Was ist ein Passkey?
Bei Passkeys handelt es sich um moderne Authentisierungsmittel, die eine Vielzahl von Vorteilen gegenüber Passwörtern haben und gleichzeitig eine höherer Nutzerfreundlichkeit bieten können. Passkeys sind damit gegen die meisten typischen Bedrohungen, die mit Passwörtern einhergehen, geschützt und bieten eine deutlich höhere IT-Sicherheit.
Funktionsweise
Passkeys basieren im Gegensatz zu Passwörtern auf asymmetrischer Kryptographie. Daher werden sie durch komplexe Berechnungen erzeugt und können nicht einfach von Endnutzerinnen festgelegt werden. Bei korrekter Implementierung des Verfahrens entfällt damit das große Problem schwacher Schlüssel, die verhältnismäßig einfach geknackt werden können. Wenn ein Dienst, beispielsweise eine Webseite, die Verwendung von Passkeys unterstützt, wird bei der Einrichtung eine entsprechende Anfrage an den User Agent, wie dem benutzten Browser oder der verwendeten App, gestellt. Dieser erstellt dann das Schlüsselmaterial unter Verwendung von Meta-Daten des Dienstes, beispielsweise der Domain, und bietet dem Endnutzer gegebenenfalls an, zusätzliche Informationen mit dem Passkey zu verknüpfen. Damit kann unter anderem bei der Verwendung verschiedener digitaler Identitäten, die in dem jeweiligen Kontext richtige für die Authentifikation ausgewählt werden. Um einen Passkey vor unberechtigter Nutzung zu schützen, kann das Schlüsselmaterial zusätzlich mit einem weiteren Authentikator abgesichert werden, beispielsweise mithilfe einer PIN oder biometrischer Verfahren.
Will sich ein Endnutzer an einem Dienst anschließend anmelden, kann nach der Eingabe eines Identitätsmerkmals der damit verknüpfte Passkey durch eine entsprechende Anfrage des Dienstes an den User Agent abgefragt werden. Alternativ kann auch ohne die Angabe einer digitalen Identität eine Auswahl für die Domain passender Schlüssel angeboten werden, wenn der User Agent die Berechtigung dafür besitzt. Wird ein Passkey durch den Endnutzer ausgewählt und dessen Nutzung autorisiert, verwendet der Client den privaten Schlüssel, um eine Challenge, die der Server beim Start des Authentifizierungsvorganges mitgesendet hat, zu signieren. Die Signatur sowie Meta-Daten des Passkeys werden wiederum an den Server zurückgesendet, der anschließend den entsprechenden öffentlichen Schlüssel nutzt, um die Signatur zu prüfen. Passkeys finden in den letzten Jahren immer stärker werdende Verbreitung, insbesondere durch die steigende Unterstützung durch Browser- und Betriebssystem-Hersteller wie Apple und Google. Die hohe Flexibilität beim Einsatz ist neben der gesteigerten Cyber-Sicherheit ein weiteres Argument für die Verwendung. Mit anderen Faktoren auf dem Client abgesichert können sie als primäres Authentisierungsmittel mit starker Multi-Faktor-Authentifikation eingesetzt werden. Aber auch ohne die Verwendung von PIN oder Biometrie auf dem Endgerät können Passkeys sicher eingesetzt werden, beispielsweise selbst als weiterer Faktor bei der Verwendung von Passwörtern. Damit kann im Vergleich zur Nutzung von OTP über ein weiteres Gerät bei höherer Informationssicherheit auch eine bessere Nutzererfahrung erzeugt werden.
