Startseite Navigation Inhalt Kontakt Sitemap Suche

Passkeys

Passkeys ersetzen Passwörter durch fortschrittliche Verschlüsselung und biometrische Daten. Diese neue Technologie bietet eine benutzerfreundliche und sichere Methode, auf Online-Konten zuzugreifen. Dieser Artikel beschreibt dessen Funktionsweise, die Vor- und Nachteile sowie die Auswirkungen auf die digitale Sicherheit.

Das Verschlüsseln resp. Absichern von Benutzerkonten hat sich von einfachen Passwörtern über komplexe Passwörter bis hin zur Zwei-Faktor-Authentifizierung entwickelt. Mit der Tendenz, dass Login-Verfahren zu Gunsten höherer Sicherheit für Anwendende immer komplizierter und aufwändiger wurden. Der jüngste Ansatz Passkeys soll das Login Verfahren deutlich vereinfachen und zusätzlich die Sicherheit weiter erhöhen. Passkeys gelten als innovative Lösung, die sowohl sicher als auch benutzerfreundlich ist.

Wichtige Merkpunkte:

  • Mit der Verwendung von Passkeys müssen keine Passwörter mehr gemerkt und gespeichert werden.
  • Passkeys sind Phishing-resistent, da jeder Passkey kryptografisch fix an eine Website oder App geknüpft ist. Eine Phishing-Website kann noch so raffiniert sein, sie wird nie die nötigen Informationen zum Login erhalten.
  • Der Passkey wird mittels PIN oder biometrischen Daten wie Fingerabdruck oder Gesichtserkennung geschützt.
  • Der Geräte-Grundschutz mit unseren «5 Schritten für Ihre digitale Sicherheit» ist zwingend notwendig, damit die lokal gespeicherten Passkeys auch sicher sind.
  • Ein Datenleck der Login-Daten bei einem Online-Dienstleisters tangiert den Passkey-geschützten Zugriff nicht.

Was sind Passkeys?

Passkey ist eine Methode zur Anmeldung bei Benutzerkonten, die Passwörter überflüssig macht. Anstatt sich ein Passwort zu merken und einzugeben, können Sie sich mit einem Passkey anmelden.

Ein Passkey ist ein digitaler Schlüssel bestehend aus einem öffentlichen und einem geheimen Schlüssel. Der geheime Schlüssel ist auf Ihrem Gerät gespeichert und durch PIN oder biometrische Daten wie Fingerabdruck oder Gesichtserkennung geschützt.

Passkeys gelten als sicher. Sie nutzen starke Verschlüsselung und biometrische Daten, die schwer zu fälschen sind. Selbst wenn Ihr Gerät gestohlen wird, kann niemand ohne Ihre biometrischen Daten oder PIN auf Ihre Passkeys zugreifen.

Passkeys sind Phishing-resistent, da jeder Passkey kryptografisch fix an eine Website oder App gebunden ist. Zudem bleibt der geheime Schlüssel immer auf dem lokalen Gerät, z.B. einem Smartphone oder USB-Stick, und verlässt dieses nie.

Für ein Login wird zum öffentlichen Schlüssel immer die Autorisierung am lokalen Gerät benötigt. Dieser Umstand ist auch ein Vorteil bei Datenlecks (ein Vorfall bei dem Unberechtigte z.B. Zugriff auf Login-Daten einer Website erlangen). Selbst wenn Dritte an den öffentlichen Schlüssel für den Benutzerkontozugriff gelangen, können sie ohne Autorisierung am lokalen Gerät keinen Zugriff auf das Benutzerkonto erlangen.

Die Technologie dahinter wurde durch die FIDO-Alliance entwickelt, eine nicht kommerzielle IT-Sicherheitsorganisation, die sich mit schneller Identität bei digitalen Verbindungen (Fast IDentity Online) beschäftigt.

Wie funktioniert es?

Wenn Sie sich bei einem Dienstleister anmelden, welcher die Passkey-Identifizierung anbietet, kommuniziert diese mit Ihrem lokalen Gerät. Sie sendet dazu eine Aufgabe (Challenge). Sie müssen sich dann per PIN oder mit Ihren biometrischen Daten (Gesichtserkennung oder Fingerabdruck) ausweisen. Danach sendet Ihr Gerät eine digitale Signatur an die Website zurück und bestätigt, dass es tatsächlich Sie sind, die sich einloggen möchte.

