Datenschutz-Glossar

Passkey

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z

Was ist ein Passkey?

Ein Passkey ist ein einzigartiger geheimer Code, der Ihnen sicheren Zugriff auf ein System oder einen Onlinedienst ermöglicht. Jeder Passkey ist spezifisch für den Benutzer und den Dienst; Passkeys können nicht für mehrere Logins wiederverwendet werden. Sobald ein Passkey eingerichtet ist, können Benutzer oder Dienste optional einen zweiten Authentifizierungsfaktor hinzufügen - wie einen Fingerabdruck, Gesichtsscan oder PIN -, um die Sicherheit des Login-Vorgangs zu erhöhen.

Das Einloggen mit einem Passkey ist ähnlich wie das Entsperren eines Mobiltelefons. Einmal eingerichtet, sind Passkeys einfacher zu verwenden und sicherer als nur Passwörter oder sogar Passwörter mit zusätzlicher Authentifizierung oder multi-factor authentication. Befürworter von Passkeys glauben, dass Passkeys langfristig Passwörter ersetzen könnten.

Wie funktionieren Passkeys?

Genau wie der vertraute Prozess der Erstellung eines Kontos mit einer Benutzer-ID und einem Passwort erfordert die Verwendung eines Passkeys einen initialen Einrichtungsprozess und danach einen einfacheren Login-Prozess. Ein wesentlicher Unterschied zwischen Passkeys und Passwörtern ist, dass Passkeys standardmäßig hauptsächlich auf einem “was du hast” Authentifizierungsfaktor (wie einer App auf Ihrem Mobiltelefon) anstelle eines “was du weißt” Faktors (wie einem Passwort) basieren.

Der Einrichtungsprozess verknüpft dein Gerät mit dem jeweiligen Online-Dienst (wie deiner Bank-Website). Ein Dienst kann auch ein einzigartiges Element für einen zweiten Authentifizierungsfaktor während der Passkey-Einrichtung verlangen (oft etwas “Lokales” oder direkt auf deinem Gerät bereitgestelltes). Beispiele für diese einzigartigen Elemente sind ein Fingerabdruck, Gesichtsscan oder PIN, die auf deinem Gerät gespeichert werden, bevor ein zufälliger Schlüssel generiert wird. Diese Schlüssel sind dauerhaft und geheim. Sie sind auch spezifisch für dein Gerät, den jeweiligen Dienst, auf den du zugreifst, und dein Konto bei diesem Dienst. Der “öffentliche” Passkey wird dem Dienst übermittelt; der “private” Passkey bleibt auf deinem Gerät(e) und niemand sonst sieht ihn, nicht einmal der verbundene Dienst.

Sobald die Passkeys eingerichtet sind, ist das Einloggen einfach - alles, was du tun musst, ist die Option “Mit Passkey anmelden” auszuwählen (sofern dein Dienst dies anbietet). Wenn der Dienst dies erfordert hat, musst du auch deinen zuvor gewählten zweiten Faktor bereitstellen (Fingerabdruck, Gesichtsscan oder PIN). Du musst keinen Benutzernamen eingeben. Der Browser (oder die App) kontaktiert den Dienst und fordert Zugriff auf deinen Account. Der Dienst antwortet dem Browser mit einer Nachricht, die signiert werden soll (genannt Herausforderung), begleitet von dem öffentlichen Passkey, der Ihrem Konto zugeordnet ist (den der Browser verwendet, wenn er auf die Herausforderung antwortet). Dein Gerät überprüft lokal, wer du bist, mit deinem einzigartigen Element (falls erforderlich) und verwendet den privaten Passkey, um die Herausforderung zu signieren. Die signierte Nachricht wird dann an den Dienst zurückgesendet, was beweist, dass du der gültige Konto-Inhabende bist.

