Folgen Sie ZDNET: Fügen Sie uns als bevorzugte Quelle hinzu auf Google.
Die wichtigsten Erkenntnisse von ZDNET
- Mit Passkeys können Sie sich anmelden, ohne Passwörter eingeben oder sich merken zu müssen.
- Im Gegensatz zu Passwörtern sind sie resistent gegen Phishing.
- Synchronisierbare Passkeys erleichtern sichere Anmeldungen auf allen Geräten.
Im letzten Jahr oder so sind Passkeys im Mainstream angekommen. Die Akzeptanzrate dieser Technologie war bemerkenswert und es gibt keine Anzeichen einer Verlangsamung. Wenn Ihre Erfahrung mit meiner übereinstimmt, werden Sie wahrscheinlich aufgefordert, mindestens ein- oder zweimal pro Woche einen neuen Passkey zu speichern.
Alles in allem habe ich jetzt mindestens 40 gespeicherte Passkeys. Mit diesen Passkeys kann ich die Passwortabfrage vollständig überspringen und mich mit biometrischen Daten (Gesicht oder Fingerabdruck) auf Dutzenden von Websites anmelden, darunter Mainstream-Shopping-Websites wie Costco, Target, Amazon und Walmart sowie eher technische Websites wie Dell, Adobe und Dropbox. Das Unternehmen, das meine Domainnamenregistrierungen verwaltet, verwendet Passkeys, ebenso wie das Energieversorgungsunternehmen, meine Kreditgenossenschaft und die Praxis meines Arztes.
Außerdem: Ich tausche Passwörter aus einem Grund gegen Passkeys ein – und das ist nicht das, was Sie denken
Aber ich höre immer noch von Lesern, die nicht ganz verstehen, was ein Passkey ist, wie er funktioniert oder warum er besser als ein Passwort ist.
Nach einem längeren Online-Austausch zu diesem Thema mit einem Freund, der schließlich ein „Aha!“ erreichte Moment, ich glaube, ich habe herausgefunden, warum das Thema so verwirrend ist: Ein Hauptschlüssel ist keine greifbare Sache – es ist eine Abstraktion. Daher bleiben die meisten Versuche, die Technologie zu erklären, in technischen Details stecken.
Selbst die Person mit dem geringsten Fachwissen, die Sie kennen, kann Ihnen sagen, was ein Passwort ist – eine Kombination aus Buchstaben und Zahlen, vielleicht mit einem Symbol. Sie können Ihr eigenes Passwort aus einem gebräuchlichen Wort, einem Namen oder einem Datum erstellen und es sogar auf eine Haftnotiz schreiben. Wenn Sie wie die meisten Menschen sind, verwenden Sie regelmäßig dasselbe Passwort oder eine Variation davon, obwohl Sie wissen, dass das wahrscheinlich eine schlechte Idee ist.
Außerdem: So funktionieren Passkeys: Der vollständige Leitfaden für Ihre unvermeidliche passwortlose Zukunft
Ein Hauptschlüssel hingegen ist schwer zu beschreiben. Wenn ich Ihnen sage, dass es sich um einen sicheren digitalen Berechtigungsnachweis handelt, der aus einem öffentlichen und einem privaten Schlüssel generiert wird, können Sie sich dann ein Bild machen, das zu diesen Worten passt? Wahrscheinlich nicht. Es wird nicht helfen, die Definition in weiteren technischen Details zu vergraben.
Aber ich denke, wir können gemeinsam dorthin gelangen, in einfacher (größtenteils) nicht-technischer Sprache ohne jede Menge Fachjargon, indem wir einfach die Fragen durchgehen, die ich immer wieder von Lesern höre.
Was ist ein Passkey?
Ein Passkey ist ein sicherer, gespeicherter Berechtigungsnachweis, der es Ihnen ermöglicht, sich bei einer bestimmten Website oder einem bestimmten Webdienst anzumelden, indem Sie Ihre Identität mit biometrischen Daten oder einer PIN nachweisen. Passkeys werden mithilfe des Web-Authentifizierungsstandards (WebAuthn) definiert.
Was passiert, wenn Sie einen Passkey erstellen?
Wenn Sie einen Passkey erstellen, generieren und speichern Sie tatsächlich zwei übereinstimmende Teile verschlüsselter digitaler Informationen – einen auf der Website oder dem Dienst, bei dem Sie sich anmelden (dies wird im Standard als bezeichnet). vertrauende Partei) und eine zweite auf Ihrem Gerät. Diese Schlüssel können nur zusammenarbeiten; das eine ist ohne das andere nutzlos.
