IT-Sicherheit

Passkey statt Passwort

Google und Co. bieten passwortlose Anmeldung

von 23.10.2023
Zu sehen ist eine Frau, die sich per Passkey mit dem Handy für eine Anwendung auf dem Laptop anmeldet. Bild: Pexels/Matilda Wormwood
Beim Passkey wird die Anmeldung über das Handy bestätigt. Bild: Pexels/ Matilda Wormwood

Ob Google, Apple oder Microsoft: Immer mehr Software-Anbieter bieten Nutzern die Möglichkeit, sich per Passkey anzumelden. Die Anmeldung soll dadurch einfacher und sicherer werden.  

Wir erklären, was ein Passkey ist, wie Passkeys funktionieren und welche Vorteile sie haben.

Inhaltsverzeichnisexpand_more
  1. Immer Ärger mit den Passwörtern
  2. Was ist ein Passkey?
  3. Wie funktionieren Passkeys?
  4. Passkeys: Das sind die Vorteile
  5. Diese Webseiten setzen auf Passkeys
  6. Gerät gestohlen oder verloren – was tun?
  7. Wir helfen bei der Passwort-Sicherheit

Immer Ärger mit den Passwörtern

Wie stehen Sie zu Passwörtern? Falls Sie sie als ein lästiges Übel empfinden, stehen Sie mit Ihrer Meinung nicht alleine da: 41 Prozent der LastPass-Nutzer sehen das scheinbar genauso. Das ist auch wenig verwunderlich, wenn man bedenkt, dass die Anzahl der benutzten Anwendungen, die über Anmeldedaten zugänglich sind, stetig steigt – und damit einhergehend auch die Anzahl der verwendeten Passwörter.

Denn: Wer es mit der Passwortsicherheit genau nimmt, muss für jede Anwendung ein eigenes Passwort festlegen. Und zwar keines, das auf der Hitliste der beliebtesten Passwörter steht und dementsprechend unsicher ist. Ein sicheres Passwort sieht ganz anders aus: Derzeit gelten mindestens acht Zeichen und eine Kombination aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen als sicher – doch merken kann sich das niemand.

Passwort-Manager erleichtern die Passwort-Nutzung zwar ungemein und kommen daher auch immer häufiger zum Einsatz. Die Passwort-Nutzung bleibt aber trotzdem aufwändig und fehleranfällig. Immer mehr Anwendungen bieten deshalb eine Alternative: Passkeys.

Ein Mann sitzt am Laptop und grübelt über das Passwort. Mit dem Passkey gibt es das nicht mehr. Bild: Pexels/Djordje Petrovic

Wie war nochmal das Passwort? Dieses Rätselraten gibt es beim Passkey nicht. Bild: Pexels/Djordje Petrovic

Was ist ein Passkey?

Ein Passkey ermöglicht einen passwortlosen Login. Statt eines Passworts wird ein kryptografisches Schlüsselpaar eingesetzt, das sicher auf dem Gerät des Nutzers – etwa dem Smartphone – gespeichert ist. Eine bereits gängige Methode sieht so aus: Will sich ein Nutzer bei einer Webseite oder in einer App anmelden, gibt er seinen Benutzernamen oder seine E-Mail-Adresse ein und gibt dann über die Gerätesperre auf dem Smartphone – also Fingerabdruck, Gesichtserkennung, PIN oder Muster – den Zugang zum Account frei. Der Passkey wird einmalig eingerichtet und dann für die Anmeldung genutzt, ohne dass ein Passwort erforderlich ist.

Die FIDO-Allianz (Fast IDentity Online), der unter anderem Google, Apple und Microsoft angehören, entwickelt Passkeys als neuen Sicherheitsstandard für Online-Anmeldungen. Dieser bietet gegenüber klassischen Passwörtern mehrere Vorteile, da Passkeys nicht erraten, vergessen oder durch Phishing gestohlen werden können.

