Was sind Passkeys?

Passkeys: Die nächste Generation von Passwörtern

In der aktuellen Welt der Cybersicherheit sind herkömmliche Passwörter einfach nicht mehr gut genug.

Dank der Kombination aus Public-Key-Kryptographie und biometrischer Authentifizierung bietet Passkeys eine Lösung. Jetzt müssen Sie sich keine Passwörter mehr merken und keine Sicherheitslücken befürchten.

Angesichts von mehr als 6 Milliarden eindeutigen Logins, Benutzernamen und Passwörtern, die im Dark Web verfügbar sind, und der Tatsache, dass die meisten Benutzer plattformübergreifend dieselben Passwörter verwenden, haben sich Passkeys als revolutionäre Lösung erwiesen. Kurz gesagt bietet sie eine sicherere und einfache Methode, damit Sie sich authentifizieren.

Die Passkey-Technologie bietet viele Vorteile, die sie zur besonderen Option machen.

Aber was sind Passkeys, und wie unterscheiden sie sich von Passwörtern?

Welche großen Unternehmen führen diesen Trend an und integrieren Passkey-Unterstützung für ihr Ökosystem?

In diesem Artikel erfahren Sie, was Passkeys sind, wie sie funktionieren und warum sie die Zukunft der Online Sicherheit sein werden.

Sind Sie bereit für einen Sprung in die Zukunft? Dann fangen wir an.

Was ist ein Passkey?

Einfach ausgedrückt, ist ein Passkey ein kryptografischer Schlüssel (oder „Key“ im Englischen), der Passwörter ersetzen soll.

Da alte Passwörter leicht gestohlen, gehackt oder sogar erraten werden können, funktionieren Passkeys auf einer ganz anderen Ebene, nämlich indem es öffentlich-private Schlüsselpaare authentifiziert.

Anders als ein Passwort kann ein Passkey nicht weitergegeben, gespeichert oder aufgeschrieben werden. Das befreit ein Passkey von den verschiedenen Arten von Angriffen, die üblicherweise auf passwortbasierte Systeme abzielen.

Technisch gesehen

Passkeys basieren eigentlich auf asymmetrischer Kryptographie und bieten eine starke und einfache Authentifizierung. Passkeys nutzen öffentlich-private Schlüsselpaare, um Benutzer zu authentifizieren, ohne jemals sensible Informationen preiszugeben.

Wenn ein Passkey erstellt wird, werden zwei kryptografische Schlüssel generiert:

1. Öffentlicher Schlüssel oder Key: Dieser bleibt auf dem Server des Dienstanbieters. Er ist für sich genommen nicht sensibel und kann nicht für den Zugriff auf Ihr Konto verwendet werden.

2. Privater Schlüssel oder Key: Dieser befindet sich auf dem Gerät des Benutzers, z. B. einem Smartphone. Er verlässt das Gerät nie und ist immer durch eine starke Form der Benutzerverifizierung geschützt.

Wie funktionieren die Passkeys?

Nun, da die Bedeutung der Passkeys klar ist, lassen Sie uns auf ihren Zauber eingehen:

Wenn Sie ein Konto mit Passkeys erstellen, erstellt Ihr Gerät ein öffentlich-privates Schlüsselpaar.

Der öffentliche Key wird auf den Servern des Dienstes gespeichert, während der private Key sicher auf Ihrem Gerät gespeichert ist. Und zwar in speziellen Komponenten, die dafür entwickelt wurden, um Ihre sensiblen Daten aufzubewahren. Dazu gehören Secure Enclave auf Apple Geräten, Trusted Platform Module (TPM) auf Windows und Android und Samsung Knox für Galaxy Geräte. Diese Komponenten sind vom Hauptprozessor isoliert und dienen als Tresor, in dem selbst im Falle eines Malware Angriffs oder einer Sicherheitsverletzung die sensiblen Benutzerdaten sicher bleiben.

Passkeys funktionieren auch über verschiedene Geräte. Dank sicherer Ökosysteme werden die privaten Keys über alle Geräte hinweg synchronisiert, so dass die Authentifizierung auf jedem Gerät, auf dem ein Cloud Konto wie iCloud oder Google aktiv ist, einwandfrei funktioniert.