So funktioniert es:
Sie gehen auf eine Website und melden sich wie gewohnt mit Ihrem Passwort an. Nachdem Sie sich angemeldet haben, wird eine Meldung angezeigt: Möchten Sie einen Passkey erstellen? Und Sie sagen: „Ja, das würde ich.“ Wenn die Website keine Unterstützung bei der Erstellung eines Passkeys anbietet, finden Sie die Option auf der Seite mit den Sicherheitseinstellungen für Ihr Konto. Der folgende Screenshot zeigt, was Sie beispielsweise bei Dell.com sehen.
Möglicherweise müssen Sie sich mit den Einstellungen befassen, um einen Passkey für eine Website oder einen Dienst zu erstellen
Screenshot von Ed Bott/ZDNET
Sie müssen auswählen, welchen Authentifikator Sie zum Erstellen des Passkeys verwenden möchten (mehr dazu gleich), aber darüber hinaus müssen Sie nichts weiter tun. Sie haben sich bereits mit Ihrem Passwort angemeldet, sodass die Website weiß, dass Sie berechtigt sind, dieses Konto zu verwenden.
Die Website oder der Dienst, zu dem Sie eine Verbindung herstellen, speichert einen eindeutigen Verschlüsselungsschlüssel auf ihrem Server, und Ihr Authentifikator (Ihr Gerät oder Passwort-Manager) generiert einen zweiten eindeutigen, privaten Verschlüsselungsschlüssel und speichert ihn an einem sicheren Ort auf Ihrem Gerät.
Das ist der Hauptschlüssel – zwei Geheimnisse, eines an jedem Ende, die zusammenwirken, um Ihr Recht zur Nutzung des Kontos festzulegen. Ihr Benutzername und Ihr Passwort sind nicht mehr beteiligt und niemand kann jemals den privaten Verschlüsselungsschlüssel auf Ihrem Computer sehen, nicht einmal Sie.
Welchen Authentifikator soll ich verwenden?
Wenn Sie einen Passkey erstellen, wählen Sie den zu verwendenden Authentifikator aus. Der Standardspeicherort ist das Gerät selbst, beispielsweise ein PC, der die biometrische Authentifizierung von Windows Hello unterstützt. Sie können auch einen Passwort-Manager wählen, der Passkeys unterstützt, oder sogar einen Hardware-Sicherheitsschlüssel verwenden.
Warum ist das wichtig? Wenn Sie Ihren PC oder Ihr Mobilgerät oder einen Hardware-Sicherheitsschlüssel als Authentifikator verwenden, erstellen Sie einen gerätegebundener Passkey. Es funktioniert nur in Verbindung mit dieser Hardware. Wenn Sie versuchen, sich auf einem anderen Gerät anzumelden, oder wenn der Hardware-Sicherheitsschlüssel nicht zur Hand ist, haben Sie keinen Zugriff auf diesen Hauptschlüssel.
Im Gegensatz dazu kann ein Passwort-Manager synchronisierbare Passkeys speichern, die Sie auf mehreren Geräten verwenden können. Google Password Manager und iCloud-Schlüsselbund können Ihre Passkeys geräteübergreifend synchronisieren. Dies gilt auch für Passwortmanager von Drittanbietern wie 1Password oder Bitwarden. (Eine aktuelle Liste der Passkey-Authentifikatoren finden Sie auf dieser GitHub-Seite.)
Außerdem: Benutzer von Windows 11 haben jetzt eine bequemere Möglichkeit, Passkeys zu speichern – so funktioniert es
Wenn Sie bereits daran gewöhnt sind, einen Passwort-Manager zu verwenden, der Passkeys unterstützt, ist dies die beste Wahl. Sie können Passkeys über dieselbe Schnittstelle erstellen, verwalten und verwenden, die Sie bereits verwendet haben.
Und hier ist ein Power-Tipp: Sie können mehrere Passkey-Authentifikatoren verwenden und mehrere Passkeys für dieselbe Site erstellen. Für einige hochwertige Websites habe ich Passkeys für zwei oder mehr Hardwareschlüssel und in 1Password erstellt, sodass ich verschiedene Möglichkeiten habe, mich sicher bei diesen Websites anzumelden, auch auf unbekannter Hardware.
