An der RSA-Conference 2023 im April stellte Google ein Update zu ihrem Authenticator vor und deutete damit bereits den baldigen Wechsel weg von Passwörtern und hin zu «Passkeys» an. Wenig später und ausgerechnet am Vortag des Welt-Passwort-Tages, nämlich am 3. Mai, kündigte Google an, dass die Möglichkeit zum Login mit Passkeys für alle Konten seiner wichtigsten Plattformen in Kürze aktiviert werde. User, die bereits eine 2-Faktor-Authentifizierung nutzen und sich auf google.com einloggen, werden seitdem von Google darauf hingewiesen, dass sie sich einen Passkey einrichten sollen, um ihr Login zu vereinfachen. Android-Smartphones funktionieren sogar direkt als Passkey für das Google-Konto. iphones oder Computer – sowohl Macs als auch PCs – können mit nur wenigen Klicks zu Passkeys gemacht werden.

Somit könnte nun vielleicht der 3. Mai zum «Welt-ohne-Passwort-Tag» erklärt werden, denn tatsächlich machen die sogenannten Passkeys Passwörter bis zu einem gewissen Grad überflüssig. Was aber versteht man genau unter Passkeys und was unterscheidet sie von den bisher verwendeten Passwörtern? Und weshalb sind sie sicherer als Passwörter?
Passkeys stellen eine relativ neue Technologie zur Anmeldung bei Apps und Diensten dar. Sie sind ein Ersatz für Passwörter und gelten als moderner, sicherer und einfacher. Sie nutzen ein Authentifizierungsverfahren, welches von der FIDO Alliance entwickelt wurde. Zu dieser Alliance gehören nebst vielen anderen Unternehmen Google, Apple und Microsoft. Das Verfahren ist offen und funktioniert unabhängig vom Hersteller der Geräte. Bereits haben neben Google auch andere Technologieunternehmen angekündigt, in Zukunft voll auf Passkeys setzen zu wollen. Schon bald wird also kaum jemand um die Einrichtung eines Passkeys herumkommen.
Wir zeigen Ihnen in unserem Blogartikel, wie Passkeys funktionieren, wie Sie sie einsetzen können, und worauf Sie dabei achten sollten.

Passwörter vs. Passkeys

Passwörter sind sogenannte «geteilte Geheimnisse» («shared secrets»). Der Nutzer teilt sein Passwort mit dem Webdienst. Bei der Anmeldung zum Webdienst gibt er seinen Benutzernamen und sein Passwort ein und beweist somit, dass er zur Nutzung des Accounts berechtigt ist. Der Webdienst vergleicht das eingegebene mit dem beim Webdienst gespeicherten Passwort – stimmen die Passwörter überein, wird der Nutzer angemeldet.
Dies ist eine stark vereinfachte Darstellung, entspricht aber im Grunde der Funktionsweise von Passwörtern. Diese Methode, die früher als sicher galt, wurde allerdings vor der Entstehung von Phishing, Trojanern und anderen Cyberangriffen auf die Sicherheit entwickelt. An Passwörter heranzukommen und persönliche Accounts zu übernehmen, ist für Hacker mittlerweile relativ einfach. Um Passwörter zusätzlich abzusichern, nutzt man heute beispielsweise die 2-Faktor-Authentifizierung und Passwortmanager, aber auch diese Methoden können keine 100%-ige Sicherheit garantieren.

Bei Passkeys gibt es kein «hackbares» Passwort mehr, das allein Zugang zum Account verschafft, sondern einen privaten Schlüssel, den nur der Nutzer besitzt, und einen öffentlichen Schlüssel, den der Webdienst kennt. Diese beiden Werte sind verknüpft und ergeben zusammen das «Schlüsselpaar», das nur in Kombination funktioniert. Passkeys nutzen also keine Passwörter, sondern arbeiten mit asymmetrischer Verschlüsselung. Statt das «Geheimnis» Passwort kommt ein sogenannter «Kryptoschlüssel» zum Einsatz – eine zufällig generierte lange Zeichenfolge. Im Gegensatz zum Passwort bleibt dieser Schlüssel geheim und wird mit niemandem geteilt, auch nicht mit dem Dienstanbieter. Er ist fix auf dem Gerät gespeichert, das für Passkeys genutzt werden soll, also zum Beispiel auf dem Smartphone. Möchte sich ein User in einen Dienst einloggen, sendet der Webdienst Daten an das betreffende Passkey-Gerät – eine Art Aufgabe, die das Gerät lösen muss, indem es sie mit dem geheimen Schlüssel signiert und an den Dienst zurücksendet, welcher den Nutzer dann als berechtigt authentifiziert. Die digitale Signatur beweist dem Webdienst, dass die Anfrage vom betreffenden Nutzer kommt, da nur dieser allein den Schlüssel besitzt.

