Passwörter haben bald ausgedient. Mit dem Nachfolger Passkeys können Sie sich passwortlos, aber dennoch sicher und komfortabel auf Webseiten einloggen. Erste Anwendungen unterstützen dies bereits.
❯ von Andreas Dumont
Sicherheitsexperten wie Bruce Schneier sind schon lange der Ansicht, dass Passwörter weder sicher noch zeitgemäß sind. Passkeys hingegen sind so konzipiert, dass der menschliche Faktor bei der Authentifizierung so weit wie möglich ausgeschaltet wird: schwache Passwörter, mehrfach verwendete Passwörter, aufgeschriebene Passwörter, vergessene Passwörter. Phishing und andere Angriffe haben in der Regel eines zum Ziel: Passwörter. Ohne Passwörter könnte die Welt also eine bessere sein. Versuche, die Passwörter zu beerdigen, gab es schon mehrere. Alle sind gescheitert – an der Komplexität, an den Kosten beispielsweise für Hardwareschlüssel oder an der unkomfortablen Anwendung. Der neue Anlauf mit FIDO2 und Passkeys klingt vielversprechender. FIDO steht übrigens für Fast Identity Online.
Schlüssel statt Passwörter
Das Authentifizierungsverfahren wurde von der FIDO Alliance entwickelt, der neben Google auch Apple, Microsoft und viele weitere namhafte Unternehmen angehören. So funktioniert es: Wenn Sie sich bei einem Konto oder Dienst anmelden wollen, dann nutzen Sie ein biometrisches Merkmal, etwa indem Sie kurz in die Kamera schauen, fertig. Dahinter verbergen sich asymmetrische, kryptografische Schlüsselpaare, die beim Anlegen des Kontos automatisch erzeugt werden. Der öffentliche Schlüssel geht an den Betreiber oder Anbieter, der private Schlüssel verbleibt auf Ihrem Rechner und verlässt diesen nie.
Wenn Sie sich beim Anbieter anmelden, müssen Sie beweisen, dass der Account tatsächlich Ihnen gehört. Dazu wird eine mit dem öffentlichen Schlüssel verschlüsselte Aufgabe verschickt, die nur der private Schlüssel lösen kann. Das Prinzip ähnelt somit dem Mining von Bitcoins. Die kryptografischen Berechnungen laufen im Hintergrund ab. Der Benutzer muss lediglich per Gesichtserkennung oder Fingerabdruck den privaten Schlüssel zur Verfügung stellen. Sie beweisen somit dem Anbieter, dass Sie den privaten Schlüssel besitzen, ohne den Schlüssel preiszugeben.
Unterschiede zu FIDO2
FIDO2 stellt keine Konkurrenz zu Passkeys dar, sondern bildet die technische Grundlage. Bei FIDO2 ist der private Schlüssel fest an das Gerät gebunden. Das bietet zwar die ultimative Sicherheit, hat aber zur Folge, dass man jedes Gerät einzeln anmelden muss. Um einen Service etwa auf dem PC, dem Smartphone und einem Tablet zu n