Bei der Anmeldung bittet der Dienst den Benutzer nicht um ein Passwort. Es verwendet ein Entsperrmechanismus des Geräts.

Das Gerät signiert die Herausforderung mit dem privaten Key und sendet sie über den öffentlichen Key an den Dienst zurück, damit sie überprüft wird. Der private Key ist auf eine bestimmte Domäne beschränkt.

Das Gerät erstellt für jeden Anmeldeversuch eine zeitbasierte Signatur, die kurz nach ihrer Erstellung abläuft. So wird dafür gesorgt, dass sie, selbst wenn sie abgefangen wird, nicht wiederverwendet oder ausgenutzt werden kann.

Dies geschieht direkt und sofort, und bietet eine sehr sichere und einfache Anmeldung.

Es ist, als hätten Sie einen super sicheren digitalen Türsteher für alle Ihre Konten.

Die Entwicklung von Passkeys

Obwohl die Biometrie bis ins Jahr 500 v. Chr. im babylonischen Reich zurückreicht, wo Fingerabdrücke auf Tontafeln verwendet wurden, wurde das erste formale biometrische System in den 1800er Jahren von Alphonse Bertillon in Paris entwickelt, der Körpermaße verwendete, um Verbrecher zu identifizieren.

Während die frühe biometrische Authentifizierung den Grundstein für die Identitätsüberprüfung legte, begann die Entwicklung hin zu Passkeys im Jahr 2012, als die FIDO Alliance von Unternehmen wie PayPal und Lenovo gegründet wurde, mit dem Ziel, Passwörter abzuschaffen.

Im Jahr 2013 führte Apple mit dem iPhone 5S Touch ID ein, was die Einführung biometrischer Verfahren beschleunigte und den Weg für andere Unternehmen ebnete, biometrische Authentifizierung zu integrieren.

Die Passkey Revolution begann 2021, als große Tech Unternehmen die Standards FIDO2 und WebAuthn einführten, um die passwortlose Authentifizierung zu ermöglichen, so dass Passkeys heute für Milliarden von Benutzern verfügbar sind.

Ein wichtiger Meilenstein in der Entwicklung von Passkeys war die Unterstützung von synchronisierten Passkeys durch das NIST (National Institute of Standards and Technology) in seiner Ergänzung zu den SP 800-63B Richtlinien.

Diese Anerkennung unterstreicht die phishing-resistente Natur von Passkeys und ihr Potenzial, traditionelle Passwörter durch sichere Lösungen zu ersetzen, die für ihre Besitzer bequemer sind.

Mit der Unterstützung des NIST sind Passkeys bereit für eine breite Akzeptanz. Dies gilt besonders in regulierten Branchen wie dem Bankwesen und dem Gesundheitswesen, was die nächste Phase der sicheren digitalen Identitätsprüfung vorantreibt.

Wer verwendet bereits Passkeys?

Passkeys werden immer bekannter, wobei die großen Browser-/OS-Anbieter den Weg weisen.

Apple, Google und Microsoft haben die Unterstützung für die Technologie bereits in ihre Ökosysteme integriert, so dass sich die Benutzer problemlos in ihrem Ökosystem anmelden können.

Darüber hinaus haben sich viele Dienstanbieter bereits auf die Passkey Revolution eingelassen.

Zu den wichtigsten Anwendern gehören:

Geräte und Betriebssysteme

Apple: iPhone- und iPad-Benutzer mit iOS 16 oder höher können Passkeys verwenden. Mac-Nutzer mit macOS Ventura 13 und neueren Versionen werden ebenfalls unterstützt.

Android: Android-Geräte mit Android 9 (Pie) oder höher unterstützen Passkeys, wobei Google Password Manager die geräteübergreifende Synchronisierung übernimmt.

Windows: Benutzer von Windows 10 und 11 können Passkeys über Windows Hello verwenden.

