Was ist ein Passkey?
- IAM-Glossar
- Was ist ein Passkey?
Passkey ist eine moderne, passwortlose Authentifizierungstechnologie, mit der sich Benutzer bei ihren Konten mittels eines kryptografischen Schlüssels anstelle von Passwörtern anmelden. Ein Passkey nutzt biometrische Merkmale (Fingerabdruck, Gesichtserkennung usw.) zur Bestätigung der Benutzeridentität.
Worin bestehen die unterschiede zwischen passkey und einem passwort?
Trotz des ähnlichen Namens sind Passkeys etwas gänzlich anderes als Passwörter.
Was ist ein passwort?
Ein Passwort ist eine Abfolge von Zeichen, die ein Benutzer eingeben muss, um sich bei einer Webseite oder in einer App anzumelden. Darüber hinaus wird meist noch ein Benutzername benötigt. Zur Verhinderung von Datendiebstählen und Kontoübernahmeangriffen empfiehlt das NIST (National Institute for Science and Technology der USA), dass Passwörter folgende Kriterien erfüllen sollten:
- Mindestens acht Zeichen lang
- Möglichst alle Sonderzeichen sollten verwendet werden können, aber nicht zwingend erforderlich sein
- Verhinderung von bestimmten Zeichenfolgen oder Zeichenwiederholungen (z. B. 123456 oder aaaaaaaa)
- Verhinderung von kontextspezifischen Passwörtern (z. B. dem Namen der Webseite)
- Verhinderung von häufig genutzten Passwörtern (z. B. Quertz, passwort123) und Wörterbuchwörtern.
Was ist ein Passkey?
Ein Passkey ist eine neue Authentifizierungstechnologie, die auf Schlüsselpaar-Kryptografie beruht und bei der Benutzer für die Anmeldung bei Webseiten und Apps keine Passwörter eingeben müssen. Stattdessen authentifizieren sich Benutzer auf dieselbe Weise, wie sie ihre Smartphones und Tablets entsperren: mit einem Fingerabdruck, mit Gesichtserkennung oder anderen biometrischen Merkmalen, per Wischmuster oder durch die Eingabe einer PIN. Die bequemste Lösung ist die Anmeldung mit biometrischen Merkmalen.
Benutzer legen hierbei für die Anmeldung statt eines Passworts einen Passkey mit einem Authenticator an. Dieser Passkey besteht aus einem privaten und einem öffentlichen Schlüssel. Der Authenticator kann ein Gerät wie ein Smartphone oder Tablet, ein Internetbrowser oder ein Passwortmanager sein, der die Passkey-Technologie unterstützt.
Vor der Erstellung des Passkeys ist es erforderlich, dass sich die Benutzer beim Authenticator mit einer PIN, einem Wischmuster oder biometrischen Merkmalen identifizieren. Der Authenticator sendet dann den öffentlichen Schlüssel (entspricht in etwa einem Benutzernamen) zum Kontoserver, wo er gespeichert wird. Der Authenticator speichert gleichzeitig den privaten Schlüssel lokal auf dem Gerät. Wenn der Authenticator ein Smartphone oder anderes Gerät ist, wird der Schlüssel im Schlüsselspeicher des Geräts verwahrt. Ist er ein Passwortmanager, dann wird der private Schlüssel im verschlüsselten Tresor des Passwortmanagers gespeichert.
Wie funktioniert ein passkey?
Zur Erstellung eines Passkeys müssen sich Benutzer wie gewohnt bei ihrem Konto anmelden und dann das Passkey-Verfahren in den Sicherheitseinstellungen der Webseite oder App aktivieren. Die Webseite/App wird den Benutzer dann auffordern, einen Passkey auf dem Gerät zu speichern. Der Browser oder das Betriebssystem wird dann eine biometrische Authentifizierung verlangen, um die Anfrage zu bestätigen. Dann ist der Passkey schon gespeichert.
Bei zukünftigen Anmeldungen auf der Webseite müssen die Benutzer dann den Passkey von ihren Geräten für die Anmeldung nutzen und nicht mehr das Passwort. Falls der Browser die Passkey-Synchronisierung auf mehrere Geräte unterstützt, können Benutzer den Passkey auch von anderen Geräten aus nutzen.
Verwenden Benutzer ein Gerät, dass keinen Passkey für die Webseite oder App hat, dann können sie eventuell ein anderes Gerät nutzen. Unterstützt der Internetbrowser die geräteübergreifende Authentifizierung, bietet der Browser eventuell die Möglichkeit an, einen QR-Code zu scannen, um die Anmeldung abzuschließen. Geräteübergreifende Authentifizierung nutzt zudem Bluetooth, um die Nähe der Geräte zueinander sicherzustellen.
