Passkeys, die sicherere und einfachere Alternative zu Passwörtern

„Ich habe mein Passwort vergessen, ich brauche Hilfe, ich erinnere mich nicht an mein Passwort, Passwort zurücksetzen.“ Wir alle kennen die Situation, dass wir versuchen mussten, auf unsere E-Mails, sozialen Medien oder unser Bankkonto zuzugreifen. Obwohl allgemein empfohlen wird, einen Passwort-Manager zu verwenden (dieser generiert Schlüssel und speichert sie sicher), lebt der durchschnittliche Benutzer in einer Schleife unsichere Passwörter zu erstellen und sie fast regelmäßig zurückzusetzen. Für all dies gibt es eine bessere Lösung: „ Passkeys “ oder Zugriffsschlüssel.

Ein Passkey ist ein digitaler Berechtigungsnachweis zur Authentifizierung bei einer Website oder Anwendung ohne Verwendung von Passwörtern . Anstatt sich komplexe Passwörter zu merken, verwendet der Benutzer einfach eine biometrische Methode (wie Fingerabdruck oder Gesichtserkennung) oder eine lokale PIN auf seinem Gerät.

Wenn sich ein Benutzer beispielsweise über einen Browser bei seinem Google-Konto anmelden möchte, kann er seine Identität mit dem Fingerabdruck auf seinem Telefon bestätigen, ohne ein Kennwort eingeben zu müssen. Dies ist nicht nur bequemer, sondern verringert auch das Risiko eines Hackerangriffs durch Schlüsseldiebstahl.

Anfang des Monats gab Microsoft bekannt, dass alle neuen Konten, die von Benutzern erstellt werden (ob für Outlook, Office oder andere Dienste, die eine Anmeldung erfordern), standardmäßig Passkeys verwenden werden . Andere Akteure wie Google und Apple setzen diesen Schritt bereits um.

Hier erfahren Sie, was sie sind, wie sie funktionieren , warum sie nützlich sind und wie Sie sie in einem Dienst aktivieren.

Bei der Authentifizierung handelt es sich um den Vorgang, mit dem überprüft wird, ob ein Benutzer die Person ist, die er vorgibt zu sein: Wenn wir beispielsweise unseren Benutzernamen und unser Kennwort in eine E-Mail eingeben, betrachtet das System diese Informationen als Bestätigung, dass unsere Identität authentifiziert ist, und gewährt uns Zugriff zum Lesen der E-Mails.

Obwohl diese Idee einfach klingt, ist sie in der Praxis viel komplexer, da Kontodiebstahl allgegenwärtig ist. Im Jahr 2024 wurden laut Daten von FortiGuard Labs (Fortinet) 1,7 Milliarden gestohlene Benutzernamen- und Passwortkombinationen entdeckt, die in Darknet-Foren kursierten. Darüber hinaus ergab eine andere Studie, dass 59 % der analysierten Passwörter in weniger als einer Stunde geknackt werden konnten. All dies setzt den Benutzer einem permanenten Risiko einer sogenannten Kontoübernahme aus .

„Physische Schlüssel oder Passkeys sind in der Praxis sicherer und praktischer als Passwörter. Die Aussage „sicherer“ ist zwar umstritten, da sie immer vom Kontext des Benutzers abhängt, aber verallgemeinert hat sie sich als richtig erwiesen“, sagte Iván Barrera Oro, „HacKan“, ein auf Cybersicherheit spezialisierter Softwareentwickler, gegenüber Clarín.

Aus all diesen Gründen hat Microsoft diese Änderung an den Passkeys implementiert, die in der Branche Maßstäbe setzt. „Diese Änderung ist kein Einzelfall: Microsoft und andere Organisationen haben den ‚ Passkey Pledge ‘ unterzeichnet, eine globale Verpflichtung, die Einführung von Passkey im nächsten Jahr voranzutreiben. Ziel ist es, eine sicherere, einfachere und reibungslosere Authentifizierung zu ermöglichen, die Branchenstandards und Sicherheitsprinzipien entspricht“, erklärte Marcelo Felman, Microsofts Direktor für Cybersicherheit in Lateinamerika, gegenüber Clarín.

Das Problem besteht oft darin, dass die von uns genutzten Dienste uns keine Wahl lassen, wie wir uns anmelden. Die großen Player Microsoft, Apple, Google, Amazon und Meta machen es jedoch bereits.

Ein Passkey ist eine sicherere und einfachere Möglichkeit, Ihre Identität zu bestätigen, wenn Sie sich bei einer App oder Website anmelden. Bisher mussten Sie sich für den Zugriff auf ein Konto ein Passwort merken und eingeben – etwas, das angeblich nur Sie kannten. Das Problem: Wenn jemand diese Informationen in die Hände bekommt, könnte er sich als Sie ausgeben. Passkeys ändern das: Sie bleiben zwar geheim, aber Sie müssen sie sich nicht merken. Sie sind durch die Sicherheitsfunktionen Ihres Geräts geschützt und mit etwas verknüpft, das nur Sie besitzen, wie Ihrem Fingerabdruck, Ihrem Gesicht oder der PIN, mit der Sie Ihr Telefon entsperren“, fährt Felman fort.

„Anstatt beispielsweise Ihr Passwort in eine Banking-App einzugeben, melden Sie sich einfach mit Ihrem Gesicht an, genau wie beim Entsperren Ihres Telefons. So kann niemand Ihr Passwort stehlen, da es kein schriftliches Passwort gibt, das erraten oder weitergeben könnte. Es ist eine moderne, sicherere und bequemere Art der Anmeldung“, erklärt er.

