Wissen: Passkeys

Passkeys – die Zukunft ohne Passwort

Passkeys sind eine neue Methode, sich bei Online-Diensten anzumelden – ganz ohne klassisches Passwort. Statt ein Passwort einzugeben, bestätigt man die Anmeldung einfach mit dem eigenen Gerät, zum Beispiel über Fingerabdruck, Face ID oder Geräte-PIN.

Große Anbieter wie Apple, Google und Microsoft unterstützen Passkeys bereits und immer mehr Websites führen diese Technik ein. Sie gelten als deutlich sicherer als herkömmliche Passwörter, weil sie nicht erraten, gestohlen oder über Phishing abgegriffen werden können.

Wenn man den Unterschied zu einem Passwort erklären möchte:

Ein Passwort ist wie ein Code, den man auswendig wissen muss – wenn jemand dieses Passwort kennt oder errät, kann er sich ebenfalls anmelden.

Ein Passkey ist eher wie ein Hausschlüssel, den nur dein Gerät besitzt. Du musst kein Passwort eintippen und niemand kann es stehlen.

Im Detail

Technisch funktionieren Passkeys mit einem sogenannten Schlüsselpaar. Dabei passiert vereinfacht gesagt Folgendes:

Wenn du dich bei einem Dienst registrierst oder im Nachhinein einen Passkey hinzufügst, erstellt dein Gerät zwei digitale Schlüssel.

• Einen öffentlichen Schlüssel, den die Website speichert

• Einen privaten Schlüssel, der sicher auf deinem Gerät bleibt

Wenn du dich später bei diesem Dienst anmeldest, fragt die Website dein Gerät im Prinzip:

„Kannst du beweisen, dass du der Besitzer dieses Kontos bist?“

Dein Gerät bestätigt das dann mit dem privaten Schlüssel den es gespeichert hat.

Man kann sich das vorstellen wie ein Schloss und einen Schlüssel:
Die Website hat nur das Schloss, aber nur dein Gerät besitzt den passenden Schlüssel.

Das bedeutet: Selbst wenn ein Online-Dienst gehackt wird, können Angreifer mit den gespeicherten Daten nichts anfangen, weil dort nur der öffentliche Schlüssel liegt.

Passkeys werden meist in einem Passwortmanager oder im Betriebssystem gespeichert und können zwischen Geräten synchronisiert werden.

Wie sähe in diesem Fall ein Phishing Angriff aus

Mit Passwort

Du bekommst eine Fake-E-Mail von zB. Google:

„Ihr Konto wurde gesperrt – bitte melden Sie sich an.“

Du klickst auf den Link und wirst zu einer gefälschten Seite gelotst und gibst dein Passwort ein.
Die Seite entpuppt sich als eine Fälschung → der Angreifer hat jetzt dein Passwort.

Mit Passkey

Selbe Fake-E-Mail. Du klickst auf den Link. Die Fake-Seite fragt nach einem Login. Dein Gerät versucht den Passkey zu verwenden und sagt:

„Dieser Passkey gehört nicht zu dieser Website.“

Der Login ist nicht möglich. Der Angriff scheitert.

Vorteile

• deutlich sicherer als klassische Passwörter

• kein Merken oder Eintippen von Passwörtern

• schützt sehr effektiv vor Phishing (du kannst niemanden ein Passwort verraten dass es nicht gibt)

• Anmeldung oft schneller und komfortabler

Was man wissen sollte

• noch nicht alle Websites unterstützen Passkeys

• meist ist ein Passwortmanager oder ein modernes Gerät erforderlich

• bei einem Gerätewechsel müssen Passkeys übertragen oder neu eingerichtet werden (das ist sehr wichtig!)