Die Passwort-Technik, wie wir sie bis heute verwenden, stammt aus der „Steinzeit“ des Internets. Und: Der Mensch ist bequem. Er benutzt mehrfach dasselbe Passwort oder ist dabei wenig einfallsreich, wie ein Blick auf die Hitliste der meistverwendeten Passwörter zeigt https://hpi.de/pressemitteilungen/2022/die-beliebtesten-deutschen-passwoerter-2022.html.
Cyberkriminelle haben es deshalb oft auf Passwörter abgesehen. Und der Benutzername ist auf vielen Webseiten identisch mit der Mailadresse, sodass die Chancen gut stehen, mit einem erbeuteten Passwort und der passenden Mailadresse bei zahlreichen Diensten sein Unwesen im Namen des Opfers treiben zu können.
Selbst Passwortmanager bieten nur eine eingeschränkte Sicherheit. Zwar machen sie es dem Benutzer einfacher, sichere Passwörter zu benutzen. Die Zugangsdaten können bei einem Angriff auf die jeweilige Website aber immernoch in die falschen Hände geraten.
Zudem sind die Betreiber der Passwortmanager selbst natürlich ein ausgesprochen attraktives Ziel für Hacker.
Passkeys lösen nicht nur die Probleme, die Passwörter mit sich bringen, sie sind im Alltag sogar noch einfacher zu verwenden. Und sie sind ohne weitere Kosten nutzbar, denn die Technik ist bereits in alle gängigen Betriebssystemen für Computer und Mobiltelefone integriert.
Der größte Vorteil ist aber: Ein Passkey funktioniert immer nur genau auf der Website, für die er erstellt wurde. Hacker benutzen häufig URLs, also Internetadressen, die dem Original ähneln. Menschen können darauf hereinfallen, Technik nicht. Phishingmails, die Sie dazu verleiten sollen, auf einer gefälschten Website Ihre Zugangsdaten einzugeben, werden damit unwirksam.
Webseiten und Apps müssen die neue Technik jetzt nur noch integrieren. Bei zahlreichen namhaften Anbietern ist das Verfahren aber sogar schon möglich. Eine laufend aktualisierte Übersicht finden Sie unter https://passkeys.directory/ .
Doch wie funktioniert das Ganze?
An dieser Stelle nur so viel: Passkeys ersetzen die Eingabe von Benutzername und Passwort. Das Einloggen wird einfach per Fingerabdruckscanner oder Gesichtserkennung freigegeben. Wenn z.B. Ihr PC keinen Fingerabdruckscanner besitzt, können Sie zur Freigabe auch Ihr Handy benutzen. Dazu wird einfach ein QR-Code abgescannt und die Freigabe erfolgt über Finagerabdruckscanner oder Gesichtserkennung des Handy. Anstatt der biometrischen Freigabemöglichkeiten kann auch eine PIN verwendet werden.
Die Umstellung erfolgt für jeden Dienst einzeln. Das ist lästig, aber notwendig. Denn es wird immer ein eindeutiger Passkey erstellt – wie es bei Passwörtern ja auch schon sein sollte. In der Regel erfolgt die Umstellung über die Kontoeinstellungen des jeweiligen Dienstes. In der Übersicht https://passkeys.directory/ haben die Anbieter auch Ihre jeweilige Anleitung verlinkt.
Wer mehr über das technische Verfahren wissen möchte, findet hier ein sehr gutes Erklärvideo des c´t-Magazins.
Fazit: Die Einführung von Passkeys ist ein wichtiger Baustein, um die Cybersicherheit zu verbessern!