Passkeys und mehrere Geräte

Obwohl Passkeys möglicherweise gerätespezifisch sind, kann ein einzelner Passkey über mehrere Geräte synchronisiert werden, wenn die Geräte in derselben Umgebung laufen (wie Google/Android oder Apple/iOS). Es gibt auch andere Interoperabilitätssynchronisierungsmethoden in der Entwicklung, wie die Verwendung eines Passwort-Managers oder Browsers zur sicheren Synchronisierung von Passkeys. Ein Passkey auf einem Telefon kann auch verwendet werden, um eine Website zu entsperren, die Sie auf einem Computer besuchen. Wenn sich das Telefon und der Computer NEAR voneinander befinden, können sie über Bluetooth kommunizieren— schließe den Passkey-Login auf deinem Telefon ab und das Telefon meldet die Validierung dann über Bluetooth an den Computer.

Passkeys und mehrere Benutzer

Mit Passkeys kannst du auch mehrere Konten für einen bestimmten Dienst auf demselben Gerät einrichten. Dies kann nützlich sein, wenn beispielsweise zwei Personen denselben Computer verwenden, um sich bei verschiedenen Bankkonten auf derselben Bank-Website anzumelden. Der Anmeldebildschirm der Bank ermöglicht es dir, den Passkey für einen bestimmten user mit options wie “Mit Passkey für Anna anmelden” oder “Mit Passkey für Kevin anmelden” zu verwenden Wenn du den Benutzer auswählst, kümmert sich der Browser darum, den entsprechenden Passkey zu finden und anzuwenden, wenn er mit dem Dienst der Bank interagiert.

Sind Passkeys dasselbe wie MFA?

Traditionell bedeutete Multi-Faktor-Authentifizierung (MFA) eine Möglichkeit, den traditionellen Ansatz von Benutzer-ID und Passwort zur Benutzerverifizierung zu verbessern. MFA stärkt das traditionelle Passwort, indem es zusätzliche Nachweise (Faktoren) der Identität erfordert, wie z.B. einen Fingerabdruck-Scan oder einen Code, der an dein Telefon gesendet wird. MFA verlässt sich standardmäßig immer noch auf Passwörter, während Passkeys auf dem Besitz von digitalen Signaturschlüsseln beruhen.

Obwohl Passkeys anders funktionieren als traditionelle MFA-Schemata, erfüllen sie dieselben Kriterien, indem sie mindestens zwei verschiedene Arten von Identifikation aus den Kategorien Wissen/Besitz/Sein verwenden. Die Verwendung einer PIN auf Ihrem Telefon, das den Passkey enthält, erfüllt die Kombination aus “Wissen” (PIN) und “Besitz” (Telefon). Das Abgleichen eines Gesichtsscans auf einem Laptop mit dem Passkey erfüllt die Kombination aus “Sein” (Gesichtsscan) und “Besitz” (Laptop). Die Anforderung von zwei Kategorien von Faktoren schützt deine Konten vor dem Hacken—jemand kann dein Telefon besitzen, aber nicht deinen Fingerabdruck fälschen. Ohne den Fingerabdruck kann das Telefon den gespeicherten privaten Passkey nicht verwenden, um die Herausforderung des Dienstes zu signieren.

Benötige ich spezielle Software, um Passkeys zu verwenden?

Die Programmierung für Passkeys ist im Browser (oder in der App) und im Betriebssystem integriert. Alle großen Browser unterstützen die Erstellung und Verwendung von Passkeys. Wenn eine Organisation Passkeys als Login-Option anbieten möchte, werden sie es in ihre Website oder App integrieren. Du musst nichts weiter tun.

Warum sind Passkeys besser als Passwörter?

Wenn du dich auf einer Website oder ein Netzwerk einloggst, musst du einen Nachweis erbringen, dass du die Person bist, die du vorgibst zu sein. Heute sind Passwörter der häufigste Nachweis, den wir verwenden, um uns zu verifizieren. Manchmal wird ein Passwort durch eine zweite Authentifizierungsebene erweitert—einen Fingerabdruck, einen einmaligen Passcode, der an unser Telefon gesendet wird, oder einen Code aus einer authenticator app. Während Passwörter viele Jahre lang eine ausreichende Methode für sicheren Zugang waren, haben zunehmend ausgeklügelte Hacking- und social engineering-Bedrohungen das traditionelle Benutzer-ID- und Passwort-Setup geschwächt. Passkeys sind so konzipiert, dass sie die Bedrohungen bekämpfen, die Passwörter untergraben, indem sie die Sicherheit für Benutzer automatisieren.