Die Funktionsweise von Passkeys ist relativ einfach, auch wenn die dahinterstehende Technologie fortschrittlich ist. Hier ein einfacher Ablauf zur Erstellung eines Passkey:

  1. Registrierung: Wenn Sie ein Konto bei einer Website oder App erstellen, wird ein Passkey bestehend aus geheimem und öffentlichem Schlüssel auf Ihrem Gerät generiert. Dieser Passkey ist einzigartig und an die Website oder die App gebunden.
  2. Speicherung: Der geheime Schlüssel des Passkey wird sicher auf Ihrem Gerät bzw. Betriebssystem mit derselben (biometrischen) Authentifizierungsmethode geschützt, mit der das Gerät entsperrt wird, z.B. Gesichtserkennung, Fingerabdruck oder PIN-Code. Bei macOS und iOS werden sie im Schlüsselbund gespeichert, unter Windows wird Windows-Hello genutzt und bei Android kommt der Google-Passwort-Manager für die Speicherung der Passkeys zum Einsatz.
  3. Anmeldung: Wenn Sie sich das nächste Mal bei dieser Website oder App anmelden möchten, verwendet Ihr Gerät den lokal gespeicherten geheimen Schlüssel des Passkeys. Die Website hat lediglich den öffentlichen Schlüssel des Passkeys. Sie bestätigen gegenüber der Website Ihre Identität durch Ihre biometrischen Daten oder die PIN, und schon sind Sie eingeloggt.

Vorteile

  • Sie müssen sich keine komplizierten Passwörter mehr merken und diese beim Login auch nicht eingeben. Ihre biometrischen Daten oder ein PIN reichen aus, um sich anzumelden.
  • Die Anmeldung mit einem Passkey ist deutlich einfacher und schneller als das Eintippen eines Passwortes oder Konsultieren eines Passwort-Managers.
  • Der Passkey (geheimer Schlüssel) wird nie an die Website gesendet, was Phishing-Angriffe verhindert.
  • Da die Websites lediglich den öffentlichen und nie den privaten Schlüssel des Passkeys speichert, ist der Zugriff auch bei einem Datenleck des Dienstleisters geschützt. Mit wenig Aufwand kann der öffentliche Schlüssel des Passkey erneuert werden.

Nachteile

  • Durch die Gerätegebundenheit kann der Passkey nicht einfach geteilt werden. Soll ein Dienst gleichzeitig von zwei Personen genutzt werden, kann er nur von der Person genutzt werden, welche Zugriff auf das Gerät mit dem hinterlegten Passkey hat.
  • Passkeys werden auf dem Gerät gespeichert. Ohne dieses Gerät gibt es keinen Zugriff auf den Passkey und somit auch nicht auf die Website oder App.
  • Passkeys werden betriebssystemspezifisch verwaltet, eine einfache Nutzung auf mehreren Geräten ist nur innerhalb eines Betriebssystems (z.B. Microsoft, Apple) resp. Systemfamilie möglich.
  • Die Passkey-Verwendung innerhalb des Linux-Betriebssystem ist nur sehr eingeschränkt möglich. Das Einloggen funktioniert jedoch mit systemübergreifenden Lösungen, wie z.B. mittels QR-Code.

Wie werden Passkeys eingerichtet und genutzt?

Hier finden Sie die Anleitung für die Erstellung und Verwendung von Passkeys unter Windows.

Fazit

Passkeys machen das Anmelden bei Benutzerkonten einfacher und sicherer. Da immer mehr Dienstleister Passkeys unterstützen, könnte dies die Zukunft der digitalen Authentifizierung sein. Sicherheitstechnisch haben Passkeys einen Vorteil bei Datenlecks und Phishing. Angreifer könnten aber vermehrt in Versuchung kommen, die Geräte und Cloudlösungen der Nutzenden anzugreifen, um die geheimen Schlüssel zu erlangen. Diese Geräte und Cloudkonten müssen daher stets gut geschützt und auf dem neuesten Sicherheitsstand sein.

 

Ein Passkey, übersetzt «Schlüsselpaar», ist ein passwortloser Login. Er besteht aus einem geheimen und einem öffentlichen Schlüssel. Dabei bleibt der geheime Schlüssel immer auf einem lokalen Gerät, z.B. einem Smartphone oder USB-Stick, und verlässt dieses nie. Das Gerät fungiert dabei als Authentifikationsmittel. Passkeys sind somit im Gegensatz zu Passwörtern geräte- und nicht personengebunden.

Was möchten Sie weiter zum Thema Sicherheit beim E-Banking wissen?

Jetzt für einen Kurs
anmelden und mehr lernen:

Online-Grundkurs

Lernen Sie die aktuellen Bedrohungen im Internet kennen und wie Sie sich mit einfachen Massnahmen davor schützen und E-Banking sicher anwenden.

weitere Informationen

Online-Kurs Mobile Banking / Payment

Lernen Sie Mobile Banking und Mobile Payment kennen und wie Sie solche Apps sicher nutzen.

weitere Informationen

Online-Kurs Kryptowährungen

Lernen Sie als Anfänger/in die bekanntesten Kryptowährungen sowie die zugrundeliegende Technologie der Blockchain kennen.

weitere Informationen

Online-Kurs für KMU

Ist Ihr Unternehmen genügend sicher? Lernen Sie, mit welchen Massnahmen Sie die Informationssicherheit in Ihrem Unternehmen deutlich erhöhen.

weitere Informationen