Passkeys sind vergleichbar mit den Authentisierungsmitteln des FIDO2-Standards, sollen aber einfacher nutzbar und gleichzeitig leichter zu managen sein. Während in klassischen FIDO2-Anwendungen ein einzelnes Authentisierungsmittel, beispielsweise ein Hardware-Token, verwendet wird, um verschiedene Accounts abzusichern, werden Passkeys für jede einzelnen Account neu erstellt und können sogar vollständig in Software umgesetzt werden. Der Umstieg auf Passkeys stellt daher eine geringere Hürde für Endnutzer dar, da in der Regel keine zusätzliche Hardware angeschafft werden muss. Die Einstiegshürde für Hersteller ist ebenfalls geringer als bei der Verwendung von FIDO-Authentikatoren, da diese von der FIDO Alliance reglementiert werden und bei vollständig standardkonformen Implementierungen nur explizit vertraute Geräte verwendet werden können. Sichere Passkeys können auf die Nutzung von vorhandener Sicherheitshardware setzen, wie Trusted Platform Modules (TPM) und vergleichbaren Security Chips. Dadurch wird die Verwendung schwacher Schlüssel vermieden und eine Bindung des Schlüsselmaterials an die jeweilige Hardware, wie bspw. einem Laptop, erwirkt. Eine Eingabe eines sicheren und damit hinreichend komplexen Passwortes entfällt. Die Verwendung des auf dem Gerät gespeicherten Passkeys kann durch einen bequemeren zweiten Faktor, wie einer PIN oder Biometrie, abgesichert werden. Durch die Verwendung von asymmetrischen Schlüsseln muss zudem kein sensibles Material übertragen und auf einem Server gespeichert werden. Eine Kompromittierung eines Dienstes, beispielsweise durch einen erfolgreichen Angriff auf die Nutzerdatenbank, ermöglicht daher nicht die Extraktion von Schlüsselmaterial, das für Angriffe auf weitere Dienste der Nutzerin verwendet werden kann. Selbst wenn eine Implementierung von Passkeys rein in Software umgesetzt wird und keine Sicherheitshardware verwendet – beispielsweise, wenn ein Passkey über verschiedene Geräte geteilt wird – kann somit eine höhere Sicherheit erreicht werden als mit von Endnutzenden festgelegte Passwörter.
Besondere Mehrwerte Passkey
- Kein Phishing möglich
Passkeys sind resistent gegenüber Phishing, da das Schlüsselmaterial an die jeweilige Domain gebunden wird. Eine manuelle Prüfung, beispielsweise der Einträge im TLS-Zertifikat einer Webseite, ist damit überflüssig. Die Verwendung des Passkeys auf der Webseite eines Angreifers führt außerdem nicht zu einer Kompromittierung, da kein Geheimnis übertragen wird, das abgegriffen werden könnte. - Keine Mehrfachverwendung möglich
Endnutzer können eine große Anzahl von Passkeys verwenden, ohne dass die Gefahr einer Mehrfachverwendung besteht. Die automatische Erzeugung und Verwaltung sorgen dafür, dass selbst ein kompromittierter Schlüssel keine Auswirkung auf andere Dienste hat. Im Gegensatz dazu kann die Verwendung des gleichen Passwortes auf verschiedenen Seiten dazu führen, dass ein gehackter Account eines Dienstes auch die Sicherheit anderer Dienste gefährdet. - Höhere „Komplexität“ (keine schwachen Passkeys)
Im Gegensatz zu Passwörtern müssen sich Endnutzer bei der Verwendung von Passkeys keine neuen Informationen merken. Die automatisierte Erstellung des Schlüsselmaterials sorgt bei korrekter Implementierung dafür, dass keine schwachen Schlüssel verwendet werden können. - Kann mit anderen Faktoren abgesichert werden
In der Regel werden Passkeys mit weiteren Faktoren abgesichert, beispielsweise einer PIN oder Biometrie. Die Überprüfung kann beispielsweise durch das Betriebssystem des Endnutzers erfolgen, sodass der Zugang des Endgeräte-Benutzeraccounts auch die Passkeys sichert. Damit wird für die Verwendung sowohl Besitz als auch Wissen benötigt, weshalb Passkeys ein Multi-Faktor-Verfahren ist. - Gerätebindung möglich
Während Passwörter einzig auf der Geheimhaltung von Wissen basieren und damit leicht in die Hände von Angreifern kommen können, erlaubt die Verwendung von asymmetrischer Verschlüsselung mit Hilfe von Sicherheits-Chips auch eine Gerätebindung. Diese zusätzliche Sicherheitsmaßnahme ist jedoch optional. Zugunsten der Nutzerfreundlichkeit kann auf eine Gerätebindung verzichtet werden, sodass auch eine Synchronisation von Passkeys auf mehrere Geräte möglich ist. - Kein Abfluss durch die Gegenstelle möglich
Ein wesentlicher Nachteil bei der Verwendung von Passwörtern ist die Kenntnis des geteilten Geheimnisses durch den entsprechenden Dienst. Immer wieder kommt es zur Kompromittierung von Nutzeraccounts, indem Datenbanken mit gespeicherten Passwörtern gestohlen werden und einige darin enthaltene Passwörter auch bei anderen Diensten verwendet werden. Bei Passkeys besteht diese Gefahr nicht, da die Gegenstelle – also der Server – keine geheimen Schlüsselanteile enthält. Für die Prüfung der Signatur ist lediglich der öffentliche Schlüssel notwendig, der per Definition kein Geheimnis darstellt.