Wichtig: Auch wenn Sie auf Ihrem Gerät die biometrische Sperre nutzen, heißt das nicht, dass Sie automatisch Passkeys verwenden. Passkeys müssen gezielt bei den jeweiligen Diensten aktiviert werden und dienen nur zur Authentifizierung in Online-Konten.

Wie funktionieren Passkeys?

Sie fragen sich, wie Sie einen Passkey einrichten können und wie der Passkey anschließend funktioniert? Am Beispiel eines Google-Kontos lässt sich der Prozess gut nachvollziehen:

  1. Passkeys aktivieren:
    In diesem Schritt aktivieren Sie die Passkey-Anmeldung in Ihrem Google-Konto. Öffnen Sie dazu Ihr Google-Konto, gehen Sie auf „Sicherheit“ und aktivieren Sie die Option „Passkey-Anmeldung“.
  2. Passkey für eine Website oder App erstellen:
    In diesem Schritt erstellen Sie einen Passkey für eine Website oder App. Scannen Sie den angezeigten QR-Code mit Ihrem FIDO-Key oder authentifizieren sich direkt auf Ihrem Smartphone, um einen neuen Passkey zu hinterlegen. Hierbei wird ein Schlüsselpaar erzeugt: Ein geheimer Schlüssel wird auf Ihrem Gerät gespeichert, während der öffentliche Schlüssel beim Dienst hinterlegt wird.
  3. Passkey verwenden:
    Um den Passkey zu nutzen, öffnen Sie die gewünschte Webseite oder Anwendung und wählen die Option „Passkey verwenden“. Nun können Sie die Anmeldung beispielsweise per Fingerabdruck oder PIN bestätigen.

Achtung: Für Mitarbeiter von Unternehmen, die Google-Workspace-Konten verwenden, bietet sich die Passkey-Anmeldemethode noch nicht – unter anderem weil sich Passkeys nur auf eigenen Geräten einrichten lassen, aber nicht auf Unternehmensgeräten.

Eine Frau nutzt Passkey auf dem Handy zur Anmeldung bei einer Anwendung auf dem Laptop. Bild: Pexels/Yan Krukau

Mit dem Passkey bestätigen Nutzer ihre Anmeldung bequem über das Smartphone. Bild: Pexels/Yan Krukau

Passkeys: Das sind die Vorteile

Passkeys sollen also eine einfache und praktische Möglichkeit darstellen, sich bei Online-Konten anzumelden, und dadurch eine passwortlose Zukunft einläuten. Wir haben die drei wichtigsten Vorteile für Sie zusammengefasst:

  • Bequemlichkeit:
    Nutzer müssen keine komplizierten Passwörter mehr erstellen und verwalten. Ein Fingerabdruck oder Gesichtsscan genügt, um sich einzuloggen, ohne sich Daten merken zu müssen. Eine Studie des Bundesamts für Sicherheit in der Informationstechnik (BSI) zeigt, dass Passkeys bei Nutzern mit 72 % Vertrauen als sehr positiv bewertet werden.
  • Sicherheit:
    Passkeys bieten gegenüber Passwörtern mehrere Sicherheitsvorteile. Sie können nicht erraten, vergessen oder durch Phishing gestohlen werden. Ein missbräuchlicher Zugriff wird dadurch erschwert, dass der Passkey niemals selbst übertragen wird. Zudem schützt jeder Passkey nur ein einziges Konto, wodurch ein Verlust weniger kritisch ist.
  • Kompatibilität:
    Passkeys basieren auf den FIDO2- und WebAuthn-Standards, die von führenden Anbietern wie Apple, Google und Microsoft unterstützt werden. Diese breite Akzeptanz ermöglicht es Nutzern, Passkeys geräteübergreifend zu verwenden und sich einfach in zahlreichen Apps und Diensten anzumelden.

Die FIDO-Allianz entwickelt zudem neue Protokolle wie das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF), um die Nutzung von Passkeys weiter zu verbessern. Diese Standards erlauben es, Passkeys sicher zwischen verschiedenen Diensten und Passwortmanagern zu übertragen – ein entscheidender Vorteil für Nutzer, die flexibel bleiben möchten.

