Sichere Passkeys sollen langfristig unsichere Passwörter ersetzen. Google bietet dies seit Dezember 2022 für Chrome und seit Anfang Mai 2023 für den Google Account neben herkömmlichen Passwörtern und Zwei-Faktor-Authentisierung an. Die neue Art der Authentisierung funktioniert überall dort, wo auch WebAuthn und FIDO2 die passwortlose Anmeldung unterstützen.
Wie funktionieren Passkeys?
Passkeys versprechen eine erhöhte Sicherheit und leichtere Handhabung gegenüber herkömmlichen Passwörtern. Ein Aspekt dieser Sicherheit liegt darin begründet, dass Passkeys auf einem Gerät des Anwenders erzeugt werden und der wichtigste Teil des Passkeys dieses Gerät nie verlässt. Dadurch funktionieren die üblichen Angriffsmethoden wie Brute Force oder Phishing hier nicht.
Wird ein Passkey als kryptografisches Element auf einem Smartphone mittels Authenticator generiert, beweist der Besitzer seine Identität beim Anmelden bei einem Dienst oder einer Webseite dadurch, dass er den Passkey und damit seine Identität per Biometrie mit einem Fingerabdruck, einer Gesichtserkennung oder einem lokalen Pin bestätigt. Passkeys sind nicht auf ein Gerät limitiert, sondern sollen künftig auch mit anderen Geräten synchronisiert werden können. Bei Apple funktioniert das bereits, ist aber auf Apple-Geräte beschränkt.
Kryptografisches Schlüsselpaar
Passkeys stellen einen von der FIDO-Allianz und dem World Wide Web Consortium entwickelten offenen Industriestandard dar. Im Detail besteht ein Passkey aus einem Schlüsselpaar aus privatem und öffentlichem Schlüssel, wie wir das von SSH oder PGP kennen. Dieses Schlüsselpaar wird bei der ersten Anmeldung zum Passkey-Verfahren mit einem Anbieter auf einem Gerät des Anwenders erstellt und der öffentliche Schlüssel zwischen beiden Parteien ausgetauscht. Meldet sich der Anwender später wieder bei dem Anbieter an, kommuniziert der Authenticator des Anwenders mit dem Webserver, indem er über den privaten Schlüssel eine Anfrage beantwortet, die dem Webserver die Identität eindeutig bestätigt.
Passwort-Manager zur Aufbewahrung
Zur Aufbewahrung und Nutzung eines Passkey kann außer dem Schlüsselbund auf einem Gerät auch ein Passwort-Manager verwendet werden, der diese Art der Authentisierung unterstützt. Die Anbieter von Passwort-Managern arbeiten derzeit an der Integration der neuen Technik, um es dem Anwender zu ermöglichen, die vermutlich noch einige Jahre benötigten Passwörter zusammen mit den Passkeys sicher verwahren zu können.
Als erster Passwort-Manager unterstützt Dashlane bereits das neue Verfahren. Darüber hinaus gibt es Ankündigungen unter anderem von Bitwarden, Nordpass und Enpass. KeePassXC hat einen Entwicklungszweig, der die Speicherung und Authentifizierung von WebAuthn-Schlüsseln in der Datenbank unterstützt. Von da bis zur Unterstützung von Passkeys ist es dann nicht mehr weit. Vorgesehen ist eine Bereitstellung allerdings erst mit KeePassXC 2.8.0. Allerdings unterstützen bisher erst wenige Anbieter wie WordPress, PayPal, eBay, Microsoft, Nvidia, Stripe und Binance das Passkey-Verfahren. Somit besteht kein akuter Handlungsbedarf.
Foto von Alp Duran auf Unsplash