Passkeys: Wie ein Account ohne Passwort funktioniert

Passwörter adieu! Mit dem Nachfolger Passkeys können Sie sich passwortlos aber dennoch sicher und komfortabel einloggen – seit Kurzem auch bei Google-Diensten.

In Pocket speichern vorlesen Druckansicht 210 Kommentare lesen
Lock,With,Chain,On,A,Computer,Keyboard,-,3d,Illustration

(Bild: peterschreiber.media/Shutterstock.com)

Lesezeit: 8 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Ausgerechnet am Welt-Passwort-Tag, dem 3. Mai, hat Google das Ende der Passwörter eingeläutet und Passkeys zum bevorzugten Anmeldeverfahren erklärt. Wer eine Zwei-Faktor-Authentifizierung eingerichtet hat und sich seit dem Stichtag auf google.com einloggt, wird aufgefordert, die Anmeldung durch die Einrichtung eines Passkeys zu vereinfachen. Android-Smartphones erklärt das Unternehmen automatisch zu Passkeys für den Google-Account, auf iPhones, Macs und PCs sind nur wenige Klicks nötig.

Damit will Google seinen Kunden nicht nur mehr Sicherheit bieten, sondern auch weniger Frust. Laut einer aktuellen Auswertung des Unternehmens sind rund zwei Drittel der Login-Versuche mit Passkey erfolgreich, mit Passwort liegt die Erfolgsrate gerade mal bei rund 14 Prozent. Außerdem sind Passkeys viel schneller: Das Einloggen dauerte damit im Schnitt 15 Sekunden, mit Passwort doppelt so lange.

Passkeys sind im Alltag angekommen: Google rät seinen Nutzern nach dem Einloggen, auf das moderne Login-Verfahren umzusteigen.

Aber was sind Passkeys überhaupt? Passkeys sind ein moderner, sicherer Ersatz für das Passwort. Das Authentifizierungsverfahren wurde von der FIDO Alliance entwickelt, der neben Google auch Apple, Microsoft und viele weitere Unternehmen angehören. Es ist offen und herstellerunabhängig.

Passkeys lösen ein altes Problem: Um sich mit einem Account bei einem Webdienst einzuloggen, müssen Sie dem Dienst beweisen, dass Ihnen der Account tatsächlich gehört. Dazu nennen Sie dem Dienst bisher ein vorher vereinbartes Geheimnis, das Passwort. Ist das Passwort korrekt, werden Sie eingeloggt und können den Account nutzen.

Das Konzept stammt jedoch aus einer Zeit vor Internet, Phishing und Trojanern. Ein Passwort kann leicht Cyber-Kriminellen in die Hände fallen, die Ihren Account damit kapern können. Wenn Sie bequem sind und überall dasselbe Kennwort nutzen, übernehmen die Hacker auch diese Konten. Damit es die Schurken nicht leichter als nötig haben, gibt es allerhand Krücken, die das unsichere Konzept Passwort nachträglich absichern. Dazu zählen insbesondere die Zwei-Faktor-Authentifizierung und Passwortmanager. Damit muss der Nutzer das Problem ausbaden, denn die zusätzliche Sicherheit ist mit Aufwand und Verantwortung verbunden. Wer sich nicht selbst kümmert, hat eben Pech gehabt.

Zum Einloggen wählen Sie einfach einen zuvor gespeicherten Passkey, im nächsten Schritt sind noch PIN, Fingerabdruck oder Gesichtsscan gefragt. Ein Passwort ist nicht mehr nötig.

Bei Passkeys gibt es keine Passwörter mehr, die in die falschen Hände fallen können. Stattdessen kommt asymmetrische Verschlüsselung zum Einsatz: Als Geheimnis dient ein privater Kryptoschlüssel, also im Prinzip eine lange, zufällig generierte Zeichenfolge. Anders als das Passwort ist dieser tatsächlich geheim, er verbleibt auf Ihrem Gerät, das Sie für Passkeys nutzen, zum Beispiel auf Ihrem Smartphone. Er wird niemals mit den Webdiensten geteilt.

Wenn Sie sich bei einem Dienst einloggen wollen, sendet dieser bestimmte Daten an Ihr Gerät, eine sogenannte Aufgabe (Challenge). Ihr Gerät löst sie, indem es sie mit Ihrem privaten Schlüssel digital signiert und zurück an den Dienst schickt. Anhand der digitalen Signatur kann der Webdienst zweifelsfrei feststellen, dass die Challenge mit Ihrem privaten Schlüssel signiert wurde. Da nur Sie ihn besitzen, kann der Dienst davon ausgehen, dass er es wirklich mit Ihnen zu tun hat – und Sie sind authentifiziert. Salopp gesagt: Sie beweisen dem Dienst, dass Sie den privaten Schlüssel besitzen, ohne den Schlüssel preiszugeben.

Das Passkey-Verfahren ist so ausgelegt, dass jeder es bequem nutzen kann. Es handelt sich im Kern um FIDO2, das wir in den vergangenen Jahren mehrfach in c’t vorgestellt haben. Die Funktionsweise ist weitgehend identisch, jedoch ist bei FIDO2 in seiner ursprünglichen Form die feste Bindung des privaten Schlüssels an eine Hardware vorgesehen.

Dazu wird der Schlüssel unauslesbar in einem speziellen Security-Chip gespeichert. Das ist zwar sehr sicher, bedeutet allerdings auch, dass man jedes einzelne Gerät, mit dem man sich einloggen möchte, mit allen Accounts verknüpfen muss. Das ist schwer vermittelbar und viel zu aufwendig, um dem bequemen Passwort Konkurrenz zu machen. Mit den Passkeys fällt diese Anforderung: Ein privater Schlüssel darf auf mehreren Geräten genutzt werden und kann über die Cloud synchronisiert werden, wenn Sie es wünschen.

