c't 3003: Das Problem mit Passkeys

Passkeys versprechen das Ende vieler Passwort-Probleme: keine Phishing-Gefahr mehr, keine unsicheren Passwörter, kein Merken komplizierter Zeichenfolgen. Doch die Umsetzung durch Apple, Google und Microsoft hat einen Haken: Jeder Konzern implementiert Passkeys so, dass die Nutzer an das eigene Ökosystem gebunden werden. c't 3003 zeigt, wie man mit plattformunabhängigen Passwort-Managern dieses Problem umgehen kann und gibt praktische Tipps zur sicheren Nutzung von Passkeys auf allen Geräten, von Window, Mac über Linux bis zu iOS und Android.

Transkript des Videos

(Hinweis: Dieses Transkript ist für Menschen gedacht, die das Video oben nicht schauen können oder wollen. Der Text gibt nicht alle Informationen der Bildspur wieder.)

Guckt mal hier, das bin ich, wie ich versuche, einen Passkey zu erstellen. Mit Chrome auf dem Mac. Ja, dann habe ich hier so drei Möglichkeiten. Bei Google speichern, bei Apple oder lokal im Chrome-Profil. Hä? Was?

Ja, und das bin ich dann drei Minuten später, weil ich mich ärgere, dass ich mich nicht per Passkey in Firefox auf meinem Linux-PC anmelden kann. Passkeys sind eigentlich ziemlich super und auch eigentlich ziemlich einfach und auf jeden Fall eine sichere Alternative zum Passwort. Aber es gibt auch noch Probleme. Das Größte sind die Tech-Firmen, die Passkeys vor allem benutzen, um ihre Kundschaft noch mehr an sich zu binden.

Wir haben in den letzten Videos zu Passkeys ja immer die gute Seite zu der Technik gezeigt. Heute schauen wir uns mal an, was da eigentlich alles nicht funktioniert. Aber wir gucken uns natürlich auch an, wie ihr die Probleme umgeht und Passkeys trotzdem sinnvoll nutzen könnt, über mehrere Plattformen hinweg und ohne von einem Anbieter abhängig zu sein. Bleibt dran.

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei...

Okay, ganz kurz zur Erinnerung. Was sind Passkeys überhaupt? Wir haben da ja schon zwei Videos zu gemacht, die findet ihr hier und hier. Was ihr euch auf jeden Fall merken könnt, Passkeys sind vom Sicherheitsstandpunkt her definitiv besser als Passwörter. Warum? Weil dein privater Schlüssel bleibt immer auf deinem Gerät. Nur der Öffentliche geht an den Dienst, bei dem du dich anmelden willst. Das heißt also, auch wenn der Dienst gehackt wird, brauchst du dir keine Gedanken zu machen, dass dein Account von bösen Menschen gekapert wird, was bei veralteten Websites immer noch passieren kann, dass eben die Passwörter nicht richtig gesichert sind und geklaut werden.

Und noch ganz wichtig: Passkeys sind prinzipbedingt gegen Phishing geschützt. Und ganz klar ein Riesenvorteil: Du musst dir keine Passwörter mehr merken. Du kannst dich mit Fingerabdruck oder Gesichtserkennung anmelden.

Bei unserem letzten Video zum Thema Passkeys kam von euch allerdings häufig die Frage: Wie kann das denn sicher sein, wenn ich die Passkeys über die Cloud synchronisieren will, damit die auf allen Geräten verfügbar sind? Also sind da nicht die ganzen Sicherheitsvorteile gegenüber dem Passwort weg? Ist eine gute Frage. Gibt es auch eine kurze Antwort drauf? Nein.

Also gehen wir mal von dem Beispiel aus, dass ich meine Passkeys auf einem Mac erstellt habe und über die iCloud synchronisieren möchte. Dann werden meine Passkeys Ende-zu-Ende verschlüsselt. Also selbst für den Fall, dass Apple mal irgendwie ein massives Datenleck hat und eure Daten da betroffen sind, ist nicht so schlimm. Die sind ja wie gesagt Ende-zu-Ende verschlüsselt.

Also um den Passkeys dann auch wirklich zu verwenden, braucht ihr einen zweiten Faktor. Bei Apple dann zum Beispiel eine Bestätigung auf einem anderen Apple-Gerät von mir. Also dass das wirklich ich bin. Und natürlich so Vorteile wie zum Beispiel der Phishing-Schutz, die bleiben bestehen. Egal ob euer Passkey jetzt verschlüsselt in der Cloud liegt oder auf einem Gerät in Hardware verschlüsselt ist. Das ist egal. Phishing geht prinzipbedingt nie.

