Pass­key: Was sie sind und wie sie funktionieren

Pass­wör­ter sind bis heu­te meist das Mit­tel der Wahl, wenn es um den Schutz von Accounts geht. Aber allei­ne sind sie lei­der auch sehr unsi­cher. Des­halb kam die Zwei-Fak­tor-Authen­ti­fi­zie­rung dazu. Die hat zwar alles etwas siche­rer gemacht, ist aber lei­der oft umständ­lich. Soge­nann­te „Pass­keys“ sol­len die Lösung für all die­se Pro­ble­me sein. Doch was ist das, wie funk­tio­nie­ren Pass­keys und wie rich­test du sie ein? Hier erfährst du alles dazu.

Pass­keys sind eine moder­ne und siche­re Alter­na­ti­ve zu her­kömm­li­chen, selbst fest­ge­leg­ten, Pass­wör­tern. Sie ermög­li­chen es Nutzer*innen, sich bei Online-Diens­ten, ohne die Ein­ga­be von Text­pass­wör­tern, anzu­mel­den. Statt­des­sen basiert die Anmel­dung auf kryp­to­gra­phi­schen Schlüs­seln, also wil­den Kom­bi­na­tio­nen aus Zah­len, Buch­sta­ben und Zei­chen. Die sind für dich aber unsicht­bar, lau­fen also kom­plett im Hin­ter­grund und lokal ab. Pass­keys wer­den also nicht irgend­wo online gespeichert.

Gestoh­le­ne Pass­wör­ter, gehack­te Accounts und mehr: Immer wie­der ist von Sicher­heits­pro­ble­men zu hören, die nicht sel­ten auf leicht zu kna­cken­de Pass­wör­ter zurück­zu­füh­ren sind. Mit der Zwei-Fak­tor-Authen­ti­fi­zie­rung gelang zwar eine Bes­se­rung, wirk­lich kom­for­ta­bel ist die aber nicht. Genau des­halb mach­te sich eine gro­ße Grup­pe schlau­er Köp­fe aus ver­schie­de­nen Unter­neh­men Gedan­ken, wie sich das lösen lässt. Initia­ti­ven wie die FIDO-Alli­anz (Fast IDen­ti­ty Online) und das W3C (World Wide Web Con­sor­ti­um) führ­ten zur Ent­wick­lung von „Web­Authn“, einer Tech­no­lo­gie, die als Basis für Pass­keys dient. Tat­säch­lich exis­tiert die­se Tech­no­lo­gie schon län­ger. Doch erst jetzt, vor allem durch die Vor­stö­ße von Apple und Goog­le, wer­den sie flä­chen­de­cken­der eingesetzt.

Der größ­te Unter­schied zwi­schen Pass­keys und Pass­wör­tern liegt in der Metho­de der Authen­ti­fi­zie­rung. Wäh­rend Pass­wör­ter von Nutzer*innen ein­ge­ge­ben und daher anfäl­lig für Dieb­stahl sind, basie­ren Pass­keys auf öffent­li­chen und pri­va­ten Schlüs­sel­paa­ren, die auto­ma­tisch aus­ge­tauscht wer­den. Nutzer*innen benö­ti­gen kei­nen Text, um sich zu authen­ti­fi­zie­ren, was Phis­hing-Angrif­fe prak­tisch unmög­lich macht. Pass­wör­ter las­sen sich dage­gen eben recht ein­fach abfi­schen und miss­brau­chen. Da hilft lei­der auch das regel­mä­ßi­ge Ändern nur bedingt.

Pass­keys basie­ren auf einer „Public-Key-Infra­struk­tur“ (PKI). Dabei wird ein Paar kryp­to­gra­fi­scher Schlüs­sel ver­wen­det: ein öffent­li­cher Schlüs­sel, der auf dem Ser­ver gespei­chert wird, und ein pri­va­ter Schlüs­sel, der sicher auf dem Gerät des Nut­zers ver­bleibt. Die Authen­ti­fi­zie­rung erfolgt durch den Abgleich die­ser Schlüs­sel, ohne dass sen­si­ble Infor­ma­tio­nen über das Netz­werk über­tra­gen werden.

