Immer öfter werden Passwörter von Kunden bei Datenlecks gestohlen, die persönlichen Daten werden missbraucht. Eine neue Technik verspricht mehr Sicherheit.
Weniger als die Hälfte aller Deutschen fühlt sich aktuell mit den eigenen Passwörtern im Netz sicher. Das geht aus einer repräsentativen Umfrage im Auftrag von GMX und web.de hervor. Zum einen könnte das daran liegen, dass fast 60 Prozent der Personen bei mehreren oder allen Diensten dasselbe Passwort verwenden.
Zum anderen ist die altbewährte Authentifizierungsmethode aus Benutzername und Passwort sehr anfällig für Datendiebstahl durch Kriminelle im Netz. Anlässlich des Welt-Passwort-Tags am 2. Mai erklären wir eine neue Alternative zum altbewährten Passwort: die Passkeys.
Was sind Passkeys?
Passkeys sind digitale Schlüssel, die für die Anmeldung bei einem Account generiert werden. Dafür muss der Dienst – zum Beispiel die Bank oder ein Streaminganbieter – die Funktion jedoch unterstützen, über die sich Nutzer dann sicher und ohne Passwort einloggen können. Aktuell ist die Zahl der Anbieter und Webseiten, die das Verfahren anbieten, noch überschaubar – sie wächst aber stetig an.
Für die Nutzung von Passkeys ist eine einmalige Einrichtung beim jeweiligen Dienst erforderlich. Das geht in der Regel mit wenigen Klicks auf der Website oder in der jeweiligen App des Anbieters. Ist der Passkey einmal eingerichtet, wird ein verschlüsselter Code im internen Speicher des Geräts hinterlegt – also Ihrem Smartphone oder Computer.
Gleichzeitig wird beim Dienstanbieter ein öffentlicher Schlüssel als Gegenstück gespeichert. Selbst wenn dieser bei einem Hackerangriff gestohlen werden würde, ist er für Kriminelle ohne Zugang zu dem privaten Schlüssel auf Ihrem Endgerät nutzlos. Passkeys versprechen somit eine passwortfreie, sichere Internetnutzung. Um das zu gewähren, wird zusätzlich eine Zwei-Faktor-Authentifizierung verwendet, beispielsweise mit Fingerabdruck oder Face-ID (Gesichtserkennung).
Wie sicher sind Passkeys?
Laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI) ist es unwahrscheinlich, dass der Code auf Ihrem Gerät – selbst bei Phishing-Angriffen durch Kriminelle – gestohlen werden kann. Außerdem erfolgt die Anmeldung immer auch mithilfe von Gesichtserkennung, Fingerabdruck-Scanner oder einer PIN.
Da kein Passwort verwendet wird, sinkt zudem die Gefahr durch Hackerangriffe bei Datenlecks. Darüber hinaus besteht keine Gefahr, dass Hacker einfache Passwortkombinationen wie „123456“ schnell erraten können.
Wie funktioniert die Anmeldung mithilfe von Passkeys?
Nach der Authentifizierung erzeugt der Dienst ein Einmal-Passwort, das durch den gespeicherten privaten Code verschlüsselt und bei jeder Anmeldung auf der Website an den Dienstleister geschickt wird. Der Server entschlüsselt dieses Einmal-Passwort mit dem hinterlegten öffentlichen Schlüssel und prüft, ob es gültig ist.
Ist der Schlüssel gültig, wird dem Nutzer der Zugang zum Account gewährt. Dementsprechend hat der Dienstleister keinen Zugang zum privaten Code, dieser ist nur auf Ihrem Gerät gespeichert. Auch persönliche Daten werden nicht übertragen.
Wo sind Passkeys gespeichert?
Für die Speicherung der jeweiligen Schlüssel braucht es ein Gerät oder Programm. Das kann eine App auf dem Smartphone, ein Programm auf dem Computer oder ein spezieller Hardware-Stick sein. Cloud-Lösungen auf dem Smartphone oder Computer bieten mehr Flexibilität bei der Nutzung über mehrere Geräte. Jedoch werden die privaten Schlüssel dabei nicht mehr lokal gespeichert, sondern auf den Servern der Anbieter.
Laut Verbraucherzentrale Nordrhein-Westfalen gilt zum Beispiel der FIDO2-Stick als besonders sicher, da die Passkeys auf dem Stick gespeichert werden und in Verbindung mit der Authentifizierung durch Gesichtserkennung, Fingerabdruck oder PIN verwendet werden können. Dadurch wird das Erstellen und Merken von Passwörtern überflüssig.
Allerdings benötigt es für die Anmeldung dann auch immer dieses konkrete Gerät. Wo sich mit Passwörtern zur Not auch auf dem Handy einer Freundin eingeloggt werden kann, wären Sie mit Passkeys ohne das eigene Gerät erst einmal aufgeschmissen. Zum Problem wird das auch, wenn das Gerät kaputtgeht, verloren oder gestohlen wird.
Die Sperre mit Fingerabdruck oder Gesichtserkennung verhindert zwar, dass Dritte auf die Passkeys zugreifen können. Jedoch müssten Sie bei Verlust des Geräts den Zugang zu jedem einzelnen Online-Account neu einrichten, sofern Sie kein Backup erstellt haben. „Im schlimmsten Fall könnte man den Zugriff auf seine Accounts ganz verlieren“, heißt es in einer Pressemeldung der Verbraucherzentrale Nordrhein-Westfalen.
