Viel sicherer als PasswörterSo erstellt man Passkeys für Google, Microsoft, Apple & Co.
Klaus Wedekind
Passkeys gelten aktuell als die sicherste Anmeldemethode für Online-Konten. Viele Menschen nutzen sie bisher aber nicht, da sie nicht wissen, dass sie existieren oder wie man sie einrichtet. ntv.de erklärt, was Passkeys sind und wie man sie bei wichtigen Diensten erstellt - falls sie angeboten werden.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat festgestellt, "dass zahlreiche E-Mail-Dienste in ihrer Standardkonfiguration allein auf Passwörter setzen, um die Zugänge ihrer Kundinnen und Kunden zu schützen. Die Behörde fordert, dass zumindest eine Zwei-Faktor-Authentifizierung Voraussetzung für den Zugang sein muss, wobei zusätzlich ein einmaliger Code abgefragt wird, der als SMS oder E-Mail gesendet oder in einer speziellen App angezeigt wird.
Die Behörde würde aber lieber den Einsatz von Passkeys sehen, die eine " nachweislich sichere und praktische Alternative" zu Passwörtern darstellten. Obwohl diese Anmeldemethode inzwischen schon Standard sein sollte, ist sie allerdings noch viel zu wenig verbreitet. Eine BSI-Umfrage ergab im vergangenen Jahr, dass nur 38 Prozent der Bundesbürger den Begriff "Passkeys" kennen und lediglich 18 Prozent sie nutzen.
Laut einer Erhebung der FIDO-Allianz großer Internetunternehmen, die die Methode entwickelt hat, wussten 2024 immerhin 44 Prozent, was Passkeys sind. 56 Prozent dieser Gruppe setzten sie auch ein, was etwa 25 Prozent der Deutschen entspricht.
Wie funktionieren Passkeys?
Wer es noch nicht weiß: Passkeys sind mit einem Gerät verbunden, das dazu dient, eine Anmeldung zu bestätigen. Genau genommen wird auf einem Smartphone, Tablet oder Computer die private Hälfte eines Schlüsselpaars in einem sogenannten Trusted Platform Module (TPM) gespeichert.
Auf dem Server des Dienstes, bei dem man ein Konto hat, liegt die zweite Hälfte, der sogenannte öffentliche Schlüssel. Meldet man sich an, wird geprüft, ob öffentlicher und privater Schlüssel zusammenpassen, indem man auf dem verwendeten Gerät Finger oder Gesicht scannt oder die PIN eingibt, mit der man es entsperrt.
Man kann auch Passwortmanager wie 1Password oder Authentifizierungs-Apps wie den Microsoft Authenticator nutzen, um Passkeys gegebenenfalls geräteübergreifend zu verwenden. Man muss sie aber zunächst in den jeweiligen Diensten einrichten oder aktivieren.
Eine besonders sichere Lösung sind sogenannte FIDO-Sticks. Sie werden wie USB-Sticks an Laptops und andere Geräte gesteckt. Sie können meistens bis zu 30 Passkeys speichern. Varianten, die sich per Funk (NFC/Bluetooth) verbinden, sind auch für Smartphones geeignet, die keine USB-Geräte unterstützen. Wenn man aufgefordert wird, eine Anmeldung mit einem Passkey zu bestätigen, drückt man einfach den Knopf des Sticks. Etliche haben dafür auch einen Fingerabdrucksensor im Gehäuse.
Ähnlich funktioniert es mit Smartphones, auf denen Passkeys abgelegt sind. Meldet man sich etwa in einem Laptop-Browser in einem Konto an, zeigt der Bildschirm einen QR-Code an. Man scannt ihn mit dem Handy, das sich dann per Bluetooth mit dem PC verbindet. Um die Anmeldung zu bestätigen, scannt man dann das Gesicht(iPhone) oder einen Finger (Android).
Warum sind Passkeys sicher?
Es ist unmöglich, Passkeys durch Phishing oder durch Hackerangriffe zu erbeuten. Man kann einen Passkey nicht für mehrere Konten verwenden, und sie können nicht wie ein zu einfaches Passwort erraten werden. Auch wenn ein Code beim Abgleich abgefangen werden könnte, nützt dies Angreifern nichts. Denn es handelt sich dabei nur um eine einmalige Signatur, der private Schlüssel bleibt auf dem Gerät sicher im TPM-Chip verstaut.
Nutzt man ein Smartphone mit Passkey, um sich auf einem Computer anzumelden, müssen beide Geräte zunächst eine Bluetoothverbindung eingehen, bevor eine von Ende zu Ende verschlüsselte Verbindung hergestellt wird. Und auch in diesem Fall wird nur eine einmalige Signatur übermittelt.
