Zumindest bei einem sind sich Apple, Google und Microsoft einig: Klassische Passwörter sind ein Problem für die Computersicherheit. Kriminelle haben über die Jahre allerlei Tricks etabliert, um Passwörter abzugreifen – egal wie gut sie gewählt sind. Ratschläge, bei jeder Seite ein eigenes Passwort zu verwenden, verhallen zudem meist ungehört, zudem führt das wieder dazu, dass dann erst recht schlechtere Passwörter verwendet werden, was dann noch einmal neue Angriffsszenarien eröffnet.

Bleibt noch die konsequente Nutzung eines Passwortmanagers – was allerdings wegen des administrativen Aufwands nur eine überschaubare Anzahl an Usern macht. Also wurde als zusätzlicher Schutz die Zwei-Faktor-Authentifizierung erfunden, was zwar – zumindest bei der richtigen Methode – tatsächlich gegen Attacken hilft, aber halt auch einen erheblichen Mehraufwand darstellt und entsprechend begrenzte Verbreitung gefunden hat.

Passkeys sollen es lösen

Also haben sich die einleitend erwähnten Unternehmen zusammengetan, um das Ende der Passwörter einzuleiten. Mitte Mai wurde unter dem Namen Passkey ein passwortloses Autorisierungsverfahren vorgestellt, das gleichermaßen einfach zu nutzen, aber auch sehr sicher sein soll. Nun macht Google erste Schritte zur Umsetzung dieser Vision.

In einem Blogposting kündigt Google erste Unterstützung für Passkeys bei Android und Chrome an. Dadurch können Nutzer nun auf ihren Android-Geräten Passkeys erstellen und sicher über den Google Passwort Manager synchronisieren. Auf der Chrome-Seite ist es Webseitenentwicklern jetzt möglich, Support für Passkeys zur Autorisierung auf ihren Seiten zu implementieren.

Theorie

Aus Nutzersicht sieht ein typischer Ablauf bei Passkeys so aus: Will sich die Userin bei einer Webseite einloggen, folgt am Smartphone eine Abfrage, die via Fingerprint oder Gesichtserkennung autorisiert werden muss. Dadurch wird die Weitergabe des für den Log-in auf der betreffenden Seite automatisch generierten Passkeys autorisiert.

Für Phishing ist diese Methode nicht mehr anfällig, da Passkeys fix an eine Webseite oder einen Service gebunden sind – und so an andere gar nicht herausgegeben werden. Damit soll also eine ganze Klasse von Angriffen beseitigt werden, und zwar eine, die derzeit die gebräuchlichste ist. Weitere Informationen zu all dem gibt es in einem früheren Hintergrundartikel.

Abwarten

Bis die Passkeys wirklich verbreitet sind, wird es allerdings noch eine Weile dauern. Immerhin werden hier gerade erst die technischen Grundlagen geschaffen. Und auch unter Android ist der Support zunächst auf die Nutzer der Beta-Version der Google Play Services beschränkt. Damit all das wirklich reibungslos funktioniert, bedarf es zudem einer Integration mit anderen großen Plattformen, auch hier gibt es noch einiges zu tun – vor allem beim Austausch der Passkeys.

Generell ist das Ganze aber als plattformübergreifender Standard gedacht. Und zwar einer, bei dem die einzelnen Systeme Hand in Hand gehen. So kann man sich dann künftig im Browser unter Windows bei einer Webseite einloggen, indem der zugehörige Passkey am Android-Smartphone oder auch am iPhone autorisiert wird. (apo, 13.10.2022)