Diese Webseiten setzen auf Passkeys

Apple, Google und Microsoft haben die Nutzung von Passkeys maßgeblich vorangetrieben. Sie integrieren diese Technologie direkt in ihre Betriebssysteme, sodass die Anmeldung per Passkey in iOS, macOS, Android und Windows möglich ist. Google hat etwa im Oktober 2023 die passwortlose Anmeldung für Privatnutzer eingeführt, was einen großen Schritt in Richtung eines breiten Angebots passwortfreier Authentifizierungen darstellt. Diese Integration ermöglicht es den Nutzern, sich auf verschiedensten Geräten und Plattformen sicher und unkompliziert anzumelden, ohne auf klassische Passwörter zurückgreifen zu müssen.

Neben den großen Technologiekonzernen setzen auch andere bekannte Dienste auf Passkeys. Zu den ersten Anbietern gehören Plattformen wie Firefox, die sozialen Netzwerke Facebook und Twitter sowie die Zahlungsdienstleister PayPal und Shopify. Die Einführung von Passkeys in solchen Diensten bringt nicht nur zusätzliche Sicherheit, sondern auch ein vereinfachtes Nutzererlebnis mit sich.

Insbesondere für Benutzer, die verschiedene Konten sicher und ohne Passwortchaos verwalten möchten, stellen Passkeys eine attraktive Lösung dar. Angesichts des großen Interesses und der Vorteile ist zu erwarten, dass weitere Anbieter Passkeys als Login-Option übernehmen. Die Technologie könnte sich daher bald flächendeckend durchsetzen und den klassischen Passwortschutz zunehmend ersetzen.

Ein Mann nutzt Handy und Laptop für eine Passkey-Anmeldung. Bild: Pexels/Tony Schnagl

Passkeys könnten Passwörter als Anmeldemethode bald ablösen. Bild: Pexels/Tony Schnagl

Gerät gestohlen oder verloren – was tun?

Falls das Gerät, auf dem ein Passkey gespeichert ist, verloren geht oder gestohlen wird, bestehen verschiedene Sicherheitsoptionen, um weiterhin Zugang zu den eigenen Konten zu behalten. Die meisten Plattformen bieten heute Wiederherstellungsfunktionen an, die durch zusätzliche Verifizierungsschritte auch auf anderen Geräten aktiviert werden können. Für Nutzer von FIDO2-Schlüsseln ist es ratsam, zur zusätzlichen Absicherung einen zweiten FIDO2-Stick zu besitzen, der als Backup fungiert. Dieser Stick kann bei Verlust oder Diebstahl des Hauptgeräts verwendet werden, sodass sich Nutzer auch weiterhin anmelden können, ohne den Zugang zu ihren Konten zu verlieren.

Zusätzlich lassen sich einige Passkeys über Cloud-Dienste synchronisieren, was eine besonders komfortable Lösung darstellt. So wird ein Verlust oder Diebstahl des Geräts für die betroffenen Nutzer weniger problematisch, da sie sich auch auf neuen oder anderen Geräten schnell wieder einloggen können. Trotzdem ist es sinnvoll, sich regelmäßig über die möglichen Sicherheits- und Backup-Optionen bei den verwendeten Diensten zu informieren. Ein gut durchdachtes Backup-Konzept minimiert das Risiko, dass Nutzer dauerhaft vom Zugang zu ihren Konten ausgeschlossen werden.

Wir helfen bei der Passwort-Sicherheit

Passkeys sind also eine neue Möglichkeit, sich bei Apps und Websites anzumelden – und zwar auf die gleiche Weise, wie Benutzer ihre Geräte entsperren. Damit sind sie nicht nur benutzerfreundlicher als Passwörter, sondern bieten gleichzeitig auch mehr Sicherheit. Prognosen gehen daher davon aus, dass es Passwörter, wie wir sie heute kennen, in nicht allzu ferner Zukunft nicht mehr geben. Noch ist es aber nicht soweit, weshalb insbesondere Unternehmen in Sachen Passwort-Sicherheit weiterhin gefordert sind. Besonders ratsam ist es, Mitarbeiter regelmäßig über die Bedeutung sicherer Passwörter zu informieren und die Nutzung eines Passwort-Managers für alle verbindlich zu machen.