Aber klar, wenn ihr eure Passkeys in der iCloud liegen habt, dann müsst ihr Apple vertrauen, dass die das alles richtig implementiert haben. Aber der große Unterschied ist: Hier müsst ihr nur einem Anbieter vertrauen, während ihr bei Passwörtern allen Diensten mit Passwörtern vertrauen müsst. Weil ihr euch ja bei allen sicher sein müsst, dass die da sicher implementiert sind.

Ja, und jetzt kommt das große Aber: Die großen Tech-Konzerne, wie zum Beispiel Apple, haben Passkeys so implementiert, dass sie vor allem ihre eigenen Ökosysteme stärken. Apple hat ja 2022 als erstes großes Unternehmen Passkeys eingeführt und populär gemacht. Aber statt auf universelle Nutzbarkeit zu setzen, hat Apple die Technik vor allem für die eigenen Produkte optimiert.

Beispiel: Erstellt ihr einen Passkey auf eurem Mac, wird dieser zwar über iCloud mit anderen Apple-Geräten synchronisiert, aber versucht mal, den auf einem Windows-PC oder einem Android-Gerät zu nutzen. Da braucht ihr dann entweder euer iPhone, um euch per QR-Code einzuloggen, oder ihr habt halt Pech und müsst auf Windows-Geräten oder Androids dann nochmal einen Passkey erstellen und dabei euer Passwort verwenden.

Google hat 2023 mit Passkeys nachgezogen und die in Chrome und Android integriert. Aber auch hier gibt es so Lock-in-Effekt. Wenn ihr Chrome auf einem Mac verwendet, bietet euch der Browser gleich mehrere Möglichkeiten an, so einen Passkey zu speichern. Einmal über den Google-Passwort-Tresor, dann über iCloud Keychain, also Apple-Passwörter, und dann noch lokal im Chrome-Profil.

Und als wäre das noch nicht verwirrend genug: Über Safari habt ihr auf dem Mac dann aber keinen Zugriff auf die Passkeys, wenn die im Google-Passwort-Tresor liegen. Und bei Windows habt ihr in Chrome die gleichen Möglichkeiten wie auf MacOS, nur dass statt iCloud die Passkeys über Windows Hello gespeichert werden, allerdings nur lokal. Microsoft hat das erst angekündigt, dass Passkeys auch über Hello in die Cloud wandern. Gibt es aber noch nicht.

Und das ist alles ein absoluter Widerspruch zur eigentlichen Idee, weil Passkeys basieren auf offenen Standards wie WebAuthn und wurden vom FIDO-Konsortium entwickelt, um eben das Passwort abzuschaffen und eine neue universelle sichere Login-Methode zu schaffen. Ja, nur zu diesem Konsortium gehören die Big-Tech-Unternehmen Google, Apple und Microsoft. Aber statt nun den Fokus auf Interoperabilität zu legen, mein Lieblingswort, nutzen die Tech-Giganten Passkeys als Mittel, um die Leute in ihren Ökosystemen zu halten.

Das geht so weit, dass Apple und Google euch nicht einmal erlauben, eure Passkeys zu exportieren. Wenn ihr zu einem externen, also nicht Google oder Apple, Passwort-Manager wechseln wollt, müsst ihr alle Passkeys neu erstellen. Das ist, als würde man euch verbieten, eure eigenen Wohnungsschlüssel zu kopieren.

Und generell sind Passkeys nicht wirklich einheitlich gestaltet. Das sieht überall anders aus. Mal wird mir direkt angeboten, auch einen Hardware-Sicherheitsschlüssel zu verwenden. Mal wird mir als Standardoption Google-Passwörter angezeigt, mal Apple iCloud Keychain. Und hier in Windows mit Firefox sieht das nochmal ganz anders aus. Und ich kann Passkeys auch nur lokal mit Windows Hello abspeichern.

Und diese verwirrenden Dialoge und Arbeitsabläufe, die findet man überall. Jedes Betriebssystem, jeder Browser versucht, dich in seine eigene Passkey-Welt zu drängen, ohne klarzumachen, welche Alternativen du hast. Und selbst wenn du merkst: "Irgendwie gar nicht so gut, dass mein Kram hier nur bei Apple liegt." Export geht ja aktuell nicht.

Ja, und dann gibt es ja noch das Problem mit den bestehenden Passwörtern. Aktuell werden die Passwörter nämlich nicht entfernt, wenn ihr einen Passkey anlegt. Im Gegenteil, es gibt momentan kaum Anbieter, die das überhaupt ermöglichen, einen Account nur mit Passkey und ohne Passwort zu nutzen. Das heißt, dass ihr weiterhin mit den Risiken von Passwörtern leben müsst, obwohl ihr eigentlich längst Passkeys verwendet, weil man kann sich ja immer noch alternativ per Passwort einloggen, also auch die bösen Hacker.

