Passkeys werden aktuell als das neue, heiße Ding zur Anmeldung bei Web-Seiten gehandelt und sollen in absehbarer Zeit das normale Passwort ablösen. Aber was ist das eigentlich, wie funktioniert es, welche Vor- oder Nachteile hat es? Wir sagen es euch.

 
Ratgeber
Facts 

Passkey heißt das Verfahren. Die Passkeys sind zwei unterschiedliche Schlüssel, die genutzt werden, um einen Verifizierungscode verschlüsseln und ihn auf der Empfängerseite wieder zu dekodieren. Wir erklären euch die Unterschiede sowie Stärken und Schwächen dieser Methode.

Passkey und Passwort – Unterschiede & Funktionsweise

  • Jeder weiß, was ein Passwort ist: Dabei handelt es sich um eine feststehende Zeichenfolge, die man sich gemerkt oder in einem Passwortmanager gespeichert hat. Bei einer Anmeldung erwartet eine Web-Seite dann jedes Mal genau dieses Passwort, wenn der Benutzername eingegeben wurde.
  • Ein Passkey kann man dagegen als „Passwort-Schlüssel“ betrachten: Es gibt hier den Benutzer und auf der anderen Seite eine Web-Seite oder App, die diesen Benutzer kennen. Bei der ersten Anmeldung wurde von diesem Benutzer ein „Schlüssel-Paar“ erzeugt, das nur für dieses Konto gültig ist.
  • In der Web-Seite oder App wurde ein öffentlicher Schlüssel hinterlegt, während der private Schlüssel in einem Gerät wie einem Handy oder etwa einem FIDO2-USB-Stick hinterlegt ist.
  • Bei jeder Anmeldung erzeugt das verbundene Gerät ein neues „Einmal-Passwort“, das von dem privaten Schlüssel verschlüsselt wurde und nur mit der Schlüsselhälfte in der Web-Seite oder App entschlüsselt werden kann.
  • Die Erzeugung dieses Anmeldepasswortes wird entweder durch biometrische Anmeldung (Fingerabdruck, Gesichtserkennung, Iris-Scanner) oder durch die Eingabe einer PIN beziehungsweise eines Wisch-Musters gestartet.
  • Dann übergibt das Gerät das Einmal-Passwort an die empfangende Seite, wo es mit Hilfe des öffentlichen Schlüssels geprüft wird.
  • Wenn das Ergebnis stimmt, wird der Zugang gewährt.

Der Hauptunterschied zwischen einem Passwort und dem Passkey-Verfahren liegt also darin, dass ein Passwort unveränderlich ist, bis es auf beiden Seiten ausgetauscht wird, während Passkey mit immer neuen, verschlüsselten, einmaligen Codes arbeitet. Außerdem kann die Kombination aus Benutzernamen und Passwort jeder nutzen, während Passkey an eine Person gebunden ist.

Wenn ihr die Passkey-Technik verwendet, nutzt ihr euer Handy mit Kamera und Fingerabdrucksensor. Alternativ könnt ihr einen FIDO2-USB-Stick nehmen, der einen Finderabdruckscanner enthält oder die nötige Sicherheitskennung via Bluetooth oder NFC überträgt.

Einfache Passwörter sind ein Riesenproblem:

Nie wieder dumme Passwörter! – TECHfacts Abonniere uns
auf YouTube

Passkeys – Vor- und Nachteile

Vorteile

  • Der Hauptvorteil beim Passkey-Verfahren ist, dass sich der Anwender kein Passwort mehr merken muss und es deshalb auch nicht aufschreibt oder so simpel wählt, dass es einfach zu knacken ist.
  • Es besteht auch nicht die Gefahr, dass ein User dasselbe Passwort für unterschiedliche Seiten oder Apps nutzt.
  • Außerdem nutzt es einem Angreifer auch nichts, den Authentisierungscode bei der Verwendung abzufangen, weil beim nächsten Mal bereits ein neuer Code verwendet wird.
  • Aus demselben Grund sind Passkeys gegen Phishing immun, da es kein feststehendes Passwort mehr gibt, was abgefangen werden kann.
  • Es werden weiterhin keine Passwörter in Web-Seiten gespeichert, die ein Angreifer bei einem Hack erbeuten könnte. Und die Kombination der beiden Passkeys ist immer an die Web-Seite gebunden und funktioniert anderswo nicht.

Nachteile

  • Experten warnen bereits jetzt vor dem schwachen Verschlüsselungsverfahren und gehen davon aus, dass es in naher Zukunft durch Quantencomputer geknackt werden wird.
  • Wenn ihr bei der biometrischen Identifikation Probleme habt, kommt ihr auch nicht mehr in eure Apps und Web-Seiten.
  • Es wird weiterhin User geben, die das Verfahren nicht nutzen wollen oder können. Das setzt ein zweigleisiges Anmeldeverfahren voraus, was wiederum ein Sicherheitsrisiko ist / bleibt.
  • Es wird auch immer weiter Web-Seiten geben, die mit der neuen Technik nicht mithalten wollen oder können und bei denen ihr das alte Verfahren nutzen müsst.
  • Das Teilen von Konten wird nicht länger möglich sein. Wenn ihr mit eurem Partner einen Zugang zu Netflix oder Amazon teilt, wird nur einer sich mit Passkey anmelden können.
  • Handy weg – Zugänge weg? Wenn ihr das Gerät, mit dem ihr euch identifiziert, verliert oder es gestohlen wird, habt ihr einige Probleme. Zwar werden die Schlüsselpaare in der Cloud gesichert und können wieder hergestellt werden, doch womöglich braucht ihr dazu Sicherheitsschlüssel. Die hättet ihr vorher erzeugen müssen und wenn ihr Pech habt, sind sie ohne Sicherung ebenfalls auf dem verlorenen Gerät gespeichert.
  • Einfache Zwangsentschlüsselung: Wenn Kriminelle oder Sicherheitsbehörden euch zur Öffnung von Konten und Zugängen zwingen wollen, reicht es bei Passkey bereits, es euch vors Gesicht oder an die Finger zu halten. Im schlimmsten Fall muss sich der Finger dafür nicht einmal mehr an eurer Hand befinden.

Es wird garantiert noch lange dauern, bis sich das Feature Passkeys richtig durchsetzt. Das hat zum einen damit zu tun, dass Millionen von Web-Seiten sich umstellen müssen, aber auch damit, dass nicht jeder Mensch über geeignete technische Mittel verfügt. Und nicht zuletzt müssen die Menschen eine Technik akzeptieren, damit sie sich durchsetzt.

Du willst keine News rund um Technik, Games und Popkultur mehr verpassen? Keine aktuellen Tests und Guides? Dann folge uns auf Facebook oder Twitter.