Passkeys sollen in Zukunft anstelle von Passwörtern beim Einloggen auf Webseiten verwendet werden. Du weißt, was ein Passwort ist - wir haben darüber berichtet. Es ist eine festgelegte Zeichenfolge, die man sich selbst ausgedacht, gemerkt oder in einem Passwortmanager gespeichert hat. Beim Einloggen erwartet die Webseite jedes Mal den Benutzernamen und das Passwort. Der Schutz vor Missbrauch kann durch eine Zwei-Faktor-Authentifizierung erhöht werden. Zusätzlich zum Passwort musst du ein weiteres Sicherheitsmerkmal eingeben bzw. bestätigen, um dich anzumelden. Dies kann ein PIN-Code sein, der als SMS auf dein Smartphone geschickt wird. Oder du erhältst eine Nachricht auf deinem Smartphone, um deine Anmeldung zu bestätigen. Manche Websites verwenden auch eigene Apps für die Zwei-Faktor-Authentifizierung.  Google Authenticator (iOS / Android), Microsoft Authenticator (iOS / Android) oder Twilio Authy (iOS / Android).

Ein Passkey kann mit Passwortschlüssel übersetzt werden. Bei der Registrierung /  Anmeldung auf einer Webseite wird ein eindeutiges Schlüsselpaar erzeugt, das nur für dieses Konto gültig ist. Ein öffentlicher Schlüssel wird auf der Webseite oder in der Anwendung (App) gespeichert, während der private Schlüssel auf einem Endgerät (Smartphone, Tablet, FIDO2 USB-Stick...) gespeichert wird.

Bei jedem Login erzeugt das angeschlossene Endgerät ein neues Einmal-Passwort, das mit dem privaten Schlüssel verschlüsselt wurde und nur mit der Schlüsselhälfte auf der Webseite bzw. in der App entschlüsselt werden kann. Die Generierung dieses Einmal-Passworts wird durch eine biometrische Anmeldung (Fingerabdruck, Gesichtserkennung oder Iris-Scanner) erreicht. Anschließend übermittelt das Gerät das Einmal-Passwort an die empfangende Website, die es mit Hilfe des öffentlichen Schlüssels überprüft. Wenn das Schlüsselpaar übereinstimmt, wird der Zugang zur Website gewährt.

Der Hauptunterschied zwischen einem Passwort und dem Passkey-Verfahren besteht also darin, dass ein Passwort unveränderlich ist, bis es auf beiden Seiten ausgetauscht wird. Der Passkey arbeitet immer mit neuen, verschlüsselten und einmaligen Passwörtern. Außerdem kann die Kombination aus Benutzername und Passwort von jedermann verwendet werden, während der Passkey durch die biometrische Anmeldung an eine Person gebunden ist.

Wenn du die Passkey-Technik verwenden willst, nutzt du dein Smartphone mit Kamera und Fingerabdrucksensor. Alternativ könnt ihr einen FIDO2-USB-Stick nehmen, der einen Finderabdruckscanner enthält und die nötige Sicherheitskennungen per Bluetooth oder NFC überträgt.

Der wesentliche Vorteil des Passkey-Verfahrens ist, dass der Benutzer kein Passwort mehr benötigt und somit ein hohes Maß an Sicherheit gegeben ist: Es macht für einen Hacker keinen Sinn, den Authentifizierungscode bei der Benutzung abzufangen, da beim nächsten Mal ein neuer Code verwendet wird. Phishing oder gestohlene Passwörter gibt es nicht mehr, da es kein Passwort an sich gibt. Die Kombination der beiden Passcodes ist immer an die Webseite gebunden und funktioniert nicht anderswo. Der FIDO2-USB-Stick kann auch als Sicherheitshardwareschlüssel verwendet werden.

Leider hat das derzeitige Passkey-System auch Schwächen. Eine davon ist die noch schwache Verschlüsselung, die von Supercomputern geknackt werden kann. Wenn deine biometrischen Merkmale vom System nicht erkannt werden, bekommst du keinen Zugang zur Webseite bzw. App. Es stellt sich auch die Frage, ob alle Nutzer diese neue Methode akzeptieren werden, da einerseits Konten (Netflix, Amazon ....) nicht mehr geteilt werden können und andererseits nicht jeder über die technischen Mittel verfügt. Kriminelle könnten den biometrischen Zugang unter Androhung von Gewalt erpressen. Wie man aus vielen Filmen weiß, muss der Finger nicht unbedingt an der Hand sein, um ein System zu authentifizieren. .....

Webtipp:

PcWelt: Passwörter werden überflüssig