Die Kombination aus Benutzername und Passwort ist zwar ein wichtiges Schutzprinzip im Internet, sorgt aber regelmäßig auch für Probleme: Passwörter sind schwer zu merken, jeder Account sollte ein individuelles Kennwort erhalten. Bei Datenleaks oder durch Phishing können sie dann doch gestohlen werden. Zahlreiche Onlinedienste und Hersteller werben immer häufiger für eine Technologie, die sicher und zugleich einfach sein soll - und Passwörter überflüssig macht.

Wenn von Passkey die Rede ist, ist ein passwortloses Anmelden gemeint. Das funktioniert wie folgt: Wenn Sie auf eines Ihrer Benutzerkonten bei einem Onlinedienst zugreifen möchten, müssen Sie zuerst bestätigen, dass dies tatsächlich Ihr Benutzerkonto ist. Heute nutzen Sie dafür wahrscheinlich ein Passwort, Sie haben aber auch die Möglichkeit, stattdessen einen Passkey zu verwenden. Einen Passkey richten Sie einmalig und mit wenigen Klicks in den Sicherheitseinstellungen der Webseite oder App ein.

Wenn Sie sich von nun an einloggen möchten, wählen Sie nur noch aus, wer sich anmeldet und bestätigen den Login etwa mit Ihrem Fingerabdruck oder einem Gesichtsscan. Die übrigen sicherheitsrelevanten Berechnungen laufen im Hintergrund ab und sind für die Nutzenden nicht sichtbar. Anschließend sind Sie angemeldet und können wie gewohnt shoppen, bezahlen oder streamen. Weil Sie Ihr Passwort durch Passkey ersetzen, gibt es keine Information mehr, die man Ihnen stehlen könnte, die Sie eventuell verlieren oder die Unbefugte vielleicht erraten. Falls Ihnen ein Onlinedienst die Anmeldung mit Passkey anbietet, stellt das für Sie einen Gewinn an Sicherheit und Komfort dar.

In Folge #40 des BSI-Podcasts 'Update verfügbar' geht es auch um das Thema Passkey - Experte Stefan Becker erklärt unserem Moderationsteam, was man beachten sollte.

Wie sicher ist die Anmeldung mit Passkey?

Passkeys sind der gewöhnlichen Anmeldung mit Benutzername und Passwort in vielerlei Hinsicht überlegen:

• Passkeys können nicht zu simpel oder zu kurz sein – Passwörter dagegen schon.
• Passkeys können im Gegensatz zu Passwörtern nicht vergessen werden.
• Passkeys werden schnell und automatisiert erstellt.
• Es ist unwahrscheinlicher, dass Passkeys durch Phishing oder Datendiebstahl verloren gehen.
• Jeder Passkey schützt immer genau einen Account – so können nie mehrere Accounts gefährdet sein, sollte ein Passkey missbraucht werden.

Die wohl größten Vorteile der Technologie für Nutzerinnen und Nutzer liegen darin, dass Sie in Zukunft zum einen keine Passwörter mehr erstellen und verwalten müssen. Zum anderen sind Passkeys immun gegen die breite Masse bekannter Phishing-Angriffe. Denn selbst wenn eine Phishing-E-Mail dazu geführt hat, dass ein Anwender oder eine Anwenderin versucht, sich auf einer gefälschten Webseite einzuloggen, wird der geheime Schlüssel niemals preisgegeben. Der Login scheitert und die Täter erfahren nichts über das Angriffsziel oder dessen Daten. Auf diese Weise funktioniert die Betrugsmethode nicht mehr und wird für die Täter wertlos.

Wenn Ihnen also von einem vertrauten Diensteanbieter vorgeschlagen wird, Passkey einzurichten, können Sie die Technologie ohne weiteres verwenden und Ihr Passwort ersetzen.

Wie funktioniert Passkey?

Wenn ein Diensteanbieter den Login mittels Passkey ermöglicht, müssen Sie zunächst einmal die Anmeldung per Passkey im entsprechenden Account einrichten. Das geht über die Sicherheitseinstellungen auf der Webseite oder in der App des Anbieters. Ist die Funktion eingerichtet, hinterlegt Ihr Gerät einen sogenannten geheimen Schlüssel im internen Speicher. Gleichzeitig wird ein passender öffentlicher Schlüssel erstellt, der bei Ihrem Onlinedienst, z. B. einem Onlineshop oder einem Streamingdienst, gespeichert wird. Diese Schlüssel sind die Grundlage für ein komplexes, kryptografisches Verfahren, das ab der Registrierung bei jeder Anmeldung von Ihnen unbemerkt abläuft.

