Mit der neuen Version des Messengers stehen erstmals sogenannte Passkeys in der beliebten App des Anbieters Meta zur Verfügung. Ist die Funktion aktiviert, können sich Nutzerinnen und Nutzer künftig mit den biometrischen Merkmalen ihres iPhones, also Face ID oder Touch ID, bei Whatsapp anmelden. Für Android-Handys wurde die Funktion im vergangenen Herbst schon ausgerollt.
Laut einem Sprecher von Whatsapp wird die Funktion für iPhone-Nutzerinnen und Nutzer in den kommenden Wochen zu sehen sein. Wer sie also noch nicht sieht, muss sich noch etwas gedulden. Aktiviert werden können die Passkeys in der App unter Einstellungen > Konto > Passkeys > Passkey erstellen. Ein Passkey soll es böswillige Akteuren weiter erschweren, Whatsapp-Konten zu kapern. In Zukunft entfällt somit das Eingeben des SMS-Einmalcodes. «Wir freuen uns, dass wir den Nutzern mit dieser Funktion eine zusätzliche Sicherheitsebene bieten können», sagt Alice Newton-Rex, Produktmanagerin bei Whatsapp.
Was sind Passkeys?
Passkeys sind ein Ersatz für Passwörter und SMS-Codes. Neben Whatsapp haben bereits X, Google, Tiktok, Paypal und andere Dienste diese Funktion eingeführt. Sie ermöglichen eine schnellere, einfachere und sicherere Anmeldung bei Websites und Apps auf den Geräten der Nutzerinnen und Nutzer. Denn im Gegensatz zu einem Passwort, das man sich merken oder eintippen muss, wird der Passkey auf dem Gerät gespeichert und vervollständigt die Anmeldung mit biometrischen Merkmalen (Fingerabdruck oder Gesicht) oder der Geräte-PIN. Auch eine Zwei-Faktor-Authentifizierung oder eine Verifizierung per SMS sind nicht mehr nötig. Das macht das System nutzerfreundlicher und die Sicherheit hängt nicht von der Disziplin einzelner Nutzerinnen und Nutzer ab.
Wie funktioniert das genau?
Passkeys bestehen aus mehreren Teilen, unter anderem einem öffentlichen und einem privaten Schlüssel. Dahinter steckt ein kryptografisches Verfahren. Möchte man sich bei einer App wie Whatsapp oder einer Website anmelden, sendet diese eine Rätselaufgabe an das eigene Gerät. Diese wird mit einem privaten Schlüssel gelöst, signiert und mit einem öffentlichen Schlüssel auf dem Server abgeglichen. Der private Schlüssel liegt verschlüsselt auf dem eigenen Gerät. Möchte man sich an einem neuen Gerät anmelden, etwa an einem PC am Arbeitsplatz, scannt man einfach einen QR-Code mit dem Handy ab. Dann legt man seinen Fingerabdruck auf oder nutzt zum Beispiel Face ID beim iPhone und schon ist man eingeloggt – ganz ohne Passwort.
Ist das wirklich sicherer?
Ja, denn alle sensiblen Informationen – also der private Schlüssel und die eigenen biometrischen Merkmale – werden bei der Anmeldung nicht übertragen. Es kann also nichts abgefangen werden. Damit ist die Methode sicherer gegen Phishing, da keine Passwörter gestohlen werden können. Nutzerinnen und Nutzer können nicht mehr mit ähnlich aussehenden Domains wie mail.google.ch oder mail.gooogle.ch getäuscht werden. Denn für jeden Dienst wird ein eigener Schlüssel generiert. «Dies ist die erste Authentifizierungsmethode, die menschliche Fehler ausschliesst und gleichzeitig Sicherheit und Benutzerfreundlichkeit bietet», sagt Jeff Shiner, CEO von 1Password im Frühjahr 2023.
Wo kann ich Passkeys überall verwenden?
Mit der jüngsten Ankündigung von Whatsapp werden Passkeys weiter im Alltag verankert und für Millionen von Nutzerinnen und Nutzer weltweit Realität. Weitere werden folgen. Grosse Tech-Unternehmen haben die neue Login-Methode in den vergangenen Monaten in ihre Systeme integriert. Apple mit iOS 16 und MacOS Ventura, Google mit Android im Oktober 2022 und ChromeOS 2023. Microsoft rollt die Funktion 2023 und 2024 grossflächig aus.
Was passiert, wenn ich mein Handy verliere?
Passkeys können zwischen einzelnen Geräten synchronisiert werden. Dies ist mit einer Ende-zu-Ende-Verschlüsselung sicher. Solltest du alle deine Geräte verlieren, kannst du die Logins über den Support der Tech-Firmen wiederherstellen. Meist kann man auch einen alternativen Kontakt für die Wiederherstellung angeben. Ausserdem ist es derzeit noch möglich, sich mit Benutzername und Passwort bei den Diensten anzumelden. Die Vision ist jedoch eine passwortlose Zukunft, sagt der IT-Gigant Google.
Wer steckt dahinter?
Das Authentifizierungsverfahren wurde von der sogenannten Fido Alliance entwickelt. Fido steht für Fast Identity Online. Ihr gehören neben den grossen Playern wie Google, Apple und Microsoft viele weitere Unternehmen an. Das Verfahren ist offen und herstellerunabhängig.