Passkey bietet einen hohen Schutz gegen aktuell bekannte Phishing-Methoden. Das liegt zum einen daran, dass Anwenderinnen und Anwender ihre Zugangsinformationen nicht mehr versehentlich weitergeben können, Passkeys auf Phishing-Webseiten nicht funktionieren und schwache Passwörter im Optimalfall gar nicht mehr zum Einsatz kommen. Der Client prüft sowohl bei der Registrierung als auch bei jedem Anmeldeversuch, ob die Webseite bzw. der Webdienst auch derjenige ist, für den er sich versucht auszugeben. Auf diese Weise kann ein Passkey nur für den einen, korrekten Zugang genutzt werden, für den er generiert wurde.

Was Passkeys sind, wie sicher der Login mit dieser Passwortalternative ist und was man tun muss, falls Passkeys verloren gehen, haben wir im Beitrag Schafft die Passwörter ab?! erklärt.

Die kryptografische Grundlage für Passkey bildet das sichere und etablierte Web-Authentication-Protokoll, kurz WebAuthn. Dieser Standard, bisher hauptsächlich bekannt als Kernkomponente von FIDO2, nutzt asymmetrische Kryptografie in Verbindung mit einem Challenge-Response-Verfahren zur sicheren Authentifizierung.WebAuthn benötigt immer drei Komponenten:

1. Die Relying Party gegenüber der man sich authentifizieren möchte, also z. B. eine Webseite oder ein Onlinedienst.
2. Den Client, welcher die Schnittstelle zwischen Relying Party, sich authentifizierendem Nutzer und dem Authentikator technisch umsetzt. Der Client ist typischerweise als Bestandteil des Browsers oder des Betriebssystems des Mobiltelefons implementiert.
3. Den Authentikator, der das benötigte Schlüsselmaterial erzeugt, nutzt und sicher verwahrt. Das kann ein Hardware-Token sein, aber auch als ein Teil des Betriebssystems eines PC, Tablets oder Smartphones oder als weitere Software realisiert sein.

Bevor sich ein Nutzer oder eine Nutzerin mittels Passkey auf einer Webseite sicher anmelden kann, muss man diesen zunächst registrieren. Hierzu erzeugt der Authentikator u. a. ein neues Schlüsselpaar, also einen geheimen privaten Schlüssel und einen zugehörigen öffentlichen Schlüssel. Der private Schlüssel wird sicher verwahrt, wohingegen der öffentliche Schlüssel der Webseite zur Verfügung gestellt wird. Ein Authentikator muss für jede Webseite und für jeden Benutzer ein eigenes Schlüsselpaar erzeugen, wodurch ein echter Mehrwert für Sicherheit und Datenschutz entsteht.

Möchte man sich nach erfolgter Registrierung mittels Passkey anmelden, sendet die Webseite eine Nachricht an den Client, die eine kryptografische Challenge enthält. Die Challenge ist nicht mehr als eine hinreichend große Zufallszahl. Die korrekte Antwort auf die Nachricht der Webseite ist eine kryptografische Signatur, u. a. über genau diese Challenge. Der Authentikator erstellt genau diese Signatur mittels des privaten Schlüssels, welcher der anfragenden Webseite und dem gewünschten Nutzer zugeordnet ist. Die Webseite prüft schließlich anhand des bei der Registrierung hinterlegten öffentlichen Schlüssels, ob die Signatur korrekt ist. Ist das der Fall, ist die Authentifizierung erfolgreich abgeschlossen. Bei der herkömmlichen Authentifizierung mittels Nutzername und Passwort dient letzteres als Geheimnis, das der rechtmäßige Nutzer oder die Nutzerin wie auch der Onlinedienst kennt, und damit als Nachweis, dass es sich tatsächlich um diesen User handelt. Im Gegensatz dazu wird bei Passkeys kein Geheimnis mehr benötigt, welches sowohl der Relying Party als auch dem Nutzer bekannt sein und zur Authentifizierung ausgetauscht bzw. präsentiert werden muss. Der private Schlüssel verbleibt nämlich bei dem Nutzer und wird nicht etwa versendet oder offengelegt.

