Passkeys Einmaleins: Das steckt hinter der Passwort-Alternative
Passwort-Sicherheit ist ein Dauerbrenner. Häufig sind Passwörter Sicherheitsrisiko Nummer 1, weil sie beispielsweise nicht stark genug gewählt oder mehrfach verwendet wurden. Daher arbeiten wir und andere in der Branche schon lange an sichereren Alternativen und haben 2022 Passkeys vorgestellt und sie im Oktober 2023 zum Standard in Google-Konten gemacht. Passkeys gelten als Phishing-sicher und bereiten den Weg für eine passwortlose Zukunft. Seit ihrer Einführung wurden sie schon mehr als eine Milliarde Mal zur Authentifizierung von Nutzer*innen in über 400 Millionen Google-Konten verwendet.
Das bedeutet aber nicht, dass sie im Alltag angekommen. Im Gegenteil: Noch immer haben Nutzer*innen viele Fragen zu der neuen Technologie. In den vergangenen zwölf Monaten (April 2023 – April 2024) war die meistgestellte Frage von Nutzer*innen in Deutschland laut Google Trends zu dem Thema "Was ist ein Passkey?" gefolgt von "Wer unterstützt ein Passkey?". Darauf und auf weitere Fragen zu dem Thema möchten wir euch hier eine Antwort geben.
Was sind Passkeys und wie funktionieren sie?
Kurz gesagt: Passkeys sind der nächste Schritt in eine passwortlose Zukunft. Ziel von Passkeys ist es, sowohl das Passwort als auch die traditionelle Multi-Faktor-Authentifizierung zu ersetzen. Die Autorisierung findet stattdessen einfach mit dem eigenen Fingerabdruck, einem Gesichtsscan oder der Bildschirmsperre auf allen Geräten, Apps und Websites statt. Das System dahinter ist relativ simpel: Ein Passkey besteht aus zwei Teilen – einem öffentlichen Schlüssel auf dem Server der Website, bei dem ihr euch anmeldet, und einem entsprechenden privaten Schlüssel auf eurem Gerät. Wenn ihr euch anmeldet, prüft die Website, ob euer öffentlicher Schlüssel mit eurem privaten Schlüssel übereinstimmt. Um dies zu überprüfen, werdet ihr einfach aufgefordert, euer Gerät zu entsperren auf die Art & Weise, wie ihr es festgelegt habt, wie z.B. mit einem Fingerabdruck. Jetzt werdet ihr auf eurem Konto angemeldet. Euer privater Schlüssel und eure biometrischen Daten bleiben dabei sicher auf eurem Gerät.
So erstellt ihr Passkeys für euer Google Konto
Erstellen könnt ihr Passkeys auf eurem Smartphone, aber auch Laptop oder Computer und es muss in jedem Fall eine Displaysperre aktiviert sein. Möchtet ihr euer Smartphone nutzen, um euch auf eurem Computer anzumelden, muss auch Bluetooth aktiviert sein.
Passkeys auf Android-Geräten zu verwenden ist simpel, denn als Android-Nutzer:in müsst ihr keinen Passkey erstellen – er ist bereits in eurem Google Konto, das ihr primär für das Gerät verwendet, für euch angelegt. Solltet ihr ein iOS-Betriebssystem oder ein weiteres Google Konto auf eurem Android Smartphone nutzen, oder Passkeys an eurem Rechner verwenden wollen, könnt ihr einen Passkey so in eurem Google Konto erstellen:
Meldet euch zunächst in eurem Google Konto an. Geht auf den Reiter „Sicherheit“ und scrollt zu „So melden Sie sich in Google an“. Hier wird euch die Option Passkeys angezeigt. Falls euer Konto bereits einen Passkey enthält, weil ihr beispielsweise auf einem anderen Gerät Android-Nutzer:in seid, ist dieser hier bereits automatisch registriert. Sollte noch kein Passkey hinterlegt sein, geht auf „Passkey erstellen“ und folgt den Anweisungen.
Diese vier Schritte durchlauft ihr, um einen Passkey im Google Konto zu erstellen.
Wenn ihr den Passkey auf mehreren Geräten verwenden möchtet, wiederholt ihr den Vorgang einfach auf den entsprechenden Geräten. Achtet darauf, dass ihr keine gemeinsam genutzten Geräte über den Passkey sichert. Lasst diese lieber Passwortgeschützt, da jede Person mit dem Passkey auch Zugang auf euer Google Konto erhält.
Können nun alle Passwörter gelöscht werden?
Passkeys können über kurz oder lang alle Passwörter ersetzen – nur noch nicht heute. Denn noch nicht alle Dienste bieten aktuell eine Passkey-Authentifizierung an. Daher empfehlen unsere Expert:innen aus dem Google Safety Engineering Center, auf den Dreiklang von Passkeys, Passwörter und die 2-Faktor-Authentifizierung zu setzen. Und in diesem Zusammenhang auf jeden Fall einen Passwortmanager zu nutzen, wie er im Google Konto integriert ist. Er erstellt und speichert für euch starke und einzigartige Passwörter – und das auf jedem Gerät.
In den vergangenen zwei Jahren haben sich aber schon viele Anbieter dazu entschieden, Passkeys zu integrieren. Dazu zählen unter anderem Amazon, 1Password, Dashlane, Docusign, Kayak, Mercari, Shopify, eBay, Uber, PayPal und Whatsapp.