Nachteile von Passkeys- Für Dienstanbieter komplizierter einzurichten als Passwörter
Die korrekte Implementierung sowohl von dienstseitiger Logik als auch des Passkey-Providers ist komplizierter als die Speicherung und Verwaltung von Passwörtern. Die fortschreitende Unterstützung von Passkeys in Sicherheitsprodukten wie Identity und Access-Management-Systemen (IAM) sowie die steigende Verfügbarkeit von geprüften Software-Bibliotheken mindert diesen Nachteil jedoch zunehmend. - Je nach Umsetzung schwierig zu sichern (Backup im Vergleich zu Papier und Safe)
Passkeys können, insbesondere wenn sie mit Sicherheits-Hardware erzeugt wurden, nicht einfach händisch kopiert werden. Während das ein erheblicher Vorteil für die Sicherheit ist, erschwert es jedoch das Anlegen von Backups. So können Passkeys beispielsweise nicht niedergeschrieben und in einem Safe hinterlegt werden. Stattdessen sollte bei der Verwendung von Passkeys darauf geachtet werden, dass ein sicherer Wiederherstellungsprozess umgesetzt wird, beispielsweise unter Verwendung verschiedener anderer Authentikatoren, mittels Freigabe im Vier-Augen-Prinzip oder einmal verwendbarer Recovery-Codes. - Verbreitungnoch nicht flächendeckend
Eine Umstellung auf eine alleinige Nutzung von Passkeys anstatt Passwörter und/oder OTP ist bisher nicht überall möglich. Jedoch unterstützen inzwischen die meisten beliebteren Web-Browser die Verwendung und auch die Anzahl der das Verfahren anbietenden Dienste steigt in den letzten Jahren drastisch an. Die niedrigen Einstiegshürden sorgen zudem dafür, dass eine Umstellung auch ohne flächendeckende Unterstützung ratsam ist.
„Why Trustworthiness is the Cornerstone of Digitalization“
„Denken in Fallen – Wie kognitive Verzerrungen Sicherheitsentscheidungen sabotieren“ „Different Seas, Different Phishes – Large-Scale Analysis of Phishing Simulations Across Different Industries“ „Cheater im Visier – Wie Spielentwickler den Kampf gegen Betrug führen – Sicherheitsbedrohungen in der Gaming-Welt“
„Lehrbuch Cyber-Sicherheit“
„Übungsaufgaben und Ergebnisse zu Kapitel 5: Identifikation und Authentifikation“ „Bücher im Bereich Cyber-Sicherheit und IT-Sicherheit zum kostenlosen Download“
„Vorlesungen zum Lehrbuch Cyber-Sicherheit“
„Cyber-Resilienz – Idee und Umsetzung“ „Aktuelle Cybersicherheitslage und Cyber-Sicherheitsstrategien“ „Souveräne Datenräume als Treiber für Resilienz und KI-Innovationen“ „Bedrohungslage und Sicherheitsprinzipien für souveräne Datenräume“
„Forschungsinstitut für Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“
„Master-Studiengang Internet-Sicherheit (IT-Sicherheit, Cyber-Sicherheit)“ „Marktplatz IT-Sicherheit“ „Marktplatz IT-Sicherheit: IT-Notfall“ „Marktplatz IT-Sicherheit: IT-Sicherheitstools“ „Marktplatz IT-Sicherheit: Selbstlernangebot“ „Marktplatz IT-Sicherheit: Köpfe der IT-Sicherheit“ „Vertrauenswürdigkeits-Plattform“
„Phishing“
„Cyber-Sicherheit“ „Cyber-Sicherheitsmaßnahmen“ „Identity und Access-Management-Systemen (IAM)“ „asymmetrischer Verschlüsselung“ „Trusted Platform Modules (TPM)“ „TLS-Zertifikat“ „Phishing“
Zurück zur Übersicht
Summary Article Name Passkey Description Passkey ist ein modernes Authentisierungsmittel, das durch Verwendung von asymmetrischer Kryptographie und Phishing-Resistenz sicherer als Passwörter und gleichzeitig einfacher zu verwenden ist. Author Prof. Norbert Pohlmann Publisher Name Institut für Internet-Sicherheit – if(is) Publisher Logo | 
