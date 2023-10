Passkeys sind in aller Munde, denn immer mehr Seiten setzen auf diese Sicherheitsmethode, um die eigenen Angebote sowie deren Nutzer zu schützen. Zum Thema gibt es aber immer noch Fragen, und wir haben mit einem Experten zu "Passkeys statt Passwörter" gesprochen.

Biometrie statt Passwort

Was sind Passkeys?

Wieso sind Passkeys sicherer als Passwörter?

Welche Hard- und Software braucht man für Passkeys?

Wer unterstützt Passkeys bereits?

Wer macht es gut und wer weniger?

Was ist der Unterschied zu 2FA bzw. Token-Apps?

Google erklärt, wie Passkeys funktionieren

Was passiert, wenn ich das Gerät verliere?

1Password: Umfassender Passwortmanager

Zusammenfassung Passkeys: Passwortlose Authentifizierung für Web/Apps

Basieren auf kryptografischem Schlüsselpaar

Anmeldung durch biometrische Methoden

Minimieren Risiko von Datenlecks/Missbrauch

Unterstützt von aktuellen Geräten und Betriebssystemen

Implementiert von Google, Amazon, PayPal

Form der Zwei-Faktor-Authentifizierung (2FA)

In den vergangenen Wochen und Monaten ist immer häufiger das Thema Passkeys in den Medien aufgetaucht, weil auch ganz große Unternehmen wie Google und PayPal auf diese Authentifizierungsmethode setzen und auch die Nutzer auffordern, diese zu nutzen. Doch für viele Anwender ist das immer noch eine Unbekannte. Wir haben deshalb Vincent Delitz befragt, Mitgründer des auf Passkeys spezialisierten Münchner Dienstes Corbado Passkeys sind eine passwortlose Authentifizierungsmethode für Websites oder Apps. Im Gegensatz zu herkömmlichen Passwörtern basieren Passkeys auf einem kryptografischen Schlüsselpaar aus öffentlichem und privatem Schlüssel. Der öffentliche Schlüssel wird auf einem Server abgelegt, während der private Schlüssel im Gerät des Nutzers gespeichert wird.Anstelle sich komplexe Passwörter zu merken und eingeben zu müssen, ermöglichen Passkeys den Nutzern, sich beispielsweise über Face ID, Touch ID oder Windows Hello bei Websites und Apps anzumelden.Passwörter können leicht Ziel verschiedener Angriffe werden, wie beispielsweise Phishing, Brute-Force oder Wörterbuchangriffe. Außerdem ist bei den vielen Angriffen auf Nutzerkonten das Passwort dem Angreifer aus alten Datenlecks bekannt, da oft auf unterschiedlichen Websites dasselbe Passwort verwendet wird. Das macht sie anfällig und oft können Angreifer dadurch unerlaubten Zugang zu Nutzerkonten erhalten. Laut HaveIBeenPwned sind über zwölf Milliarden solcher Benutzer- und Passwort-Kombinationen im Darknet auffindbar.Im Gegensatz dazu setzen Passkeys auf ein kryptografisches, asymmetrisches Schlüsselpaar, das sowohl einzigartig als auch schwer zu kopieren ist, welches das Betriebssystem im Hintergrund verwaltet. Die Nutzer können sich einfach und sicher mit bereits bekannten, biometrischen Methoden wie Face ID, Touch ID oder Windows Hello anmelden. Ein direkter Zugriff auf den privaten Schlüssel oder ein Export im Klartext ist nicht möglich.Darüber hinaus sind Passkeys nur für die Website bzw. App gültig, für die sie erstellt wurden. Dadurch können Phishing-Attacken ausgeschlossen werden.Zudem sind Passkeys eine Form der Zwei-Faktor-Authentifizierung (2FA): Einerseits wird das Gerät des Nutzers (erster Faktor) und andererseits die biometrische Verifizierung des Nutzers (zweiter Faktor) benötigt. Das Zusammenspiel all dieser Faktoren minimiert das Risiko von Datenlecks und Missbrauch erheblich.Um Passkeys zu verwenden, benötigt man ein kompatibles Gerät, sei es ein PC, Smartphone oder Tablet. Glücklicherweise sind die meisten aktuellen Geräte bereits für den Einsatz von Passkeys ausgerüstet. Viele davon verfügen über integrierte Sensoren, wie etwa Fingerabdruckscanner oder Kameras zur Gesichtserkennung. Als weitere Option kann man auch externe Sicherheitsschlüssel nutzen, beispielsweise in Form von USB- oder NFC-Schlüsseln.Was die Software