So erfolgt die Anmeldung mit Passkey
Die Anmeldung mit Passkey ist auf den ersten Blick ähnlich wie die klassische Anmeldung mit Benutzername und Passwort. Nur gibt der Benutzer kein Passwort auf der Anmeldeseite ein.
Stattdessen tippen manche Benutzer einen Code auf der Tastatur ein, andere schauen in die Kamera oder scannen mit dem Smartphone ihren Fingerabdruck.
Allerdings ist diese Eingabe, etwa die PIN, kein Ersatz für das Passwort – auch wenn es so erscheint!
Was sind Passkeys?
Die PIN, Fingerabdruck oder Gesichtserkennung bei der Passkey-Anmeldung schützen den privaten digitalen Schlüssel, der für diese Anmeldeseite erforderlich ist.
Dieser private digitale Schlüssel wurde bei der Einrichtung des Passkey-Zugriffs erstellt.
Ebenso wurde bei der Einrichtung ein dazugehöriger öffentlicher digitaler Schlüssel erstellt. Mithilfe dieser beiden digitalen Schlüssel ist eine asymmetrische Kryptografie möglich.
Und diese ist auch der Grund, weshalb Passkeys sicherer sind als Passwörter!
So funktioniert Passkey vereinfacht
Ein Benutzer gibt auf der Anmeldeseite seinen Benutzernamen ein. Der Server sendet nun eine lange Zahlenreihe an das Gerät des Benutzers, was als „Challenge“ (Herausforderung) bezeichnet wird.
Das Gerät des Benutzers muss als Aufgabe den übermittelten Zahlencode mit dem privaten digitalen Schlüssel des Benutzers signieren.
Damit das Gerät auf den privaten Schlüssel zugreifen kann, ist entweder die Eingabe einer PIN, ein Fingerabdruck oder Gesichtserkennung erforderlich.
Im Anschluss wird der empfangene und signierte Zahlencode wieder an den Server gesendet.
Der Server kann mithilfe des dazugehörigen öffentlichen Schlüssels überprüfen, ob der Zahlencode mit dem persönlichen Schlüssel signiert wurde. Ist das Ergebnis positiv, erhält der Benutzer Zugriff.
Deshalb sind Passkeys sicherer als Passwörter
Die Benutzer müssen sich nicht mehr für jeden Zugang ein Passwort überlegen und merken oder aufschreiben. Denn statt Passwörter wird ein digitales Schlüsselpaar verwendet, welches bei der Einrichtung erzeugt wird.
Der private Schlüssel bleibt beim Benutzer und nur der öffentliche Schlüssel wird auf dem Server gespeichert. Beim Anmeldevorgang werden nicht die Schlüssel ausgetauscht, sondern jedes Mal ein anderer Zahlencode.
Der Server prüft bei der Rückmeldung, ob dieser Zahlencode mit dem passenden privaten Schlüssel signiert wurde. Somit müssten keine Passwörter auf dem Server gespeichert werden.
Der öffentliche Schlüssel kann bislang nur dazu benutzt werden zu prüfen, ob der übermittelte Zahlencode mit dem privaten Schlüssel signiert wurde.
Passwortdiebstahl und Phishing sowie geleakte Zugangsdaten wären damit weitestgehend nutzlos.
Der private Schlüssel des Nutzers
Der private Schlüssel ist also entscheidend für den Zugriff per Passkey und muss geschützt werden. Apple, Google und Microsoft haben hierfür entsprechende Anwendungen entwickelt und stellen diese in ihrem jeweiligen Ökosystem zur Verfügung.
Alternativ ermöglichen auch einige Anbieter von Passwortmanagern, Passkey mit ihren Lösungen zu nutzen.
Es gibt teilweise noch Herausforderungen
Wer die Geräte eines „Hersteller-Ökosystems“ nutzt, also etwa Apple-Computer und iPhone, bekommt von der Verwaltung und dem Schutz nach der Einrichtung nicht viel mit.
Die privaten Schlüssel werden sogar zwischen den Geräten synchronisiert.
Bei der Passkey- Anmeldung öffnet sich ein Hinweis auf dem Computer oder Smartphone und fordert eine kurze Bestätigung, das heißt PIN, Gesichtserkennung oder Fingerabdruck, also die für viele Benutzer üblichen Anmeldemethoden, insbesondere an mobilen Geräten.