Merke:

1. Der öffentliche Schlüssel kann vom privaten Schlüssel abgeleitet werden, aber nicht umgekehrt.
2. Der private Schlüssel wird auf dem für den Passkey genutzten Gerät erstellt.
3. Den öffentlichen Schlüssel darf im Prinzip die ganze Welt kennen (siehe Punkt 1); für sich allein bedeutet er keine Gefahr für die Sicherheit des Kontos. Er wird beim Webdienst gespeichert und funktioniert nur in Kombination mit dem geheimen privaten Schlüssel.

Die Anmeldung mit dem Passkey kurz erklärt

Man kann sich den Passkey bildlich gesprochen als normales Bügelschloss vorstellen. Es ist aber tatsächlich das sicherste Schloss der Welt und nur ein einziger passender Schlüssel existiert dafür.

Möchte man sich mit dem Passkey beim entsprechenden Webdienst anmelden, geht das wie folgt:

1. Man gibt seinen Benutzernamen an.
2. Der Webdienst sucht dann aus einer grossen Menge an Schlössern das Schloss heraus, auf welchem der richtige Benutzername steht.
3. Der Webdienst schliesst das Schloss zu (dafür braucht er keinen Schlüssel) und sendet es an den User mit dem betreffenden Nutzernamen.
4. Der Nutzer nutzt seinen Passkey (auf dem Smartphone oder einem anderen Gerät) und öffnet das Schloss mit seinem privaten Schlüssel; danach sendet er das geöffnete Schloss an den Webdienst zurück.
5. Die Tatsache, dass das Schloss nun offen ist, beweist dem Webdienst, dass der Nutzer den korrekten privaten Schlüssel, bzw. Passkey, zum Öffnen besitzt, denn er weiss, dass niemand anderes diesen kennt. Da es sich um das sicherste Schloss der Welt handelt, kann der Dienst mit absoluter Sicherheit wissen, dass wirklich der berechtigte Nutzer das Schloss geöffnet hat.

Im nächsten Schritt wird der Nutzer angemeldet und hat Zugriff auf seinen Account.

Fakten auf einen Blick

Wieso sind Passkeys sicherer als Passwörter?

• Passkeys werden auf Basis etablierter, kryptografischer Verfahren erstellt. Sie sind also immer gleich «stark» und deutlich stärker als alle Passwörter, die sich ein Mensch jemals ausdenken könnte.
• Da der geheime Teil (der private Schlüssel) immer beim Nutzer verbleibt, gibt es kein «shared secret», welches beim Dienstanbieter abhandenkommen oder gehackt werden könnte.
• Passkeys sind resistent gegenüber Phishing, da «das Geheimnis» das Gerät des Nutzers nie verlässt. Daher wird kein «zweiter Faktor» beim Login benötigt.

Worauf muss ich dennoch achten?

• Wie Passwörter können auch Passkeys verloren gehen – z. B., wenn das Passkey-Gerät verloren geht. Es ist darum immer sinnvoll, auch Passkeys in seinem Passwortmanager zu sichern – so wie es auch von «Prime Password» unterstützt wird.

Die meisten Webdienste führen Passkeys zu Beginn parallel zu den bereits für den Webdienst bestehenden Passwörtern ein – Nutzer werden bei diesen Diensten dann also vorerst immer noch ein Passwort haben. Dieses Passwort muss selbstverständlich weiterhin den höchsten Sicherheitsvorgaben genügen und sollte unbedingt mit einem zweiten Faktor abgesichert werden, zumindest so lange, bis die Passkeys Passwörter weltweit verdrängt und ersetzt haben.

Von welchen Webdiensten werden Passkeys heute bereits unterstützt?

• Die Unterstützung ist noch nicht flächendeckend, doch schon beachtlich, und die Entwicklung geht schnell voran. Beim Anbieter 1Password finden Sie eine aktuelle Übersicht: https://passkeys.directory/

Unser IT-Security Consultant Marius Dubach steht Ihnen bei weiteren Fragen zu diesem und anderen Sicherheitsthemen sehr gerne beratend zur Seite. Unsere Security-Produkte finden Sie hier.