Surfen ohne Passwort - Mit Passkeys sicher durchs Netz

4. März 2024

• Das neue LoginVerfahren wurde über zehn Jahre entwickelt und ermöglicht sicheres Surfen im Netz ohne Passwort.
• Passkeys arbeiten mit zwei digitalen Schlüsseln, die kryptografisch produziert werden.
• Die neue Authentifizierungsmethode wird sich nach Ansicht von Experten erst allmählich durchsetzen, bei Google beispielsweise können Nutzerinnen und Nutzer sie schon testen.

"Ich habe es schon mal ausprobiert und es war viel leichter als gedacht. Am Ende war die Anmeldung über einen Passkey genauso komfortabel und leicht wie mit einem althergebrachten Passwort. Und so sage ich ganz leise Servus zu 1,2,3,4,5,6,7,8 und Hallo zu Passkeys.“

Michael Münz, Host im Podcast „Update verfügbar“ des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Folge #40 „Passkey statt Passwort – was steckt dahinter?“

Was ist ein Passkey?

Passkey ist eine revolutionäre Art, um sich ohne Passwort online auszuweisen. Die Idee dahinter – wir loggen uns nicht mit einem Passwort und einem Nutzernamen ein, sondern agieren direkt mit digitaler Kryptografie, einem digitalen Verschlüsselungsverfahren. Dafür bekommen wir einen einzigartigen digitalen Krypto-Schlüssel, der auf unseren Geräten sicher gespeichert wird. Mit diesem Schlüssel können wir uns dann überall im Netz anmelden. Einzige Voraussetzung: Der Dienst muss mit dem neuen Passkey-Verfahren arbeiten. Passkeys ermöglicht so den Nutzerinnen und Nutzern „die Anmeldung bei Apps und Websites auf die gleiche Weise, wie sie ihre Geräte entsperren - mit einem Fingerabdruck, einem Gesichtsscan oder einer PIN für die Bildschirmsperre. Und im Gegensatz zu Passwörtern sind Passkeys resistent gegen Online-Angriffe wie Phishing, was sie sicherer macht als Dinge wie SMS-Einmalcodes,“ preist Google die neue Technik auf einer Erklärseite an.

Wer steckt hinter dem Verfahren?

Entwickelt wurde das Passkey-Verfahren von der FIDO-Allianz. FIDO steht dabei für Fast IDentity Online – übersetzt „schnelle Identität bei digitalen Verbindungen. Die Allianz wurde von zum einen internationalen Elektronik- und Digital-Unternehmen wie beispielsweise Infineon, PayPal, Alibaba, Google, Microsoft und Samsung gegründet. Zum anderen sind staatliche Institutionen mit organisiert. Seit 2015 gehört auch das Bundesministerium für Sicherheit in der Informationstechnik (BSI) zur FIDO-Allianz. Das Ziel der Allianz ist laut eigenem Verhaltenskodex, „Passwörter durch einfachere, sichere Authentifizierungsmethoden zu ersetzen.“

Wie funktioniert das Passkey-Verfahren?

Das Passkey-Verfahren beruht auf einem Schlüsselpaar – einem privaten Kryptoschlüssel und einem öffentlichen Schlüssel. Ersterer besteht aus einer langen Zeichenfolge und wird auf unseren unterschiedlichen Geräten gespeichert. Er ist Geräte-gebunden und kann nicht durch z.B. Phishing abgegriffen werden, da er nur auf unseren Geräten lokal gespeichert wird. Wenn wir uns nun im Netz anmelden, sendet die Website oder App eine Anfrage an unser Gerät. Diese müssen wir per Pin, per Face-ID oder Touch-ID bestätigen. Danach schickt unser Gerät eine digitale Signatur – den öffentlichen Schlüssel – zurück an die Website und bestätigt damit unsere Identität. Fertig! Der Schlüsselaustausch funktioniert automatisch und ist komfortabel. Das Passwort wird durch Passkey ersetzt, wir müssen lediglich unsere Identität per Scan oder PIN bestätigen.