Der Chef der FIDO-Allianz, das sind wie gesagt die Leute, die die Standards auf den Passkeys basierenden entwickeln, der hat jedenfalls 2023 im Interview mit der c't gesagt, dass er gar nicht unbedingt glaubt, dass Passwörter komplett verschwinden werden. Aber das Login mit Passwort könnte in Zukunft so gesehen werden, wie als wenn ich mich an so einem ungewöhnlichen Ort oder Gerät anmelde. Kennt ihr vielleicht und dann so eine Sicherheitswarnung per Mail bekommt.

Ach ja, auf jeden Fall muss ich hier tatsächlich mal Microsoft loben. Von allen großen Tech-Firmen sind das die einzigen, die das komplette Löschen des Passworts erlauben. Man kann also wirklich komplett auf Passkeys gehen, was natürlich erfordert, dass man sich sicher ist, dass die privaten Schlüssel safe verstaut sind.

Und jetzt kommen wir zu dem Ausweg aus dem ganzen Dilemma endlich. Das geht nämlich sehr gut und komfortabel mit Passwort-Tresoren oder auch Passwort-Manager genannt. Die benutzen ja wahrscheinlich eh viele von euch oder wahrscheinlich die meisten von euch. Also ich mache das auf jeden Fall schon seit Jahren so. Naja, und einige dieser Passwort-Manager unterstützen auf jeden Fall mittlerweile Passkeys. Das ist unserer Meinung nach wirklich der beste Weg, um Passkeys überall komfortabel nutzen zu können.

Also plattformübergreifend, um auch in Zukunft ohne so einen Lock-in-Effekt. Wichtig ist nur darauf zu achten, dass der Passwort-Manager wirklich alle Systeme unterstützt. Wir haben vier gefunden, die alle Plattformen unterstützen. Und das sind: 1Password, Bitwarden, Proton Pass und NordPass. Alle vier gibt es für Mac, Windows, Linux, Android und iOS. Klar, es gibt noch viel mehr Passwort-Manager, aber die vier ermöglichen Passkeys wirklich auf allen Plattformen ohne viel Aufwand zu verwenden.

Die Unterschiede fangen allerdings schon beim Preis an. Bitwarden ist in der Grundversion komplett kostenfrei und kann auch selbst gehostet werden, was ja wahrscheinlich für viele von euch interessant ist. Zum Beispiel auf eurem Homeserver, wenn ihr der Hersteller-Cloud nicht vertraut. Proton Pass gibt es auch in einer kostenlosen Variante mit Passkey-Unterstützung. 1Password kostet 4 Euro im Monat oder 36 Euro im Jahr. Und NordPass ist zwar in der Grundversion kostenfrei, bietet da aber nur Unterstützung für ein Gerät.

Also für unser Ziel, Passkeys überall verwenden zu können, braucht man das Premium-Abo, das standardmäßig 5 Euro im Monat kostet. Aber da gibt es auch günstiger ein- oder zwei-Jahresabos. Ansonsten sind die Passkey-Funktionen aber bei allen vier Anbietern ziemlich ähnlich. Für die Desktop-Betriebssysteme gibt es entweder einen eigenen Client oder Browser-Erweiterungen und für Smartphones einfach eine App.

Also mal ganz konkret: Ich habe hier Bitwarden auf meinem iPhone, Android-Tablet, Mac, Windows und Linux installiert. Bei Mac und Windows einfach die App und bei Linux die Browser-Erweiterung für Firefox. Und jetzt kann ich, wenn ich hier auf Linux auf diese Demo-Passkey-Seite klicke, einfach einen neuen Passkey in Bitwarden erstellen, der dann direkt auch auf meinem Windows-Client, dem Android-Tablet und dem iPhone benutzbar ist. Statt dieser Demo-Seite geht das natürlich auch bei allen Anbietern, die Passkeys schon unterstützen.

Wichtig, wenn ihr diese Dienste auf einem Smartphone verwenden wollt: Bei iOS könnt ihr bis zu drei Dienste für das automatische Ausfüllen von Passwörtern und Passkeys einstellen, sogar den Google-Passwort-Manager übrigens. Bei Android gehen sogar bis zu fünf. Damit funktionieren die Passwort-Tresore dann auch optisch ähnlich zu Apple-Passwörtern oder Google-Passwörtern. Also ich kann dann hier auf dem iPhone auch einen QR-Code für die Passkey-Anmeldung scannen und selbst auswählen, welchen der installierten Passwort-Tresore ich verwenden will.

Was natürlich auch grundsätzlich möglich ist, einen extra Passkey für jedes Gerät zu erstellen. Also das geht bei fast allen Websites und Diensten. Kann man überall mehrere Passkeys erstellen. Dann müsste man nur auf jedem Gerät, also PC, Tablet und Smartphone, jeweils sich bei dem Dienst einloggen und dann den Passkey lokal auf dem Gerät speichern. Ist ein bisschen aufwendig. Könnt ihr natürlich auch nur für die zwei bis drei wichtigsten Accounts machen, damit ihr da im Worst Case noch Zugriff habt, wenn ihr mal euer Masterpasswort für den Tresor vergesst.