In diesem Sinne und unter Berücksichtigung der Tatsache, dass Sicherheit ein nutzungsbezogenes und kein absolutes Konzept ist, gelten Passkeys als die sichersten in der Branche. Sie können nicht wie Passwörter gestohlen oder erraten werden. Wenn jemand Ihr Passwort erhält, kann er auf Ihre Konten zugreifen, als wäre er Sie. Passkeys hingegen sind durch etwas geschützt, das nicht so leicht kopiert oder gefälscht werden kann, wie Ihr Fingerabdruck, Ihr Gesicht oder die PIN, mit der Sie Ihr Gerät entsperren. Niemand kann sich als Sie ausgeben, es sei denn, er hat physischen Zugriff auf Ihr Gerät und Ihre einzigartige Entsperrmethode. Mit Passwörtern kann sich jeder, der Ihr „Geheimnis“ kennt, als Sie ausgeben. Auf Passkeys können nur Sie zugreifen, da sie an Ihre Identität und das von Ihnen verwendete Gerät gebunden sind“, fügt er hinzu.

In der heutigen Umgebung ist es schwer vorstellbar, dass Passwörter über Nacht verschwinden . „Derzeit ist Benutzername und Passwort, mit oder ohne zweiten Faktor, der gängigste Ansatz, gefolgt vom Social Login (z. B. Anmeldung mit Google-Anmeldedaten). Passkeys gewinnen zunehmend an Bedeutung. Einige Dienste bieten einen Single-Faktor-Login mit einem einzigartigen und exklusiven Link per E-Mail – eine gute Alternative zu Passwörtern. Andere Dienste wie Uber ermöglichen die passwortlose Anmeldung per SMS. In beiden Fällen handelt es sich um einen Single-Faktor-Login, da die Branche nach Möglichkeiten sucht, Passwörter zu ersetzen “, sagt HackAn.

Normalerweise ist es eine gute Idee, diese Methode zu verwenden und sich von Passwörtern zu verabschieden. „In der Regel lassen Dienste keine Wahl, wie man sich anmeldet. Wenn möglich, ist die Verwendung eines einzigartigen und exklusiven Links per E-Mail + eines physischen Schlüssels oder eines zweiten Faktors anstelle eines Passworts sehr praktisch und sicher. Passwörter sind anfällig für Phishing. Kürzlich wurde nachgewiesen, dass auch Passkeys anfällig sind, wenn auch in geringerem Maße. Es gab sogar Schwachstellen, die das Phishing physischer Schlüssel ermöglichten, aber glücklicherweise sind dies seltene Fälle“, fügt HackAn hinzu.

„ Physische Schlüssel “ werden beim Zugriff auf ein persönliches Konto häufig als zweiter Authentifizierungsfaktor verwendet und bieten eine zusätzliche Sicherheitsebene.

Daher kommt es in der Technologiebranche zu einer Migration hin zu Passkeys. „ Der Übergang von Passwörtern zu Passkeys wird schrittweise, aber stetig erfolgen. Microsoft hat bereits angekündigt, dass alle neuen Konten standardmäßig passwortlos sein werden und Passkeys als Standard-Authentifizierungsmethode verwendet werden. Das heißt, wer ein neues Konto erstellt, muss kein Passwort mehr festlegen: Er kann sich je nach Gerät per Gesichtserkennung, Fingerabdruck oder einer sicheren PIN anmelden. Für alle, die bereits ein Konto haben, ist die Umstellung auf Passkeys bereits verfügbar. Dies wird die empfohlene Authentifizierungsmethode sein, aber wer weiterhin Passwörter verwenden möchte, kann dies vorerst tun“, sagt Felman.

HackAn hat jedoch einige Vorbehalte: „Ich halte die Idee für gut, wenn auch vielleicht etwas voreilig. Passkeys sind als Konzept eine gute Idee, und Passwörter sind immer umständlich, daher könnte dieser Ansatz sinnvoll sein. Allerdings ist die Annahme, Passkeys seien unangreifbar, falsch, und sie funktionieren möglicherweise auf vielen Geräten nicht einmal. Ich habe zum Beispiel Probleme, sie auf meinem Laptop zum Laufen zu bringen, daher hoffe ich, dass sie eine geeignete Implementierung entwickeln, die andere Zugriffsmethoden ermöglicht, falls der Passkey versagt oder auf dem betreffenden Gerät nicht verfügbar ist. Es ist positiv, in eine Richtung zu gehen, die es uns ermöglicht, Passwörter in den Hintergrund zu rücken“, meint er.

Felman stimmt in einem Punkt zu: Es gibt kein Patentrezept. Kein technologischer Wandel ist ohne Herausforderungen. Deshalb sind Cybersicherheitskultur und digitale Resilienz heute mehr denn je eine strategische Priorität. Im Alltag spiegelt sich dies in so einfachen Dingen wie der Aktualisierung von Software, der Wahl sicherer Authentifizierungsmethoden und vor allem in Schulungen wider. Denn es geht nicht nur darum, neue Tools zu implementieren, sondern sie auch durch Aufklärung, Sensibilisierung und sichere Gewohnheiten zu unterstützen. Nur so können wir eine sicherere digitale Umgebung für alle schaffen“, so sein Fazit.

Obwohl jeder Dienst seinen eigenen Ansatz verfolgt, sind die Mechanismen im Allgemeinen ähnlich und können in den Kontoeinstellungen unter der Registerkarte „Sicherheit“ gefunden werden. Hier ist ein Beispiel von Microsoft:

Nach der Erstellung empfiehlt es sich, die korrekte Funktionsweise zu testen, um Überraschungen zu vermeiden.