Passkey: Die Antwort auf die Herausforderungen von Phishing-Angriffen

Tauchen Sie ein in die Ära der modernen Identitätsüberprüfung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt revolutionieren können und entdecken Sie die technischen Hintergründe jener innovativen Sicherheitsmethode. Adieu Passwörter, adieu Phishing. Hallo neuer und innovativer Login via Passkey! Simpel, schnell und sicher.

Im Jahr 2012 wurde die FIDO-Alliance erschaffen. Das Ziel: Einen lizenzfreien modernen Standard für die Authentifizierung im Web entwickeln (FIDO = Fast IDentity Online). Der amerikanischen Organisation gehören viele „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba und Amazon. Die Organisation hat eine innovative Technologie entwickelt, welche wir in diesem Artikel unter die Lupe nehmen möchten: Identitätsüberprüfung mit Passkeys. Die Absicht der FIDO: Rasche Online-Ausweisung. Passwörter sollen abgeschafft plus Logins zwar bequemer, jedoch gleichzeitig auch sicherer gemacht werden. Doch wie soll das bloß gelingen?!

Warum sind Passkeys wichtig?

In einer gegenwärtigen Analyse von 1Password gab jeder (!) Befragte an, schon einmal direkt oder indirekt mit Phishing in Berührung gelangt zu sein. Insofern verwundert es keineswegs, dass der Hauptanteil der Teilnehmer eine sichere Login-Methode für ihre Online-Accounts für äußerst wichtig hält (Quelle). Die Zwei-Faktor-Authentifizierung (2FA) erscheint hier zwar in der Theorie nach einer guten Option, hat jedoch einen größeren Haken: Man kann sich unglaublich leicht selbst heraussperren aus den eigenen Konten. Von dem zeitlichen Aufwand mal ganz abzusehen. Simpel und „smooth“ ist der 2FA-Login auf keinen Fall. Außerdem werden selbstverständlich ebenso Hacker immer klüger: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Methoden gefunden, SMS abzufangen und auf diese Weise an den zweiten Faktor für die Authentifizierung zu kommen. Tatsächlich geschützt wäre ein Login demnach bloß, wenn es gar keine Zugangsdaten gäbe, die man ausspionieren könnte. Und genau an dieser Stelle kommen Passkeys auf den Radar!

Passkeys, auch bekannt als Sicherheitsschlüssel oder Authentifizierungsschlüssel, werden zunehmend zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegenteil zu gewöhnlichen Passwörtern bieten diese eine erweiterte Sicherheitsebene, indem selbige eine physische Komponente in die Authentifizierung einbeziehen. Diese Eingebung hinter Passkeys ist, dass der Nutzer Zutritt zu all seinen Online-Konten im Netz hat, ganz ohne dass man sich ein jedes Mal mit Loginnamen sowie Passwort einloggt. Erklärtes Ziel der so bezeichneten Passkey-Technologie ist es, ohne Zugangsdaten auszukommen, die ausspioniert werden können. Selbige wurden erschaffen, um eine passwortlose Registrierung bei Websites sowie Apps zu gewähren und das Benutzererlebnis bequemer und phishing-sicher zu formen.

Aber wie funktioniert das? Also, bei der Generierung eines Accounts bei einem Online-Dienst, der Passkeys unterstützt, werden zwei Schlüssel generiert, die untereinander mathematisch verbunden sind:

  • Ein öffentlicher Schlüssel – dieser wird mit dem Dienst, sagen wir mal einer Webseite oder einer Applikation geteilt und dient dazu, Informationen zu codieren, die lediglich der private Schlüssel entschlüsseln kann.

  • Einen privaten, asymmetrischen Krypto-Schlüssel – das ist eine äußerst lange, total zufällig generierte Abfolge von Kennzeichen. Jener private Schlüssel ist einzig auf dem Gerät des Besitzers gespeichert. Auf allen verknüpften Gerätschaften, beispielsweise dem Laptop bzw. Smartphone, ist demnach via Passkey-Login kein Benutzername sowie auch kein Zugangswort mehr nötig.


Um Passkeys verwenden zu können, sind zwei Punkte technisch nötig: Das Endgerät muss das „Client to Authenticator Protocol“ (CTAP2) unterstützen, um geschützt mit dem Webbrowser kommunizieren zu können. Der Online-Service, bei welchem man sich einloggen will, muss darüber hinaus die „WebAuthentication standard API“ unterstützen (WebAuthn). Das ist eine Verbindung, die unabdingbar ist, um sich mit dem Schlüsselprinzip, welchem sich Passkeys bedienen, beglaubigen zu können.

Da Passkeys demzufolge auf den jeweiligen Endgeräten gespeichert werden, drängt sich natürlich sofort eine wesentliche Frage auf: Wie lassen sich die Geräte vor fremden Zugriffen bewahren? Denn in diesem Fall stünden einem Hacker Tür und Tor offen, sobald er ein fremdes Gerät in der Hand hat. Aber glücklicherweise gibt es dafür schon Lösungen: Weil die neumodernen Modelle von Geräten – ob Laptop, Smartphone oder sogar Smart-TV – bieten Geräte- sowie auch App-Entsperrung durch biometrische Scans an. Die bekanntesten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Mischung aus Passkey und biometrischen Daten eine extrem sichere Form der Identitätsüberprüfung.

Diese Anbieter setzen bereits auf Passkeys

Die Anwendung von Passkeys bietet eine ganze Reihe von Vorzügen für Benutzer und Unternehmen. Hierzu gehören eine erhöhte Sicherheit durch die physische Authentifizierungskomponente, eine optimierte User Experience durch nahtlose Einschreibung sowie eine Verkleinerung des Risikos von Phishing-Attacken sowie Passwortdiebstahl. Manche Technologieriesen haben aus diesem Grund ebenfalls bereits Passkeys eingeführt – zuletzt mit viel Furore der Online-Marktplatz Amazon. Und dies wird vermutlich erst der Anfang sein – Fachleute gehen hiervon aus, dass Passkeys sich immer mehr am Markt ausbreiten und als Norm eingesetzt werden.

Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos plus physisch?

Bei Anliegen zum Thema 2FA und Passkeys sprechen Sie uns gerne an. Wir informieren und betreuen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!

Events