Durchbruch für Passkeys? Google synchronisiert Schlüssel automatisch

Automatisch und im Hintergrund überträgt Google jetzt Passkeys zwischen Android, Windows und macOS. Voraussetzung ist lediglich Chrome.

In Pocket speichern vorlesen Druckansicht 151 Kommentare lesen
Gleicher Fingerabdruck auf Token, Laptop und Smartphone

(Bild: iX)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Wer einen Passkey unter Android erzeugt, kann ihn künftig automatisch mit seinem Windows- oder macOS-Rechner verwenden – sofern ebenfalls Chrome als Webbrowser mitsamt dem eingebauten Google Password Manager (GPM) zum Einsatz kommt. Ohne eine offizielle Ankündigung hat Google diese Funktion eingeführt, die verspricht, das Leben mit der passwortlosen und sicheren Authentifizierung für viele reguläre Anwender deutlich zu vereinfachen.

Bei Passkeys handelt es sich um eine Erweiterung des FIDO2-Standards, die ihn einfach nutzbar machen soll. Bei der herstellerunabhängigen Technik müssen sich Anwender – im Gegensatz zur bislang verbreiteten Anmeldung – keinen Nutzernamen und kein Kennwort mehr merken. Stattdessen authentifizieren sie sich über ein Token, über das Smartphone oder einem PC oder Mac mit einem Sicherheitsmodul. Das Ganze funktioniert per asymmetrischer Verschlüsselung mit einem privaten Kryptoschlüssel als Geheimnis, der stets im Besitz des Nutzers bleiben soll und nicht an den Webdienst bei der Anmeldung übertragen wird. Für den Login sendet der Dienst – zum Beispiel Gmail – eine Aufgabe (Challenge) an das Gerät und dieses schickt die erzeugte Signatur zurück an den Dienst.

iX-Workshop: Moderne Authentifizierung mit und ohne Passwort

Sie möchten erfahren, welche modernen Alternativen es zum Passwort gibt und welche Rolle PKI-Zertifikate und FIDO dabei spielen? In diesem Workshop lernen Sie an konkreten Beispielen die Konzepte und Best Practices moderner Methoden zur sicheren Authentifizierung mit PKI-Zertifikaten, Passkeys und Zwei-Faktor-Authentifizierung kennen. Weitere Informationen und Tickets gibt es unter heise.de/s/Z7ZgW.

Wollen Anwender jedoch ihre Passkeys auf mehreren Geräten verwenden, müssen sie die Schlüssel synchronisieren – zum Beispiel über die Cloud. Dabei verlief der bequemste Weg allerdings bislang über Passwort-Manager, die separat einzurichten waren. Alternativ konnten Nutzer ihr Smartphone als Authenticator einsetzen, mussten dazu aber einen QR-Code scannen und Bluetooth auf beiden Geräten aktiviert haben. Bei dieser Methode verbleiben alle Passkeys lokal auf dem Smartphone.

Dementsprechend erhoffen sich Beobachter wie Corbado von Googles Schritt nicht weniger als eine "Passkey Revolution" – und das vor allem aufgrund der Dominanz von Android und Google Chrome. Haben Anwender bereits einen Passkey auf ihrem Smartphone nach Aufforderung erzeugt und setzen ihn ein, dann steht er ihnen automatisch und ohne weiteres Zutun auch auf dem PC oder Mac zur Verfügung. Da die passwortlose Anmeldung anschließend einfacher und schneller ist, sollte sie sich nun noch schneller durchsetzen – so zumindest die Erwartung.

Allerdings gibt es hierbei mehrere Einschränkungen: Zum einen funktioniert die automatische Synchronisierung ausschließlich dann, wenn der Schlüssel auf einem Android-Gerät erzeugt wird. Den Weg von Windows oder macOS zu den anderen Systemen sieht Google (bislang) nicht vor. Des Weiteren fehlt iOS komplett, auf Android erzeugte Passkeys lassen sich nicht über Googles Password Manager mit dem iPhone synchronisieren. Und natürlich gibt es keinerlei Support für Firefox oder Safari.

Ein Blick auf die Technik zeigt, wie Google die Passkeys überträgt. Das geschieht nicht direkt zwischen den Geräten, sondern über Googles Server. Damit Google oder Angreifer jedoch nicht in den Besitz der privaten Schlüssel kommen, verpackt sie der Synchronisationsdienst und speichert sie vorübergehend im Arbeitsspeicher des Servers. Um sie auf der Empfängerseite wieder zu entpacken, ist ein entsprechendes Sicherheitsmodul auf dem PC oder Mac nötig. Eine kurze technische Beschreibung des Dienstes findet sich hier, Google will den Quellcode der Software außerdem künftig offenlegen.

Ähnlich bequem haben es bislang Apple-Nutzer, die ihre Passkeys zwischen iPhones, iPads und Macs per iCloud Keychain synchronisieren können. Der Support außerhalb der eigenen Plattformen fehlt bislang noch – was sich aber bald mit der neuen Passwords-App in iOS 18 ändern könnte, denn sie wird zumindest auch für Windows erscheinen. Microsoft hält sich zu seinen Plänen zur Synchronisation von Passkeys bislang bedeckt.

Angekündigt hatte Google seinen Umstieg auf Passkeys erst Mitte 2023, bereits wenige Monate später machte Gmail Ernst und forderte Nutzer standardmäßig zum Einrichten der passwortlosen Authentifizierung auf. Insgesamt hat der Einsatz von Passkeys im letzten Jahre deutlich zugelegt, insbesondere im E-Commerce-Bereich sowie bei Adobe-Tools und GitHub.

(fo)