Passkey erstellen: Was ist ein Passkey und wie funktioniert er?
Weltweit kommt es durch Datenlecks, Phishing-Attacken und Malware zu millionenfachem (Zugangs-)Datendiebstahl. Die Betrüger versuchen meist, an Bankverbindungen und das Geld der Nutzer von Online-Diensten zu gelangen.
Für nahezu jeden Online-Dienst und jede Shoppingplattform ist ein separates Kundenkonto notwendig. Empfohlen wird, für jedes dieser Konten auch ein eigenes und einzigartiges Passwort zu erstellen.
Die wenigsten Menschen kennen die zahlreichen Zugangsdaten ihrer Konten auswendig. Einfacher machen es Passwortmanager. Nun geht es noch sicherer – mit einem Passkey. Doch was ist ein Passkey und wie erstellt man einen solchen? Ein Überblick.
Was ist ein Passkey?
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beschreibt das aktuelle Login-Verfahren via E-Mail-Adresse und Passwort in seinem Podcast „Update verfügbar“ als veraltet – gar mittelalterlich. Schon vor hunderten von Jahren habe jemand an die Tore geklopft, gesagt, wer man sei, und eine Art Passwort oder Phrase genannt, um zu verifizieren, dass man durchgangsberechtigt ist.
Lesen Sie auch: Wie funktioniert PayPal?
Doch Passwörter können mitgelesen und abgefangen werden. Mit Passkeys hingegen geht das nicht. Denn Passkeys verwenden Kryptografie – also Verschlüsselungstechnik –, um den Nutzer zu verifizieren. Das Verfahren ist passwortlos. Der Nutzer muss sich keine komplizierten Passwörter erstellen und merken.
Wie funktionieren Passkeys?
Online-Shops, Banken und Soziale Netzwerke, die den Login via Passkey anbieten, stellen im Hintergrund einen öffentlichen Schlüssel bereit, sobald Nutzer einen Passkey erstellen lassen. Gleichzeitig wird der neu generierte, private und vor allem geheime Schlüssel (Passkey) in einem besonders geschützten Bereich im internen Speicher des Smartphones abgelegt. Nur durch ein Zusammenspiel der beiden Schlüssel kann das komplexe kryptografische Verfahren im Hintergrund in Sekundenbruchteilen verifizieren, dass es sich um die berechtigte Person handelt.
Um einen Passkey benutzen zu können, wird noch ein zweiter Sicherheitsfaktor verlangt, etwa ein Gesichtsscan oder Fingerabdruck – meist das Verfahren, welches zum Entsperren des Smartphones verwendet wird. Was kompliziert klingt, ist in der Praxis sehr simpel und schneller bewältigt, als ein Passwort einzugeben: User tippen oder klicken auf „Passkey verwenden“, legen ihren Daumen auf oder lassen ihr Gesicht vom Handy scannen und sind angemeldet.
Was sind die Vorteile eines Passkeys?
Das BSI hebt auf der eigenen Webseite die Sicherheit von Passkeys hervor. Sie erfüllen automatisch alle Eigenschaften eines guten Passworts – Komplexität, Länge und keine Wiederverwendung von Passwörtern für verschiedene Konten. Zusätzlich sind Passkeys besser gegen Phishing und Datendiebstahl geschützt. Denn selbst wenn ein Nutzer versucht, sich auf einer gefälschten Webseite einzuloggen, würde der geheime Schlüssel nie preisgegeben, so das BSI.
Auch bei physischem Diebstahl des Smartphones kommen die Diebe nicht leicht an den Schlüssel. Dafür müssten sie zuerst das Handy entsperren oder den geschützten Bereich im internen Speicher knacken. Da die meisten Smartphones aus der Ferne gelöscht werden können, kann auch der Passkey vom Gerät gelöscht werden. Diese neue Login-Technologie könne ohne Weiteres verwendet werden, schreibt das BSI.
Welche Nachteile hat ein Passkey?
Passkeys sind lokal auf dem Gerät gespeichert. Sollte das Smartphone verloren gehen oder beschädigt werden, dann ist dieser Schlüssel verloren. Deshalb sei es laut BSI wichtig, ein Backup anzulegen, lokal oder in der Cloud, zum Beispiel des Smartphone- oder Betriebssystemherstellers.
Diese Sicherheitskopie fungiert als eine Art Ersatzschlüssel. Diese Schlüssel sind also in Eigenverwahrung und Nutzer sollten sich um eine gesicherte Aufbewahrung der Sicherheitskopie Gedanken machen.