Die Experten aus dem IT-SERVICE.NETWORK helfen dabei gern. Denn: Sie bieten sowohl die Implementierung von Tools wie einem Passwort-Manager als auch die Schulung von Mitarbeitern bezüglich Cyberrisiken an (oder sie können solche Schulungen vermitteln). Dadurch lässt sich das Risiko von unsicheren Passwörtern als Einfallstor für Cyberattacken zumindest reduzieren. Sie möchten mehr erfahren? Sprechen Sie uns an!

Weiterführende Informationen:
Datensicherheit.de, heise, heise, Google, Google, Google, Google, Google, BSI, BSI, BSI, COMPUTERWOCHE, GoogleWatchBlog, t3n
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Gemeint sind jedoch immer alle Geschlechter und Geschlechtsidentitäten.

Geschrieben von

Seit Anfang 2019 ist Janina Kröger für den Blog des IT-SERVICE.NETWORK verantwortlich – anfangs in der Position der Online-Redakteurin und inzwischen als Content Marketing Managerin. Die studierte Germanistin/Anglistin und ausgebildete Redakteurin behält das Geschehen auf dem IT-Markt im Blick, verfolgt gespannt neue Trends und Technologien und beobachtet aktuelle Bedrohungen im Bereich des Cybercrime. Die relevantesten… Weiterlesen

Fragen zum Artikel? Frag den Autor
2 Kommentare

I.Jahn, 27. Januar 2024 um 19:16

Mit dem Einrichtend Aktivieren eines Passkeys komme ich nicht zurecht. Wo finde ich eine Anleitung dazu?

Antworten

    IT-SERVICE.NETWORK-Team, 29. Januar 2024 um 10:00

    Guten Tag Frau Jahn,
    das kommt ganz auf die Plattform an, für die Sie den Passkey einrichten möchten. Am besten googlen Sie nach „[Name der Plattform] Passkey einrichten“, dann sollte Ihnen vermutlich eine Anleitung angezeigt werden. Für das Google-Konto finden Sie eine Anleitung entweder in diesem Beitrag oder hier.
    Viele Grüße
    Ihr IT-SERVICE.NETWORK-Team

    Antworten

Schreiben Sie einen Kommentar

Ihre E-Mail Adresse wird nicht veröffentlicht.


* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.

Aktuelle Themen zum Thema IT-Sicherheit

IT-Sicherheit

DSGVO-Bußgelder

Verstoß gegen Datenschutz wird teuer

von • 18.11.2024

Die DSGVO-Bußgelder galten lange Zeit eher als möglich statt real. Inzwischen hat sich das aber geändert: Immer häufiger werden DSGVO-Verstöße geahndet. Wir erklären, wie real die Angst vor ...

Weiterlesen
IT-Sicherheit

BSI-Lagebericht 2024

Lage der IT-Sicherheit in Deutschland bietet Anlass zu Sorge

von • 13.11.2024

Die Cybersicherheitslage in Deutschland ist besorgniserregend. Laut dem BSI-Lagebericht 2024 sind vor allem Ransomware, Schwachstellen in IT-Systemen und gezielte Cyberangriffe für die kritische Lage...

Weiterlesen
IT-Sicherheit

Cyber Resilience Act

Damit Unternehmen auf sichere IT-Produkte vertrauen können

von • 30.10.2024

Der Cyber Resilience Act ist beschlossene Sache! Das Gesetz stellt neue Sicherheitsanforderungen für digitale Produkte aus und soll Unternehmen und Privatnutzer vor „unsicheren“ IT-Produkten sch...

Weiterlesen