Whatsapp und Amazon führen Passkeys als Ersatz für Passwörter ein, Google und Apple bieten sie schon länger als Alternative zur Konto-Anmeldung an. Worum geht es dabei genau, und ist das Verfahren auch sicher?

Whatsapp hat kürzlich auf X angekündigt, dass sich Android-Nutzer künftig mit Passkeys anmelden können, "allein Ihr Gesicht, Ihr Fingerabdruck oder Ihre PIN entsperrt Ihr Whatsapp-Konto" heißt es in dem Post. Auch Amazon hat die Option kürzlich eingeführt, Paypal-Nutzer steht sie ebenfalls bereits offen. Google hat Passkeys sogar schon zum Standard gemacht, und auch Apple und Microsoft sehen darin die Zukunft, die ohne Passwörter sicherer und bequemer sein soll. Im Prinzip macht die gesamte Tech-Branche mit, wie man an der Mitglieder-Liste der FIDO-Allianz sieht, die das Authentifizierungsverfahren (Web Authentication) in Zusammenarbeit mit dem World Wide Web Consortium (W3C) entwickelt hat. Höchste Zeit also, sich mit dem Thema auseinanderzusetzen.

Was sind Passkeys?

Wie man durch die Nutzung biometrischer Daten schon vermuten kann, sind Passkeys mit einem Gerät verbunden, das dazu dient, eine Anmeldung zu bestätigen. Genau genommen wird auf einem Smartphone, Tablet oder Computer die private Hälfte eines Schlüsselpaars in einem sogenannten Trusted Platform Module (TPM) gespeichert.

Auf dem Server des Dienstes, bei dem man ein Konto hat, liegt die zweite Hälfte, der sogenannte öffentliche Schlüssel. Meldet man sich an, wird geprüft, ob öffentlicher und privater Schlüssel zusammenpassen, indem man auf dem verwendeten Gerät Finger oder Gesicht scannt oder die PIN eingibt, die man zur Entsperrung verwendet.

Sind Passkeys sicher?

Dass Passkeys sicherer sind als Passwörter, leuchtet ein. Man teilt das Geheimnis mit niemandem, nicht mal eine E-Mail-Adresse wird benötigt. Es ist unmöglich, sie durch Phishing oder durch Hackerangriffe zu erbeuten. Man kann einen Passkey nicht für mehrere Konten verwenden, und sie können nicht wie ein zu einfaches Passwort erraten werden.

Auch wenn ein Code beim Abgleich abgefangen werden könnte, nützt dies Angreifern nichts. Denn es handelt sich dabei nur um eine einmalige Signatur, der private Schlüssel bleibt auf dem Gerät sicher im TPM-Chip verstaut.

Nutzt man ein Smartphone mit Passkey, um sich auf einem Computer anzumelden, müssen beide Geräte zunächst eine Bluetoothverbindung eingehen, bevor eine von Ende zu Ende verschlüsselte Verbindung hergestellt wird. Und auch in diesem Fall wird nur eine einmalige Signatur übermittelt.

Passkeys sind auch sicherer als Zwei-Faktor-Authentifizierungen. Denn hier haben Hacker immer noch Angriffsmöglichkeiten, unter anderem durch den Austausch von SIM-Karten.

Keine hundertprozentige Sicherheit

Wie das Bundesamt für Sicherheit in der Informationstechnologie (BSI) auf Mastodon einem Nutzer antwortete, bilden Passkeys "den Stand der Technik fürs Passwort-lose Authentisieren ab." Es gäbe aber noch Herausforderungen. "Beispielsweise sind Passkeys häufig an konkrete Produkte bzw. Ökosysteme gebunden (z. B. iCloud Keychain). Hier bedarf es einer Lösung, Passkeys plattformunabhängig nutzen zu können."

