Wie unterscheiden sich Passkey und Passwort?

Was ist ein Passkey?

Passkeys sind eine neue Möglichkeit, um sich etwa bei einem Online-Dienst anzumelden, bei der keine Passwörter mehr benötigt werden. Die Anmeldung erfordert dann stattdessen entweder eine biometrische Authentifizierung etwa per Fingerabdruck beziehungsweise Gesichtserkennung oder eine PIN beziehungsweise ein Login per Wischmuster, wie es auf vielen Android-Handys möglich ist.

Das Besondere an Passkeys ist, dass sie nur auf einem bestimmten Gerät des Anwenders funktionieren. Wenn der Nutzer eine andere Hardware verwenden will, benötigt er dafür einen speziellen QR-Code. Diesen scannt er mit seinem Telefon und verwendet anschließend wieder seine Face ID oder Touch ID, um sich damit von einem Gerät in der Nähe aus anzumelden.

Passkeys basieren auf der Web Authentication API, einem Public-Key-Verfahren für sichere Zugriffe. Die dabei verwendeten Schlüssel sind nicht nur einzigartig. Sie nutzen auch verschlüsselte Daten, um ihre Sicherheit zu erhöhen. Man kann sie daher am ehesten mit digitalisierten Zugangskarten vergleichen.

Die Verwendung von Passwörtern

Ein Passwort besteht aus einer Kette von meist unterschiedlichen Zeichen. Genutzt wird es zur Identifikation eines Anwenders während einer Anmeldung an zum Beispiel einem Online-Dienst. In der Regel werden sie daher zusammen mit einem Benutzernamen verwendet. Passwörter sollen einzigartig und nur dem jeweiligen Anwender bekannt sein.

Passwörter können in der Regel kleine und große Buchstaben, Ziffern sowie Sonderzeichen enthalten. Außerdem können sie unterschiedlich lang sein. Um ihre Daten vor unerwünschten Zugriffen zu schützen, sollten Unternehmen Richtlinien für ihre Passwörter festlegen. Dazu gehören zum Beispiel Vorgaben für starke Passwörter.

Eines der größten Probleme mit Passwörtern ist, sich mehrere davon zu merken und nicht in Versuchung zu geraten, sie stattdessen mehrfach zu verwenden. Dieses Wiederverwenden von Passwörtern ist aus Sicherheitssicht ein großes Problem. Sobald ein Cyberangreifer in den Besitz eines mehrfach verwendeten Passworts gelangt ist, kann er es ebenfalls mehrfach Stellen einsetzen, um sich Zugang zu weiteren Daten zu verschaffen.

Viele Anwender setzen daher mittlerweile Passwortmanager ein, um darin unterschiedliche und meist komplexe Passwörter abzuspeichern. Diese Datenbanken werden mit einem Master-Passwort und/oder einer Schlüsseldatei vor unbefugten Zugriffen geschützt. Die in der Datenbank hinterlegten Passwörter dienen dann zum Beispiel für die Anmeldung an einer Webseite oder einer Unternehmensanwendung.

Nachdem der Anwender seinen Benutzernamen eingegeben hat, füllt der Passwortmanager das verbliebene Feld mit dem zugehörigen Kennwort aus. Der Nutzer muss sich dann nur noch ein Master-Passwort für seinen Passwortmanager merken. Falls dieses jedoch gestohlen wird, kann ein Angreifer auf die hinterlegten Passwörter zugreifen.

Wie funktioniert ein Passkey?

Passkeys nutzen meist Bluetooth. Da diese Technik nur über Kurzstrecken funkt, muss sich der Anwender in der Nähe befinden. Das ist für die Überprüfung seiner Zugangsdaten aber durchaus gewünscht.

Nach dem Anmelden und Verlinken des Accounts wird eine Push-Meldung per Bluetooth auf das Gerät gesendet. Anschließend muss der Anwender das Gerät mit seinem privaten Schlüssel entsperren. Das kann entweder durch eine biometrischen Authentifizierung oder die Eingabe einer PIN erfolgen.

Darauf basiert dann auch der öffentliche Schlüssel, der für das Login benötigt wird. Bei der nächsten Anmeldung muss der Anwender dann nur noch die gewünschte Authentifizierungsart erfüllen, wenn er dazu aufgefordert wird. Dabei handelt es sich um seine persönliche Authentifizierungsmethode. Ein Passwort muss er sich nicht mehr merken. Die Passkey-Option erscheint neben dem Feld mit dem Nutzernamen.