Was ihr aber auf jeden Fall immer machen solltet, euch einmal mit den Recovery-Optionen eurer wichtigsten Accounts zu beschäftigen. Bei den meisten Diensten könnt ihr alternative E-Mail-Adressen oder Telefonnummern hinterlegen oder euch auch Recovery-Codes holen. Bei Google kann man sich zum Beispiel hier so einmal Codes runterladen.

Generell ist wichtig, Passkeys sind immer noch relativ neu. Also das hat ja erst 2022 so richtig Fahrt aufgenommen und ist auch definitiv noch nicht zu Ende entwickelt. Also aktuell wird zum Beispiel an einer Möglichkeit gearbeitet, Passkeys komfortabel zu importieren und exportieren. Dazu gibt es auch einen FIDO-Standard, der im Laufe des Jahres in die gängigen Passwort-Manager inklusive Apple und Google hoffentlich eingebaut werden soll.

Und dann gibt es auch noch eine andere Baustelle. Es gibt ja die eine oder den anderen, die vielleicht Netflix-Passwörter oder so teilen. Wenn man da auf Passkeys umsteigen will, ja, das Teilen von Passkeys wird erst teilweise unterstützt. Ich kann hier zum Beispiel bei Apple-Passwörter direkt Passkeys teilen, allerdings nur mit anderen Nutzern der Apple-Passwörter-App. Das Gleiche gilt für die Passwort-Tresore. Wenn es die Möglichkeit überhaupt gibt, dann nur mit anderen Nutzern und Nutzerinnen des gleichen Anbieters. Also das muss auch universeller werden, damit Passkeys wirklich im Alltag komplett sitzen können.

Mein Fazit

Also die Idee hinter Passkeys ist nach wie vor super. Also eine einfache Möglichkeit, mit der sich auch technisch nicht so versierte Menschen sicher online anmelden können. Das ist ja wirklich ein Fortschritt. Vor allem, weil ja in der Praxis sieht man ja immer so bei so geleakten Passwortlisten, dass Passwörter sehr oft sehr unsicher gewählt sind. Also klassisch Passwort 1234. Aber auch wenn ihr so ein super gutes, langes, ein Kilometer langes Passwort mit Groß-, Kleinschreibung, Sonderzeichen habt, dann kann euch das auch durch Phishing aus den Händen gerissen werden, dann habt ihr auch ein Problem. Das alles kann mit Passkeys nicht passieren.

Allgemein ist Passkeys natürlich ein Prozess, der jetzt nicht von heute auf morgen umgesetzt ist, was aber auf jeden Fall deutlich sichtbar ist. Es gibt eine Weiterentwicklung. Immer mehr Passwort-Manager bieten Passkeys-Support und auch die Anzahl an Anbietern, die euch das Anmelden mit Passkeys erlauben, die steigt immer weiter an. Auch wenn manche sehr großen Anbieter da immer noch fehlen, also Steam, Signal, Reddit, Instagram. Also leider noch viele.

Und was man halt auf jeden Fall beobachten kann. Der Kompromiss aus möglichst sicher und möglichst einfach hat halt zum Beispiel bei Apple dazu geführt, dass die deine Passkeys einsperren und nur auf ihren Plattformen nutzbar machen, als wäre das ein Apple-Feature. Klar, ich kann auch mein iPhone an QR-Code halten und mich so in Linux anmelden, aber das kann ja nicht die einzige Lösung sein.

Also wenn ihr eine Sache aus diesem Video mitnehmt, dann verlasst euch nicht blind auf die Passkey-Implementierung von Apple, Google oder Microsoft. Nutzt stattdessen plattformunabhängige Passwort-Manager für alle eure Passkeys, starke einzigartige Passwörter als Backup. Wenn es geht, löscht die Passwörter. Aber das ist nur bei ganz wenigen Anbietern der Fall. Nutzt immer Zwei-Faktor-Authentifizierung und setzt euch mit den Recovery-Optionen auseinander.

So bekommt ihr die Sicherheitsvorteile von Passkeys, ohne euch in ein bestimmtes Ökosystem einsperren zu lassen oder eben bei dem Problem ausgesperrt zu sein. Ja, was denkt ihr? Nutzt ihr Passkeys? Habt ihr ähnliche Probleme wie im Video beschrieben auch schon erlebt oder sagt ihr alles Spezialisten-Kram? Ich bin hier total zufrieden in meinem Walled Garden. Schreibt es in die Kommentare und wenn euch das Video gefallen hat, freue ich mich über einen Daumen nach oben und Abo. Tschüss.

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c't 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c't Magazin. Die Redakteure Jan-Keno Janssen, Lukas Rumpler, Sahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(rum)