Gangster oder Behörden könnten auch wie bei der Entsperrung von Smartphones Nutzerinnen und Nutzer dazu zwingen, einen Finger oder das Gesicht zu scannen, um Zugriff auf Konten zu erhalten. Und schließlich könnte eines Tages auch die verwendete Ende-zu-Ende-Verschlüsselung geknackt werden. Unterm Strich bleiben Passkeys aber die aktuell sicherste Authentifizierungsmethode.

Wie richtet man Passkeys ein?

Seit Passkeys bei Google Standard sind, werden sie für Android-Geräte automatisch erstellt. Man muss daher nur noch bestätigen, das Verfahren zu nutzen, wenn man beispielsweise sicherheitsrelevante Kontoänderungen vornehmen möchte. Auf anderen Geräten meldet man sich im Google-Konto an und geht unter Sicherheit zu So melden Sie sich in Google an, wo man die Option Passkeys findet. Klickt oder tippt man darauf, muss man gegebenenfalls erneut sein Passwort bestätigen, bevor man schließlich die Möglichkeit erhält, einen Passkey zu erstellen.

Auf iPhones, iPads oder Mac-Computern (ab iOS 16, iPadOS 16, macOS 13) müssen iCloud Schlüsselbund sowie die Zwei-Faktor-Authentifizierung aktiviert sein, um sich per Passkey bei einer Website oder App anzumelden. Bei bestehenden Log-ins meldet man sich an und geht dann zur Kontoverwaltung beziehungsweise den Kontoeinstellungen. Danach wählt man die Option zum Sichern eines Passkeys für den Account und tippt auf Fortfahren. Eine genaue Anleitung und weitere Informationen gibt Apple auf einer Support-Seite.

Amazon-Nutzer melden sich an und gehen in den Kontoeinstellungen zu Anmeldung und Sicherheit, um einen Passkey einzurichten. Wählt man die Option, kann man ein Gerät aussuchen, mit dem man sich künftig anmelden möchte.

Um Passkeys bei Paypal zu nutzen, meldet man sich an und wählt in den Einstellungen Sicherheit aus. Ebay schlägt beim Einloggen die Nutzung vor, oder man steuert in den Kontoeinstellungen Sicher einloggen an und geht zu Login mit Gesichtserkennung/Fingerabdruck/PIN.

Eine Liste weiterer Dienste, die Passkeys bereits verwenden, findet man bei Passkeys.directory. Die Website gehört dem Passwortmanager 1Password, der ebenfalls schon früh auf den Passkey-Zug aufgesprungen ist. So wie man mit dessen App schon Einmal-Passwörter (-Codes) für Konten generieren kann, ist es jetzt auch möglich, Passkeys zu speichern.

War’s das jetzt für Passwörter & Co?

Laut 1Password werden sie "durch dasselbe bewährte Sicherheitsmodell geschützt, auf das Millionen von Menschen und Tausende von Unternehmen vertrauen, wenn es um den Schutz ihrer wichtigsten Informationen geht." Wie bei Googles Passwortmanager oder iCloud Schlüsselbund findet die Synchronisierung über eine Ende-zu-Ende-Verschlüsselung statt. Das mag alles stimmen, letztlich bleibt es aber Vertrauenssache.

Mangelndes Vertrauen ist auch ein Grund dafür, dass Passwörter und Zwei-Faktor-Authentifizierung nicht ausgedient haben. Viele Nutzer trauen Passkeys einfach noch nicht oder scheuen vor der Umstellung aus Bequemlichkeit zurück. Auch wenn die Liste schon lang ist, unterstützen zudem noch eine Menge Websites die Anmeldung mit biometrischen Daten oder Geräte-PIN nicht.

Googles Sicherheitsexperten raten daher, "auf den Dreiklang von Passkeys, Passwörter und die 2-Faktor-Authentifizierung zu setzen. Und in diesem Zusammenhang auf jeden Fall einen Passwortmanager zu nutzen." Vorerst bleibt Sicherheit im Internet also trotz Passkeys noch umständlich.