In der Regel werden Sie von nun an beim Login gefragt, ob Sie ein Passwort eingeben oder Ihren Passkey nutzen möchten. Entscheiden Sie sich für Passkey, bestätigen Sie diese Wahl durch einen weiteren Sicherheitsfaktor, zum Beispiel einen Fingerabdruck. Das ist wichtig, damit Diebe oder Finder Ihres Geräts keinen Zugang zu Ihren Passkeys bzw. Onlinekonten erhalten. Anschließend tauschen der Diensteanbieter und Ihr Gerät im Hintergrund alle nötigen Daten und Berechnungen aus – in Sekundenbruchteilen, und ohne dass Sie weitere Eingaben machen müssen. War dieser Vorgang erfolgreich, gibt der Plattformbetreiber den Zugang frei und Sie sind eingeloggt.

Tiefergehende Informationen zur kryptografischen Funktionsweise von Passkeys.

Passkeys sind auf meinem Smartphone gespeichert, die Anmeldung soll aber am PC erfolgen – Wie geht das?

Weil der Passkey unter anderem aus einem geheimen Schlüssel besteht, der beispielsweise auf Ihrem Smartphone hinterlegt ist, stellt sich die Frage, wie Sie sich dann etwa am PC in einen Account einloggen. Dazu gibt Ihnen der Dienst, bei dem Sie sich mit Ihrem PC anmelden möchten, die Möglichkeit, sich trotzdem mit dem Smartphone zu authentisieren. Sie wählen am Computer Ihr Smartphone als Anmeldegerät aus und erhalten die Aufforderung, einen QR-Code vom PC-Bildschirm zu scannen. Gleichzeitig müssen beide Geräte über eine eingeschaltete Bluetooth-Verbindung verfügen. Nun bestätigen Sie den Login als würden Sie sich auf Ihrem Handy einloggen, zum Beispiel per Fingerabdruck. Wurde der kryptografische Vorgang erfolgreich aufgelöst, gibt der Dienst Ihren Account auf dem PC frei.

Falls Sie bereits einzelne Funktionen oder das Gerätedisplay per Fingerabdruck oder Gesichtsscan entsperren, bedeutet das nicht, dass Sie bereits Passkeys nutzen. Denn Passkeys werden ausschließlich für das Einloggen bei einem Onlinedienst oder Account genutzt. Sie müssen einmalig eingerichtet werden und können ab dann den Login einfacher und trotzdem sicher gestalten. Zum Entsperren des Geräts können Sie weiterhin Ihre bisherige Methode verwenden.

Wo begegnen uns Passkeys schon jetzt?

Die Verbreitung von Passkeys nimmt täglich zu. Die meisten Betriebssysteme von Computern und Mobilgeräten unterstützen die Funktion bereits. Auch große Onlineshopping-Plattformen, Soziale Medien, Foren, Finanzportale oder Messengerdienste ermöglichen den Login mit Passkeys: Liste bekannter Dienste, die Passkeys verwenden

Was, wenn mein Gerät verloren oder gestohlen wird?

Falls das Gerät, auf dem Ihre Passkeys hinterlegt sind, verloren gegangen ist oder gestohlen wurde, können Sie Ihre Zugänge dann wiederherstellen, wenn Sie entweder lokale Backups angelegt haben oder wenn Ihre Passkeys in einer Cloud synchronisiert werden. Sollten Sie keine Sicherheitskopien Ihrer Passkeys besitzen, bieten einige Dienste weitere Möglichkeiten, Ihre Identität nachzuweisen und so beispielsweise einen neuen Passkey für Ihren Zugang zu erstellen. In seltenen Fällen kann es aber vorkommen, dass Sie sich nach dem Verlust Ihres Geräts nicht mehr einloggen können. Dann müssen Sie den Anbieter kontaktieren und den Account wiederherstellen.

Wer steckt hinter Passkey?

Hinter Passkey steckt die FIDO-Allianz. FIDO ist eine Abkürzung und steht für Fast Identity Online. Die Allianz etabliert Industriestandards, die von allen Beteiligten genutzt werden sollen. Eine solche Entwicklung ist Passkey – eine offene und herstellerunabhängige Möglichkeit zur Nutzerauthentisierung, die gleichermaßen von Wirtschaft und Staat hervorgebracht wurde. Passkey stellt dabei den Standard dar, den Hersteller und Anbieter nun in ihre Produkte einbauen können. Zur FIDO-Allianz gehören zahlreiche internationale Tech-Unternehmen und seit 2015 auch das BSI.

Passkey soll die Vorteile von Komfort und Sicherheit vereinbaren und ist damit ein wirksamer Baustein in Richtung praxistauglicher Sicherheit (Usable Security). Da es sich bei Passkey um ein für Verbraucherinnen und Verbraucher vergleichsweise neues Verfahren handelt, führt das BSI aktuell eine Verbraucherbefragung durch. Die Befragung wird Aufschluss über die Verbreitung von und die Einstellung der Nutzenden zu Passkey geben. Erste Ergebnisse werden im Juli 2024 erwartet und auf der Webseite des BSI veröffentlicht.