Die Verwendung von Passkeys anstelle von Passwörtern ist eine gute Möglichkeit für Websites, eigene Nutzerkonten sicherer, einfacher, nutzerfreundlicher und passwortlos zu machen. Mit einem Passkey kann sich ein Nutzer mit seinem Fingerabdruck, seinem Gesicht oder seiner Geräte-PIN auf einer Website oder in einer App anmelden.
Wenn ein Diensteanbieter den Login mittels Passkey ermöglicht, muss zunächst einmal die Anmeldung per Passkey im entsprechenden Account einrichten. Das geht über die Sicherheitseinstellungen auf der Webseite oder in der App des Anbieters. Ist die Funktion eingerichtet, hinterlegt das Gerät einen sogenannten geheimen Schlüssel im internen Speicher. Gleichzeitig wird ein passender öffentlicher Schlüssel erstellt, der bei dem eigenen Onlinedienst, z. B. einem Onlineshop oder einem Streamingdienst, gespeichert wird. Diese Schlüssel sind die Grundlage für ein komplexes, kryptografisches Verfahren, das ab der Registrierung bei jeder Anmeldungunbemerkt abläuft.
In der Regel wird von nun an beim Login gefragt, ob man ein Passwort eingeben oder ein Passkey nutzen möchte. Wenn es ein Passkey, wird diese Wahl durch einen weiteren Sicherheitsfaktor, zum Beispiel einen Fingerabdruck. Das ist wichtig, damit Diebe oder Finder des Geräts keinen Zugang zu den Passkeys bzw. Onlinekonten erhalten. Anschließend tauschen der Diensteanbieter und das Gerät im Hintergrund alle nötigen Daten und Berechnungen aus und das in Sekundenbruchteilen, und ohne dass weitere Eingaben gemacht werden müssen. War dieser Vorgang erfolgreich, gibt der Plattformbetreiber den Zugang frei und man ist eingeloggt.
Passkeys bieten mehrere entscheidende Vorteile gegenüber traditionellen Authentifizierungsmethoden:
• Höhere Sicherheit: Passkeys sind widerstandsfähig gegen Phishing, Passwortdiebstahl und Brute-Force-Angriffe, da sie auf kryptografischen Schlüsseln und nicht auf Passwörtern basieren.
• Benutzerfreundlichkeit: Benutzer:innen müssen sich keine komplexen Passwörter merken oder regelmäßig ändern. Die Authentifizierung erfolgt schnell und einfach über biometrische Merkmale oder einen Geräte-PIN.
• Reduzierung der Angriffsfläche: Da der private Schlüssel niemals das Gerät des Benutzers verlässt, wird die Angriffsfläche für Hacker erheblich reduziert.
• Kompatibilität und Flexibilität: Passkeys funktionieren über verschiedene Geräte hinweg, was sie ideal für eine breite Nutzerbasis macht.
Das Passkey-Verfahren, basierend auf den FIDO2- und WebAuthn-Standards, ermöglicht eine sichere und passwortlose Authentifizierung durch die Verwendung von asymmetrischen Schlüsselpaaren. Der Datenfluss in diesem Verfahren kann in mehrere Schritte unterteilt werden: Registrierung, Anmeldung, und Verifizierung.
Die Nutzung von Passkeys ist von der Betriebssystem- und Browserversion abhängig. Je nach Betriebssystem und Browser können Sie möglicherweise keine Passkeys erstellen oder nutzen. Für ein optimales Funktionieren und aus Sicherheitsaspekten sollten das Betriebssystem und der Browser unbedingt immer auf dem neusten Stand gehalten werden.
Auch kommerzielle sowie Open-Source-Passwortmanager von Drittanbietern rüsten langsam auf und führen die Unterstützung von Passkeys ein. Wie bei Apple und Google werden bei den meisten Passwortmanagern die Passkeys verschlüsselt in der Cloud des Herstellers gespeichert. Die Nutzung selbst unterscheidet sich kaum von der Nutzung als Passwort-Verwaltung. Insofern wird sich für diejenigen, die Passwortmanager bereits zu Verwaltung ihrer Passwörter nutzen, an der Benutzbarkeit nicht viel ändern. Statt starker Passwörter werden dann Passkeys vom Passwortmanager generiert und gespeichert.
Auch in Puncto Flexibilität sind Passwortmanager weit vorne, zumindest, was die Varianten mit Cloud-Lösung betrifft. Wer Passwortmanager für die Verwaltung seiner Passkeys nutzt, kann die dort gespeicherten Passkeys nahtlos auf mehreren Geräten einsetzen. Dafür muss lediglich die jeweilige Passwortmanager-App auf dem entsprechenden Gerät installiert werden. Damit ist auch die Nutzung der Passkeys auf betriebssystemfremden Geräten möglich, sofern das jeweilige Betriebssystem von der App unterstützt wird.