Passkeys sind im Alltag angekommen und Sie können sie sofort ausprobieren. Sie müssen dafür nichts kaufen oder herunterladen, denn Apple, Google und Microsoft haben Passkeys in den vergangenen Monaten nach und nach per Update in die wichtigsten Betriebssysteme und Browser integriert. Windows unterstützt ab Version 10 das Passkey-Verfahren, macOS ab Ventura, iOS ab Version 16 und Android ab Version 9. Zudem ist einer der folgenden Browser in einer aktuellen Version notwendig: Chrome, Edge oder Safari. Firefox ist derzeit außen vor. Die Mozilla-Entwickler haben Passkey-Unterstützung bereits auf ihrer Roadmap, allerdings nicht vor Firefox-Version 120, die für Ende November geplant ist.

Wenn Ihr Gerät die genannten Anforderungen erfüllt, kann es Passkeys erstellen und verwalten. Damit Sie die Funktion nutzen können, muss Ihr Gerät mit einer Bildschirmsperre geschützt sein. Erst wenn Sie Ihre PIN eingegeben oder sich per Fingerabdruck oder Face ID zu erkennen gegeben haben, wird ein Passkey für die Nutzung freigegeben. Bei Windows müssen Sie in den Einstellungen das Einloggen per PIN, Fingerabdruck oder Gesichtsscan aktivieren, damit der Authentifizierungsdienst Windows Hello aktiv wird, der sich um die Passkeys kümmert.

Android-Smartphones und iPhones können aber noch mehr: Sie können die Passkeys als sogenannter Authenticator auch anderen Rechnern zur Verfügung stellen, ohne die Passkeys preiszugeben. So können Sie sich zum Beispiel sicher auf einem fremden Rechner einloggen, ohne ein Passwort eintippen zu müssen, das mitgeschnitten werden kann. Das ist auch nützlich, wenn Sie die Passkeys nicht synchronisieren möchten. Speichern Sie die Passkeys einfach zentral auf dem Smartphone und loggen Sie sich damit bei Bedarf auf Ihrem Rechner bei den Webdiensten ein.

Um das Smartphone als Authenticator zu nutzen, wählen Sie etwa in Google Chrome auf dem Rechner die Option "Smartphone oder Tablet verwenden", nachdem Sie die Authentifizierung gestartet haben. Anschließend müssen Sie den angezeigten QR-Code mit dem Smartphone scannen. Bluetooth muss auf beiden Geräten aktiv sein, da aus Sicherheitsgründen eine lokale Verbindung zwischen Rechner und Smartphone hergestellt wird.

Linux ist aktuell auf externe Hilfe angewiesen, da es Passkeys noch nicht selbst unterstützt. Eine Alternative zum Smartphone sind weiterhin die FIDO2-Sicherheitsschlüssel, die wir bereits vorgestellt haben. Das sind externe Authenticator, meist in Form eines USB-Sticks. Wer mehr über die Einrichtung und Nutzung von Passkeys wissen will, findet hier einen ausführlichen Artikel dazu.

Mit Passkeys ist ein würdiger Nachfolger für die gleichermaßen ungeliebten wie unsicheren Passwörtern gestartet. Für ein Erfolgsrezept fehlt aber noch eine Zutat, nämlich eine breite Akzeptanz seitens der Dienste. Passkeys basieren auf FIDO2 und sind kompatibel zu den meisten Websites, die dieses Verfahren implementiert haben. Die Website muss dafür die WebAuthn-API verwenden. Das sind weiterhin nicht sehr viele, da FIDO2 nicht den großen Durchbruch geschafft hat.

Im besten Fall bietet die Website das Einloggen ohne Passwort an, dann können Sie Passkeys wie vorgesehen nutzen. In vielen Fällen dient FIDO2 jedoch nur als zweiter Faktor, zusätzlich zum Passwort. Dann haben Sie gute Karten, dass Sie Ihr Passkey-Gerät auch dafür verwenden können. Das ist aktuell zum Beispiel bei Facebook und Twitter der Fall.

Mit gutem Beispiel gehen Google und Microsoft voran, die das Einloggen ohne Passwort bereits für ihre Dienste anbieten. Microsoft ist besonders konsequent und erlaubt seinen Nutzern sogar, das Passwort aus dem Account zu löschen, damit Angreifer es nicht als Hintertür missbrauchen können. Genau so sollte eine passwortfreie Zukunft aussehen.

Die Chancen stehen gut, dass sich Passkeys als Standard für die sichere Authentifizierung im Netz durchsetzen und im Laufe der nächsten Monate und Jahre viele weitere Webdienste auf den Zug aufspringen. In naher Zukunft wird man es vielleicht sogar erwarten dürfen, dass man sich per Passkey einloggen kann und nicht dazu aufgefordert wird, sich ein individuelles, langes und kompliziertes Passwort auszudenken, für dessen Sicherheit der Dienst nicht garantieren kann.

In jedem Fall ist jetzt der richtige Zeitpunkt, um sich mit dem Thema auseinanderzusetzen. Ganz gleich, ob Sie die ersten Accounts per Passkey schützen wollen oder planen, das Authentifizierungsverfahren in eigene Dienste zu integrieren.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes YouTube-Video (Google Ireland Limited) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Google Ireland Limited) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(rei)