Google Chrome und die iCloud Keychain von Apple synchronisieren Passkeys auf Wunsch auch mit Hilfe der Cloud über mehrere Geräte. Wenn der Anwender dann ein neues Gerät hinzufügen will, muss er es nur noch synchronisieren, um auch darauf die Passkey-Technik nutzen zu können.

Warum sind Passkeys sicherer als Passwörter?

Auch wenn Passwörter der aktuell wichtigste Standard für Logins sind, sind sie bei weitem nicht perfekt. Zunächst einmal müssen sich die Menschen ihre Passwörter erst einmal merken. Das kann schwierig sein, wenn es sich um mehrere Kennwörter handelt, die jemand benötigt. Außerdem sollten starke Passwörter komplex aufgebaut und auch nicht zu kurz sein, damit niemand sie knacken kann.

Aber nicht nur das. Passwörter sind auch noch verwundbar gegenüber Cyberangriffen und Datendiebstählen. So können zum Beispiel Kriminelle Attacken via Phishing nutzen, um potenzielle Opfer dazu zu bringen, ihre Passwörter auf gefälschten Webseiten einzugeben. Passkeys können im Gegensatz dazu nicht so leicht gestohlen werden, da sie nur auf dem jeweiligen Gerät und nicht auf einem externen Webserver gespeichert werden.

Passkeys sind vom Design her sicherer als Passwörter, da es einem Angreifer gelingen muss, sich physischen Zugang zu einem Gerät zu verschaffen und er dann zudem den richtigen Fingerabdruck, die passende Face ID oder PIN benötigt, um sich einzuloggen. Auch bei einem Angriff per Bluetooth müssen sich die Ganoven sehr nah bei dem Gerät befinden, um die Attacke durchzuführen. Wenn jemand sein Gerät verliert oder es ihm gestohlen wurde, kann ein Finder oder Dieb ebenfalls nicht ohne die erforderlichen biometrischen Daten darauf zugreifen.

Jeder Passkey ist einzigartig und wird mit Hilfe eines starken Verschlüsselungsalgorithmus erstellt. Die Nutzer müssen sich deshalb nicht mehr wegen schwacher Passwörter Sorgen machen, die eventuell erraten oder geknackt werden können.

Menschen verwenden häufig ein- und dasselbe Passwort für mehrere Dienste. Das führt dazu, dass ein Angreifer oft auch Zugriff auf weitere Accounts erhält, wenn er in den Besitz eines Passworts gerät. Schwache Passwörter führen damit zu Risiken, sowohl für die Nutzer selbst als auch für Unternehmen, die sie zulassen.

Warum Unternehmen passwortlose Authentifizierung schätzen

Passkeys sind einfacher zu nutzen als Passwörter und bieten Unternehmen zudem einen besseren Schutz vor Datendiebstählen. Apple, Google und Microsoft arbeiten mit der FIDO Alliance und dem World Wide Web Consortium (W3C) zusammen, um Wege zu finden, damit die von ihnen angebotenen Passkeys auch auf unterschiedlichen Plattformen genutzt werden können. Passkeys sind eine der neuesten Entwicklungen der FIDO Alliance.

Die Organisation ist bereits seit einer Weile überzeugt, dass Anmeldungen allein auf Basis von Passwörtern ein erhebliches Sicherheitsproblem darstellen und außerdem für viele Anwender einen hohen Aufwand erfordern. Wenn Endanwender oder auch Admins ihre Kennwörter mehrfach verwenden, entsteht ein erhöhtes Risiko für den Diebstahl von Daten und Identitäten. Selbst wenn zum Beispiel eine Firma Passwortmanager oder Zwei-Faktor-Authentifizierung vorschreibt, können online gespeicherte Passwörter trotzdem noch gestohlen werden. Die von der FIDO Alliance und dem W3C angestoßenen Initiativen sind daher ein branchenübergreifender Versuch, um Anmeldungen in Zukunft nutzerfreundlicher und zugleich sicherer zu machen.

Kein Anwender wird jedoch zum Wechsel zu Passkeys gezwungen. Immer mehr Websites und Apps werden in Zukunft aber Passkeys anbieten.