Sicherer

Passwörter müssen geheim sein, um effektiv zu sein, aber sie werden oft bei einem data breach offengelegt. Gute Sicherheitsgewohnheiten wie die Verwendung von starken, einzigartigen Passwörtern für jeden Dienst sind ein ausgezeichneter Schutz, aber da so viele Passwörter benötigt werden, greift ein Individuum oft darauf zurück, ein Passwort wiederzuverwenden oder schwache Passwörter zu verwenden, die leicht geknackt oder erraten werden können.

Mit Passkeys müssen die Benutzer diese Sicherheitsmaßnahmen nicht mehr so intensiv einhalten, um ihre Konten sicher zu halten. Da kryptografische Schlüssel nur auf Ihrem Gerät gespeichert werden, verringern Passkeys die Durchführbarkeit von sogenannten “Passwortsprüh”-Angriffen, die nach einem großflächigen Passwort-Breach auftreten können. Passkeys sind auch standardmäßig stark, was hilft, das Szenario zu vermeiden, dass ein Angreifer ein Passwort errät.

Mit Passkeys wird nichts Privates jemals an den Dienst übertragen. Das Einzige, was außerhalb Ihrer Geräte gespeichert wird, ist der öffentliche Schlüssel, und das Einzige, was an den Dienst übertragen wird, sind die Prüfungsnachricht und die Antwort. Bedrohungen, die versuchen, Ihre Login-Anmeldeinformationen abzufangen, können keine wertvollen Daten sammeln.

Ein zusätzlicher Vorteil für Ihre Online-Sicherheit ist, dass Passkeys gegen gefälschte Webseiten schützen können, die bei phishing-Angriffen verwendet werden. Die Verifizierung von Passkeys erfolgt in beide Richtungen. Solltest du versehentlich auf einer Phishing-Website landen, besitzt die gefälschte Website nicht den öffentlichen Passkey, der zu deinem privaten Passkey passt. Das bedeutet, dass die Schritte zur Verifizierung der Herausforderung nicht funktionieren werden, weil dein Browser erkennen kann, dass die Website falsch ist.

Einfacher zu verwenden

Passwörter können lästig sein, um den Überblick zu behalten, und das Einloggen mit einem Passwort kann frustrierend und zeitraubend sein, wenn es durch einen sekundären Faktor wie einen gesendeten Einmalcode ergänzt wird.

Ein Passkey verwendet einfach das gewählte biometrische Merkmal oder eine PIN, um Ihre Identität zu verifizieren. Nachdem du diese einzelnen Faktor bereitgestellt hast, übernimmt der Browser oder die App den Rest und interagiert mit der Website in deinem Namen, um den geheimen Passkey-Handschlag abzuschließen. Das Einzige, was du möglicherweise merken musst, ist eine PIN, und diese PIN kann dieselbe sein, die dein Gerät entsperrt, da ein Angreifer ebenfalls dein Gerät benötigt, damit es ihm nützlich ist.

Wer verwendet Passkeys?

Passkey-Technologie befindet sich noch in den frühen Stadien der Annahme. Laut der FIDO-Allianz, der Gruppe, die die Entwicklung der Passkey-Technologie vorantreibt, unterstützen über 100 große Webdienste Passkeys, von sozialen Medien über große Banken bis hin zu beliebten Commerce- und Gaming-Diensten. Obwohl diese Zahlen möglicherweise nicht weit verbreitet sind, wird erwartet, dass Passkeys weiterhin ihre Verfügbarkeit ausbauen, da viele der Benutzerfreundlichkeitsprobleme inzwischen behoben sind. Es ist wahrscheinlich, dass dir bald die Option begegnen wird, Passkeys bei einem Login zu verwenden, falls dies nicht bereits der Fall ist.

Bereit für Brave, dem neuen Internet?

Brave wurde von einem Team aus datenschutz- und leistungsorientierten Vorreitern des Webs entwickelt. Helfen Sie uns dabei, gemeinsam das Internet zu reparieren.