Passkey

Was ist ein Passkey?

Die Authentifizierung per Passkey soll traditionelle Ansätze etwa über Nutzername und Kennwort ersetzen und für mehr Sicherheit sorgen. Anstatt sich auf alte Anmeldemethoden zu verlassen, die anfällig für Phishing-Angriffe, Hacking-Versuche, Keylogger, Datenschutzverletzungen und andere Sicherheitslücken sind, können Websites und Apps Passkeys verwenden, um die Anmeldedaten eines Benutzers zu überprüfen. Passkeys werden nur auf dem Gerät des Nutzers gespeichert, so dass es kein Passwort gibt, das von Betrügern abgefangen werden könnte.

Fachleute für Cybersicherheit betonen seit langem, wie wichtig sichere Passwörter sind, um Sicherheitslücken zu vermeiden. Da Anwender jedoch häufig schwache Passwörter erstellen oder Passwörter wiederverwenden, wurde die Zwei-Faktor-Authentifizierung (2FA) entwickelt, bei der registrierte Konten durch Einmalpasswörter (OTP), Anrufe, Textnachrichten oder E-Mails bestätigt werden. Diese Praxis fügt zwar eine zweite Sicherheitsebene hinzu, löst aber immer noch nicht das eigentliche Problem: Passwörter sind von Natur aus anfällig für Phishing und andere Angriffe, die darauf abzielen, Anmeldedaten zu stehlen oder zu umgehen. Die Zwei-Faktor-Authentifizierung hat es den Betrügern nur etwas schwerer gemacht.

Der Ursprung der Passkeys

Die Passkey-Idee kam erstmals 2009 auf, als Validity Sensors - 2013 von Synaptics übernommen - und mit PayPal gemeinsam das Konzept der Verwendung biometrischer Daten anstelle von Passwörtern für die Online-Identifizierung entwickelten. Im Juli 2012 gründeten sie zusammen mit mehreren anderen führenden Technologieunternehmen die FIDO Alliance, ein Zusammenschluss für Web-Sicherheit. Die FIDO gab ihre Initiativen im Februar 2013 öffentlich bekannt. Google trat im April 2013 bei. Im Februar 2014 führten PayPal und Samsung mit dem Samsung-Smartphone Galaxy S5 den ersten öffentlichen Einsatz der FIDO-Authentifizierung ein. Nutzer des Geräts konnten sich zum ersten Mal mit einem Fingerwisch bei PayPal authentifizieren und online einkaufen, ohne ein Passwort eingeben zu müssen, um die Zahlung abzuschließen.

Passkey-Nutzung nimmt zu

Ein Großteil der Passkey zugrunde liegenden Technologie wurde bereits in den technischen Alltag integriert, wie beispielsweise die Zwei-Faktor-Authentifizierung und biometrische Systeme, die sich auf das Gesicht oder den Fingerabdruck eines Benutzers beziehen, um ein Gerät zu entsperren oder eine andere Authentifizierung zu ermöglichen. Passwörter sind jedoch nach wie vor die Standardmethode für den Zugang zu Websites und Softwareprogrammen - und damit eine potenzielle Sicherheitslücke.

Laut FIDO sorgen herkömmliche Passwörter sowohl für Sicherheitsrisiken als auch Störungen in der Benutzererfahrung. Die Allianz behauptet, dass mehr als 80 Prozent der Datenschutzverletzungen das Ergebnis kompromittierter Passwörter sind. Ein Problem, das durch die Tatsache verschärft wird, dass Passwörter häufig wiederverwendet werden - bis zu 51 Prozent.

Apple fördert Passkeys

Die Aufmerksamkeit für die Passkey-Technologie wurde durch Apple beschleunigt. Auf seiner Worldwide Developers Conference im Juni 2022 kündigte Apple öffentlich seine Passkey-Funktion an, die in iOS 16 und macOS Ventura enthalten ist. Passkeys sind auch in das iPhone 14 integriert.

Die Passkey-Funktion von Apple nutzt die bestehende iOS-Technologie, die die Funktionen Touch ID und Face ID unterstützt. Websites, die Passkeys unterstützen, ermöglichen es Nutzern, Konten zu erstellen und sich anzumelden, indem sie ihren Fingerabdruck oder ihr Gesichtsabbild anstelle eines Passworts zur Authentifizierung ihrer Anmeldedaten verwenden.

Apple Passkeys verwenden das iCloud-Schlüsselbund-Passwortverwaltungssystem, um Passkeys zu sichern und sie mit allen Apple-Geräten eines Nutzers zu synchronisieren. Das bedeutet, dass Benutzer einen Zugangsschlüssel für eine Website auf ihrem Telefon erstellen können und dann denselben Zugangsschlüssel verwenden können, um sich später auf dieser Website anzumelden, wenn sie beispielsweise ein iPad verwenden.

Wie funktioniert ein Passkey?

Wenn Sie versuchen, sich bei einer Website anzumelden, die die Passkey-Technologie verwendet, sendet die Website eine Push-Benachrichtigung an das Smartphone, das Sie bei der Registrierung des Kontos verwendet haben. Wenn Sie Ihr Gesicht, Ihren Fingerabdruck oder Ihre persönliche Identifikationsnummer (PIN) zum Entsperren des Geräts verwenden, wird ein eindeutiger Hauptschlüssel erstellt und an die Website übermittelt, auf die Sie zugreifen möchten. Dann sind Sie angemeldet, ohne dass Ihre Anmeldeinformationen oder biometrischen Daten über eine potenziell unsichere Wi-Fi-Verbindung übertragen werden oder Sie sie abtippen müssen.

