19. Oktober 2024, 8:19 Uhr | Lesezeit: 2 Minuten
Passkeys gelten als Nachfolger der klassischen Passwörter. Sie versprechen mehr Sicherheit und eine einfachere Anwendung. Nun wird das Verfahren um eine wichtige Möglichkeit erweitert, wodurch Passkeys nicht länger auf einem Smartphone oder Rechner „gefangen“ sind.
Damit Passwörter einen Zugang zuverlässig absichern, sollten sie einzigartig und im besten Fall lang sein sowie aus verschiedenen Zeichen, Buchstaben und Zahlen bestehen. Doch auch wenn ein Passwort diese Voraussetzungen erfüllt, kommt es durch Datenleaks und menschliche Fehler immer wieder vor, dass sie abgegriffen werden. Passkeys sollen mit diesem Problem Schluss machen.
Passkeys bislang an Gerät gebunden und wenig flexibel
Herzstück der passwortlosen Anmeldung via Passkeys sind zwei Schlüsselpaare (Public-Key-Kryptographie). Ein privater Schlüssel wird vom Nutzer auf einem Endgerät wie einem Smartphone oder Laptop gespeichert. Der andere, öffentliche Schlüssel liegt beim Dienste-Anbieter, also Google, WhatsApp, Amazon oder andere. Durch das Speichern der Passkeys auf einem Gerät waren sie bislang wenig flexibel. Doch das ändert sich jetzt, denn das Anmeldeverfahren erhält eine lang erwartete Funktion: Die Passkeys sollen sich bald einfach und durchgängig verschlüsselt übertragen lassen – etwa zwischen verschiedenen Geräten, Betriebssystemen oder Passwort-Managern.
Lesen Sie auch: Diese Passwörter können Betrüger in einer Sekunde knacken
Dazu hat die zuständige Fido Alliance neue Spezifikationen für den Import und Export von Passkeys angekündigt: das Credential Exchange Protocol (CXP) und das Credential Exchange Format (CXF). Für den programm- und betriebssystemübergreifenden Import und Export von Passkeys erwartet man eine breite Software-Unterstützung, da zahlreiche Big Player an der Entwicklung der Spezifikationen beteiligt sind. Hierbei handelt es sich um Branchengrößen wie Apple, Google, Microsoft und Samsung sowie Hersteller von Passwort-Managern wie 1Password, Bitwarden, Dashlane, Enpass oder Nordpass.
Wie Google mit seinen „Passkeys“ Passwörter ersetzen will
Neue Funktion bei WhatsApp soll Sicherheit erhöhen
Bye-bye, Passwort! Apple, Google und Microsoft wollen Login revolutionieren
Der Fingerabdruck genügt zum Einloggen
Möchte ein Nutzer sich einloggen, muss er künftig nur das Auslesen seines privaten Schlüssels durch den Anbieter freigeben – und zwar ganz einfach per Fingerabdruck, Gesichts-Scan oder PIN-Eingabe.
Inzwischen empfiehlt auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Passkeys. Bei den Anbietern ist das Verfahren zunächst nur eine Option für den Log-in. Normale Passwörter und auch die Zwei-Faktor-Authentisierung (2FA) lassen sich erst einmal weiterhin nutzen.
Mit Material der dpa