Wirklich gute Passwörter sind lang, kompliziert und allesamt unterschiedlich. Sich diesen Kauderwelsch für Dutzende Websites und Apps zu merken, ist unmöglich. Abhilfe schafft da ein Passwortmanager. Nun kommt eine weitere Option hinzu, die seit Jahren geplant wurde.
Fido steht für Fast Identity Online. Hinter dem neuen Anmeldeverfahren steckt eine Tech- Allianz mit Unternehmen wie Netflix, Google, Microsoft und Apple. Seit 2012 tüfteln diese an einer Welt ohne Passwörter. Jetzt wird es allmählich konkreter. Im Oktober 2023 hat Google angekündigt, dass man sogenannte Passkeys beim Login zum Standard macht. Blick beantwortet die wichtigsten Fragen.
Was sind Passkeys?
Passkeys sind ein moderner Ersatz für Passwörter. Sie bieten eine schnellere, einfachere und sicherere Anmeldung für Websites und Apps auf den Geräten einer Nutzerin oder eines Nutzers. Im Gegensatz zu einem Passwort, das man sich merken oder eintippen muss, speichert das eigene Gerät den Passkey und vervollständigt die Anmeldung mit deinen biometrischen Merkmalen (Fingerabdruck oder Gesicht) oder der Geräte-Pin. Auch die Zwei-Faktor-Authentifizierung oder die Verifikation per SMS wird damit überflüssig. Damit ist es nutzerfreundlicher und die Sicherheit hängt nicht vor der Disziplin einzelner Nutzerinnen oder Nutzer ab.
Wie funktioniert das im Detail?
Passkeys bestehen aus mehreren Teilen, darunter einem öffentlichen und einem privaten Schlüssel. Dahinter verbirgt sich ein kryptografischer Prozess. Möchte man sich bei einer App oder Website anmelden, schickt diese eine Art Rätselaufgabe an das eigene Gerät. Diese wird mithilfe eines privaten Schlüssels gelöst, signiert und mit einem öffentlichen Schlüssel auf dem Server abgeglichen. Der private Schlüssel liegt verschlüsselt auf dem eigenen Gerät. Möchte man sich auf einem neuen Gerät, zum Beispiel auf einem PC am Arbeitsplatz anmelden, scannt man mit dem Telefon einfach einen QR-Code. Dann legt man seinen Fingerabdruck auf, oder nutzt zum Beispiel Face ID bei einem iPhone und schon wird man eingeloggt – ganz ohne Passwort.
Ist das wirklich sicherer?
Ja, denn alle heiklen Informationen – also der private Schlüssel und die biometrischen Merkmale – werden bei der Anmeldung nicht übertragen. Es gibt also nichts abzufangen. Damit ist die Methode sicherer gegen sogenanntes Phishing, da es keine Passwörter zu stehlen gibt. Nutzerinnen und Nutzer können also mit ähnlich aussehenden Domains wie mail.google.ch oder mail.gooogle.ch nicht mehr getäuscht werden. Denn für jeden Dienst wird automatisch ein Schlüssel generiert. «Es ist die erste Authentifizierungsmethode, die menschliche Fehler ausschliesst und Sicherheit und Benutzerfreundlichkeit bietet», sagt Jeff Shiner, CEO von 1Password im Frühling 2023.
Wo kann ich überall Passkeys nutzen?
Mit der jüngsten Ankündigung von Google werden Passkeys im Alltag verankert und zur Realität für Millionen Nutzerinnen und Nutzer weltweit. Alle Tech-Firmen haben die Login-Methode in den vergangenen Monaten in ihren Systemen integriert. Apple mit iOS 16 und MacOS Ventura, Google mit Android im Oktober 2022 und ChromeOS 2023. Microsoft rollt laut der Fido-Allianz das Feature 2023 und 2024 grossflächig aus. Nun müssen noch die Anbieter von Diensten die Passkeys integrieren.
Was, wenn ich mein Handy verliere?
Die Passkeys können über Geräte hinweg synchronisiert werden. Dies passiert mit einer Ende-zu-Ende-Verschlüsselung. Verliert man alle Geräte, soll man über den Support der Tech-Firmen diese Logins wiederherstellen können. Auch einen alternativen Kontakt für die Wiederherstellung kann man angeben. Diesen sollte man gleich zu Beginn in seinem Konto hinterlegen. Zudem ist es vorerst weiterhin möglich, sich mit dem Nutzernamen und dem Passwort bei den Diensten anzumelden. Die Vision sei jedoch eine passwortlose Zukunft, sagt der IT-Gigant Google. Die Chancen dafür stehen gut.