Passkeys: Die Zukunft der sicheren Anmeldung im Web

Passkeys: Die Zukunft der sicheren Anmeldung im Web

Immer mehr Onlinedienste setzen auf die neue Passwort-Alternative Passkeys. Doch was steckt hinter der Technologie und für wen lohnt sich der Umstieg? Wir klären auf.

Schon wieder ein neues Passwort merken? Nie mehr, wenn es nach Unternehmen wie Apple, Google, Amazon und PayPal geht. Sie setzen auf Passkeys als sichere und bequeme Alternative zur klassischen Anmeldung mit Nutzername und Kennwort.

Doch was genau verbirgt sich hinter dem Kürzel und welche Vorteile bringt es mit sich? Hier erfahren Sie alles Wissenswerte rund um die Web-Authentifizierung der Zukunft.

Was sind Passkeys eigentlich?

Im Kern handelt es sich bei Passkeys um digitale Schlüssel, die das herkömmliche Passwort ersetzen sollen. Statt sich einen kryptischen Mix aus Buchstaben, Zahlen und Sonderzeichen merken zu müssen, übernimmt das Smartphone oder der Computer die sichere Anmeldung.

Das Prinzip: Für jede Website, bei der man sich registriert, wird ein eigenes Schlüsselpaar erzeugt. Der öffentliche Schlüssel liegt auf den Servern des Anbieters, während der private Schlüssel das Gerät nicht verlässt. Beim Login gleichen sich die beiden Hälften ab und gewähren nur bei Übereinstimmung den Zugang zum Konto – einfach per Fingerabdruck, Gesichtsscan oder PIN-Eingabe.

Die Vorteile liegen auf der Hand: Da Passkeys im Gegensatz zu Passwörtern nicht mehrfach verwendet werden, sind sie deutlich sicherer. Selbst wenn Kriminelle an den öffentlichen Schlüssel gelangen, lässt sich daraus der private Teil nicht rekonstruieren. Auch Phishing-Attacken, bei denen Angreifer Zugangsdaten stehlen, haben keine Chance. Zudem entfällt das lästige Auswendiglernen komplexer Passwörter.

Passkeys im Einsatz: Hier funktioniert das Login ohne Passwort bereits

Vorreiter beim Einsatz von Passkeys sind die Tech-Giganten Apple und Google. In ihren Ökosystemen – iPhones, iPads, Macs sowie Android-Geräte – ist die Technologie bereits integriert. Browser wie Safari und Chrome unterstützen die neue Anmeldemethode ebenfalls.

Doch auch immer mehr Websites und Dienste ziehen nach. So können sich Nutzer unter anderem bei PayPal, eBay, Best Buy, Kayak, WordPress.com oder auch Zoom mit Passkeys einloggen. Tendenz steigend, denn der Industrieverband FIDO Alliance treibt die Entwicklung federführend voran.

Amazon hat die Zwei-Faktor-Authentisierung mit Passkeys kürzlich für US-Kunden freigeschaltet. Hierzulande dürfte es nicht mehr lange dauern, bis die Funktion auch verfügbar ist. Ebenso arbeiten Schwergewichte wie Meta (Facebook, Instagram), Twitter oder TikTok an der Implementierung.

Passkey: Ein Schlüssel im eigenen Gerät, ein anderer auf dem Server
Passkey: Ein Schlüssel im eigenen Gerät, ein anderer auf dem Server

Schritt für Schritt: Passkeys einrichten

Um Passkeys zu nutzen, braucht es in der Regel nicht mehr als ein aktuelles Smartphone, Tablet oder einen Computer. Die meisten Hersteller haben die Unterstützung bereits in ihre Betriebssysteme integriert. Beim iPhone etwa findet sich die Option in den Einstellungen unter „Anmeldung und Sicherheit“.

Möchte man sich nun bei einem Dienst wie PayPal neu registrieren oder das bestehende Konto auf Passkeys umstellen, wählt man statt eines Passworts einfach die neue Variante. Per Knopfdruck erstellt das Gerät dann ein Schlüsselpaar und überträgt den öffentlichen Teil an den Anbieter.

Fortan reicht zum Einloggen der hinterlegte Fingerabdruck, Gesichtsscan oder PIN. Alles andere läuft im Hintergrund, ohne dass man sich mit kryptischen Schlüsseln beschäftigen muss. Praktisch: Passkeys lassen sich auf mehreren Geräten synchronisieren, etwa über Apples iCloud-Schlüsselbund oder Googles Password Manager.

