c't 3003: Deshalb brauchst du nie wieder Passwörter

Die großen Anbieter von Online-Diensten haben keine Lust mehr auf Passwörter. Microsoft, Apple, Google und Co. haben sich zusammengeschlossen und wollen eine passwortlose Zukunft. Möglich machen sollen das sogenannte Passkeys. Was geht da schon und was kommt noch? c't 3003 hat sich den Passwort-Nachfolger genauer angeschaut.

Transkript des Videos

(Hinweis: Es handelt sich hier um einen Bonusinhalt für Menschen, die das Video oben nicht schauen können oder wollen. Die Informationen auf der Bildspur gibt das Transkript nicht wieder.)

Guckt mal hier, das bin ich, wie ich mir ein sicheres Passwort ausdenke. Gut, es gibt auch Tools, die das für einen machen und dann auch abspeichern, also 1Password, Bitwarden, den eingebauten Schlüsselbund von euren Handyanbietern. Aber es gibt noch was viel Besseres. Passkeys! Im Unterschied zu herkömmlichen Passwörtern sind Passkeys deutlich komfortabler und auch sicherer, denn während normale Passwörter vereinfacht gesagt gehasht auf den Servern liegen, gibt es beim Passkey zwei Kryptoschlüssel. Einen, den nur du hast und einen den auch der Anbieter hat. Damit bist du nicht nur gegen Phishing geschützt, sondern auch generell sicherer unterwegs. Auch wenn der Server gehackt wird, kann niemand die Passwörter rekonstruieren. Und das ist nicht irgendwie eine neue Erfindung, die vielleicht mal ein paar Jahren kommt, das geht schon heute. Bei Google, Microsoft oder Adobe zum Beispiel. Und in den nächsten Monaten wird sich da viel tun.

Passkeys sind also im Prinzip virtuelle Schlüssel, die auf deinem Smartphone, deinem Computer oder einem speziellen USB-Stick gespeichert werden. Und dann musst du nur noch deinen Fingerabdruck oder Face-ID verwenden und schon bist du eingeloggt. Und das Beste, du musst dir nie wieder ein Passwort merken oder auf Phishing-Webseiten reinfallen. Wie das genau funktioniert und wie du das direkt einsetzen kannst, bleibt dran!

Liebe Hackerinnen, liebe Internetsurfer, herzlich Willkommen hier bei…

Also das Problem mit Passwörtern. Die gibt es schon länger als das Internet und die sind deswegen auch nicht an die Realität des Internets und die Cyberkriminalität angepasst. Das Prinzip, einen Benutzernamen und eine Reihenfolge von Zahlen, Buchstaben und Sonderzeichen zu verwenden, um sich zu identifizieren, ist nicht wirklich sicher. Denn wenn jemand Zugang zu den Servern des Anbieters hat oder dein Passwort sonst irgendwie geleakt wird, dann können kriminelle Menschen viel Schindluder damit treiben. Und deswegen gibt es schon länger die Zwei-Faktor-Authentifizierung. Die kennt man, wenn man Online-Banking macht, aber auch Google, Apple und andere große Anbieter zwingen der Benutzerschaft das im Prinzip mittlerweile auf. Das sorgt dafür, dass du neben deinem Benutzernamen und dem Kennwort noch einen zweiten Faktor für die Anmeldung benötigst. Bei Google wird das beispielsweise per Benachrichtigung über die Google-PlayDienste auf Smartphones gelöst. Bei Apple bekommst du auf ein anderes Apple-Gerät mit deiner Apple-ID ein Code und musst auf "Bestätigen" klicken. Und selbst die vermeintlich altmodische SMS ist auf jeden Fall schon sicherer, als sich eben nur mit Namen und Passwort anzumelden.

Noch sicherer fährt man aber mit Passkeys. Die Technik dahinter gibt es schon länger. Das Authentifizierungsverfahren basiert auf FIDO2, WebAuthn, sowie CTAP2 und wurde von der FIDO-Alliance entwickelt. Die gibt es seit 2012 und dazu gehören unter anderem Apple, Google, Intel, Microsoft, PayPal oder auch das BSI, das Bundesamt für Sicherheit in der Informationstechnik. Also quasi alle wichtigen Player, die irgendwie mit Cybersecurity in ihren Produkten zu tun haben und deswegen auch ein Interesse daran haben, dass die Menschen bestmöglich geschützt sind.

