Passkeys: Wie sicher ist die Passwort-Alternative?

„Die Zukunft wird passwortfrei“ verlautbarte Google bereits 2022. Mittlerweile setzt der Internetriese einen aktiven Schritt, um Passwörter abzuschaffen. Wer sich neu bei einem Google-Dienst einloggen will – etwa in Gmail oder YouTube – wird standardmäßig nach seinem Passkey abgefragt. 

Doch nicht nur Google setzt auf Passkeys. Auch Unternehmen wie Amazon, Apple, Google, Microsoft, Adobe, PayPal und Sony haben das System schon längst integriert. Andere große Dienste wie Netflix, Reddit oder Steam zögern allerdings noch (eine Übersicht, welche Dienste Passkey unterstützen, findet sich hier).

➤ Mehr lesen: Google: So wird die Zukunft passwortfrei

Beim Passkey handelt es sich um eine Anmeldemethode, die ohne Passwort auskommt. Stattdessen identifiziert man sich am Handy über Fingerabdruckscanner, Gesichtserkennung, PIN oder Muster-Eingabe. Am Laptop und PC kann man, wenn vorhanden, ebenso Fingerabdruckscanner verwenden. Alternativ funktioniert die Entsperrung auch mit PIN oder Gesichtserkennung. Es gibt es auch USB-Sicherheitsschlüssel, die man an den Rechner anstecken kann. Auch mithilfe des Smartphones kann man sich am Laptop und PC anmelden. Dazu muss man einen QR-Code vom Bildschirm scannen.

Sicherer als Passwörter

Doch wieso will man das Passwort abschaffen? Die Unternehmen geben als Hauptgrund die Sicherheit an. Viele Menschen verwenden nämlich unsichere Passwörter: Sie sind zu kurz, nicht komplex genug, oder das gleiche Passwort wird für mehrere Dienste genutzt. Abhilfe würden Passwortmanager schaffen. Diese erstellen automatisch komplexe Passwörter und speichern diese, damit man sie sich nicht merken muss. Der Großteil der Bevölkerung nutzt allerdings keine Passwortmanager und verlässt sich lieber auf sein Gedächtnis.

Richtet man sich das Passkey-Verfahren in einer App oder einer Webseite ein, werden 2 Schlüssel erstellt. Einer davon, der öffentliche Schlüssel, geht an die Stelle, wo man sich anmeldet. Dieser ist speziell für die Seite zugeschnitten und funktioniert nur dort. Diebstahl bringt also nichts. Der zweite, private Schlüssel, liegt auf dem eigenen Gerät. 

Die beiden Schlüssel sind mathematisch miteinander verknüpft. Meldet man sich auf der Seite an, wird vom öffentlichen Schlüssel eine verschlüsselte Signatur an das eigene Gerät geschickt. Diese kann mit dem privaten Schlüssel entschlüsselt werden, wodurch man seine Identität bestätigt. 

Phishing nicht möglich

Das Verfahren hat den Vorteil, dass Kriminelle bei Hacks mit dem öffentlichen Schlüssel nichts anfangen können, da dieser direkt mit der Website verbunden ist. Der private Schlüssel wird zudem nie übermittelt. Um an ihn zu kommen, bräuchten Hacker die volle Kontrolle über das Gerät. Bei jeder Anmeldung wird lediglich die Signatur übertragen. Jene abzufangen bringt Angreifern nichts, da sie ohne privaten Schlüssel wertlos ist. 

Durch Passkeys wird also die Gefahr eliminiert, dass Passwörter gestohlen werden. Entweder von den Webseiten selbst oder von den Nutzern durch Phishing. Dabei versuchen Kriminelle, mit täuschend echt aussendenden E-Mails von vermeintlichen Banken oder Paketdiensten, an die Passwörter von Kunden zu kommen.

Bequemeres Anmelden

Als zweiten Punkt bringen Unternehmen Bequemlichkeit als einen weiteren Vorteil ins Spiel. Man müsse sich keine Passwörter mehr merken und könne sich dadurch schneller einloggen. Rund 15 Sekunden dauere es laut Google, sich mit Passkey bei einem Dienst einzuloggen. Mit einem klassischen Passwort dauere es doppelt so lange. Auch die Erfolgsrate, sich bei einem Dienst einloggen zu können, ist mit Passkey deutlich höher. Laut Google liegt diese bei Verwendung eines normalen Passworts bei nur 13,8 Prozent, was wohl auf Tippfehler oder vertauschte Passwörter.

➤ Mehr lesen: Diese Promis sind die beliebtesten Passwörter

Wie bei normalen Passwörtern können auch Passkeys über mehrere Geräte hinweg synchronisiert und sogar mit anderen Nutzern geteilt werden. Das funktioniert bislang aber noch plattformgebunden, also nicht etwa zwischen einem Android-Handy und einem iPhone. 

Kritik

Dadurch, dass sowohl Google, Microsoft, Apple und Co. Passkeys auf ihre eigene Weise implementieren, ist man bis zu einem bestimmten Grad auch im Ökosystem gefangen. Passkeys zwischen Apple-, Android- und Microsoft-Geräten zu übertragen, ist nämlich nicht so einfach.

Man muss ebenso darauf achten, das Gerät, worauf die Passkeys gespeichert sind, nicht zu verlieren. Abhilfe verschafft die Möglichkeit, die Passkeys automatisch in der Cloud zu speichern. Dadurch macht man sich allerdings wiederum von einem Anbieter abhängig.

Ende des Passworts?

Ist das Ende von Passwörtern also bereits gekommen? Solange es noch Webseiten gibt, die das Passkey-Verfahren nicht anbieten, wird auch das Passwort nicht aussterben. Bislang bieten nur wenige Apps und Services diese Login-Methode an. Große Technologie-Unternehmen wie Google, Apple und Microsoft stehen aber dahinter, die Methode zu etablieren.

Disclaimer: Die Originalversion des Artikels wurde im Oktober 2023 erstellt und entsprechend aktualisiert.