Passkeys erklärt: Was sind Passkeys und wie funktionieren sie?
*Erstmals veröffentlicht am 11. November 2022
Passwortlose Authentifizierung setzt sich immer weiter durch, da mehr und mehr Menschen sowie Plattformen erkennen, wie die Methode gegenüber herkömmlichen Passwörtern mehr Sicherheit bietet. Namhafte Unternehmen wie Microsoft, Google oder Apple gehören zu den ersten Anbietern von passwortloser Authentifizierung. Gemeinsam haben sie sich in der FIDO (Fast IDentity Online) Alliance zusammengeschlossen, einer Organisation, die an passwortloser Technologie arbeitet und Standards aufstellt, an die sich Unternehmen halten sollen.
Forscher von Digital Shadows haben im Dark-Web 6,7 Milliarden einzigartige Logins – also Kombinationen aus Benutzernamen und Passwörtern – gefunden. Diese Schatzkammer an Logins bedeutet ein hohes Risiko für zahlreiche Verbraucher, vor allem wenn man bedenkt, wie viele Benutzer ihre Passwörter wiederverwenden. Wenn Passwörter von Ihnen im Dark-Web landen, können sie Cyberkriminelle nutzen, um in Ihre Konten einzudringen und Ihre privaten Daten zu stehlen. Deshalb gewinnt Passkey-basierte Authentifizierung immer mehr an Bedeutung.
Möchten Sie mehr darüber erfahren, wie Sie den Passwort-Manager von Dashlane zu Hause oder bei der Arbeit verwenden können?
Sehen Sie sich unsere privaten Passwort-Manager-Tarife an oder legen Sie los mit einer fkostenlosen Business-Testversion.
Was ist ein Passkey?
Passkeys sind zwar einfach zu verwenden, doch nicht ganz so leicht zu verstehen. Deshalb unterteilen wir sie in verschiedene Konzepte und Ebenen, damit Sie nach dem Lesen des Blogbeitrags wissen, was Passkeys sind und wie sie sich von Passwörtern unterscheiden.
Erklären Sie es mir so, dass es auch ein Kind verstehen würde
Passwörter sind eine gängige Methode zum Anmelden bei Konten. Werden sie jedoch gestohlen (was häufig vorkommt), kann jeder auf das entsprechende Konto zugreifen. Passkeys bieten eine Möglichkeit, sich ohne Passwort anzumelden. Sie nutzen Ihr Smartphone oder ein anderes unterstütztes Gerät, um nachzuweisen, dass Sie die Person sind, für die Sie sich ausgeben, bevor Sie Ihr Konto aufrufen können. Hinter den Kulissen dreht sich viel um Sicherheit. Der Hauptvorteil von Passkeys besteht jedoch darin, dass sie im Gegensatz zu Passwörtern nicht gestohlen werden können. Außerdem müssen Sie sich nichts merken. Das bedeutet, dass Sie Ihre Passwörter nie wieder vergessen werden!
Erklären Sie mir Passkeys etwas genauer
Ein Passkey ist ein passwortloses Login, das als Ersatz für Passwörter dient, der sicherer und einfacher zu verwenden ist. Passkeys stellen eine bessere Wahl als Passwörter dar, da sie weder Phishing-anfällig sind noch gestohlen werden können. Sie lassen sich einfach einrichten und verwenden. Außerdem müssen Sie sie sich nicht merken. Anstatt ein Passwort für Ihr Konto zu erstellen, aktivieren Sie einen „Authenticator“, der einen Passkey für Sie generiert. Bei dem Authenticator kann es sich um Ihr Smartphone, ein anderes Gerät oder einen Passwort-Manager handeln, der Passkeys unterstützt.
Der Authenticator erfordert nach wie vor eine Form der Benutzerüberprüfung. Das kann durch Eingabe eines Passworts oder einer PIN oder die Verwendung von Biometriefunktionen (wie Face ID oder Touch ID) geschehen, was sowohl Sicherheit als auch Komfort erhöht.
Ihre Passkeys werden sicher in einem Tresor gespeichert, wie z. B. in der Keychain Ihres Geräts oder in Ihrem Passwort-Manager. Da sich Passkeys geräteübergreifend synchronisieren lassen, können sie nahtlos und bequem genutzt werden. Dadurch ist die allgemeine Benutzererfahrung bei Passkeys wesentlich besser als bei Passwörtern.
Erklären Sie mir die technischen Details
Es gibt verschiedene Gründe dafür, warum Passkeys besser als Passwörter sind. Passwörter stellen ein geteiltes Geheimnis dar: Der Wert wird über das Netzwerk an den Server gesendet, damit er ausgewertet werden kann. Das bedeutet, dass der Server Daten über das Passwort speichern muss, was für einen Angreifer sehr nützlich sein kann. Passkeys hingegen basieren auf Kryptographie mit öffentlichen Schlüsseln. Das heißt, dass das geheime Element der Anmeldedaten nicht mit der Website geteilt wird und keine Geheimnisse zwischen dem Gerät des Benutzers und dem Server übertragen werden.
