Internet-Tipp 
Mehr Sicherheit: Bei Online-Plattformen Passkey statt Passwort nutzen
Passwörter sollen Online-Accounts schützen – machen es aber oft nicht. Jetzt empfehlen Experten eine bessere Alternative: Passkeys. Bei immer mehr Online-Anbietern können die User ihre Konten damit sichern, wirkungsvoll und bequem.
Dies berichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI). Nach Angaben der Behörde nimmt die Verbreitung der Passkey-Methode zu, etwa bei Shopping-Plattformen, sozialen Medien und Messengern. Internet-Riesen wie Amazon, Apple, Ebay, Google, PayPal oder WhatsApp ermöglichen es ihren Kunden bereits, einen Passkey anstelle eines Passworts für den Log-In einzurichten.
Kaum zu knacken
Wo liegt der Vorteil eines Passkeys? Ein Passwort besteht aus einer Folge von Ziffern, Zahlen und Zeichen, die man sich merken muss. Das führt dazu, dass viele Menschen zu ganz simplen Passwörtern greifen, die Fremde leicht erraten oder durch Ausprobieren in Erfahrung bringen können. Andere fallen auf Phishing-Betrüger herein, die Passwörter via Mail und SMS ausspionieren, oder Hacker greifen die Daten ab. Das alles soll bei Passkeys nicht mehr vorkommen können: Im Unterschied zum Passwort muss sich ein Passkey niemand merken. Das ginge auch nicht, weil sich dahinter ein langes kryptografisches Schlüsselpaar verbirgt. Ein Teil davon wird auf einem Endgerät des Account-Nutzers hinterlegt, das andere beim Online-Dienst – fertig. Ein Passwort wird nicht mehr gebraucht. „Wir haben da ein ganz anderes Sicherheitsniveau“, sagt BSI-Experte Stefan Becker.
Zur Anmeldung beim Online-Dienst gibt der User wie bisher zunächst seinen Benutzernamen oder die E-Mail-Adresse ein. Statt danach auch noch das Passwort eintippen zu müssen, startet ein automatischer Identifizierungsprozess. Dabei arbeiten der beim Online-Dienst hinterlegte Teil des Keys (der sogenannte öffentliche Schlüssel) und der beim Nutzer abgelegte Teil des Keys (der sogenannte private Schlüssel) zusammen. Der Account-Inhaber bekommt davon selbst gar nichts mit.
Bundesamt: Neben höherer Sicherheitsstufe auch mehr Komfort
Vereinfacht ausgedrückt läuft es so: Der öffentliche Schlüssel stellt eine Aufgabe (genannt Challenge), die nur vom privaten Schlüssel gelöst werden kann. Stimmt die Antwort, ist der rechtmäßige Nutzer des Accounts identifiziert. Laut BSI erhöht das nicht nur die Sicherheit, sondern auch den Komfort. „Das geht schneller als ein Passwort-Eintippen, ganz bestimmt“, sagt Experte Becker.
Den Passkey richtet man auf der Webseite oder App des Online-Dienstes ein unter Rubriken wie Konto, Sicherheit oder Anmeldung. Das muss nur einmalig gemacht werden. So gelangen WhatsApp-Nutzer über die drei Punkte rechts oben und die Felder „Einstellungen“ und „Konto“ zum „Passkey“-Button. Zudem muss der Account-Besitzer entscheiden, wo er den privaten Teil des Passkeys speichern will.
Smartphone als Kompromiss
Zur Wahl stehen Smartphone oder Tablet, der heimische Rechner oder etwa ein spezieller USB-Stick. „Alle Methoden haben ihre Vor- und Nachteile. Für die meisten Nutzer dürfte jedoch das Smartphone der beste Kompromiss aus Sicherheit und Komfort sein“, sagt Ronald Eikenberg vom IT-Fachmagazin c’t.
Beispiel Amazon: Der Kunde öffnet die Webseite mit dem Browser des Smartphones, meldet sich bei seinem Amazon-Konto an und geht unter „Konto und Listen“ in die Rubrik „Anmeldung & Sicherheit“. Dort klickt er den Button „Passkey-Einrichten“ an und bestätigt den Vorgang mit Fingerabdruck, Gesichtsscan oder Display-Entsperrungscode. Das war’s schon: Die Passwort-Pflicht ist passé. Beim nächsten Aufruf der Webseite fragt Amazon nur noch, ob die Identifizierung per Passkey erfolgen soll – und gibt den Konto-Zugang frei, wenn sich der Nutzer durch Fingerabdruck, Gesichtsscan oder Displaycode ausweist. Beide Methoden, Passwort und Passkey, können auch gleichzeitig aktiv gehalten werden.
Einen Überblick über Dienste, die eine Absicherung via Passkey ermöglichen, gibt die Homepage https://passkeys.directory. Neben den oben genannten Internet-Giganten gehören dazu etwa auch Adobe.com, LinkedIn, Nintendo, Playstation, Sony, TikTok, Uber, X und Yahoo. Allerdings sollte man auf sein Smartphone noch besser aufpassen. Wer das Mobilgerät besitzt, verfügt über die Passkeys, die darauf gespeichert sind. Da gilt auch für Fremde, die das Gerät stehlen oder finden. Genau für diesen Fall sieht das Verfahren die Verpflichtung vor, sich beim Log-In mit Fingerabdruck, Gesichtsscan oder Entsperrungscode als rechtmäßiger Inhaber auszuweisen. BSI-Experte Becker spricht von den „klassischen Sicherheitsmaßnahmen“, die hier schützen sollen.
Aktueller Browser ratsam
Das bedeutet auch: Im entsperrten Zustand sollte das Smartphone tunlichst nicht abhandenkommen. Passiert dies doch, müssten die Daten auf dem Gerät möglichst schnell per Fernzugriff gelöscht werden. Das empfiehlt sich aber nicht nur wegen der Keys, sondern auch wegen vieler anderer Daten auf dem Smartphone wie den privaten Kontakten. Vor der Einrichtung eines Passkeys sollte außerdem darauf geachtet werden, dass die eigene Software – und insbesondere Betriebssystem und Browser – auf aktuellem Stand ist. Laut c’t-Magazin unterstützen die aktuellen Versionen das noch recht junge Verfahren am besten.
Ist der private Teil des Keys auf dem Smartphone hinterlegt, hat dies den Vorteil, den Log-In überall vornehmen zu können, also auch unterwegs. Das schließt eine Nutzung des Keys mit dem heimischen PC nicht aus. Dafür muss das Smartphone am PC als Anmeldegerät für den Account ausgewählt und ein QR-Code vom PC-Bildschirm gescannt werden.
Werden beide Geräte dann noch über Bluetooth gekoppelt, funktioniert der Log-In am Rechner wie übers Handy auch, beispielsweise per Fingerabdruck. „Das klappt seit Android 9 und iOS16 von Haus aus“, sagt c’t-Fachmann Eikenberg.