Wie funktionieren Passkeys und kann ich sie schon nutzen?

Apples iOS 16 Update bringt viele Neuerungen (hier haben wir sie zusammengefasst), eine (noch kleine) Revolution ist aber sicherlich die Einführung von Passkeys. Sie sollen Passwörter ersetzen. Erstmals haben sich Apple, Google und Microsoft zum diesjährigen Password-Day im Mai ausführlich zu dieser neuen Methode geäußert. Sie alle sind Teil der FIDO Alliance, die das System entwickelt hat. Apple ist die erste Firma, die Passkeys in den Mainstream bringt - wir erklären euch, was ihr darüber wissen müsst.

Das erfahrt ihr im Artikel: 

1. Was sind Passkeys?
2. Wie richtet man Passkeys ein? 
3. Wer kann Passkeys schon nutzen?
4. Kann man Passkeys vom alten auf ein neues Gerät übertragen?
5. Wo kann man Passkeys nutzen?
6. Sind Passkeys wirklich sicherer als Passwörter - und wenn ja, warum?
7. Werden Passwortmanager damit überflüssig?

1. Was sind Passkeys?

Will man sich auf einer Webseite oder in einer App einloggen, braucht man damit weder Nutzername noch Passwort. Stattdessen wird ein Passkey auf einem Gerät erstellt. Er besteht aus einem Schlüsselpaar. Ein offener Schlüssel wird an die Seite oder App übermittelt, ein privater Schlüssel wird auf dem Gerät gespeichert. Beim Login muss man dann bestätigen, dass diese Schlüssel zusammenpassen. Beim iPhone funktioniert das zum Beispiel über TouchID oder FaceID.

Die Passkeys können über den iCloud Schlüsselbund synchronisiert werden. Damit sind sie auch geräteübergreifend auf iPad, Mac und Apple TV verfügbar. Bei Google und Microsoft wird das System innerhalb der Android- und Windows-Ökosysteme ähnlich funktionieren.

2. Wie richtet man Passkeys ein?

Man muss die Passkey-Option nicht aktiv freischalten. Wer sich auf einer Webseite oder in einer App, die Passkeys unterstützt, neu registriert, erhält automatisch die Option, statt einem Passwort einen Passkey anzulegen. Dieser wird dann auf dem Gerät, mit dem man sich registriert gespeichert. Viele Login-Seiten bieten schon verschiedene Optionen wie "mit Apple ID" oder "mit Google-Account" anmelden an. Hier wird dann auch "mit Passkey anmelden" hinzukommen. 

Ist man bereits in einer App oder auf einer Seite registriert, sollte der Wechsel zu Passkeys beim nächsten Login automatisch angeboten werden. Dafür muss man sich wie gehabt mit Nutzername und Passwort anmelden. Ist das erfolgreich, sollte ein Pop-up darauf hinweisen, dass man nun zu Passkeys wechseln kann. Danach muss man einfach den Anweisungen auf dem Gerät folgen und die Einrichtung abschließen. Anschließend kann man Passkeys für den Login nutzen.

Loggt man sich auf einem fremden Gerät ein oder nutzt statt Safari einen anderen Browser wie Chrome, erscheint ein QR-Code. Diesen scannt man und kann anschließen den Login bestätigen. Daher ist es sinnvoll, entweder alle Passkeys auf einem Smartphone oder einem Tablet mit Kamera zu speichern, oder die Cloud-Freigabe für die Passkeys zu aktivieren.

Derzeit sind die Passkeys bei iOS noch etwas unübersichtlich unter „Einstellungen“ > „Passwörter“ zwischen den bisher gespeicherten Kennwörtern aufgeführt. Eine eigene Liste nur mit Passkeys gibt es noch nicht.

3. Wer kann Passkeys nutzen?

Aktuell stehen Passkeys nur Apple-Nutzer*innen zur Verfügung. Der Konzern ist aber – wie auch Google und Microsoft – Teil der FIDO-Allianz. Mit iOS 16 haben Passkeys ihre Mainstream-Premiere gefeiert, Google und Microsoft wollen bis 2023 nachziehen. Zum Welt-Passwort-Tag im Mai gab FIDO bekannt, dass die 3 großen Tech-Firmen hier zusammenarbeiten wollen. Damit soll langfristig auch eine systemübergreifende Nutzung von Passkeys möglich sein.

4. Kann ich Passkeys von einem alten auf ein neues Gerät übertragen? 

Bleibt man bei Apple, Android oder Microsoft, werden sich die Passkeys einfach übertragen lassen. Ob das auch bedeutet, dass man einfach von einem Ökosystem zum anderen Wechseln kann (etwa von iOS zu Android und umgekehrt), ist noch unklar. FIDO versichert in ihren FAQ aber, dass man immer ein zweites Gerät für den Passkey-Login auf einer Seite oder in einer App einrichten bzw. ein altes Gerät entfernen kann. Das ist zwar umständlich, aber zumindest ist es möglich.

5. Wo kann man Passkeys nutzen?

Wenn eine Webseite den Login mit Passkeys anbietet, wird das automatisch vorgeschlagen bzw. angezeigt. Bisher gibt es aber so gut wie keine Webseiten, die das unterstützen. Dafür ist die Technologie noch zu neu. Im Laufe des nächsten Jahres, insbesondere wenn Google und Microsoft ebenfalls Passkeys einführen, wird das Angebot sicherlich wachsen.

6. Sind Passkeys sicherer?

Die FIDO-Mitglieder werben vor allem mit der höheren Sicherheit gegenüber der Passwort-Methode. Wie Sicherheitsexperte Sebastian Bicchi der futurezone erklärt, ist das nicht unbegründet: "Die Umsetzung ist tatsächlich sicherer. Konkret basiert sie auf einem asymmetrischen Kryptographie-Verfahren. Während auch das stärkste Passwort gephisht werden kann, ist das bei diesem Standard nicht möglich".

Beim Neuregistrieren wird vom Gerät, beispielsweise dem iPhone, wie bereits beschrieben ein Schlüsselpaar generiert. Beim Login wird der private, auf dem Gerät gespeichert, Schlüssel nie übertragen. Für den Login wird lediglich eine Signatur geschickt, die bestätigt, dass man im Besitzt des richtigen Schlüssels ist.

Das sorge laut Bicchi dafür, dass es nie zu einem Datenleck oder einem Machine-in-the-Middle-Angriff kommen kann. Bei letzterem werden Daten währen der Übertragung abgefangen. Allerdings könnten die Passkeys bei einem Angriff auf den iCloud Schlüsselbund gestohlen werden, erklärt Bicchi.

7. Ersetzen Passkeys Passwortmanager?

Jein. Solange es Webseiten und Apps gibt, die Passkeys nicht unterstützen, wird es auch Passwörter und damit Passwortmanager geben, mit denen man diese verwaltet. Hinzu kommt, dass Apple, Google und Microsoft nicht die einzigen bleiben werden, die Passkeys anbietet. Mit Dashlane existiert bereits ein Passwortmanager, mit dem man auch Passkey einrichten und verwalten kann. Statt auf dem Gerät werden die Schlüssel dann im Passwortmanager (der in diesem Fall eher ein Passkey-Manager ist) gespeichert.