Wer Geräte unterschiedlicher Anbieter hat und im geschäftlichen Umfeld nicht auf ein Google-Konto in Verbindung mit dem Chrome-Browser zurückgreifen kann, der muss je nach individueller Situation die Anmeldung mit mehreren Geräten einrichten oder auf geräteübergreifende Passwort-/Passkey-Lösungen setzen.
Wer seine Passkeys nur auf einem Gerät hat, sollte zudem eine Datensicherung durchführen, damit er im Falle eines technischen Defekts oder Verlusts nicht auch noch seine Zugänge verliert.
Ein Sicherheitsproblem kann sein, dass einige Anbieter Passkey bislang nur als zusätzliche Option erlauben und parallel weiterhin ein Zugriff per Benutzername und Passwort möglich ist.
Das kann langfristig zum Risiko werden, weil vermutlich viele im Laufe der Zeit das Passwort vergessen werden oder es möglicherweise nicht mitbekommen, wenn Dritte es haben und nutzen. Eine Schutzmaßnahme kann sein, solche Zugänge mit einem zweiten Faktor abzusichern
Gemeinsame Zugangsdaten und Notfallzugriff
In einigen Organisationen ist es teilweise noch erforderlich, dass mehrere Personen sich ein Konto „teilen“ müssen. Das funktioniert mit Passkey nicht ohne Weiteres.
Auch das zentrale Hinterlegen von Zugangsdaten – etwa als Notfalllösung – ist schwieriger. Hier sollten Unternehmen rechtzeitig klären, wie solche Konten künftig verwaltet werden können, insbesondere wenn Passkey zur einzigen Anmeldemöglichkeit wird.
Diese Dienste bieten Passkey
Eine aktuelle Übersicht, welche Onlinedienste bereits Passkey unterstützen, finden Sie unter https://passkeys.directory. Über einen Klick auf „Details“ beim entsprechenden Onlinedienst erhalten Sie direkt auch einen Link, an welcher Stelle Passkey eingerichtet werden kann, und Sie sparen sich die Suche in der Kontoverwaltung.
So funktioniert die Einrichtung
Die Einrichtung von Passkey ist im Regelfall einfach und schnell erledigt. Nach einer normalen Anmeldung mit Benutzername und Passwort muss Passkey eingerichtet werden. Dies geschieht meistens durch einen Klick auf eine Schaltfläche.
Der weitere Verlauf unterscheidet sich leicht je nach Anbieter, verwendetem Gerät und Passkey-Verwaltung. Üblicherweise öffnet sich aber nach dem Klick auf die Schaltfläche ein neues Menüfenster auf dem Gerät.
Über dieses Menü wird entweder der Speicherort abgefragt, womit sich die entsprechende Passkey-Verwaltung öffnet, oder es öffnet sich direkt die auf dem Gerät aktive Passkey-Verwaltung. Diese Passkey-Verwaltung möchte dann eine PIN, den Fingerabdruck oder Gesichtserkennung.
Damit ist die Einrichtung üblicherweise auch schon abgeschlossen. Bei der nächsten Anmeldung kann es noch erforderlich sein, Passkey als Anmeldeform auszuwählen. Dies wird aber üblicherweise beim Anmeldefenster angezeigt.
Passkeys könnten viele Risiken minimieren
Passkeys sind eine vielversprechende Weiterentwicklung, die mittel- bis langfristig viele der bekannten Passwortprobleme lösen könnte. Zudem erspart sie einem die aufwendige Verwaltung von Zugangsdaten.
Einmal eingerichtet, funktioniert diese Art der Anmeldung einfach und sicher. Erkundigen Sie sich bei Ihren internen Ansprechpartnern, ob und wie Passkeys in Ihrem Unternehmen eingesetzt werden dürfen. Auch für private Zugänge kann Passkey eine sinnvolle Alternative zum Passwort sein.
Falls Sie ein Unternehmens-Smartphone haben, denken Sie aber bitte daran, Ihre persönlichen digitalen Schlüssel auch an anderen Stellen zu speichern, damit Sie nicht Ihre Zugänge verlieren, wenn die Geräte etwa ausgetauscht werden (ST)
