Profis mit Erfahrung

Passkeys statt Passwords

Schluß mit Passworten

Inhalt:

Passkeys sollen Passwörter ablösen. Dadurch kann letzten Endes etwa Face-ID oder Touch-ID am Smartphone zur Anmeldung bei Webdiensten genutzt werden. Aber das dauert noch.

Inhaltsverzeichnis

Sie kennen die meistgenutzten Passworte? Laut einem gelungenen Angriff auf das Seitensprung-Portal Ashley Madison im Jahr 2015 sollen diese lauten:

  1. 123456 – 120.511 Konten
  2. 12345 – 48.452 Konten
  3. password – 39.448 Konten
  4. DEFAULT – 34.275 Konten
  5. 123456789 – 26.620 Konten
  6. qwerty – 20.778 Konten
  7. 12345678 – 14,172 Konten
  8. abc123 – 10.869 Konten

Daran hat sich auch noch 2022 kaum etwas geändert, wie das Hasso-Plattner-Institut bekannt gab.

Dabei lauten üblicherweise Empfehlungen für sichere Passworte:

  • Länge nicht unter x Zeichen (je nach Ratgeber x = 15, 18, 20, 25, …)
  • Nutzung von Klein- und Großbuchstaben, Ziffern und Sonderzeichen im Passwort
  • keine aufeinanderfolgende Buchstaben- (“abcde…”) oder Ziffern-Folgen (“12345…”)
  • keine persönlichen Namen oder Daten (“Heinz-01011970”)
  • Unterschiedliche Passworte für unterschiedliche Zugänge

Was notgedrungen zur Nutzung von Passwort-Managern oder der Ablage von Passworten im Browser führt. Denn wer merkt sich schon 100 komplexe Passworte für 100 Websites, Apps und Social Media Portale?

Passkeys statt Passwords

Mehrere große Tech-Unternehmen wie Microsoft, Apple und Google als Teil der FIDO Alliance haben nun das passwort-lose Zeitalter eingeläutet. Mit sogenannten Passkeys können sich Anwender etwa schon bei den Google Workspace-Diensten anmelden. Diese Technik soll Passwörter ersetzen und die Sicherheit des Login-Prozesses erhöhen. Doch wie funktioniert das?

Das Passkey-Verfahren

Im Prinzip arbeitet das Passkey Verfahren so wie eine übliche Verschlüsselung (etwa SSL) mit einem kryptographischem Schlüsselpaar, das aus einem öffentlichen und einem privaten Schlüssel besteht. Der private Schlüssel verbleibt immer auf dem lokalen Gerät – zum Beispiel ein USB-Dongle oder eine App auf dem Smartphone. Bei der Anmeldung fordert der angefragte Dienst mittels öffentlichem Schlüssel (der bei der Erstanmeldung bei diesem Dienst abgelegt wurde) eine Challenge beim lokalen Gerät an, das diese Aufgabe mittels privatem Schlüssel löst und das Ergebnis signiert zurück übermittelt. 

Die Freigabe der Prozedur kann dabei mit denselben biometrischen Daten oder einem PIN erfolgen, die man schon zum Entsperren des Smartphones verwendet. Die App oder die Website können nun ebenfalls diesen Mechanismus anstelle der traditionellen, eher unsicheren Passwort-Abfrage benutzen.

passkey-logo
Passkey-Logo

Damit man sich von verschiedenen Geräten aus beim selben Dienst mittels Passkey anmelden kann, lässt sich der private Schlüssel (nochmals verschlüsselt) in einem Cloud-Dienst ablegen, denn eigentlich ist er ja erst einmal nur auf einem Gerät erzeugt und abgelegt worden. Das kann etwa bei Apple-Geräten der iCloud-Schlüsselbund sein. Das ist nicht schlimm, denn auch bei Passwort-Manager Plattformen, wie Dashlane, werden die genutzten Passwörter bei der Plattform selbst (verschlüsselt) abgelegt.

Eine bildhafte Darstellung des Verfahrens finden Sie bei www.trustedreviews.com

Passkeys in der Praxis

Sie können damit rechnen, dass Passkeys irgendwann Passwörter vollständig ersetzen werden, aber die Übergangsphase wird etliche Jahre dauern.

Passkeys im Google-Konto
Im Google Konto steht Passkey bereits zur Verfügung

Unter anderem diese Websites unterstützen Passkeys – angeblich – bereits:

Die Website Passkeys.directory stellt eine aktuelle Liste an teilnehmenden Unternehmen vor. Im Juni 2023 wird aber noch mehr über Passkeys gesprochen und geschrieben, als dass man diese schon in Europa anwenden könnte.

Wenn Sie sich – später einmal – bei einem Dienst neu anmelden, der das Passkey-Verfahren unterstützt, werden Sie durch die Einrichtung geleitet. Bei Diensten, die Sie schon länger nutzen, können Sie früher oder später das Passkey Verfahren für diesen Dienst aktivieren. 

Bei WordPress-Websites kann vorerst das neue Verfahren mit Hilfe dieser Plugins eingesetzt werden:

Passkeys mit Dashlane für die WordPress Anmeldung
Passkeys mit Dashlane für die WordPress Anmeldung

Eine gute Übersicht finden Sie auch in diesem Artikel beim Heise-Verlag.

Empfehlen Sie diesen Artikel weiter:
Heinz Duschanek
Heinz Duschanek

Heinz Duschanek hat 2003 die Online-Marketing Agentur E-Werkstatt gegründet. Da er vorher auch beim Radio gearbeitet hatte (Radio CD International, Ö1, Ö3), freut er sich jetzt ganz besonders über die Richtung, die das Online-Marketing nimmt. Denn das liefert einen Vorwand dafür, viele elektrischen Geräte und Gadgets rund um Audio und Video anzuschaffen.

Daneben interessiert sich Heinz auch für Tango Argentino, Lindy Hop, Wing-Tsun, Boxen, (Jazz-/Blues-)Gitarre. Und er betreibt den Podcast "Cabeceo - Gespräche über den Tango Argentino" (cabeceo.at).

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert