Im Kern handelt es sich bei Passkeys um digitale Schlüssel, die das herkömmliche Passwort ersetzen sollen. Statt sich einen kryptischen Mix aus Buchstaben, Zahlen und Sonderzeichen merken zu müssen, übernimmt das Smartphone oder der Computer die sichere Anmeldung. Aber wie?
Des Rätsels Lösung als Sicherheitsfaktor
Das Prinzip: Für jede Website, bei der man sich registriert, wird ein eigenes Schlüsselpaar erzeugt. Der öffentliche Schlüssel liegt auf den Servern des Anbieters, während der private Schlüssel das Gerät nicht verlässt. Beim Login gleichen sich die beiden Hälften ab und gewähren nur bei Übereinstimmung den Zugang zum Konto – einfach per Fingerabdruck, Gesichtsscan oder PIN-Eingabe.
Ein wichtiger Aspekt bei der Funktionsweise von Passkeys ist die Ende-zu-Ende-Verschlüsselung. Die privaten Schlüssel verlassen nie das eigene Gerät und werden auch nicht an die Server des Anbieters übertragen. Selbst wenn diese gehackt werden, sind die Anmeldedaten nicht kompromittiert:
- Wenn ihr euch auf einer Webseite per Passkey anmeldet, dann müsst ihr euch mit dem Gerät erst einmal für die Nutzung des Passkeys registrieren.
- Die Webseite erzeugt ein neues Schlüsselpaar, das aus einem öffentlichen und einem privaten, geheimen Schlüssel besteht. Das Verfahren kennt ihr vielleicht aus der Verschlüsselung bzw. Signierung von E-Mails.
- Der private Schlüssel bleibt sicher bei euch, der öffentliche Schlüssel wird auf der Webseite hinterlegt.
- Für jede Webseite wird für jeden Benutzer ein eigenes Schlüsselpaar erzeigt, jeder Passkey ist also einzigartig und damit so gut wie nicht zu fälschen.
Wenn ihr euch nach der initialen Anmeldung an der Webseite mit eurem Passkey anmeldet, dann funktioniert es wie bei einem Ratespiel:
- Die Webseite schickt eine zu lösende Aufgabe an das Gerät, das sich anmelden soll.
- Das Gerät löst diese Aufgabe und nutzt dafür den geheimen Schlüssel, der ja auf ihm selbst gespeichert ist. Die so erzeugte Antwort schickt es wieder zurück.
- Die Webseite wiederum kann über den bei ihr vorliegenden öffentlichen Schlüssel diese Antwort entschlüsseln und überprüfen, ohne den privaten Schlüssel zu kennen.
- Ist die Antwort korrekt, dann hat sich euer Gerät erfolgreich „ausgewiesen“ und die Webseite gewährt ihm (und damit euch) Zugriff.
Kein Verzicht auf den zweiten Faktor
Was auf den ersten Blick wie eine runde Lösung klingt, die alle anderen Sicherungsmechanismen überflüssig macht, hat natürlich auch einen kleinen Haken, der sich aber über bekannte Maßnahmen beseitigen lässt:
Schon bei den Passwörtern war das Prinzip von Wissen und Besitz ein zusätzlicher Sicherheitsfaktor:
- Das Passwort müsst ihr kennen, um es eingeben zu können („Wissen“). Das können aber natürlich auch Unbefugte erfahren, dies es dann auch wissen.
- Um das zu umgehen, wird als zweiter Faktor oft das Smartphone verwendet, dem zusätzlich nach Eingabe des Passworts eine SMS mit einem zufälligen Zahlencode geschickt wird. Euer Smartphone hat ein Angreifer natürlich nicht („Besitz“).
Passkeys konzentrieren sich vor allem auf den Besitz, denn der private Schlüssel ist ja auch eurem Gerät gespeichert. Kommt das abhanden, dann könnte sich der neue Besitzer damit an den per Passkey gesicherten Webseiten anmelden. Aus diesem Grund verlangt die Anmeldung per Passkey ebenfalls einen zweiten Faktor und nutzt dabei die Mechanismen, die auf dem Smartphone sowieso genutzt werden: Die PIN oder Biometrie wie Gesichtserkennung oder der Fingerabdruck. Ihr müsst eine dieser Sicherheitsmethoden aktiviert haben und nutzen, wenn ihr euch per Passkey anmeldet.