Eine neue Authentifizierungsmethode läutet das Ende der Passwörter ein. Die Zukunft heißt Passkeys. Benutzer können sich mit ihnen sicher und komfortabel in Accounts einloggen, ohne dafür ein Passwort zu benötigen. Doch was genau sind Passkeys und warum ist das Einloggen mit ihnen sicherer als mit einem Passwort?
Das Problem mit den Passwörtern
Passwörter haben uns in der Vergangenheit gute Dienste geleistet. Jedes Mal, wenn wir uns in einen Account einloggen, müssen wir dem jeweiligen Dienst zunächst beweisen, dass dieser auch tatsächlich uns gehört. Mit einem Passwort – also einem Geheimwort, dass nur wir und der Dienst kennen – konnten wir genau diesen Beweis erbringen.
Doch in Zeiten von Hackerangriffen, Datenlecks und Phishing sind Passwörter zu einem Geheimnis geworden, dass leider viel zu oft in die falschen Hände gerät. Mit stärkeren Passwortrichtlinien und Empfehlungen, wie Kennwörter immer nur für einen einzigen Dienst zu verwenden (und das am besten alle paar Wochen zu ändern), konnte man dem Sicherheitsproblem nur bedingt Herr werden.
Hinzu kommt, dass die Verantwortung für die Sicherheit dadurch plötzlich den Benutzern zugeschoben wurde. Wer nicht die Zeit investiert, seine Passwörter aktiv zu verwalten oder einen Passwortmanager zu nutzen, der hat eben Pech, wenn der eigene Account gehackt wird. Die 2-Faktor-Authentifizierung hat in diesem Kontext zwar die Sicherheit erhöht, im gleichen Zuge aber auch den Aufwand für den Benutzer.
Doch es gibt Licht am Ende des Tunnels. Mit Passkeys soll das alles bald der Vergangenheit angehören.
Was sind Passkeys?
Im Prinzip ist ein Passkey nichts weiter, als eine digitale Anmeldeinformation, die als Authentifizierungsmethode für Webseiten oder Anwendungen verwendet werden kann. Anstatt sich komplizierte Zeichenketten merken zu müssen, authentifizieren sich Benutzer mithilfe eines eindeutigen Passkeys.
Der dahinterliegende Standard wurde von der FIDO Alliance entwickelt. Die FIDO Alliance ist ein Zusammenschluss aus Unternehmen, mit dem Ziel, „offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln.“ Zu den Mitgliedern zählen unter anderem Unternehmen wie Apple, Google, Microsoft oder Meta.
Wie funktionieren Passkeys?
Passkeys sind Teil eines neuen Webstandards namens Web Authentication oder WebAuthn. Anstelle von Benutzernamen und Passwörtern verwendet WebAuthn ein Public-Key-Verschlüsselungsverfahren (auch bekannt als Public Key Encryption), um Identitäten zu überprüfen. Es handelt sich dabei um dieselbe Lösung, die beispielsweise auch Messaging-Apps zur Verschlüsselung von Nachrichten verwenden.
Public-Key-Verschlüsselungsverfahren verwenden ein Schlüsselpaar, bestehend aus einem öffentlichen Schlüssel und einem privaten Schlüssel, der nur dem Empfänger bekannt ist. Wie diese Methode funktioniert, haben wir in diesem Beitrag näher beschrieben: Was ist Public Key Encryption?
Wird nun einen Account bei einem Dienst erstellt, der WebAuthn verwendet, wird anstelle eines manuell zu vergebenden Passworts automatisch ein solches Schlüsselpaar erstellt. Der private Schlüssel wird dabei auf dem Gerät abgespeichert, mit dem man sich registriert hat.
Dadurch wird kein potenziell unsicheres Passwort mehr benötigt, das bei einem Datenleck öffentlich werden könnte. Auch Phishing-Websites stellen zukünftig kein Risiko mehr dar, da der private Schlüssel auch bei einem Login nie übermittelt wird. Damit kann er nicht gestohlen werden. Hinzu kommt die unkomplizierte Handhabung für den Anwender.
Wer selbst ausprobieren möchte, wie einfach und barrierefrei sich dieser Prozess in der Praxis anfühlt, kann das auf der Seite https://www.passkeys.io/ mit einem fiktiven Account machen.
Passkeys in der Praxis
Einige Plattformen bieten die Authentifizierung über Passkeys bereits heute an. Darunter zum Beispiel Adobe, Microsoft und Google. Eine Liste aller Anbieter ist im Web unter https://passkeys.directory zu finden.
Problematisch ist in der Praxis noch die geräteübergreifende Synchronisierung der Schlüssel. Bei Apple beispielsweise werden Passkeys zwar im iCloud-Schlüsselbund gespeichert und können dadurch von allen verknüpften Geräten (wie z. B. Macs, iPhones oder iPads) verwendet werden, allerdings ist der Login auf einem Android-Smartphone damit noch nicht problemlos möglich. Anbieter von Passwortmanagern wie 1Password und Dashlane – beides ebenfalls Mitglieder der FIDO Alliance – haben aber bereits Lösungen für diese Problematik angekündigt
Die Zukunft von Passkeys
Passwörter, wie wir sie heute kennen, werden in der Zukunft an Relevanz verlieren. Zu groß ist das Risiko, dass mit kompromittierten Kennwörtern einhergeht. Mittel, wie die 2-Faktor-Authentifizierung, erhöhen zwar die Sicherheit, bringen aber einen Mehraufwand für Benutzer mit sich, was die Akzeptanz schmälert.
Je schneller es eine Lösungen für das plattformübergreifende Teilen von Passkeys gibt und mehr Plattformen diese Authentifizierungsmethode proaktiv anbieten, desto früher werden wir uns von unseren Passwörtern verabschieden können.