Das sehen die Endbenutzer. Werfen wir mal einen Blick darauf, was hinter den Kulissen geschieht, also auf den Servern. Versucht ein Benutzer, sich mit einem Passkey anzumelden, sendet der Server eine "Herausforderung" an den Authenticator, die aus einer Reihe von Daten besteht. Der Authenticator nutzt den privaten Schlüssel, um die Herausforderung zu lösen, und schickt anschließend die Antwort zurück an den Server. Der Prozess ist die Signierung der Daten und Verifizierung der Benutzeridentität.
Wie Sie sehen, hat der Server zu keinem Zeitpunkt des Prozesses Zugriff auf den privaten Schlüssel des Benutzers. Das heißt, es werden keine sensiblen Daten übermittelt. Das ist nur möglich, weil der auf dem Server gespeicherte öffentliche Schlüssel mathematisch vom privaten Schlüssel abgeleitet wird. Der Server benötigt nur den öffentlichen Schlüssel und die signierten Daten, um zu bestätigen, dass der private Schlüssel dem Benutzer gehört.
Sind passkeys sicherer?
Passkeys sind aus mehreren Gründen sicherer als Passwörter:
- Damit Passwörter funktionieren, müssen sie oder zumindest deren Hash-Werte auf Kontoservern gespeichert werden, damit die gespeicherten Daten und die von Benutzern eingegebenen Daten abgeglichen werden können. Wie im vorherigen Abschnitt gesagt, ist es für die Passkey-Technologie nicht erforderlich, den privaten Schlüssel auf Kontoservern zu speichern. Sie müssen nur den öffentlichen Schlüssel speichern. Sollte ein Kontoserver mal gehackt werden, haben die Angreifer nur den öffentlichen Schlüssel, der ohne den entsprechenden privaten Schlüssel wertlos ist.
- Die meisten Menschen haben schlechte Passworthygiene. Sie nutzen Passwörter, die zu kurz sind, Wörter aus Wörterbüchern oder biografische Daten enthalten, die einfach zu erraten sind. Sie verwenden dieselben Passwörter für mehrere Dienste. Anstelle eines digitalen Passwortmanagers schreiben sie ihre Passwörter auf Klebezettelchen oder in unverschlüsselten Textdateien auf. Passkeys werden dagegen im Authenticator des Benutzers erstellt, sodass sie immer extrem komplex und einzigartig sind für jeden Benutzer und jedes Konto, jedes Mal.
- Viele Menschen schützen ihre Konten zudem nicht mit Zwei-Faktor-Authentifizierung (2FA). Passkeys basieren von Grund her auf 2FA: Für die Verwendung eines Passkeys brauchen Endbenutzer einen Authenticator, wodurch die Kriterien "Etwas, das Sie sind" (biometrische Merkmale) und "Etwas, das Sie haben" (der Authenticator) erfüllt sind.
- Anders als Passwörter können Passkeys nicht durch Phishing erlangt werden, denn es ist unmöglich, einen Benutzer zur Eingabe eines Passkeys auf einer imitierten Webseite einzugeben.
Werden passkeys die passwörter und passwortmanager ersetzen?
Passkeys werden Passwörter irgendwann ganz ablösen. Passwortmanager werden sie aber nicht ersetzen. Vielmehr werden diese noch wichtiger werden, denn Passkeys sind an einen Authenticator gebunden. Benutzer können dafür ein Gerät verwenden (üblicherweise ein Smartphone, aber Tablets, Laptops oder Desktop-PCs gehen auch) oder einen Passwortmanager nutzen, der Passkeys unterstützt.
Auf den ersten Blick klingt es logisch, ein Smartphone als Authenticator zu nutzen, da die meisten Menschen fast immer eins bei sich tragen. Allerdings wird das schnell umständlich, denn die meisten Menschen nutzen mehrere Geräte. Will man sich auf einem anderen Gerät bei einer App oder Webseite anmelden (z. B. dem Laptop oder Tablet) muss erst ein QR-Code auf dem Gerät erstellt werden, der vom Authenticator-Gerät gescannt werden muss und schließlich müssen die biometrischen Merkmale bestätigt werden, um sich endlich anmelden zu können.
Ein Passwortmanager wie Keeper kann den Prozess stark vereinfachen, indem der Passkey an eine Anwendung statt eines Geräts gebunden wird. Für Keeper stellen wir deshalb ab Anfang 2023 die Passkey-Unterstützung bereit.
Welche unternehmen unterstützen passkeys?
Zum Verfassungszeitpunkt des Texts bieten nur einige wenige Webseiten und Apps die Unterstützung für Passkeys an. Apple, Microsoft, Best Buy, GoDaddy, PayPal, Kayak und eBay zählen zu den großen Marken, die Passkey aktuell unterstützen.
Wegen des höheren Komforts und der besseren Sicherheit nimmt die Beliebtheit von Passkeys aber rasant zu. Google hat die Passkey-Unterstützung im Dezember 2022 für Chrome Stable-Version M108 für Windows, Android und macOS ausgerollt. An der Unterstützung für iOS und ChromeOS wird gearbeitet. Zudem arbeitet man an einem neuen API-Set, mit der die Passkey-Unterstützung auch in Android-Apps ermöglicht werden soll.