heise PlusAbo
Anzeige

Kommentar zu Passkeys: Einer für alle – oder Microsoft gegen den Rest?

Passkeys sind sicherer als Passwörter, doch durch Anbieterbindung eingeschränkt. Import/Export-Funktionen könnten das bald ändern, meint Jürgen Schmidt.

vorlesen Druckansicht 133 Kommentare lesen
,

bearbeitet durch c't

Lesezeit: 2 Min.
c't Magazin
Von
close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

.

Passkeys sind ein in der IT-Security seltener Glücksfall. Sie machen etwas deutlich sicherer, nämlich das Anmelden bei Internetdiensten. Anders als üblich wird dies aber nicht komplizierter, sondern für den Nutzer sogar bequemer. Im Idealfall genügt ein Fingerabdruck oder ein Blick in die Kamera. Und zwar ohne dabei seine biometrischen Daten an irgendwelche Datenkraken auszuliefern. Das ist so etwas wie der Sechser im Lotto. Theoretisch jedenfalls, in der Praxis fällt der Gewinn dann doch kleiner aus.

Ein Kommentar von Jürgen Schmidt
Ein Kommentar von Jürgen Schmidt

Jürgen Schmidt - aka ju - ist Leiter von heise Security und Senior Fellow Security des Heise-Verlags. Von Haus aus Diplom-Physiker, arbeitet er seit über 25 Jahren bei Heise und interessiert sich auch für die Bereiche Netzwerke, Linux und Open Source. Sein aktuelles Projekt ist heise Security Pro für Sicherheitsverantwortliche in Unternehmen und Organisationen.

Der größte Stolperstein auf dem Weg zum Hauptgewinn ist bisher der Vendor-Lock-in: Passkeys leben in den Ökosystemen der großen Anbieter Apple, Google und Microsoft. Innerhalb derer werden sie auch automatisch über Gerätegrenzen hinweg synchronisiert: Mein auf dem iPhone erstellter Passkey für Dienst XYZ funktioniert quasi sofort auch auf meinem MacBook. Ich kann mich dort sofort mit einem Fingerabdruck anmelden (der dabei übrigens nur lokal verwendet wird). Aber wenn ich mich auf meinem Windows-Arbeitsplatz bei XYZ anmelden will, schaue ich in die Röhre. Das ist schlicht nicht vorgesehen.

Videos by heise

Doch da zeichnet sich Besserung ab: Apple stellt offiziell Funktionen zum Im- und Export von Passkeys vor, die genau das ermöglichen sollen. Das ist auch kein Alleingang, sondern ist eingebettet in eine Initiative der FIDO-Allianz, die mit dem Credential Exchange Protocol (CXP) und Credential Exchange Format (CXF) die notwendigen Standards dafür schuf. Und Google baut offenbar ebenfalls schon Import-/Export-Funktionen für Passkeys in Android ein. Auch wenn es da noch keine offizielle Timeline gibt – das ist ein gutes Zeichen.

In eigener Sache: c't bei WhatsApp

Ihr könnt die c't auch bei WhatsApp abonnieren: Wir schicken werktäglich Einordnungen zu aktuellen Themen und Einblicke in den Redaktionsalltag.

Fehlt also einmal mehr nur noch Microsoft. Die hinkten bei den Passkeys bereits mehrfach hinterher – etwa mit dem Versprechen, diese nur Ende-zu-Ende-verschlüsselt zu synchronisieren, ohne dass eine Kopie bei Microsoft landet. Doch angesichts der Tatsache, dass auch sie die Integration mit Android und iPhones benötigen, rechne ich nicht damit, dass sie sich da querstellen. Oder, Microsoft? Oder?

Unterstützen Sie c't

Wir brennen für kritischen und fundierten IT-Journalismus. Sie auch? Wenn Ihnen dieser Artikel gefallen hat, dann unterstützen Sie uns jetzt mit einem Abonnement und freuen sich auf detaillierte Anleitungen, umfangreiche Tests und tiefgehende Reportagen.

(ju)

Mehr zum Thema

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Beliebte Bestenlisten

Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten