Passwörter sollen Online-Accounts schützen, aber das klappt nicht immer. Viele sind zu einfach gestrickt, wie etwa "12345" oder sie werden von Hackern geklaut. Jetzt gibt es eine bessere Alternative: sogenannte Passkeys. Bei immer mehr Online-Anbietern können die User ihre Konten damit sichern. Was man dazu wissen muss:
Wo liegt der Vorteil des neuen Verfahrens?
Ein Passwort besteht aus einer Folge von Ziffern und Zeichen, die man sich merken muss. Das führt dazu, dass viele Menschen zu ganz simplen Passwörtern greifen, die andere leicht erraten oder durch Ausprobieren in Erfahrung bringen können. Andere fallen auf Phishing-Betrüger herein, die Passwörter via Mail und SMS ausspionieren, oder Hacker greifen die Daten bei Online-Diensten ab. Das alles soll bei Passkeys nicht mehr vorkommen können.
Der Grund: Im Unterschied zum Passwort muss sich ein Passkey niemand merken. Das ginge auch nicht, weil sich dahinter ein langes kryptografisches Schlüsselpaar verbirgt. Dieses Paar wird nur einmal erzeugt und zum einen Teil auf einem Endgerät des Account-Nutzers und zum anderen dem Online-Dienst hinterlegt – fertig. Ein Passwort wird nicht mehr gebraucht. Und was man nicht braucht, kann auch nicht in falsche Hände geraten. "Wir haben da ein ganz anderes Sicherheitsniveau", sagt BSI-Experte Stefan Becker.
Wie geht der Log-in mit Passkey?
Zur Anmeldung beim Online-Dienst gibt der User wie bisher zunächst seinen Benutzernamen oder die E-Mail-Adresse ein. Statt danach auch noch das Passwort eintippen zu müssen, startet im Hintergrund ein automatischer Identifizierungsprozess. Dabei agieren der beim Online-Dienst hinterlegte Teil des Keys (der sogenannte öffentliche Schlüssel) und der beim Nutzer abgelegte Teil des Keys (der sogenannte private Schlüssel) miteinander. Dies bekommen die Account-Inhaber selbst gar nicht mit.
Vereinfacht läuft das so ab: Der öffentliche Schlüssel stellt eine hochkomplexe Aufgabe (genannt Challenge), die nur vom privaten Schlüssel gelöst werden kann. Stimmt die Antwort, ist der rechtmäßige Nutzer des Accounts identifiziert. Laut BSI erhöht das nicht nur die Sicherheit, sondern auch den Komfort. "Das geht schneller als ein Passwort-Eintippen, ganz bestimmt", so Experte Becker.
Wie richte ich den Passkey ein?
Das geht auf der Webseite oder App des Online-Dienstes unter Rubriken wie beispielsweise Konto, Sicherheit oder Anmeldung und muss nur einmalig gemacht werden. So gelangen WhatsApp-Nutzer über die drei Punkte rechts oben und die Felder "Einstellungen" und "Konto" zum "Passkey"-Button. Außerdem muss der Account-Besitzer entscheiden, wo er den privaten Teil des Passkeys speichern will. Zur Wahl stehen Smartphone oder Tablet, der heimische Rechner, spezielle USB-Sticks (Token) oder etwa die Cloud bei Apple oder Google. "Alle Methoden haben ihre Vor- und Nachteile. Für die meisten Nutzer dürfte jedoch das c’t.
Beispiel Amazon: Der Kunde öffnet die Webseite mit dem Browser des Smartphones, meldet sich bei seinem
Und wenn ich mein Smartphone verliere?
Wer das Mobilgerät besitzt, verfügt über die Passkeys, die darauf hinterlegt sind. Das gilt auch für Fremde, die das Gerät stehlen oder finden. Genau für diesen Fall sieht das Verfahren die Verpflichtung vor, sich bei einer Account-Anmeldung mit Fingerabdruck, Gesichtsscan oder Entsperrungscode als rechtmäßiger Inhaber auszuweisen. BSI-Experte Becker spricht von den "klassischen Sicherheitsmaßnahmen", die hier schützen sollen. Das bedeutet aber auch: Im entsperrten Zustand sollte das Smartphone tunlichst nicht abhandenkommen. Passiert dies doch, müssten die Daten auf dem Gerät möglichst schnell per Fernzugriff gelöscht werden. Das empfiehlt sich aber nicht nur wegen der Keys, sondern auch wegen vieler anderer Daten auf dem Smartphone wie den privaten Kontakten.