So geht's bei wichtigen Diensten
Dass Passkeys immer noch zu selten genutzt werden, liegt oft daran, dass Diensteanbieter deren Einrichtung entweder zu kompliziert gestalten oder nicht ausreichend fördern. Andere Internetunternehmen wie GMX oder Web.de bieten sie aber tatsächlich bisher nicht an. Man schaue die Technologie genau an und prüfe, wie sie in die Systeme passe, teilte GMX im vergangenen März mit. "Sobald wir sie anbieten können, lassen wir es Sie wissen!" Web.de, das ebenfalls zu 1&1 gehört, veröffentlichte exakt die gleiche Mitteilung.
Die wichtigsten Dienste haben allerdings schon erkannt, wie sinnvoll Passkeys sind und bieten sie an. Die Einrichtung gestaltet sich oft ähnlich und ist gewöhnlich in wenigen Minuten erledigt. Und wer Passkeys nutzt, wird sie nicht mehr missen wollen. Denn sie sind nicht nur besonders sicher, sondern auch praktisch. Hier die Anleitungen für besonders häufig verwendete Konten:
Bei Google sind Passkeys seit 2023 Standard und stehen seitdem nicht nur in neuen, sondern auch älteren Konten zur Verfügung. Sie werden im mit dem Google-Konto verbundenen Passwortmanager auf Servern des Unternehmens (Cloud) Ende-zu-Ende-verschlüsselt gespeichert. Einmal eingerichtet, werden die Passkeys auf Android- und ChromeOS-Geräte synchronisiert, auf denen man mit demselben Konto angemeldet ist.
Um zu prüfen, ob man bereits Passkeys nutzen kann oder um einen Passkey zu erzeugen, besucht man https://g.co/passkeys und meldet sich gegebenenfalls mit seinen Kontodaten an. Wird man dabei bereits nach einem Passkey gefragt, weiß man, dass sie schon aktiviert sind. Auf dieser Seite sieht man außerdem, welche Geräte oder Apps bereits für die Anmeldemethode eingesetzt werden. Und hier hat man auch die Option, neue Passkeys zu erstellen.
Richtet man auf einem Android- oder ChromeOS-Gerät ein Konto für einen anderen Dienst ein, der die Anmeldemethode unterstützt, wird man üblicherweise sofort gefragt, ob man einen Passkey verwenden möchte. Um dies zu bestätigen, nutzt man die Entsperrung des Geräts.
Apple
Seit iOS 17, iPadOS 17 und macOS Sonoma verwendet Apple für die Anmeldung bei der Apple-ID Passkeys automatisch. Wenn man sich auf einem neuen Gerät im Apple-Konto anmeldet, hat man die Option, sich per Passkey statt mit einem Passwort anzumelden. Er wird automatisch im iCloud-Schlüsselbund gespeichert und ist auf allen Geräten verfügbar, auf denen man mit einer Apple-ID angemeldet ist.
Auch Apple synchronisiert Passkeys über den systemeigenen Passwortmanager (iCloud-Schlüsselbund). Einen Passkey zu erstellen, ist ebenfalls einfach: Wenn man mit einem iPhone, iPad oder Mac auf einer Website oder in einer App ein Konto einrichtet, wird man automatisch gefragt, ob man einen Passkey nutzen möchte. Man muss dies dann nur noch per Gesichtsscan (Face ID) oder Fingerabdruck (Touch ID) bestätigen. Hat ein Apple-Laptop keinen Fingerabdruckscanner, wird man aufgefordert, einen QR-Code mit dem iPhone zu scannen, mit dem man dann die Einrichtung bestätigt.
Microsoft
Um für ein Microsoft-Konto einen Passkey einzurichten, meldet man sich dort im Browser an. Dann geht man unter Erweiterte Sicherheitsoptionen zu Neue Anmelde- oder Überprüfungsart hinzufügen. Dort wählt man Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel aus und folgt den Anweisungen.
Nachdem man sich einmal bei Whatsapp mit der Telefonnummer angemeldet hat, kann man in der App für künftige Log-ins einen Passkey einrichten. Die Option dafür findet man in den Einstellungen unter Konto - Passkeys.
Amazon
Ähnlich einfach ist es, für Amazon einen Passkey zu erstellen. Man meldet sich in seinem Konto an und geht in den Einstellungen zu Anmeldung und Sicherheit. Dort kann man einen neuen Passkey einrichten oder bestehende löschen.
Weitere Dienste
Eine inzwischen sehr lange Liste weiterer Dienste, die Passkeys bereits verwenden, findet man bei Passkeys.directory. Die Website gehört dem Passwortmanager 1Password. Bei einem Eintrag findet man unter Details, wo und wie man für den entsprechenden Dienst Passkeys einrichtet.