Dass ihr komplexe und lange Passwörter nutzen solltet, habt ihr sicherlich schon mehrfach gehört. Hand aufs Herz: Wer von euch setzt das um?
Damit deine Konten in Zukunft besser geschützt sind, haben sich Apple, Google, Microsoft und Co. mit der Fido-Allianz zusammengetan.
Passwörter, der Status quo
Schauen wir uns erst einmal kurz an, wie es aktuell aussieht: Wenn du dir einen Account erstellst, dann besteht dieser meist aus deiner E-Mail-Adresse oder einem Benutzernamen und dem selbst gewählten Passwort.
Dein gewähltes Passwort sollte natürlich stark und einzigartig sein. Solch ein Passwort darf auch gut und gerne 30, 60 oder 100 Stellen haben.
Natürlich kannst du dir diese nicht merken, musst du aber auch nicht, denn dafür gibt es Passwort Manager. Neben meinem hauptsächlich verwendete 1Password habe ich mit Bitwarden und KeePass zwei Open Source Passwortmanager im Einsatz.
Wenn es gute Dienste sind, dann findest du auch noch die Möglichkeit der sogenannten 2FA (Zwei-Faktor-Authentifizierung). Das heisst, nachdem du dich mit Benutzername/E-Mail und deinem Passwort angemeldet hast, kommt eine zweite Sicherheits-Stufe dazu.
Hierfür kannst du auf die eher unsichere SMS-Verifikation setzen. Davon rate ich aber ab. Wenn möglich, solltest du hierfür eine Authentifizierung-App nutzen. Diese gibt es von Google und von Microsoft, du kannst aber auch andere Apps wie 1Password, Authy oder 2FAS einsetzen. Solltest du dennoch keinen Passwortmanager einsetzen wollen, rate ich dir, wenigstens starke Passwörter generieren zu lassen.
Was ist Passkey?
Anders als bei der aktuell verwendeten Benutzernamen-Passwort-Variante, wird ein Passkey für dich generiert. Hierfür wird ein Schlüsselpaar erschaffen:
- Ein offener Schlüssel, welcher an die jeweilige App oder den Dienst übermittelt wird.
- Ein zweiter, privater Schlüssel, welcher von deinem Smartphone/Computer generiert wird und auch da gespeichert ist.
Beim nächsten Login gleicht das System dann diese beiden Schlüssel ab und schaut, ob sie auch zusammenpassen. Dies geschieht, indem der Webserver, der den öffentlichen Schlüssel hat, eine Authenticator-Aufgabe an den privaten Schlüssel. Die Aufgabe besteht dabei immer aus zufällig generierten Daten. Passt der private Schlüssel, wird er das korrekte Resultat an den Webserver zurückgeben. Ist das der Fall, bekommst du Zugriff auf den Dienst. Hierfür wird aber auch der private Schlüssel nicht mitgeteilt. Dieser verlässt niemals dein Smartphone/Computer. Der offene Schlüssel wiederum ist ohne den korrekten privaten Schlüssel völlig nutzlos.
Initiiert wird das Ganze über Face ID oder Touch ID, an deinem iPhone. Damit du deine Passwörter auf mehr als einem Gerät nutzen kannst, kommt die iCloud, als Plattform für die Synchronisation und die App Schlüsselbund (von Apple) zum Einsatz.
Auf der Android-Seite sind es die analogen Sicherheitstechniken der Gesichtserkennung oder dem Fingerabdruckleser. Bei Android und sicherlich auch bei Windows wird es hierfür ähnliche Wege geben für die Übertragung deiner Passkeys.
Wo kannst du Passkey einsetzen?
Sobald eine App oder eine Dienstleistung mit dem Passkey-Login ausgestattet wurde, ist es möglich, zu wechseln. Der Dienst, welcher es integriert hat, wird dich dann darauf ansprechen, sobald du dich das nächste Mal einloggst.
Welcher Anbieter setzt bereits auf Passkey?
Der erste grosse Player auf dem Gebiet ist PayPal. Diese haben bereits im Herbst 2022 mit der Integration begonnen – allerdings nur für iPhone-Nutzer:innen mit dem neuesten Betriebssystem. Eine Windows- und Android-Unterstützung soll aber folgen.
Ist Passkey sicherer als das traditionelle Login?
Die FIDO-Allianz und dessen Mitglieder berichten immer wieder darüber, dass ein Login mit Passkey deutlich sicherer sei, als ein traditioneller Zugang. Vor allem, da viele Personen noch immer sehr unsichere Passwörter verwenden. Hinzu kommt, dass selbst komplexe Passwörter mit genügend Rechenpower immer häufiger geknackt werden können. Mit Passkey soll dies, so sagen es zumindest die Profis bei FIDO, nicht mehr möglich sein.
Wie richtige ich ein Passkey-Login ein?
Neben der normalen Login-Möglichkeit mit Username und Passwort findest du schon länger Buttons für ein Login via Google, Apple ID oder Microsoft-Account. In Zukunft wird es dann einfach einen weiteren Button geben, der ein Login via Passkey ermöglicht. Klicke darauf und folge dann einfach den vorgegebenen Schritten des Dienstes, der dir alles automatisch einrichtet.
Brauche ich in Zukunft keinen Passwortmanager mehr?
Jetzt hast du es endlich geschafft und dir einen Passwortmanager zugelegt. War die ganze Arbeit nun umsonst? Auf keinen Fall! Sicherlich werden einige der grossen Player relativ schnell auf den Passkey-Zug aufspringen. Da kannst du dann jeweils auch den Eintrag in deinem Passwortmanager löschen und guten Gewissens auf Passkey setzen.
Genauso wirst du aber zahlreiche Dienste im Web finden, die einen Wechsel nur sehr langsam, wenn überhaupt anstreben werden. Hinzu kommt, dass neben Apple, Google und Microsoft sicherlich auch noch andere Software-Anbieter ihre eigenen Passkey-Lösungen auf den Markt bringen werden.
So haben unter anderem die Passwortmanager Dashlane und 1Password eine eigene Demo für Passkeys online gestellt. Deren Vorteil: Sie sind plattformübergreifend einsetzbar. Das kommt einem auf jeden Fall zugute. Somit bin ich mir sicher, dass ich auch in der Zukunft noch lange mit 1Password unterwegs sein werde.