Passkeys : Mehr Online Sicherheit ohne Passwort

Passkeys : Mehr Online Sicherheit ohne Passwort

In Online-Shops, sozia­len Netz­wer­ken, beim E‑Mail-Post­fach – Pass­wör­ter sind meist die ein­zi­ge Zugangs­si­che­rung zu Online-Accounts. Dabei gibt es mitt­ler­wei­le ein Ver­fah­ren, das dem Pass­wort über­le­gen ist, und zwar bei Kom­fort und Sicher­heit : Es heißt Pass­keys, was über­setzt „Haupt­schlüs­sel“ bedeu­tet. Statt mit einem Pass­wort loggt man sich per Fin­ger­ab­druck, Gesichts­scan oder mit einer PIN ein. Im Hin­ter­grund veri­fi­ziert ein soge­nann­ter Authen­ti­ca­tor die Anmel­dung. Zen­tra­ler Bestand­teil hier­bei sind Pass­keys, zufäl­lig gene­rier­te lan­ge Zei­chen­ket­ten. Aktu­ell rüs­ten immer mehr Online-Diens­te wie Ama­zon, Ebay und Pay­Pal nach und bie­ten Verbraucher:innen die Mög­lich­keit, sich mit einem Pass­key anzu­mel­den. „Pass­keys kön­nen mehr Sicher­heit bei Online-Accounts bie­ten, ins­be­son­de­re, weil vie­le Men­schen noch immer schwa­che Pass­wör­ter nut­zen“, sagt Ayten Öksüz, Daten­schutz­ex­per­tin der Ver­brau­cher­zen­tra­le NRW. „Vor allem sind sie ein guter Schutz vor Phishing.“

Was sind Passkeys ?

Das bis­her ver­brei­te­te Ver­fah­ren zur Authen­ti­fi­zie­rung bei Web­diens­ten ist die Kom­bi­na­ti­on aus Benut­zer­na­me und Pass­wort. Kri­mi­nel­le, die das Pass­wort erfah­ren, kön­nen damit in den jewei­li­gen Online-Account ein­bre­chen. Mit Pass­keys ist das anders. Statt mit einem Pass­wort loggt man sich per Fin­ger­ab­druck, Gesichts­scan oder mit einer PIN ein – wenn der gewünsch­te Online-Dienst das anbie­tet. Nötig dafür ist ein Gerät oder ein Pro­gramm, das die per­sön­li­chen Pass­keys spei­chert. Die­ses wird Authen­ti­ca­tor genannt und kann ein spe­zi­el­ler Hard­ware-Stick sein (FIDO2), ein Pro­gramm auf dem Com­pu­ter oder eine App auf dem Smart­phone. Der Authen­ti­ca­tor erstellt bei der Regis­trie­rung des Online-Accounts einen pri­va­ten Schlüs­sel, der beim Authen­ti­ca­tor ver­bleibt, und einen öffent­li­chen, der an die Ser­ver des Online-Diens­tes geschickt wird. Bei der nächs­ten Anmel­dung wird dann durch das Zusam­men­spiel meh­re­rer Kom­po­nen­ten die eige­ne Iden­ti­tät bestä­tigt, ohne dass der pri­va­te Schlüs­sel dem Online-Dienst gegen­über preis­ge­ben wird.

Wel­che Vor- und Nach­tei­le haben Pass­keys gegen­über Passwörtern ?