Wenn ein*e Nutzer*in sich bei einem Dienst mit einem Pass­key anmel­det, authen­ti­fi­ziert die Per­son sich über eine bio­me­tri­sche Metho­de (z. B. Fin­ger­ab­druck oder Gesichts­er­ken­nung) oder eine PIN auf dem eige­nen Gerät. Das Gerät gene­riert eine signier­te Anfra­ge, die den pri­va­ten Schlüs­sel ver­wen­det. Der Ser­ver veri­fi­ziert die­se Anfra­ge mit­hil­fe des zuvor gespei­cher­ten öffent­li­chen Schlüs­sels. Auf dei­ner Sei­te siehst du also wirk­lich nur die Anfra­ge per Gesichts- oder Fin­ger­ab­druck­er­ken­nung. Der Rest läuft automatisch.

Pass­keys wer­den von vie­len gro­ßen Platt­for­men und Diens­ten unter­stützt. Goog­le und Apple haben Pass­keys in ihre Anmel­de­ver­fah­ren inte­griert und auch vie­le Online-Shops, sozia­le Netz­wer­ke und Finanz­dienst­leis­ter set­zen zuneh­mend auf die­se Tech­no­lo­gie. Hal­te Aus­schau danach: Meist kannst du ganz ein­fach von einem klas­si­schen Pass­wort auf einen Pass­key wech­seln. Zu emp­feh­len ist das allemal.

Pass­keys bie­ten eine hohe Sicher­heit, da sie kryp­to­gra­phi­sche Ver­fah­ren ver­wen­den. Es wer­den kei­ne sen­si­blen Daten wie Pass­wör­ter über das Inter­net über­tra­gen und der pri­va­te Schlüs­sel ver­lässt das Gerät nie. Dies schützt vor Phis­hing, Pass­wort-Leaks und Bru­te-Force-Angrif­fen. Ein wei­te­rer Vor­teil ist, dass die öffent­li­chen und pri­va­ten Schlüs­sel­paa­re ein­ma­lig gene­riert wer­den und somit ein hohes Maß an Ein­zig­ar­tig­keit bie­ten, was zusätz­li­che Sicher­heits­schich­ten schafft. Dank der oben genann­ten Metho­dik kön­nen selbst kom­ple­xe Cyber-Angrif­fe, die auf der Nut­zung gestoh­le­ner Anmel­de­da­ten basie­ren, abge­wehrt wer­den. Da Pass­keys lokal auf dem Gerät gespei­chert und mit moder­nen Sen­so­ren wie Fin­ger­ab­druck- und Gesichts­er­ken­nung kom­bi­niert wer­den, bleibt die Benutz­bar­keit unkom­pli­ziert und sicher. Durch die inte­grier­ten Sicher­heits­me­cha­nis­men und die Abhän­gig­keit von bio­lo­gi­schen Fak­to­ren wird die Wahr­schein­lich­keit eines erfolg­rei­chen Angriffs wei­ter mini­miert, was Pass­keys zu einer äußerst robus­ten Lösung im Bereich der Online-Sicher­heit macht.

Obwohl Pass­keys sehr sicher sind, gibt es poten­zi­el­le Risi­ken. Bei­spiels­wei­se könn­te der Ver­lust eines Geräts mit gespei­cher­tem Pass­key pro­ble­ma­tisch sein. Nutzer*innen soll­ten daher sicher­stel­len, dass sie ihre Gerä­te mit PINs, bio­me­tri­schen Daten oder ande­ren Sicher­heits­maß­nah­men schüt­zen. Außer­dem bie­ten vie­le Anbie­ter die Mög­lich­keit, alter­na­ti­ve Gerä­te für die Wie­der­her­stel­lung hin­zu­zu­fü­gen. Zusätz­lich ist es rat­sam, regel­mä­ßi­ge Back­ups und Wie­der­her­stel­lungs­op­tio­nen für dei­ne Pass­keys zu erstel­len, um bei Ver­lust oder Beschä­di­gung des Geräts sofor­ti­ge Maß­nah­men ergrei­fen zu kön­nen. Etli­che Anbie­ter emp­feh­len auch die Nut­zung von Mul­ti-Gerät-Authen­ti­fi­zie­rung, wobei Pass­keys auf meh­re­ren, syn­chro­ni­sier­ten Gerä­ten gespei­chert wer­den kön­nen, um den Zugriff auch bei Schä­den an einem Gerät zu gewähr­leis­ten. Ein wei­te­rer wich­ti­ger Aspekt ist die Auf­klä­rung der Nutzer*innen über die siche­re Hand­ha­bung und die kon­se­quen­te Nut­zung von Sicher­heits­up­dates, um das Risi­ko von Miss­brauch zu minimieren.

