Die Anforderungen an das Erstellen von Passwörtern werden immer höher. Doch mit den ständigen Schlagzeilen über gestohlene Zugangsdaten kommen Zweifel auf, ob kompliziertere Passwörter wirklich sicherer sind. Abhilfe soll die Methode der Passkeys schaffen. Wie Passkeys funktionieren und was sie sicherer macht als normale Passwörter, erfahren Sie im folgenden Beitrag.
Funktionsweise
Ein Passkey besteht aus einem kryptografischen Schlüsselpaar. Das bedeutet, ein Teil des Passkeys ist der private Schlüssel, der auf Ihrem Gerät (in der Regel Smartphone oder PC) gespeichert ist und dieses Gerät nie verlässt. Der öffentliche Schlüssel wird hingegen auf dem Server der jeweiligen Website gespeichert.
Wenn Sie sich anmelden möchten, erstellt die Website eine sogenannte Herausforderung (Challenge) an Ihr Gerät. Diese Challenge kann nur mithilfe des privaten Schlüssels gelöst werden, der auf Ihrem Gerät gespeichert ist. Der Server überprüft dann mit dem öffentlichen Schlüssel, ob die Herausforderung korrekt bewältigt wurde.
Um zu vermeiden, dass verlorene oder gestohlene Geräte von Unbefugten zur Anmeldung verwendet werden, erfolgt in einem letzten Schritt die Bestätigung der Identität des Benutzers über Fingerabdruck, Gesichtserkennung oder die Eingabe der Geräte-PIN.
Anwendung
Wenn Sie auf Passkeys umsteigen möchten, können Sie dies bei vielen Anbietern bereits sehr bequem tun. Zu den Anbietern, die Passkeys unterstützen, zählen unter anderem Google, Amazon und PayPal. Eine übersichtliche Liste der Anbieter, die Passkeys unterstützen, finden Sie unter passkeys.directory.
Um auf Passkeys umzusteigen, suchen Sie in der Regel nach dieser Funktion in den Sicherheitseinstellungen Ihres Kontos. Wenn Sie ein anderes Gerät als Passkey verwenden möchten, können Sie dies schnell durch das Scannen eines QR-Codes einrichten.

Wer Passkeys zunächst ausprobieren möchte, kann auf Passkey.org einen Demo-Passkey erstellen, um zu sehen, wie sich Passkeys handhaben lassen. Accounts werden nach 24 Stunden automatisch gelöscht und haben keinen weiteren Zweck.
Was tun, wenn ich mein Gerät verloren habe?
Sollten Sie das Gerät, auf dem der Passkey gespeichert ist, verlieren, können Sie die Zugänge über Backups wiederherstellen. Entweder legen Sie lokale Backups an, oder Ihre Passkeys werden mit einer Cloud synchronisiert. Apple speichert beispielsweise Passkeys redundant im iCloud-Schlüsselbund. Wenn keine Backups vorhanden sind, bleibt nur der direkte Kontakt mit den Anbietern, um den Zugang wiederherzustellen.
Sicherheit
Einer der wesentlichen Vorteile von Passkeys ist ihre Immunität gegen herkömmliche Phishing-Angriffe. Da eine Website den privaten Schlüssel nicht direkt abfragt, kann selbst eine gefälschte Seite keine wertvollen Informationen erhalten, wenn ein Benutzer versucht, sich dort anzumelden.
Passkeys bieten jedoch noch weitere Vorteile: Während viele Nutzer für jede Seite dasselbe Passwort verwenden, sind Passkeys immer einzigartig. Zudem können Passwörter zu kurz, zu einfach oder leicht zu vergessen sein. Passkeys sind gegen all diese Probleme resistent.
Aus diesen Gründen spricht sich auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) klar für die Verwendung von Passkeys aus.
Verbreitung
Noch verwenden nicht viele Nutzer Passkeys. In einer Umfrage des BSI stellte sich heraus, dass nur 18 % der Befragten bereits Passkeys nutzen. Auch die Bekanntheit ist mit 38 % derjenigen, die den Begriff kennen, noch relativ gering.
Dies scheint sich jedoch nach und nach zu ändern, da immer mehr Anbieter Passkeys akzeptieren und die Gerätehersteller Apps zur Verwaltung von Passkeys bereits vorinstallieren.
Passkeys im Unternehmen implementieren
Die zahlreichen Vorteile des Passkeys können Sie nicht nur privat nutzen. Immer mehr Unternehmen steigen auf die resistenteren und einfacheren Passkeys um. Zusammen mit einem YubiKey, einem physischen Gerät für die Authentifizierung, lässt sich eine Passkey-Authentifizierung direkt in Ihre Microsoft-Infrastruktur integrieren. Wenn Sie die veralteten Passwörter ersetzen, sinkt das Risiko, Opfer eines erfolgreichen Hacking-Angriffs zu werden, erheblich.
Die IT-Sicherheit verbessern kann sich lohnen, ob mit Passkeys oder andren Maßnahmen. Für eine ausführliche Überprüfung Ihrer IT-Sicherheit bietet Toowoxx als BSI qualifizierter IT-Dienstleister den CyberRisiko-Check nach DIN SPEC 27076 an.