Wie verwendet man einen Passkey?
Wenn Sie eine Website besuchen, auf der Sie zuvor einen Passkey erstellt haben, geben Sie wie gewohnt Ihre E-Mail-Adresse oder Ihren Benutzernamen ein, aber anstelle eines Felds, in dem Sie ein Passwort eingeben, wird eine Meldung angezeigt: Möchten Sie sich mit Ihrem Passkey anmelden? Sie sagen „Ja“ und klicken auf die Schaltfläche für Ihren gespeicherten Passkey.
Sie müssen Ihre Identität nachweisen, bevor Sie einen Passkey speichern können
Screenshot von Ed Bott/ZDNET
Die Website verwendet ihren Schlüssel (den, der bei der Einrichtung des Passkeys generiert wurde), um eine Aufforderung an Ihren PC oder Passwort-Manager zu senden. Im Grunde heißt es: „Die mit diesem Schlüssel verknüpfte Person möchte auf ihr Konto zugreifen. Sind Sie damit einverstanden?“
Ihr Authentifikator (Windows Hello auf einem PC, iCloud-Schlüsselbund auf einem Apple-Gerät oder ein Hardwareschlüssel) bestätigt, dass die Anfrage von einer gültigen Quelle und nicht von einer Phishing-Website stammt; Anschließend werden Sie aufgefordert, sich mit biometrischen Daten oder einer PIN zu identifizieren, und es wird überprüft, ob die Challenge mit den in Ihrem Passkey gespeicherten Informationen übereinstimmt und bestätigt, dass es sich um eine Übereinstimmung handelt.
Außerdem: Sie verwenden bereits einen reinen Software-Ansatz zur Passkey-Authentifizierung – warum das wichtig ist
Der Authentifikator verwendet Ihren privaten Schlüssel, um eine Nachricht zu erstellen, die der Website mitteilt, dass Sie Ihre Identität nachgewiesen haben und über einen passenden Passschlüssel verfügen. Sie sind jetzt angemeldet, so wie Sie es wären, wenn Sie Ihr Passwort verwendet hätten.
Sie und die andere Website haben die tatsächlichen Verschlüsselungsschlüssel nie ausgetauscht, sodass diese nicht abgefangen oder kopiert werden konnten. Ihr PC oder Passwort-Manager hat lediglich bestätigt, dass Sie Sie sind und dass der Passschlüssel übereinstimmt. Der gesamte Vorgang ist viel schneller und sicherer als die passwortbasierte Alternative.
Wo werden Passkeys gespeichert?
Ihre Passschlüssel werden an einem sicheren Ort auf Ihrem Telefon oder Computer gespeichert und durch kryptografische Hardware geschützt – das TPM auf einem Windows-PC, die Secure Enclave auf einem Mac- oder iOS-Gerät oder eine vertrauenswürdige Ausführungsumgebung auf einem Android-Gerät.
Nur der Authentifikator kann auf einen Passkey zugreifen, und zwar erst, nachdem Sie Ihre Identität nachgewiesen haben. Auf Passkeys kann das Dateisystem nicht zugreifen, was bedeutet, dass Sie den Datei-Explorer oder Finder nicht zum Scrollen durch Ihre Sammlung von Passkeys verwenden können. (Das bedeutet auch, dass Malware nicht auf diese gespeicherten Passkeys zugreifen kann.)
Außerdem: Apple, Microsoft oder Google: Wessen Plattform-Authentifikator bestimmt unsere Passkey-Zukunft?
Sie können einen Passkey nicht öffnen und seinen Inhalt überprüfen. Sie können keine Kopie eines Passschlüssels erstellen, der auf Ihrem Telefon oder Computer gespeichert ist, und Sie können einen Passschlüssel nicht versehentlich verwenden, wenn ein Bösewicht Sie mit einer gefälschten Website täuscht, die wie eine legitime Website aussehen soll.
Was passiert mit meinem Passwort, nachdem ich einen Passkey erstellt habe?
Eines Tages, in vielen Jahren, könnten wir in einer passwortlosen Welt leben. Dieser Tag ist nicht heute.