angeht, so muss man ebenfalls nichts installieren oder anschaffen: Die meisten gängigen Betriebssysteme und Webbrowser unterstützen Passkeys von Haus aus, ohne dass zusätzliche Installationen erforderlich sind.Immer mehr große Online-Plattformen und -Dienste haben Passkeys bereits implementiert oder sind dabei, es zu tun. Dazu gehören unter anderem Google, Amazon oder PayPal. Hier ist eine aktualisierte Übersicht der Passkey-Anbieter zu finden. Eine weitere Directory ist hier einsehbar.Da die Passkey-Adoption stetig wächst, ist es ratsam, regelmäßig bei bevorzugten Online-Diensten nachzusehen, ob sie Passkeys bereits unterstützen. Weiterhin unterstützen bereits die größten Passwortmanager Passkeys, darunter 1Password oder Dashlane.Obwohl Passkeys eine recht neue Technologie sind, zeichnen sich bereits einige Unternehmen durch ihre besonders guten Implementierungen und Nutzerführungen aus. GitHub, Kayak und Google sind hier positiv zu erwähnen, da sie Passkeys effizient und benutzerfreundlich implementiert haben.Im Gegensatz dazu haben Unternehmen wie PayPal oder Amazon zwar mit der Integration von Passkeys begonnen, aber bestimmte benutzerfreundliche Funktionen bislang nicht aktiviert. Wir sind jedoch zuversichtlich, dass auch diese Unternehmen ihre Systeme in naher Zukunft weiter optimieren und anpassen werden. Genau hier setzt auch Corbado an, indem wir Entwicklern helfen, einen sicheren und benutzerfreundlichen Passkey-Login für Websites und Apps zu integrieren.2FA oder Zwei-Faktor-Authentifizierung ist ein Sicherheitsverfahren, bei dem der Nutzer zwei verschiedene Authentifizierungsmerkmale benötigt, oft ein Passwort kombiniert mit einem einmaligen Code. Dieser Code wird entweder durch Token-Apps generiert oder via SMS bzw. E-Mail versendet.Passkeys hingegen gelten zwar auch als eine Form der 2FA, da sie ebenfalls zwei Authentifizierungsmerkmale benötigen, aber sie funktionieren ein wenig anders. Zum einen basiert die Authentifizierung auf einem Gerät, welches den privaten Schlüssel des Passkeys speichert (also etwas, das der Nutzer in seinem Besitz hat). Zum anderen wird ein biometrisches Merkmal, wie ein Fingerabdruck oder Gesichtsscan, als zweites Merkmal verwendet (etwas, das den Nutzer einzigartig macht).Der wesentliche Vorteil von Passkeys liegt in der Benutzerfreundlichkeit: Nutzer erleben den Anmeldeprozess als nahtlos und merken oft gar nicht, dass sie sich in einem 2FA-Verfahren befinden, da sie im Wesentlichen nur eine biometrische Aktion durchführen, z.B. das Scannen ihres Fingerabdrucks oder Gesichts.Passkeys werden in der Cloud des jeweiligen Betriebssystem-Anbieters zur Sicherheit gespeichert. Auf Android (Google Password Manager) oder Apple-Geräten (iCloud Keychain) erfolgt das automatisch, sofern das jeweilige Backup aktiviert ist (Windows-Geräte ziehen hier bald nach). Sollte ein Gerät verloren gehen und kein Betriebssystem-Backup vorhanden sein, gibt es dennoch verschiedene Möglichkeiten zur Wiederherstellung - je nach Anbieter und Dienst.Erstens bieten moderne Passwortmanager wie 1Pass­word oder Dashlane Optionen, Passkeys zu speichern und zu synchronisieren. Es ist zu erwarten, dass in Zukunft noch weitere Passwort­manager diesen Service anbieten werden.Zweitens kann man zur Vorsicht mehrere Passkeys für denselben Dienst oder dieselbe App speichern. Das bedeutet, dass im Falle eines Geräteverlusts der Zugang über ein anderes Gerät gewährleistet ist.Schließlich haben, falls auf bestimmten Geräten Passkeys nicht synchronisiert werden, viele Dienst­anbieter zusätzliche Sicherheits­maßnahmen integriert. In solch einem Fall haben die meisten Betreiber alternative Wieder­herstellungs­optionen vorgesehen. Dies kann, je nach Anbieter, verschiedene 2FA-Methoden beinhalten: Sicherheitsfragen, Einmalcodes per E-Mail oder SMS, Authenticator-Apps oder sogar das herkömmliche Passwort, vor allem, wenn Passkeys und Passwörter parallel in einer Übergangsphase genutzt werden.