Ziemlich genau ein Jahr ist es her, da haben drei der größten Techfirmen in ungewohnter Einigkeit ein ambitioniertes Projekt vorgestellt. Die sogenannten Passkeys sollen klassische Passwörter ersetzen und so die Sicherheit im Netz insgesamt verbessern. Passwörter seien nicht nur mühsam zu nutzen, Phishing-Attacken sind mittlerweile sehr gut dabei geworden, diese zu erbeuten, womit auch selbst gute Passwörter nicht mehr zuverlässig gegen Daten- oder gar Identitätsdiebstahl helfen.

In den vergangenen Monaten wurden nun die technischen Grundlagen für den Wechsel geschaffen, die Unterstützung für Passkeys also in Betriebssysteme wie Android und iOS integriert. Das gibt Google nun die Möglichkeit passend zum Welt-Passwort-Tag den nächsten Schritt zu setzen.

Passwortloser Login

In einem Blogeintrag kündigt Google den Anfang vom Ende der Passwörter an oder anders formuliert: den ersten Schritt in eine passwortlose Zukunft. Ab sofort ist es möglich, Passkeys im Zusammenspiel mit dem eigenen Google-Konto zu verwenden und sich so passwortlos in dieses einzuloggen.

Passkeys sind ein Versuch, ein gleichzeitig einfaches, aber auch sicheres System zur Autorisierung auf Webseiten und Online-Diensten zu etablieren. Es handelt sich dabei um sehr komplizierte und somit im Gegensatz zu Passwörtern auch realistisch nicht knackbare Schlüssel, die automatisch beim ersten Login in einen Dienst erstellt werden. Diese Passkey werden dann in speziellen Hochsicherheitsbereichen auf dem jeweiligen System gespeichert, und mit anderen Geräten nur Ende-zu-Ende-verschlüsselt übertragen.

Kein Phishing

Abgesichert wird der Zugriff auf die Passkeys über den jeweiligen Screen Lock, also meist Fingerabdruck oder Gesichtserkennung. Erst nach einer solchen Autorisierung kann man sich also beim jeweiligen Dienst dann einloggen. Ein zentraler Vorteil ist, dass jeder Passkey kryptografisch an den jeweiligen Service gebunden ist, an andere also generell nicht weitergegeben wird. Damit soll Phishing-Attacken, die selbst bei vielen Formen der Zwei-Faktor-Authentifizierung noch funktionieren, ein Ende bereitet werden.

Weiterhin möglich bleibt, sich mithilfe eines in der Nähe befindlichen, autorisierten Smartphones temporär auf einem Rechner ins eigene Google-Konto einzuloggen, ohne dabei einen Passkey auf diesem abzusichern. Das ist auch wichtig, weil die lokale Speicherung eines Passkeys dem Besitzer des Geräts natürlich Zugriff auf das eigene Konto geben würde, wie Google warnt. Ähnlich wie mal also nie das eigene Passwort auf fremden Rechnern abspeichern soll, muss man also auch künftig darauf achten, nicht sorglos mit den neuen Schlüsseln umzugehen.

Grundlagen

Hinter Passkeys stehen mehrere in den vergangenen Jahren im Rahmen der FIDO Alliance entwickelten Konzepte für einen sicheren Login. Diese werden zum Teil bereits von USB-Hardwareschlüsseln verwendet, die sich auch weiterhin als Alternative verwenden lassen sollen. Weitere technische Details und Informationen zu Vor- und Nachteilen dieses Verfahren gibt es in einem Hintergrundartikel, der an dieser Stelle vor einigen Monaten veröffentlicht wurde.

Option

Google ist sich natürlich bewusst, dass der Wechsel in eine passwortlose Zukunft nicht von einem Tag auf den anderen möglich ist. Also sind die Passkeys zunächst einmal nur eine weitere Option für den Login in ein Konto. Wer sie nutzen will, kann sie direkt über die eigenen Kontoeinstellungen einrichten und verwalten. Dort ist es dann etwa möglich, den Passkey für ein einzelnes Gerät zu entziehen, falls dieses gestohlen wurde.

Googles Browser Chrome unterstützt Passkeys bereits seit Ende 2022, auch unter iOS ist es problemlos möglich, sich auf diese Weise im Google-Konto anzumelden. Viele andere Softwarehersteller, darunter die Entwickler zahlreicher Passwort-Manager, haben bereits Unterstützung für Passkeys angekündigt, Paypal ermöglicht deren Nutzung in einzelnen Ländern gar bereits. Mit dem aktuellen Schritt will Google nicht zuletzt Vorbildwirkung entfalten, um mehr Services davon zu überzeugen, dass Passkeys schon jetzt einen echten – und besseren – Ersatz für klassische Passwörter darstellen.

Erweiterter Schutz

Der Softwarehersteller selbst ist von den Vorzügen dieses Verfahrens jedenfalls dermaßen überzeugt, dass Passkeys sogar von jenen, die die "Advanced Protection" für das eigene Google-Konto aktiviert haben, genutzt werden können. Dabei handelt es sich um ein Hochsicherheitsprogramm, das das eigene Konto zusätzlich absichert und etwa bislang nur den Login mithilfe von externen Hardwareschlüsseln erlaubt – und nun eben auch via Passkeys. (Andreas Proschofsky, 4.5.2023)