Passkeys, die auf der Webauthentifizierungs-API basieren, funktionieren nur für die Website, auf der sie erstellt werden. Die Passkeys werden dann auf dem Gerät des Nutzers gespeichert und nicht auf einem physischen oder Cloud-basierten Server.

Bislang hat Apple die umfassendste Beschreibung der Funktionsweise von Passkeys in seinem Technologie-Ökosystem. Der iCloud-Schlüsselbund-Dienst von Apple speichert seine kryptografischen Schlüssel in einer ratenbegrenzten Weise, um Brute-Force-Angriffe zu verhindern. Die Schlüssel können selbst dann wiederhergestellt werden, wenn alle Geräte eines Nutzers verloren gehen oder beschädigt werden. Wenn Sie neu in der Apple-Welt sind und Ihr erstes iOS-Gerät einrichten, müssen Sie zunächst die Zwei-Faktor-Authentifizierung einrichten. Wenn Sie ein neues Gerät hinzufügen möchten, benötigen Sie Ihr Apple-ID-Kennwort und den sechsstelligen Code, der über eine Push-Benachrichtigung an ein anderes vertrauenswürdiges Gerät oder eine Telefonnummer gesendet wird.

Nehmen wir zum Beispiel an, Sie beginnen mit einem iPhone. Sie würden die Zwei-Faktor-Authentifizierung einrichten, wenn Sie es zum ersten Mal benutzen und Ihre Apple ID einrichten. Wenn Sie einen Einkauf tätigen oder eine andere gesicherte Transaktion abschließen möchten, müssen Sie Ihr Apple-ID-Kennwort eingeben und Ihr iPhone - oder das Gerät, das Sie bei der Ersteinrichtung der Zwei-Faktor-Authentifizierung verwendet haben - auf den sechsstelligen Code überprüfen, der Ihnen zugeschickt wurde. Wenn Sie den Code eingeben, wird das neue Gerät dem „Circle of Trust“ hinzugefügt, den Apple als iCloud-Schlüsselbund bezeichnet. Stellen Sie sich diesen „Circle“ als eine Kette vor, und Ihre Geräte stellen Glieder dar, die der Kette hinzugefügt werden, während Sie sie einrichten.

Wenn Sie sich bei einer Website auf einem Computer anmelden müssen, den Sie normalerweise nicht benutzen - unabhängig davon, ob Sie ein Apple-, Microsoft- oder Google-Produkt verwenden -, erscheint bei aktivierter Passkey-Technologie auf dem Anmeldebildschirm der Website ein QR-Code, den Sie mit Ihrem Telefon scannen können. Wenn Bluetooth auf Ihrem Telefon aktiviert ist und sich das Telefon in Bluetooth-Reichweite des Geräts befindet, mit dem Sie sich anmelden wollen, erhalten Sie eine Push-Benachrichtigung, um die biometrische Identifizierung oder eine PIN auf Ihrem Telefon zu verwenden. Sobald Sie das getan haben, gibt Ihr Telefon der Website Entwarnung und Sie können sich anmelden.

Wo Passkeys Verwendung finden

Apple ist nicht das einzige Unternehmen, das bei der passwortlosen Anmeldung mitspielt. Google unterstützt Passkeys im Google Chrome-Browser, auf Android-Geräten und in allen Google-Konten, einschließlich Gmail und Drive. In ähnlicher Weise hat Microsoft über das Programm Windows Hello Passkeys in sein Windows-Betriebssystem aufgenommen, mit denen sich die Nutzer mit einer PIN und biometrischer Authentifizierung anmelden können. Die passwortlose Anmeldung wird zweifellos künftig zum Standard gehören, das Tempo der Umsetzung jedoch variieren. Die FIDO führt eine aktuelle Liste der Unternehmen, die ihre Technologie nutzen.

Ist ein Passkey sicherer als ein Passwort?

Da jeder Passkey einzigartig ist, sind Passkeys in der Regel sicherer als Passwörter. Das bedeutet, dass Passwörter nicht mehr über mehrere Websites und Plattformen hinweg wiederverwendet werden können. Und da die Passkeys automatisch generiert werden, sind die Nutzer nicht mehr auf Passwörter angewiesen, die entweder leicht zu merken - und leider auch leicht zu erraten - oder so kompliziert sind, dass sie leicht vergessen werden können.

Da Passkeys eine Ende-zu-Ende-Verschlüsselung verwenden, können nicht einmal die Unternehmen, die sie erstellen, sie sehen oder ändern. Apple erklärt, dass seine Passkeys Kryptographie mit öffentlichen Schlüsseln verwenden und tatsächlich zwei Schlüssel erstellen. Ein Schlüssel ist öffentlich und wird auf dem Server der Website gespeichert, der andere ist privat und wird auf dem Gerät des Nutzers gespeichert, so dass er nur für den Nutzer zugänglich ist.

In der Praxis bedeutet dies, dass die privaten Schlüssel, die in jedem Schlüsselpaar generiert werden, nur auf Ihrem Gerät und nicht auf dem Server einer Website gespeichert werden, was es unmöglich macht, dass Ihre Anmeldeinformationen durch eine Datenverletzung oder einen Hackversuch entdeckt werden. Ein Hacker könnte nur auf den öffentlichen Schlüssel zugreifen, der für ihn nutzlos wäre, da er keinen Zugriff auf Ihre Kontoinformationen gewährt. Selbst wenn jemand auf einen Phishing-Link in einer E-Mail oder Textnachricht hereinfallen würde, wäre der Versuch fehlgeschlagen, da der Zugangsschlüssel auf dem Gerät des Nutzers nur mit der Website funktioniert, die ihn erstellt hat.