Damit Passkeys funktionieren, generiert ein Authenticator (wie ein mobiles Gerät oder ein Passwort-Manager, der Passkeys unterstützt) für jedes von Ihnen erstellte Konto zwei kryptografische Schlüssel. Ein Schlüssel ist öffentlich und wird in der Website gespeichert, bei der Sie das Konto erstellen; der andere ist privat und wird in Ihrem Authenticator gespeichert. Wenn Sie sich bei Ihrem Passkey-fähigen Konto anmelden, kommunizieren Ihr Authenticator und die Website, um Ihren Login zu authentifizieren, ohne echte Geheimnisse auszutauschen, die ein Hacker für sich nutzen könnte.
Passkeys werden mit der WebAuthn-API erstellt, die in allen modernen Browsern und Betriebssystemen verfügbar ist. Der überwiegende Teil der Komplexität bleibt in der Software verborgen. Der Benutzer muss lediglich die Erstellung oder Verwendung des Passkeys genehmigen. Die Genehmigung des Benutzers kann in Form einer biometrischen Prüfung auf dem Gerät (per Fingerabdrucksensor oder Gesichtserkennung) bzw. mit einem lokalen Gerätepasswort oder einer PIN erfolgen.
Passkeys sind entweder gerätegebunden oder werden zwischen Geräten synchronisiert. Gerätegebundene Passkeys sind in der Regel solche, die auf einem Hardwareschlüssel wie einem YubiKey oder einem Titan-Sicherheitsschlüssel erstellt werden. Synchronisierte Passkeys hingegen werden in der Regel von einem Passwort-Manager verwaltet – entweder von einem in das Betriebssystem Ihres Geräts integrierten Passwort-Manager oder einem eigenständigen Passwort-Manager wie Dashlane. Synchronisierte Passkeys bieten den Vorteil, dass sie auf allen Geräten verfügbar sind, auf denen der Passwort-Manager installiert ist.
„Die Einführung von Passkeys war für uns eine leichte Entscheidung. Passkeys vereinfachen die Anmeldung, ersetzen das Rätselraten bei herkömmlichen Authentifizierungsmethoden durch einen zuverlässigen Standard und helfen unseren Benutzern, die Nachteile von Passwörtern zu eliminieren. Einfach gesagt: Passkeys sind ein großer Gewinn für uns und unsere Benutzer.“
Warum sind Passkeys besser als Passwörter?
Einer der größten Vorteile für Benutzer ist auch einer der einfachsten: Im Gegensatz zu Passwörtern muss man sich Passkeys nicht merken, wenn man auf ein Konto zugreifen möchte (was Passwortmüdigkeit entgegenwirkt). Passwort-Manager haben diese mentale Belastung zwar deutlich verringert. Das Erstellen, Speichern und Eingeben von Passwörtern ist jedoch immer noch mit Aufwand verbunden – und öffnet die Tür für potenzielle Schwachstellen. Mit Passkeys ist die Anmeldung extrem einfach und außerdem deutlich sicherer.
Die zusätzliche Sicherheit ist das Ergebnis von Phishing-Resistenz. Um zu verstehen, warum das so ist, lassen Sie uns ansehen, wie ein Phishing-Angriff funktioniert. Bei einem Phishing-Angriff sendet der Angreifer dem Opfer eine Nachricht, in der es dazu aufgefordert wird, eine Website zu besuchen. Dabei hofft der Angreifer darauf, dass das Opfer seine Login-Daten eingeben wird. Die Website, die das Opfer aufrufen soll, ist nicht legitim, wird für den Benutzer aber wahrscheinlich legitim aussehen. Benutzer, die versuchen, sich bei der Phishing-Website anzumelden, geben ihren Benutzernamen und ihr Passwort ein, sodass der Angreifer auf ihr Konto zugreifen kann.
Das ist bei Passkeys unmöglich. Passkeys haben den Vorteil, dass Benutzer keine Passwörter mehr eingeben müssen. Sie lassen sich auch nicht für bösartige Websites verwenden, da sie technisch an die ursprüngliche Website gebunden sind, für die sie erstellt wurden. Selbst wenn ein Benutzer eine Phishing-Website aufruft, wird sein Passkey nicht angefordert. Es wird auch kein Versuch unternommen, den Benutzer anzumelden. Somit kann der Angreifer den Passkey im Gegensatz zu einem Passwort nicht stehlen. Ähnlich wie Passwörter sind auch manche 2FA-Anmeldedaten (2-Faktor-Authentifizierung) anfällig für Phishing-Angriffe. Das bedeutet, dass auch ein Passwort zusammen mit 2FA-Anmeldedaten weniger sicher ist als ein Passkey.
