ONE4 IT - News

Aktuelle Meldungen und Informationen

Passkey statt Passwort: Google und Co. bieten passwortloses Login

Ob Google, Apple oder Microsoft: Immer mehr Softwareanbieter bieten Nutzern die Möglichkeit, sich per Passkey anzumelden. Das soll die Registrierung einfacher und sicherer machen.

Wir erklären, was ein Passkey ist, wie Passkeys funktionieren und welche Vorteile sie haben.

Habe immer Probleme mit Passwörtern

Was ist deine Meinung zu Passwörtern? Wenn Sie es als lästig empfinden, sind Sie mit Ihrer Meinung nicht allein: 41 Prozent der LastPass-Nutzer scheinen genauso zu denken. Das ist auch kaum verwunderlich, wenn man bedenkt, dass die Zahl der genutzten Anwendungen, die über Login-Daten erreichbar sind, ständig zunimmt — und damit auch die Zahl der verwendeten Passwörter.

Denn: Wenn Sie die Passwortsicherheit ernst nehmen, muss für jede Anwendung ein eigenes Passwort festgelegt werden. Und keines, das auf der Hitliste der beliebtesten Passwörter steht und somit unsicher ist. Ein sicheres Passwort sieht ganz anders aus: Laut BSI sollte es mindestens acht Zeichen enthalten und vier Arten von Zeichen (Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen) kombinieren.

Daran kann sich jedoch niemand erinnern, weshalb Passwort-Manager immer häufiger zum Einsatz kommen. Sie machen die Sache um einiges einfacher, aber ein Passwort zu benutzen macht trotzdem keinen Spaß. Genau aus diesem Grund arbeiten immer mehr Anwendungen jetzt mit einer Alternative: Passkeys.

Ein Mann sitzt am Laptop und grübelt über das Passwort. Mit dem Passkey gibt es das nicht mehr. Bild: Pexels/Djordje Petrovic

Wie lautete das Passwort nochmal? Bei Passkey gibt es kein solches Rätselraten. Bild: Pexels/Djordje Petrovic

Was ist ein Hauptschlüssel?

Eine passwortlose Anmeldung wird als Passkey bezeichnet. Es verwendet eine Anmeldefunktion, die auf dem Computer oder Telefon gespeichert ist und zum Entsperren von Online-Konten verwendet wird. Eine bereits gängige Methode sieht so aus: Möchte sich ein Nutzer auf einer Website oder App anmelden, gibt er seinen Benutzernamen oder seine E-Mail-Adresse ein und greift dann über die Gerätesperre am Smartphone — also Fingerabdruck, Gesichtserkennung, PIN oder Muster — auf das Konto zu. Ein Passwort ist also nicht mehr erforderlich.

Passkeys basieren auf einem Konzept der FIDO (Fast IDentity Online) Alliance, das als neuer Standard für die sichere Anmeldung bei Online-Konten gilt. Google, Apple und Microsoft haben sich unter anderem verpflichtet, diesen neuen Anmeldestandard zu unterstützen. Einerseits, um Nutzern die Möglichkeit einer „passwortlosen Zukunft“ bieten zu können und andererseits den Anmeldevorgang sicherer zu gestalten. Denn: Im Gegensatz zu Passwörtern können Passwörter nicht erraten oder wiederverwendet werden und schützen somit private Daten effektiv vor Angreifern.

Wie funktionieren Passkeys?

Fragen Sie sich, wie ein Hauptschlüssel eigentlich funktioniert? Dann haben wir eine Schritt für Schritt Anleitung für Sie, am Beispiel des Google-Kontos:

  1. Aktivieren Sie die Hauptschlüssel:
    In diesem Schritt aktivieren Sie die Passkey-Anmeldung in Ihrem Google-Konto. Sobald Sie diese Option aktiviert haben, können Sie sich mit Passkeys bei Websites und Apps anmelden. Gehen Sie wie folgt vor:

    • Eröffnen Sie Ihr Google-Konto
    • Gehe zu „Sicherheit“.
    • Scrollen Sie nach unten und aktivieren Sie die Option „Passkey-Login“.
  2. Erstellen Sie einen Hauptschlüssel für eine Website oder App:
    In diesem Schritt erstellen Sie einen Hauptschlüssel für eine Website oder App, indem Sie einen QR-Code mit Ihrem FIDO-Schlüssel scannen. Ihr FIDO-Schlüssel generiert dann einen öffentlichen Schlüssel, der mit dem privaten Schlüssel der Website oder App verglichen wird. Wenn die Schlüssel übereinstimmen, wird der Hauptschlüssel erstellt. Hier ist das genaue Verfahren:

    • Melden Sie sich auf der Website oder App an.
    • Wählen Sie die Option „Hauptschlüssel erstellen“.
    • Scannen Sie den QR-Code auf Ihrem Computer oder Telefon mit Ihrem FIDO-Schlüssel.
    • Bestätigen Sie den Hauptschlüssel auf Ihrem Computer oder Telefon.
  3. Verwenden Sie den Hauptschlüssel:
    Um den Hauptschlüssel zu verwenden, melden Sie sich auf einer Website oder App an. Entsperren Sie dazu Ihren Computer oder Ihr Telefon mit Ihrem FIDO-Schlüssel. Dadurch wird erneut ein öffentlicher Schlüssel generiert und mit dem privaten Schlüssel der Website oder App verglichen. Stimmen die Schlüssel überein, erfolgt der Login. Hier sind die Anweisungen:

    • Melden Sie sich auf der Website oder App an.
    • Wählen Sie die Option „Passkey verwenden“.
    • Entsperren Sie Ihren Computer oder Ihr Telefon mit Ihrem FIDO-Schlüssel.
    • Bestätigen Sie den Hauptschlüssel auf Ihrem Computer oder Telefon.