Browser-Kompatibilität

Mehrere beliebte Browser haben die Unterstützung von Passkeys integriert, darunter:

• Google Chrome (Version 109 oder höher)

• Apple Safari (Version 16 oder höher)

• Microsoft Edge (Version 109 oder höher)

• Mozilla Firefox (derzeit mit eingeschränkter Unterstützung)

Bemerkenswerte Websites, Apps und Dienste, die Passkeys unterstützen

Große Konzerne wie GitHub, Dropbox und PayPal verwenden derzeit Passkeys für eine bessere Sicherheit ihrer Websites.

Eine enorme Liste großer Unternehmen hat sich für Passkeys entschieden, darunter:

• e-Commerce: Amazon, Walmart, Best Buy, Target, Shopify, Kayak

• Soziale Medien: X (früher Twitter), LinkedIn, TikTok

• Finanzdienstleistungen: Coinbase, Robinhood, Stripe, PayPal, Affirm

• Entwicklungsplattformen: GitHub, Bitbucket

Arten von Passkeys

Es gibt zwei verschiedene Arten von Passkeys, die für unterschiedliche Fälle und vor allem für unterschiedliche Sicherheitsanforderungen geeignet sind. Unter den verschiedenen Kategorien, die Sie bei Ihren Recherchen in der Welt der digitalen Sicherheit finden, gibt es geräteübergreifende Passkeys und gerätegebundene Passkeys. Lassen Sie uns diese Varianten besprechen:

Multi-Device Passkeys

Multi-Device-Passkeys, auch bekannt als synchronisierte Passkeys, sind Ihre erste Wahl für den persönlichen Gebrauch. Sie werden ganz einfach mit Ihren verschiedenen Geräten wie Handys, Tablets oder Laptops synchronisiert, sofern diese mit Ihrem Apple-, Google- oder Microsoft-Konto verknüpft sind. Diese Flexibilität ermöglicht Ihnen den Zugriff auf Ihre Konten von jedem Ihrer vertrauenswürdigen Geräte aus.

Gerätegebundene Passkeys

In krassem Gegensatz dazu sind gerätegebundene Passkeys die Festungswächter der Unternehmenswelt: Da sie nicht kopiert werden können, weil sie an ein Gerät gebunden sind, bieten sie eine zusätzliche Sicherheitsebene, die für Unternehmen mit strengen Datenschutzrichtlinien unerlässlich ist.

Passkeys Vorteile

Passkeys bieten sowohl für Benutzer als auch für Entwickler ein neues Maß an Komfort und Sicherheit. Hier sehen Sie, wie sie einen Unterschied machen:

Vorteile für Benutzer:

• Schutz vor Phishing: Passkeys sind immun gegen Phishing. Sie funktionieren nicht auf gefälschten Websites und bieten so einen wirksamen Schutz vor Cyber-Bedrohungen.

• Nie wieder Ärger mit Passwörtern: Vergessen Sie es, sich an Passwörter zu erinnern. Mit Passkeys können Sie sich biometrisch anmelden, was die Benutzerfreundlichkeit auf eine neue Stufe hebt.

• Nahtloser Multi-Geräte-Zugriff: Dies erleichtert den Wechsel zwischen Geräten innerhalb desselben Ökosystems ohne Unterbrechungen.

• Private und sichere biometrische Daten: Die biometrischen Informationen verlassen das Gerät nicht und werden niemals an Dienstanbieter weitergegeben, so dass die sensiblen Daten sicher sind.

• Integrierte Multi-Faktor-Authentifizierung: Mit Passkeys kommen etwas, das Sie haben (ein Gerät) und etwas, das Sie sind (Biometrie), in einem Schritt zusammen und machen die Sicherheit wirklich stark.

Vorteile für Entwickler:

• Stärkere Sicherheit für Websites: Passkeys garantieren eine phishing-resistente kryptografische Sicherheit, die die Wahrscheinlichkeit von Sicherheitsverletzungen verringert und insgesamt einen besseren Schutz bietet.

• Verbesserte Konversionsraten für Benutzer: Der einfache und problemlose Anmeldeprozess verringert die Zahl der Abbrüche und sorgt so für hohe Konversionsraten bei Online Diensten.