Stu­di­en zei­gen, dass noch immer zu vie­le Men­schen in Deutsch­land zu schwa­che Pass­wör­ter oder ein und das sel­be Pass­wort für ihre Online-Accounts ver­wen­den. Gleich­zei­tig gelingt es Kri­mi­nel­len immer wie­der, über Phis­hing-Angrif­fe an Zugangs­da­ten von Internetnutzer:innen zu gelan­gen. Bei­des führt zu einer ste­tig wach­sen­den Zahl an erfolg­rei­chen Hacker-Angrif­fen auf Online-Accounts. Pass­keys set­zen genau hier an, denn ein Pass­wort wird dabei nicht mehr benö­tigt. Und anders als Pass­wör­ter sind Pass­keys auch wirk­lich geheim, denn sie wer­den nicht an die jewei­li­gen Online-Anbie­ter her­aus­ge­ge­ben. Und die öffent­li­chen Schlüs­sel auf den Ser­vern der Online-Diens­te sind allei­ne wert­los. Damit sinkt das Risi­ko für Angrif­fe auf Ser­ver von Online-Diens­ten, bei denen Kri­mi­nel­le in der Ver­gan­gen­heit schon mil­li­ar­den­fach Log­in-Daten gestoh­len haben. Auch kann das Abgrei­fen von Zugangs­da­ten über Phis­hing-Angrif­fe deut­lich ein­ge­dämmt wer­den, da Passkey-Nutzer:innen kei­ne Pass­wör­ter wei­ter­ge­ben kön­nen und gefälsch­te Web­sei­ten, auf denen die Zugangs­da­ten ange­ge­ben wer­den sol­len, vom Sys­tem direkt erkannt und ver­wei­gert wer­den. Aller­dings sind Pass­keys grund­sätz­lich an ein kon­kre­tes Gerät gebun­den. Mit Pass­wör­tern kann man sich zur Not auch mal am Com­pu­ter von Freun­den ein­log­gen. Mit Pass­keys hin­ge­gen geht das in der Regel nur, wenn man das Gerät, auf denen die Schlüs­sel gespei­chert sind (z.B. das Smart­phone), dabei hat. Auch kön­nen Pro­ble­me bei einem Ver­lust des Gerä­tes auf­tre­ten : Ist das Gerät mit den Pass­keys weg und gibt es kein Back­up oder ähn­li­ches, muss der Zugang zu jedem ein­zel­nen Online-Dienst neu her­ge­stellt wer­den. Im schlimms­ten Fall könn­te man den Zugriff auf sei­ne Accounts ganz verlieren.

Wor­auf soll­te man bei der Nut­zung von Pass­keys achten ?

Wer Pass­keys nut­zen will, muss sich für einen Authen­ti­ca­tor ent­schei­den, der die pri­va­ten Schlüs­sel (Pass­keys) ver­wal­ten soll. Es gibt drei Vari­an­ten : Den FIDO2-Sicher­heits­schlüs­sel (FIDO2-Stick genannt) von ver­schie­de­nen Her­stel­lern, dann die Betriebs­sys­te­me von Apple (iCloud-Schlüs­sel­bund), Goog­le (Goog­le Pass­wort­ma­na­ger) oder Micro­soft (Win­dows Hel­lo) und schließ­lich Pass­wort­ma­na­ger (diver­se Anbie­ter). Der FIDO2-Stick gilt als beson­ders sicher, da die Pass­keys lokal auf dem Stick gespei­chert wer­den. Cloud-Lösun­gen bie­ten mehr Fle­xi­bi­li­tät bei der Nut­zung von Pass­keys über meh­re­re Gerä­te hin­weg, spei­chern die pri­va­ten Schlüs­sel aber eben nicht lokal, son­dern auf den Ser­vern der Anbie­ter. Wich­tig : Bei einem Wech­sel des eige­nen Smart­phones soll­te man dar­an den­ken, die Pass­keys auf das neue Gerät zu über­tra­gen (sofern nicht in einer Cloud gespei­chert). Wech­selt mit dem Gerät auch das Betriebs­sys­tem, z.B. von Android auf iOS, könn­te das Über­tra­gen umständ­lich bis unmög­lich wer­den. Zudem ist die Nut­zung von Pass­keys von der Betriebs­sys­tem- und Brow­ser­ver­si­on abhän­gig. Für ein opti­ma­les Funk­tio­nie­ren und aus Sicher­heits­aspek­ten müs­sen Betriebs­sys­tem und Brow­ser stets auf dem neus­ten Stand gehal­ten werden.

Wei­ter­füh­ren­de Infos und Links :

• Mehr zu Pass­keys unter : www​.ver​brau​cher​zen​tra​le​.nrw/​n​o​d​e​/​9​4​842

___________________

Quel­le : Ver­brau­cher­zen­tra­le NRW
Foto­credits : © VZ NRW/​adpic