Außerdem: Wie ich mit meinem Passwort-Manager ganz einfach Passkeys einrichte – und warum Sie das auch tun sollten
Derzeit sind Passkeys eine Alternative zu Passwörtern, und Ihr Passwort bleibt normalerweise weiterhin verfügbar, um sich bei einer Site anzumelden, auf der Sie einen Passkey erstellt haben. Bei einigen Diensten können Sie ein Passwort entfernen, nachdem Sie mehrere Passkeys erstellt haben – Sie können dies beispielsweise mit Ihrem Microsoft-Konto tun –, diese Optionen sind jedoch immer noch selten.
Warum ist ein Passkey sicherer als ein Passwort?
Wenn Sie ein Passwort verwenden, passiert Folgendes: Sie gehen zu einer Website, geben Ihren Benutzernamen und Ihr Passwort ein und klicken auf eine Schaltfläche. Wenn alles gut geht, sind Sie angemeldet. Aber es gibt viele Dinge, die schief gehen können.
Zunächst einmal können Passwörter gefälscht werden. Wenn ein Bösewicht eine Website erstellen kann, die wie die Anmeldeseite Ihrer Bank aussieht, werden Sie möglicherweise dazu verleitet, dort Ihr Passwort einzugeben. Anschließend kann sich der Bösewicht als Sie anmelden und das Geld auf Ihrem Bankkonto stehlen.
Passwörter können erraten werden, entweder durch Brute-Force-Angriffe, bei denen jede mögliche Kombination aus Buchstaben, Zahlen und Symbolen ausprobiert wird, oder durch einen Angreifer, der Ihr leicht zu erratendes Passwort herausfindet. Fragen Sie einfach Donald Trump, dessen Twitter-Account-Passwörter nicht schwer zu erraten waren – Du bist gefeuert im Jahr 2014 und maga2020! sechs Jahre später.
Außerdem: Ich habe das Passwort meines Microsoft-Kontos durch einen Passkey ersetzt – und das sollten Sie auch tun
Auch Passwörter können gestohlen werden. Ein Keylogger oder Fernzugriffs-Trojaner kann Ihre Passwörter an einen Angreifer senden, oder er kann die äußerst einfache Option des „Schultersurfens“ nutzen und dabei beobachten, wie Sie Ihren Benutzernamen und Ihr Passwort eingeben, möglicherweise mit Hilfe einer Videokamera.
Selbst wenn Ihr Opsec perfekt ist, kann Ihr Passwort dennoch gekapert werden, wenn die Website es schlecht speichert und sichert.
Schließlich könnten Sie diese Kombination aus Benutzername und Passwort (unklugerweise) auf anderen Websites wiederverwenden und wären anfällig, wenn das Passwort für eine Website jemals durchgesickert oder gefälscht würde.
Passkeys sind gegen diese Angriffe immun. Ein geschickter Phisher könnte Ihnen vorgaukeln, eine gefälschte Website sei echt, aber er wird nie Zugriff auf den Passkey haben, weil die Domain und der zugehörige Verschlüsselungsschlüssel nicht übereinstimmen. Und es kann nicht gestohlen werden, da es niemals seinen sicheren Speicher auf Ihrem Gerät verlässt.
Die einzige Möglichkeit, es zu entsperren, besteht darin, sich mit biometrischen Daten oder einer PIN zu identifizieren, nachdem Ihr Authentifikator eine legitime Anfrage von einem Remote-Server erhalten hat. Der gesamte Prozess macht Phishing unmöglich.
Muss ich mir Gedanken darüber machen, ob die Hauptschlüssel eindeutig sind?
Seit Jahren lesen Sie Ratgeberkolumnen, die Ihnen sagen, wie wichtig es ist, für jede Site ein eindeutiges Passwort zu haben. Müssen Sie also das gleiche Maß an Vorsicht walten lassen und für jede Site, die dies zulässt, einen eindeutigen Passschlüssel erstellen?
Ha! Das ist fast eine Fangfrage. Passschlüssel sind per Definition eindeutig. Jeder Passkey besteht aus zwei separaten Verschlüsselungsschlüsseln, die nur zur Verwendung mit der Site oder dem Dienst generiert werden, auf der er erstellt wurde.
Sie können jedoch mehrere Passkeys für eine einzelne Site haben. Wenn sie gerätegebunden sind, verfügen Sie möglicherweise über eines für Ihren Laptop und eines für Ihr Telefon. Oder Sie verfügen möglicherweise über einen oder mehrere Hardwareschlüssel wie einen YubiKey. Wie ich bereits erwähnt habe, ist die Erstellung synchronisierbarer Passkeys in Ihrem Passwort-Manager die bequemste Option.