Um Pass­keys für ein Goog­le-Kon­to zu erstel­len, muss zunächst die Zwei-Fak­tor-Authen­ti­fi­zie­rung (2FA) akti­viert sein. Danach kann ein Pass­key über ein kom­pa­ti­bles Gerät, wie ein Smart­phone, ein­ge­rich­tet wer­den, das als Authen­ti­fi­zie­rungs­ge­rät dient. So geht es:

1. Öff­ne die Goog­le-App auf dei­nem Gerät
2. Drü­cke oben rechts auf dein Pro­fil­bild.
3. Gehe auf „Mein Goog­le-Kon­to ver­wal­ten“.
4. Wechs­le in der Aus­wahl oben auf „Sicher­heit“.
5. Scrol­le nach unten, bis du „Pass­keys und Sicher­heits­schlüs­sel“ siehst und wäh­le den Punkt an.
6. Fol­ge nun der Einrichtung.

Ein gro­ßer Vor­teil von Pass­keys ist, dass sie gerä­te­über­grei­fend ver­wen­det wer­den kön­nen. Nut­zer kön­nen Pass­keys auf Smart­phones, Lap­tops und Tablets nut­zen, solan­ge die­se Gerä­te die erfor­der­li­che Tech­no­lo­gie unter­stüt­zen (z. B. bio­me­tri­sche Sen­so­ren oder PINs).

Pass­wort­ma­na­ger bie­ten inzwi­schen Unter­stüt­zung für Pass­keys. Sie spei­chern die pri­va­ten Schlüs­sel sicher und erleich­tern den gerä­te­über­grei­fen­den Zugriff. Eini­ge Mana­ger ermög­li­chen es sogar, Pass­keys zwi­schen ver­schie­de­nen Gerä­ten zu syn­chro­ni­sie­ren, ohne die Sicher­heit zu gefähr­den. Ein gutes Bei­spiel dafür ist die „Passwörter“-App in iOS

Pass­keys bie­ten vie­le Vor­tei­le: Sie sind siche­rer als Pass­wör­ter, da sie Phis­hing- und Bru­te-Force-Angrif­fe ver­hin­dern. Zudem erleich­tern sie den Anmel­de­vor­gang, da sich Nutzer*innen ein­fach per Fin­ger­ab­druck, Gesichts­er­ken­nung oder PIN authen­ti­fi­zie­ren kön­nen, ohne lan­ge Pass­wör­ter ein­ge­ben zu müssen.

Ein Nach­teil von Pass­keys ist, dass sie von einer noch rela­tiv neu­en Tech­no­lo­gie abhän­gen. Nicht alle Diens­te unter­stüt­zen Pass­keys, und Nutzer*innen müs­sen sicher­stel­len, dass ihre Gerä­te und Apps kom­pa­ti­bel sind. Es kann also noch eine Wei­le dau­ern, bis du einen Pass­key bei einem gewünsch­ten Dienst nut­zen kannst. Zudem kann der Ver­lust eines Geräts pro­ble­ma­tisch sein, wenn kei­ne Wie­der­her­stel­lungs­op­tio­nen oder wei­te­re Gerä­te ein­ge­rich­tet wurden.

Pass­keys gel­ten als sehr sicher, da sie auf fort­schritt­li­cher Kryp­to­gra­fie basie­ren und kei­ne Pass­wör­ter mehr erfor­der­lich sind.

Ja, Pass­keys kön­nen auf meh­re­ren Gerä­ten genutzt wer­den, sofern die­se die ent­spre­chen­de Tech­no­lo­gie unterstützen.

Das kommt ein wenig auf das Gerät an, das du ver­wen­dest. Bei iPho­nes und iPads mit aktu­el­ler Soft­ware sind die Pass­keys in der „Passwörter“-App gespei­chert. Bei einem Goog­le-Kon­to sind sie in dei­nen Kon­to-Ein­stel­lun­gen unter „Sicher­heit“ und „Pass­keys“ gespei­chert. Hin­weis: Den Pass­key selbst siehst du aber nie, nur das Kon­to, für das du ihn verwendest.

Für die Sicher­heit von pri­va­ten Accounts sind Pass­keys ein gro­ßer Sprung nach vor­ne. Loka­le Spei­che­rung, ein prak­tisch unsicht­ba­rer Sicher­heits­schlüs­sel und somit ein ech­ter Phis­hing-Schutz. Doch damit nicht genug, denn die Pass­keys sind auch noch beson­ders ein­fach in der Hand­ha­bung. Du rich­test sie nur ein, danach authen­ti­fi­zierst du dich per Fin­ger­ab­druck oder Gesichts­er­ken­nung. Sim­pel und effektiv.