• Geringere Wartungskosten: Entwickler können Kosten für die Sicherheitsverwaltung sparen, indem sie die Wiederherstellung von Passwörtern und andere teure Methoden der Zwei-Faktor-Authentifizierung vermeiden.

• Leichtere Einhaltung von Sicherheitsstandards: Passkeys machen die Speicherung sensibler Zugangsdaten überflüssig, was die Einhaltung von Datenschutzbestimmungen vereinfacht und das Risiko im Falle von Verstößen verringert.

Passkeys Nachteile

Passkeys haben aber auch ihre Schattenseiten: Die Akzeptanz ist begrenzt und noch nicht alle Dienste unterstützen sie.

Wenn sie nicht korrekt implementiert ist, kann die Wiederherstellung schwierig sein, wenn Sie alle verknüpften Geräte verlieren. Außerdem kann die Abhängigkeit von Ökosystemen wie iCloud und Google Password Manager Benutzer einschränken, die diese Plattformen nicht nutzen.

Und schließlich ist da noch die Lernkurve für die Benutzer, die mit dieser neuen Authentifizierungsmethode nicht vertraut sind.

Diese Nachteile sind jedoch nur vorübergehend, denn mit der Verbreitung von Paskeys wird deren Verwendung einfacher und universeller.

Passkey vs. Passwort

Passkeys sind die nächste Generation der Authentifizierung. Sie versuchen, die Beschränkungen von Passwörtern zu lösen, die Benutzer normalerweise durch Wiederverwendung oder Vereinfachung aufgrund von Speicherbeschränkungen verwalten müssen.

Passwörter bringen Schwachstellen mit sich und machen das Leben von Angreifern viel einfacher.

Hier sind ein paar wichtige Punkte, warum Passkeys besser sind:

• Jeder Passkey ist von Natur aus stark - Sie brauchen sich keine Gedanken darüber zu machen, ob der Hauptschlüssel lang genug oder komplex genug ist.

• Ein Passkey kann nicht erraten werden - Da die Kryptographie mit öffentlich-privaten Keys arbeitet, werden keine persönlichen Daten oder leicht erratbare Informationen verwendet.

• Passkeys werden nicht auf Servern gespeichert - im Gegensatz zu Passwörtern werden Passkeys lokal gespeichert und niemals an die Websites weitergegeben, bei denen Sie sich anmelden.

• Unempfindlich gegen Phishing - WebAuthn stellt sicher, dass der private Key nur auf der korrekten, registrierten Domain authentisch ist, und selbst wenn Sie mit einer gefälschten Website interagieren, wird diese Ihre Anmeldedaten nicht erhalten.

• Einfache Erfahrung - Passkeys bieten einen bequemen, reibungslosen Anmeldeprozess, der die Benutzererfahrung erheblich verbessert.

Passkeys: Zukünftige Innovationen

Die Zukunft des Passkeys wird wirklich innovativ sein. Neben Fingerabdrücken und Gesichtserkennung, die heute als biometrische Authentifizierungsmethoden eingesetzt werden, könnten auch Gehirnströme, Herzschläge oder sogar DNA zum Einsatz kommen.

Mit der Blockchain Technologie könnte sogar eine selbstverwaltete Identität ins Spiel kommen, bei der die Menschen selbst die vollständige Kontrolle über ihre Daten haben und Passkey als universellen Identitätsnachweis verwenden.

Mit der Weiterentwicklung dieser Technologien fragen sich immer mehr Menschen, was ein Passkey ist und wie er funktioniert. Diese wachsende Neugier treibt Tech Innovatoren dazu, erhebliche Anstrengungen in die Entwicklung und Verbesserung dieses Bereichs zu investieren.

Es besteht kein Zweifel, dass Passkeys die Sicherheit und die digitale Identität für zukünftige Generationen verändern werden.

Passkeys für Entwickler

Nach der Erklärung der Passkeys möchten Sie diese vielleicht für Ihre Website oder App einsetzen.

Weitere Informationen finden Sie in unserem Leitfaden zur Passkey-Integration.