Achtung: Für Mitarbeiter von Unternehmen, die Google Workspace-Konten verwenden, ist die Passkey-Login-Methode noch nicht geeignet — unter anderem, weil Passkeys nur auf ihren eigenen Geräten eingerichtet werden können, nicht aber auf Unternehmensgeräten.

Eine Frau nutzt Passkey auf dem Handy zur Anmeldung bei einer Anwendung auf dem Laptop. Bild: Pexels/Yan Krukau

Mit dem Passkey bestätigen Nutzer ihre Registrierung bequem über ihr Smartphone. Bild: Pexels/Yan Krukau

Passkeys: Das sind die Vorteile

Passkeys sollten daher eine einfache und praktische Möglichkeit sein, sich bei Online-Konten anzumelden, und damit eine passwortlose Zukunft einläuten. Wir haben die drei wichtigsten Vorteile für Sie zusammengefasst:

  • Bequemlichkeit:
    Passwörter ade, sagen sie dank der neuen Passkeys. So müssen Nutzer künftig weder auf unsichere Passwörter zurückgreifen — nämlich die Namen von Haustieren, Geburtstagen oder das berüchtigte „password123″ — noch müssen sie im Rahmen einer sicheren Passwortvergabe eine manchmal komplizierte Passwortverwaltung in Kauf nehmen. Passkeys sollten in erster Linie unkompliziert und bequem für die Nutzer sein.
  • Sicherheit:
    Wie oft hören wir, dass Hacker Passwörter stehlen und im Darknet veröffentlichen konnten? Mit Passkeys wurde Abhilfe gefunden! Denn: Passkeys sind eine sicherere Alternative zu herkömmlichen Passwörtern, da sie nicht gespeichert werden müssen und somit auch nicht gehackt werden können. Passwörter sind zudem resistent gegen Online-Angriffe wie Phishing und zudem sicherer als einmalig verwendbare SMS-Codes, die abgefangen oder umgeleitet werden können.
  • Kompatibilität:
    Passkeys basieren auf den Standards FIDO2 und WebAuthn. Diese Standards werden von einer Vielzahl von Unternehmen unterstützt, darunter Google, Apple, Microsoft und Samsung. Daher können Passkeys mit verschiedenen Geräten, verschiedenen Betriebssystemen und in vielen Diensten und Apps verwendet werden.

Wie Sie sehen, sind Passkeys eine einfachere und sicherere Alternative zu Passwörtern. Aus diesem Grund verwenden verschiedene Anbieter und Websites diese Art der passwortlosen Anmeldung.

Diese Websites verwenden Passkeys

Vor allem Apple, Google und Microsoft sollten hier erwähnt werden. Um die oben genannte Kompatibilität zu gewährleisten, haben die Unternehmen gemeinsam Passkeys nach dem FIDO-Konzept entwickelt und in den Betriebssystemen iOS, macOS, Android und Windows verfügbar gemacht. Google hat beispielsweise im Oktober 2023 die passwortlose Anmeldung für Nutzer eingeführt — allerdings (vorerst) nur für Privatnutzer.

Neben Apple, Google und Microsoft bieten auch andere Dienste und Websites bereits die Registrierung per Passkey an. Dazu gehören Firefox, Facebook, Twitter, PayPal und Shopify. Es wird erwartet, dass in naher Zukunft immer mehr Geräte und Dienste Passkeys unterstützen werden. Dies wird sicherlich insbesondere Benutzern gefallen, die mit herkömmlichen Passwörtern Krieg führen.

Ein Mann nutzt Handy und Laptop für eine Passkey-Anmeldung. Bild: Pexels/Tony Schnagl

Passkeys könnten Passwörter bald als Anmeldemethode ersetzen. Bild: Pexels/Tony Schnagl

Wir helfen bei der Passwortsicherheit

Passkeys sind daher eine neue Methode, sich bei Apps und Websites anzumelden — genauso wie Benutzer ihre Geräte entsperren. Das macht sie nicht nur benutzerfreundlicher als Passwörter, sondern bietet gleichzeitig auch mehr Sicherheit.

Prognosen gehen daher davon aus, dass Passwörter, wie wir sie heute kennen, in nicht allzu ferner Zukunft nicht mehr existieren wird. Es ist jedoch noch nicht an der Zeit, dass insbesondere Unternehmen weiterhin vor Herausforderungen stehen, wenn es um Passwortsicherheit geht. Es ist besonders ratsam, die Mitarbeiter regelmäßig über die Bedeutung sicherer Passwörter zu informieren und die Nutzung eines Passwort-Managers für alle zur Pflicht zu machen.

Wir helfen Ihnen gerne weiter. Denn: Wir bieten sowohl die Implementierung von Tools wie einem Passwort-Manager als auch die Schulung von Mitarbeitern zu Cyberrisiken an. Dadurch kann zumindest das Risiko unsicherer Passwörter als Einfallstor für Cyberangriffe reduziert werden. Sie möchten mehr wissen? Sprechen Sie mit uns!


Weitere Informationen:
Datensicherheit.de, heise, heise, Google, Google, Google, Google, Google
Zur besseren Lesbarkeit verwenden wir im Text die männliche Form. Es sind jedoch immer alle Geschlechter und Geschlechtsidentitäten gemeint.

Lesen Sie den Originalartikel auf IT-SERVICE.network