Zwar ist keine Authentifizierungsmethode absolut sicher, doch sind Passkeys rundum besser: Sie sind leicht zu verwenden, Phishing-resistent und können weder erraten noch vergessen werden.
Werden Passkeys Passwörter ersetzen?
IKurz gesagt: Ja – irgendwann. Passkeys stellen einfach die bessere Option dar. In den letzten sechs Monaten haben wir bereits eine vermehrte Nutzung und Fortschritte festgestellt.
Die FIDO Alliance arbeitet seit einiger Zeit an Standards zur passwortlosen Authentifizierung. Die wichtigste Entwicklung erfolgte jedoch erst kürzlich, als das Technologiekonsortium eine Methode zum Speichern kryptografischer Schlüssel ankündigte, um eine Synchronisierung zwischen Geräten zu ermöglichen. (FIDO bezeichnet Passkeys sogar als „FIDO-Anmeldedaten für mehrere Geräte“.) Das ebnet den Weg für eine breitere Einführung von Passkeys, wie sich bereits jetzt erkennen lässt.
Wie erleichtert Dashlane die Verwaltung von Passkeys?
Externe Passkey-Anbieter wie Dashlane ermöglichen es Ihnen, Passkeys für Zugriff auf Dienste von verschiedenen Geräten aus zu verwenden. Das erhöht die Flexibilität und den Komfort, da Sie nicht an eine bestimmte Plattform wie Apple oder Microsoft gebunden sind. Sie können Ihre Passkeys in Dashlane behalten und sich über beliebige Geräte, die die Dashlane-Erweiterung oder -Anwendung nutzen, bei Diensten anmelden.
Passkeys können auch ohne externen Passkey-Anbieter verwendet werden, sind dann aber bei weitem nicht so bequem und zugänglich. Wenn Sie beispielsweise einen Passkey für ebay.com nativ auf Ihrem Windows-Computer speichern, können Sie den Passkey nicht auf Ihrem iPhone zur Anmeldung bei ebay.com nutzen. Wenn Sie Ihre Passkeys auf einem Windows-Computer speichern und dann das Gerät verlieren, können Sie Ihre Passkeys weder abrufen noch auf die Dienste zugreifen, die sie verwendet haben. Eine Speicherung Ihrer Passkeys in Dashlane sorgt hingegen für einfachen Zugriff und leichte Nutzung über alle Geräte und Plattformen hinweg.
Wie kann ich mit der Verwendung von Passkeys beginnen?
Wenn Sie die Sicherheit und der Komfort von Passkeys überzeugt haben und Sie die Methode selbst ausprobieren möchten, unterstützt eine wachsende Anzahl von Websites den Einsatz von Passkeys. Nachfolgend haben wir eine Liste unserer Favoriten erstellt, die eine gute Implementierung und hohe Nutzung bieten.
Dashlane erleichtert es, Passkeys für die oben genannten und auch andere Websites zu erstellen und zu speichern – wenn Sie die Dashlane-Erweiterung haben, starten Sie einfach den Passkey-Anmeldeprozess bei einer dieser Websites. Dashlane übernimmt für Sie dann den Rest! Sehen Sie sich unsere Videos unten an, um zu erfahren, wie leicht die Verwendung von Passkeys auf Computern und mobilen Geräten ist.
Passkey mit der Erweiterung erstellen
Passkey unter Android erstellen
Passkey unter iOS erstellen
Je mehr Passkeys Sie für Websites erstellen und nutzen, desto schneller werden Sie merken, dass Sie Passwörter kaum noch benötigen. Aber keine Sorge – selbst wenn Sie einen Passkey für eine Website erstellen, für die Sie bereits ein Passwort haben, bewahrt Dashlane beide Elemente sicher in Ihrem Tresor auf. Bei Bedarf können Sie weiterhin Ihr Passwort zur Anmeldung verwenden.
Dashlane war der erste Passwort-Manager, der eine browserinterne Passkey-Lösung bietet, mit der sich Benutzer über Websites hinweg automatisch ohne Passwort anmelden können. Und dank unserer patentierten Zero-Knowledge-Architektur erhalten Sie eine zusätzliche Sicherheitsebene, da niemand außer Ihnen auf Ihre Logins zugreifen kann (nicht einmal wir).
asskeys sind eine bequemere und sicherere Methode zum Anmelden. Erfahren Sie mehr darüber, wie Passkeys funktionieren und wie Dashlane den Zugriff vereinfacht.
Melden Sie sich an, um Neuigkeiten und Updates zu Dashlane zu erhalten