Passkey und die Zwei-Faktor-Authentisierung

Auch Passkey benötigt einen zweiten Faktor, um sicher anwendbar zu sein. Denn ohne zum Beispiel eine zusätzliche biometrische Hürde könnte jede Person, die ein Smartphone findet, einen Laptop ausleiht oder ein Tablet stiehlt, die Zugänge des Eigentümers kompromittieren. Daher muss der Authentikator vor der Nutzung entsperrt werden, sodass die Anmeldung per Passkey immer aus dem Faktor Besitz, nämlich dem Besitz des geheimen Schlüssels, und dem Faktor Wissen (z.B. eine PIN) oder dem Faktor Biometrie (z. B. ein Gesichtsscan) besteht. Dieser zweite Faktor wird lediglich gegenüber dem Authentikator präsentiert. Das heißt insbesondere, dass dieser nicht bei den Relying Parties beziehungsweise den Onlinediensten hinterlegt werden muss.
Dennoch bedeutet dieser zweite Faktor für Nutzende keinen merklichen Aufwand, da sie lediglich zum Beispiel ihren Fingerabdruck scannen und die kryptografischen Berechnungen um den Faktor Besitz im Hintergrund ablaufen. Deshalb bietet Passkey einen großen Komfortgewinn, ohne hierbei Sicherheit einzubüßen.

Passkey, FIDO2, usw. - Was heißt das und gibt es Alternativen?

FIDO2 ist ein Standard, der gemeinsam von der FIDO-Allianz und dem World Wide Web Consortium (W3C) entwickelt wurde. Zur FIDO-Allianz gehören zahlreiche internationale Tech-Unternehmen und seit 2015 auch das BSI. Die Abkürzung steht für Fast Identity Online. Der Standard kombiniert das Client to Authenticator Protocol (CTAP) mit der Web-Authentifizierungs-API (WebAuthn), um eine starke passwortlose Authentifizierung inklusive Zwei-Faktor-Authentifizierung zu realisieren. FIDO2 wurde bereits in viele Betriebssysteme, Browser und gängige Onlinedienste implementiert, um sichere passwortlose Zugänge zu ermöglichen und liegt Passkey zugrunde.

Passkey erweitert diesen FIDO2-Standard, damit die passwortlose Anmeldung für Anwenderinnen und Anwender, aber auch für Plattformbetreiber und Hersteller, attraktiver und nutzbar wird. Das bedeutet, dass ein Passkey im Gegensatz zu FIDO2-Schlüsseln nicht nur an genau den Authentikator gebunden ist, auf dem er erzeugt wurde. Die geheimen Schlüssel sind also duplizierbar, lassen sich in einer Cloud hinterlegen oder mit weiteren Geräten synchronisieren. Dadurch kann der entsprechende Passkey bei Diebstahl oder Verlust des Authentikators wiederhergestellt werden. Hardware-Token, beispielsweise spezielle USB-Sticks, sind für die Verwendung von Passkey nicht zwingend nötig; ein Smartphone oder ein Computer können genauso mit Passkeys verknüpft werden. Passkey ist keine Marke oder ein Produkt, sondern eine Technologie, die von Onlinediensten eingebunden und für den Login angeboten werden kann. Wenngleich die FIDO2-Protokolle hinter Passkey als zuverlässige und sichere Authentisierungsmethode gelten, geht mit der Kopierbarkeit und der Speicherung der Schlüssel in Anbieter-Clouds ein gewisser Sicherheitsverlust einher. In der Theorie könnten die Server kompromittiert, die Schlüssel kopiert und missbraucht werden. Aus diesem Grund sind Hardware-Token zwar komplizierter in der Handhabung, haben für den Hochsicherheitsbereich aber weiter ihre Vorteile.

Newsletter: Alle 14 Tage auf Nummer sicher gehen:
Mit dem Newsletter 'Sicher Informiert' und den Sicherheitshinweisen des BSI erhalten Sie regelmäßig Informationen zu aktuellen Sicherheitslücken und wichtigen Ereignissen rund um IT-Sicherheit. Sowohl leicht verständliche Erklärungen, praxisnahe Tipps, aber auch tiefergehende technische Details bringen Sie auf den aktuellen Stand. Zum Newsletter 'Sicher Informiert'.

Passkey verloren – und nun?

Falls ihr Gerät, auf dem Ihre Passkeys hinterlegt sind, verloren gegangen ist oder gestohlen wurde, können Sie Ihre Zugänge dann wiederherstellen, wenn Sie entweder physische Backups angelegt haben oder wenn Ihre Passkeys in einer Cloud synchronisiert werden. Sollten Sie keine Sicherheitskopien Ihrer Passkeys besitzen, bieten einige Dienste weitere Möglichkeiten, Ihre Identität nachzuweisen und so beispielsweise einen neuen Passkey für Ihren Zugang zu erstellen. In seltenen Fällen kann es aber vorkommen, dass Sie sich nach dem Verlust Ihres Geräts nicht mehr einloggen können. Dann müssen Sie den Anbieter kontaktieren und den Account wiederherstellen.