: Diese Promis sind die beliebtesten Passwörter
Wie bei normalen Passwörtern können auch Passkeys über mehrere Geräte hinweg synchronisiert und sogar mit anderen Nutzer*innen geteilt werden. Das funktioniert bislang aber noch plattformgebunden, also nicht etwa zwischen einem Android-Handy und einem iPhone.
Ende des Passworts?
Ist das Ende von Passwörtern also bereits gekommen? Solange es noch Webseiten gibt, die das Passkey-Verfahren nicht anbieten, wird auch das Passwort nicht aussterben. Bislang bieten nur wenige Apps und Services diese Login-Methode an. Große Technologie-Unternehmen wie Google, Apple und Microsoft stehen aber dahinter, die Methode zu etablieren.
Frag die futurezone
In der Rubrik "Frag die futurezone" recherchieren und beantworten wir ausgewählte Fragen zu Tech-Themen für euch.
Stellen könnt ihr sie mit einer E-Mail an die Adresse redaktion@futurezone.at - Betreff: "Frag die futurezone", ihr könnt uns aber auch gern via Social Media (Facebook, Instagram, Twitter) kontaktieren.