Aktuelles

Adieu Passwort! Passkey-Unterstützung wird in Chrome integriert

Google hat Passkeys für die aktuelle Version des Chrome-Browsers auf Windows 11, macOS und Android veröffentlicht. Nutzer, die die entsprechenden Hardware-Anforderungen erfüllen, können sich nun mit einem Passkey bei den jeweils unterstützten Diensten anmelden. Der Google Password Manager auf Android kann alle Passkeys mit der Cloud synchronisieren.

Passkeys bieten jede Menge Vorteile gegenüber den herkömmlichen Passwörtern, sie lassen sich nicht fälschen und Hacker können nicht auf Konten zugreifen, ohne auch physischen Zugang zu den Geräten der Nutzer zu haben.

Passkeys sind der nächste Schritt in der Evolution der Online-Authentifizierung. Ursprünglich waren Passwort-Textfelder dafür gedacht, dass ein Mensch den Text von Hand eintippt, und es wurde erwartet, dass man sich das Passwort gefälligst zu merken hat. Wir wissen alle: das ist oftmals schiefgegangen, mit dem Ergebnis, dass viele Nutzer Passwörter verwendet haben, die sich sehr leicht merken (und erraten) lassen. Oder wir haben Passwörter vergessen, die mussten umständlich wieder hergestellt werden.

Dann kamen die sogenannten Passwort-Manager, die das Eintippen und Merken automatisierten. Das ermöglichte die Verwendung längerer, sicherer Passwörter - und war sehr bequem. So bequem, dass - wenn das Master-Kennwort versaubeutelt wurde - jede Menge Accounts neu eingerichtet werden mussten.

Aktuelle Passwortmanager generieren eine zufällige, nicht merkbare Zeichenkette, die in das Passwortfeld eingefügt wird. Mit den Passkeys wird nun genau diese Textfeldschnittstelle abgeschafft und stattdessen eine "geheime Zeichenkette" gespeichert, die an eine Website oder an eine App weitergegeben wird. Wenn die Übereinstimmung verifiziert worden ist, ist der Nutzer angemeldet. Doch anstatt eine zufällig generierte Zeichenkette an die Website zur Authentifizierung zu übergeben, verwenden Passkeys den "WebAuthn"-Standard, um ein öffentlich-privates Schlüsselpaar zu erzeugen - ähnlich wie das bei SSH der Fall ist.

Auf kompatiblen Geräten bieten Passkeys einige große Vorteile gegenüber klassischen Passwörtern. Während Passwörter mit kurzen Zeichenfolgen - die in vielen Fällen auch noch auf vielen Websites gemeinsam genutzt werden - unsicher, automatisch ausgelesen und im schlimmsten Fall sogar erraten werden können, ist ein Passkey immer eindeutig in seinem Inhalt und hat eine definierte Länge. "Qwertz" oder "12345" gehören dann endgültig der Vergangenheit an.

Auch wenn ein Server angegriffen wird, kommt der Hacker nicht an den privaten Schlüssel - es wäre noch nicht einmal ein Sicherheitsproblem, wenn der Inhalt eines Passkeys bekannt geworden wäre. Passkeys können schlichtweg nicht gefälscht werden, weil das mobile Endgerät physisch zwingend anwesend sein muss - ohne das ist eine Anmeldung bei einem Online-Konto umnöglich.

Die Verwendung von Passkeys setzt grundsätzlich ein mobiles Endgerät voraus, auch wenn Sie sich an einem stationären PC anmelden. Android-Smartphones sind ebenso möglich wie Macbooks, iPhones oder iPads. Bei der Ersteinrichtung eines neuen Gerätes muss sich das Authentifizierungsgerät - also Ihr Telefon - in unmittelbarer Nähe des Gerätes befinden, mit dem Sie sich anmelden möchten. Die Überprüfung der Nähe erfolgt einfach via Bluetooth. Über Bluetooth selbst werden keine sensiblen Daten übertragen - es wird ausschließlich für die Abstandsüberprüfung verwendet.

Unter passkeys.io wird die Funktionsweise von Passkeys schlüssig demonstriert.

Foto: Mikhail Nilov

12.12.2022