Passkeys Implementierung - Die Passkey Solution

Die gute Nachricht ist, dass Sie nicht bei Null anfangen müssen, um Passkeys zu implementieren. Es gibt viele Lösungen, die Ihre Roadmap beschleunigen.

Identitätsanbieter unterstützen Passkeys sofort und lassen sich leicht in Ihre Authentifizierungsabläufe integrieren.

Wenn Sie mehr Kontrolle wünschen, können Bibliotheken wie SimpleWebAuthn oder WebAuthn4J komplexe serverseitige Kryptographie handhaben.

Und für Entwickler ist es ebenso einfach, Passkeys mit den Authentication Services von Apple oder der Identity Services API von Google zu implementieren.

Plattformen wie OwnID bieten SDKs und APIs mit vollem Funktionsumfang, die sowohl für Web- als auch für Mobilgeräteentwickler zur Verfügung stehen. OwnID unterstützt Anpassungen, Analysen und Compliance.

Mit OwnID stehen Entwicklern benutzerfreundliche, sichere Passkey Lösungen zur Verfügung, die sich mit einem Minimum an Codezeilen nahtlos in Ihre Systeme integrieren lassen. Das spart Entwicklungszeit und sorgt für robuste Sicherheit, so dass sich die Entwickler auf Innovationen konzentrieren können, anstatt eine Infrastruktur aufzubauen.

Mit diesen Passkey Lösungen können Teams ihre Projekte im Nu in Gang bringen, ohne das Rad neu erfinden zu müssen, und sie bieten dabei eine innovative Art der Authentifizierung.

Passkeys FAQs

Wie funktioniert ein Passkey?

Passkeys stellen eine innovative Art der Authentifizierung dar, die Passwörter ersetzen würde.

Die Public-Key-Kryptographie ermöglicht es Ihrem Gerät, ein Schlüsselpaar zu erzeugen, wobei der private Schlüssel an einem sicheren Ort aufbewahrt wird, während der öffentliche Schlüssel an den Dienst weitergegeben wird.

Wie bekomme ich einen Passkey?

Öffnen Sie einen beliebigen Online-Dienst oder eine App, die Passkeys unterstützt, und klicken Sie auf die Option zum Erstellen eines Passkeys. Folgen Sie einfach den Aufforderungen, die in der Regel eine biometrische Authentifizierung vorsehen.

Was ist der Unterschied zwischen einem Passwort und einem Passkey?

Normale Passwörter werden vom Benutzer in einer Zeichenkette erstellt, Passkeys werden durch kryptografische Schlüssel erzeugt, die auf Ihrem Gerät sicher gespeichert werden. Im Vergleich zu Passwörtern sind Passwörter immun gegen Phishing oder Datenmissbrauch.

Können Passkeys gehackt werden?

Passkeys sind praktisch unhackbar. Der private Schlüssel verlässt nie Ihr Gerät und erfordert eine biometrische Authentifizierung, was sie völlig immun gegen Phishing und Sicherheitsverletzungen macht.

Was sind die Nachteile von Passkeys?

Zu den möglichen Nachteilen der Verwendung von Passkeys gehören die begrenzte Akzeptanz, der geräteabhängige Zugriff und die Schwierigkeit der Wiederherstellung, falls alle Geräte verloren gehen.

Was ist, wenn ich mein Telefon verliere?

Bei den meisten Plattformen, die dieses Feature anbieten, stehen Wiederherstellungsoptionen zur Verfügung, z. B. die Verwendung eines anderen, mit dem Konto verbundenen Geräts oder die Verwendung eines Wiederherstellungscodes. Es wird dringend empfohlen, Backup-Geräte einzurichten oder sogar eine alternative Wiederherstellungsmethode zu verwenden, um Zugriff auf Ihre verschiedenen Konten zu erhalten.

Kann ich trotzdem ein Passwort verwenden, wenn ich einen Passkey habe?

Richtig, in den meisten Fällen können Sie Ihr Passwort auch nach der Einrichtung eines Passkeys noch verwenden. Die meisten Dienste, die Passkeys unterstützen, unterstützen aus Kompatibilitätsgründen und als alternative Form der Authentifizierung weiterhin Passwörter.