Passkeys sind ein bedeutender Fortschritt in der Authentifizierungstechnologie, die eine einfache und sichere Möglichkeit bieten, sich bei Online-Diensten anzumelden, ohne ein herkömmliches Passwort zu verwenden. Sie bieten sowohl für Nutzer als auch für Unternehmen zahlreiche Vorteile, jedoch auch einige Herausforderungen im Bereich der Datensicherheit und des Datenschutzes. Der folgende Artikel erklärt die Funktionsweise von Passkeys und geht auf verschiedene Plattformen und deren Umsetzung ein.

Was sind Passkeys?

Passkeys sind digitale Schlüssel, die zur Authentifizierung genutzt werden und keine traditionellen Passwörter erfordern. Sie bestehen aus zwei kryptografischen Schlüsseln – einem privaten und einem öffentlichen – und sind in der Regel auf einem Gerät oder in der Cloud gespeichert. Passkeys bieten ein hohes Maß an Sicherheit, da sie nicht wie Passwörter wiederverwendet oder gestohlen werden können.

Die Technologie von Passkeys wurde bereits 2012 von der FIDO Alliance ins Leben gerufen und 2018 im Rahmen des FIDO2-Standards weiterentwickelt. 2022 erreichte diese Technologie ihren Höhepunkt, als sie zur praktischen Anwendung kam. Seitdem haben viele große Unternehmen die Nutzung von Passkeys in ihre Systeme integriert.

Wie funktionieren Passkeys?

Passkeys nutzen asymmetrische Kryptographie, bei der ein öffentlicher Schlüssel auf dem Server gespeichert wird, während der private Schlüssel auf dem Nutzergerät verbleibt. Bei der Anmeldung wird der private Schlüssel verwendet, um eine Authentifizierungsanforderung zu signieren, die dann mit dem öffentlichen Schlüssel auf dem Server überprüft wird. Dieser Prozess ersetzt das klassische Passwort und ermöglicht eine sichere, passwortlose Anmeldung.
Plattformen und deren Implementierung von Passkeys

FIDO2-Sicherheitsschlüssel

Ein gängiges Beispiel für einen Passkey-Authenticator ist der FIDO2-Sicherheitsschlüssel, auch als Hardware-Token bekannt. Dieser sieht aus wie ein USB-Stick und wird verwendet, um sich bei verschiedenen Diensten anzumelden. FIDO2-Sicherheitsschlüssel können über USB, Bluetooth oder NFC mit Smartphones, Laptops und Computern verbunden werden. Die Passkeys werden sicher im Sicherheitschip des Sticks gespeichert. Die Anmeldung erfolgt durch das Drücken eines Knopfes am Stick oder durch die Eingabe einer PIN.

Ein FIDO2-Stick kann bis zu 30 Passkeys speichern. Bei einer größeren Anzahl von Konten ist ein weiterer Stick erforderlich. Es empfiehlt sich, einen weiteren Stick als Backup zu haben, da diese Hardware einzigartig und nicht kopierbar ist. Jedes Backup muss bei jedem Online-Dienst als vertrauenswürdiges Gerät registriert werden.

Apple

Apple nutzt den „iCloud-Schlüsselbund“ zur Verwaltung von Passkeys. Im Gegensatz zu FIDO2-Sticks werden die privaten Schlüssel nicht auf einem Hardwaremodul gespeichert, sondern in der Cloud von Apple. Die Passkeys sind durch Ende-zu-Ende-Verschlüsselung geschützt, sodass sie vor unbefugtem Zugriff durch Dritte oder Apple selbst sicher sind. Ein Vorteil dieser Lösung ist die einfache Synchronisation über mehrere Apple-Geräte hinweg. Die Wiederherstellungsfunktion ermöglicht den Zugriff auf Passkeys, selbst wenn ein Gerät verloren geht.

Für die Nutzung von Passkeys auf Geräten anderer Hersteller muss ein QR-Code gescannt werden, der während des Anmeldevorgangs angezeigt wird. Bluetooth muss auf beiden Geräten aktiviert sein.

Google

Google verwendet seinen Passwortmanager zur Verwaltung von Passkeys auf Android-Geräten und ChromeOS. Die Passkeys werden auf dem Gerät selbst erstellt, während der private Schlüssel verschlüsselt in der Cloud gespeichert wird. Ähnlich wie bei Apple sind die Passkeys auf allen Android-Geräten, die den Google Passwortmanager nutzen, verfügbar und können über die Wiederherstellungsfunktion nach dem Verlust eines Geräts wiederhergestellt werden. Auch hier ist Bluetooth erforderlich, wenn Passkeys auf fremden Geräten genutzt werden.

Microsoft

Microsoft nutzt „Windows Hello“ zur Verwaltung von Passkeys. Diese Passkeys werden in einem Hardwaremodul gespeichert und durch Biometrie oder eine Geräte-PIN geschützt. Anders als bei Apple und Google werden Passkeys bei Microsoft nicht in der Cloud gespeichert, was mehr Sicherheit bietet, jedoch auch weniger Komfort, da keine Synchronisation über mehrere Geräte hinweg möglich ist. Bei Verlust des Geräts besteht kein Wiederherstellungsverfahren für die Passkeys, was ein Risiko darstellt. Eine mögliche Lösung ist die Nutzung eines FIDO2-Sticks als Backup.

Passwortmanager

Passwortmanager von Drittanbietern, sowohl kommerzielle als auch Open-Source-Lösungen, haben ebenfalls Unterstützung für Passkeys integriert. Diese Manager speichern Passkeys ähnlich wie herkömmliche Passwörter und bieten eine einfache Möglichkeit, Passkeys über mehrere Geräte hinweg zu synchronisieren. Dadurch können Nutzer Passkeys auf unterschiedlichen Betriebssystemen nutzen und haben gleichzeitig Zugriff auf ihre Passwörter.

Datenschutz- und Sicherheitsaspekte von Passkeys

Obwohl Passkeys zahlreiche Vorteile in Bezug auf Benutzerfreundlichkeit und Sicherheit bieten, gibt es auch Bedenken hinsichtlich Datenschutz und IT-Sicherheit. Ein Hauptkritikpunkt ist die zentrale Speicherung der Passkeys, insbesondere in der Cloud. Anbieter wie Apple und Google speichern private Schlüssel in ihren Cloud-Diensten, was diese zu potenziellen Zielen für Hackerangriffe macht. Auch wenn Passkeys Ende-zu-Ende verschlüsselt sind, könnte ein erfolgreicher Angriff auf die Cloud-Infrastruktur die Sicherheit gefährden.

Ein weiteres Problem ist der Verlust des Geräts oder sicherheitsrelevanter Merkmale wie einer PIN oder biometrischen Daten. In solchen Fällen kann der Zugriff auf die Passkeys verloren gehen, insbesondere bei Systemen wie Microsofts Windows Hello, bei denen Passkeys lokal gespeichert werden und keine Möglichkeit zur Synchronisation besteht.