Das Problem allerdings an den bisherigen FIDO-Standards, die daraus hervorgegangen sind, die sind einfach zu komplex für die meisten Leute. Da muss man sich extra Hardware für anschaffen oder in den meisten Fällen einen extra Schlüssel für jedes Gerät erstellen. Und wahrscheinlich wisst ihr es selbst am besten, man hat ja schon genug damit zu tun, den meisten Menschen im eigenen Umfeld zu erklären, warum sie für jeden Dienst ein eigenes Passwort brauchen und das am besten nicht "Name meiner Tochter 123" sein sollte. Ist klar, da wird jetzt keine Euphorie aufkommen, wenn man mit so einem kleinen extra Stick ankommt. Aber genau das könnte sich jetzt mit den Passkeys ändern, weil die auch in der Praxis, was den Komfort angeht, ernsthaft mit simplen Passwörtern konkurrieren können. Denn Passkeys weichen von den strengen Sicherheitsanforderungen der Vorgänger ab. Kryptoschlüssel können synchronisiert werden oder am PC über das Smartphone per QR-Code und Bluetooth verwendet werden.

Aber was macht denn jetzt ein Passkey so anders als ein Passwort? Ja, also das funktioniert im Prinzip so: Wenn du dich bei einem Anbieter online einloggen möchtest und du Passkey auswählst, dann gibt der Webdienst deinem Gerät eine zufällige Datenfolge, das heißt Challenge. Dein Gerät signiert diese Challenge dann mit dem privaten Key, der eben nur auf deinem Gerät gespeichert ist und dann kann der Webdienst über den öffentlichen Key überprüfen, ob die Signatur wirklich von deinem privaten Key stammt. Und falls euch das Verfahren jetzt bekannt vorkommt, kann gut sein, denn das ist seit Jahrzehnten etabliert. Heißt Public-Key-Kryptographie und wird zum Beispiel bei HTTPS oder Mailverschlüsselung oder Instant Messaging eingesetzt. Und um dieses Verfahren jetzt eben auf eine Massenbasis zu bringen, haben die führenden Anbieter beschlossen, das in ihre Systeme einzubauen und als Passkey zu vermarkten. Und im Gegensatz zum Passwort, gibt es beim Passkey eben kein shared secret - also eine Reihenfolge von Zeichen, die sowohl der Anbieter, als auch der Benutzer kennen. Der private Key liegt nur bei dir und kann deswegen auch nicht abgefangen werden. Das ist also unter der Haube sicherer, aber in der Benutzung viel komfortabler. Das sieht dann beim Einloggen so aus. Einfach den Login eingeben und dann auf mit Passkey anmelden klicken, Finger auflegen oder Gesicht scannen und schon bist du drin. Je nachdem, wie der Anbieter das Login-Verfahren aufbaut, musst du in einigen Fällen sogar gar keinen Login-Namen eingeben, sondern kannst den Passkey direkt verwenden.

Und Phishing ist mit Passkeys auch kein Problem mehr, weil ihr könnt, den Passkey nur auf der Website benutzen, für die ihr ihn erstellt habt. Der PayPal-Passkey funktioniert also nur auf Paypal.com und nicht auf Paypal-FakeAccount-sonstwas.org oder so. Ihr seid deshalb automatisch vor Phishing geschützt. Und ich habe es ja gerade schon gesagt, Passkeys kann man heute schon benutzen, zum Beispiel hier bei Google. Da könnt ihr nach diesem Video direkt in die Account-Einstellung und dann hier auf Sicherheit und dann auf Passkeys klicken und hier Passkey erstellen. Und schon habt ihr ein Passkey.

Wenn ihr das erstmal so ausprobieren wollt, könnt ihr auf passkey.org gehen. Dort gebt ihr einfach einen Login Namen ein und erstellt dann dafür ein Passkey. Dann geht ihr auf ein anderes Gerät, in unserem Beispiel von einem Macbook auf das iPhone und gebt hier dann den Login Namen ein und könnt dann einfach sehen, dass die Synchronisation des Passkeys geklappt hat. Apple speichert die Passkeys nämlich im verschlüsselten iCloud Backup und synchronisiert sie auf allen Apple Geräten, in die ihr eingeloggt seid. Das heißt, wenn euer iPhone kaputtgeht und ihr neues kauft, sind darauf direkt alle Passkeys gespeichert. Und wenn ihr mehrere Apple Geräte benutzt, dann sind auf allen Geräten automatisch eure Passkeys hinterlegt. Diese Synchronisation bietet auch Google an, also zwischen mehreren Android-Geräten. Plattformübergreifend geht das aber Stand heute noch nicht. Das heißt, ihr könnt Passkeys einzeln auf euren Windows Rechnern, Android Smartphones oder iPad speichern, aber eben nicht die gleichen Passkeys verwenden.