Wer ein buntes Sammelsurium an Geräten nutzt, also beispielsweise zwischen Apples Ökosystem, Android und Windows wechselt, kann auch Passwort-Manager wie 1Password, Dashlane oder NordPass verwenden. Sie speichern die Passkeys sicher in der Cloud und gewähren Zugriff auf allen Plattformen. Hier ist aber Vorsicht geboten: Wird der Tresor gehackt und das Masterpasswort gestohlen, können Kriminelle alle hinterlegten Zugangsdaten entwenden.

Passkeys haben das Potenzial, Passwörter auf breiter Front abzulösen. Die Vorteile in puncto Sicherheit und Komfort sind offensichtlich. Bis dahin ist es aber noch ein langer Weg, denn viele Anbieter müssen die Technologie erst umsetzen. Auch die hersteller- und geräteübergreifende Nutzung ist noch ausbaufähig.

Wer schon jetzt Passkeys bei unterstützten Diensten aktivieren möchte, kann dies mit wenigen Klicks tun und sich endlich vom Passwort-Chaos verabschieden. Für alle anderen gilt: Augen offen halten und umsteigen, sobald die Alternative verfügbar ist. Denn Passkeys sind gekommen, um zu bleiben.

Ein gutes und solides Passwort ist wichtig
Ein gutes und solides Passwort ist wichtig

Die Technik hinter den Passkeys

Technisch basieren Passkeys auf dem offenen FIDO-Standard (Fast Identity Online). Dieser wurde von der FIDO-Allianz entwickelt, einem Zusammenschluss von über 250 Unternehmen, darunter eben auch Apple, Google, Microsoft, Amazon und viele andere. Ziel ist es, eine herstellerübergreifende und plattformunabhängige Lösung zu schaffen, die das Anmelden im Web sicherer und einfacher macht.

Ein wichtiger Aspekt ist dabei die Ende-zu-Ende-Verschlüsselung. Die privaten Schlüssel verlassen nie das eigene Gerät und werden auch nicht an die Server des Anbieters übertragen. Selbst wenn diese gehackt werden, sind die Anmeldedaten nicht kompromittiert.

EIn Passkey kann auch auf einem solchen USB Key gespeichert werden
Ein Passkey kann auch auf einem solchen USB Key gespeichert werden

Passkeys sind sicherer und bequemer

Passkeys sind aber nicht nur sicherer, sondern auch deutlich bequemer als herkömmliche Passwörter. Man muss sich keine kryptischen Zeichenfolgen mehr merken oder gar aufschreiben. Ein Fingerabdruck, Gesichtsscan oder eine PIN reichen aus, um sich bei allen unterstützten Diensten anzumelden.

Das spart Zeit und Nerven, gerade weil man sich heutzutage bei unzähligen Apps und Websites registrieren muss. Passkeys können hier eine echte Erleichterung im digitalen Alltag bringen.

Natürlich gibt es auch Herausforderungen und Grenzen. So müssen Nutzer gut aufpassen, auf welchen Geräten sie ihre Passkeys hinterlegen. Geht ein Smartphone oder Laptop verloren oder wird gestohlen, könnten Unbefugte damit Zugriff auf die Konten erhalten.

Es gibt auch Risiken bei Passkeys

Auch wenn Passkeys in der Cloud gespeichert und synchronisiert werden, etwa über Apples iCloud-Schlüsselbund, besteht ein gewisses Restrisiko. Dringen Hacker in diese Systeme ein, sind potenziell alle verknüpften Accounts gefährdet.

Experten raten deshalb, Passkeys nur auf persönlichen, vertrauenswürdigen Geräten zu speichern und zusätzlich mit einer starken Geräte-Sperre wie einem Passcode zu sichern. Auch ein Backup der Schlüssel, beispielsweise auf einem USB-Stick oder ausgedruckt auf Papier, ist sinnvoll.

Trotz dieser Einschränkungen sind viele Sicherheitsexperten überzeugt, dass Passkeys der richtige Weg in die Zukunft sind. Die Technologie ist benutzerfreundlich, enorm sicher und hat das Potenzial, die Schwachstelle Mensch auszuschalten, die heute noch für viele Sicherheitslücken im Web verantwortlich ist, etwa durch zu einfache Passwörter.

Noch stehen Passkeys ganz am Anfang. Aber je mehr Unternehmen und Nutzer sie unterstützen, desto schneller kann der Abschied vom klassischen Passwort Realität werden. Einen ersten Schritt können Verbraucher schon jetzt gehen – und die neue Login-Methode bei Diensten wie PayPal oder eBay ausprobieren. Es dürfte nicht lange dauern, bis Passkeys zum neuen Standard werden.