Einige Anbieter von Passwortmanagern haben aber schon angekündigt, dass sie zeitnah Versionen mit Passkey-Funktionen anbieten werden. Und damit können die Passkeys dann auch zwischen Windows, Linux, Android und Apple-Geräten synchronisiert werden. 1Password hat Passkeys sogar schon in die Beta-Version integriert. Und quasi alle anderen bekannten Anbieter von Passwortmanager wollen das auch zeitnah machen. Und spätestens dann haben alle Leute die Möglichkeit, über alle ihre Geräte hinweg Passkeys zu synchronisieren. Aber ihr müsst gar nicht zwingend auf allen Geräten Passkeys gespeichert haben. Eigentlich reicht das Smartphone als digitaler Schlüssel. Das ist heute der einfachste Weg, um Passkeys im Alltag zu verwenden. Denn ihr könnt bei Diensten, die Passkeys unterstützen, auswählen, dass ihr euer Smartphone verwenden möchtet. Dann öffnet ihr einfach die Kamera App, scannt den QR-Code und der Login funktioniert über die gleiche Technik.

Die Voraussetzungen für Passkeys sind übrigens gar nicht mal so hoch. Es reicht ein aktuelleres iPhone mit iOS 16, also ab dem iPhone 8. Oder wie gesagt ein Android Smartphone ab Version 9, ein Mac mit mindestens macOS Ventura. Bei Windows funktionieren Passkeys unter Windows 10 und 11 über den eingebauten Authentifizierungsdienst Windows Hello. Wenn ihr hier das Smartphone verwenden wollt, müsst ihr aktuell Chromium basierte Browser benutzen, also etwa Chrome, Edge oder Opera One. Richtig ins System integriert soll diese Funktion erst mit einem zukünftigen Update werden. Hier legt Microsoft hoffentlich bald nach.

Was ihr möglichst tun solltet, nachdem ihr auf Passkeys bei einem Anbieter umgestiegen seid, das Passwort dort unbedingt entfernt. Leider geht das aber bei weitem nicht bei allen Anbietern, die heute schon Passkeys unterstützen. Microsoft gehört zu den wenigen Anbietern, bei denen ihr heute schon Passwörter entfernen könnt. Der NAS-Hersteller Synology geht sogar einen Schritt weiter und entfernt das Passwort nach einer Vorwarnung automatisch, nachdem man dort einen Passkey eingerichtet hat. Hat man aber wirklich mal keinen Zugriff mehr auf die Passkeys, also wenn euer Handy vom Trecker überfahren wurde zum Beispiel, kann man bei den Diensten wie schon früher über die Recovery-Funktionen wieder Zugriff auf den Account bekommen. Ganz klassisch über E-Mail oder SMS-Code. Deswegen ist auch wichtig, egal ob ich Passkey nutze oder nicht, dass man die Account-Informationen aktuell hält.

Eine Liste mit allen Diensten, die heute schon Passkeys unterstützen, findet ihr unter www.passkeys.directory. Und wenn ihr euch jetzt fragt, wie kann ich eigentlich selbst Passkeys in meine Web-Apps integrieren, dann schaut euch mal diesen c‘t-Artikel an. Da wird das genau erklärt und hier gibt es auch noch ein c‘t-Interview mit dem Executive Director der FIDO-Alliance. Beide Artikel haben wir euch unten in der Beschreibung verlinkt.

Mein Fazit: Passkeys sind heute schon eine echte Alternative zu bestehenden Passwörtern, wo sie halt schon angeboten werden. Klar, noch machen da nicht alle mit und das heißt im Moment führt noch kein Weg um einen Passwortmanager und so viel Zwei-Faktor-Authentifizierung wie möglich herum. Aber das könnte sich schon schnell ändern: Apple, Microsoft und Google haben sich auf eine passwortlose Zukunft verständigt und das könnte einen großen Einfluss auf die Entwicklung nehmen. Immerhin könnten Apple und Google einfach sagen: „Alle Apps, die wir hier im App Store oder Google Play Store anbieten, müssen Passkeys unterstützen!“ Und dann würden schon in kurzer Zeit sehr viele Dienste Passkeys unterstützen. Ja, was denkt ihr? Benutzt ihr schon Passkeys? Und wie sind eure Erfahrungen im Umgang mit sicheren Passwörtern? Habt ihr überhaupt schon mal von Passkeys vorher gehört? Schreibt es gerne in die Kommentare und natürlich gerne abonnieren.

---

c't 3003 ist der YouTube-Channel von c't. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.

(rum)