Passkeys sind die moderne Lösung für sichere Authentifizierung ohne Passwort. Sie bieten eine benutzerfreundliche und sichere Methode, um sich auf Websites, Systemen und Diensten anzumelden.
Passkeys eliminieren die Notwendigkeit von Passwörtern, die oft schwach und anfällig für Angriffe sind. Es gibt nichts zu merken und du kannst sie mit den Geräten verwenden, die du bereits besitzt, wie deinem Smartphone oder Laptop. Zahlreiche Browser, Betriebssysteme und Internetanwendungen unterstützen Passkeys bereits.
Wie funktionieren Passkeys
Passkeys basieren auf dem WebAuthentication- oder WebAuthn-Standard, die asymmetrische Verschlüsselung (public-key cryptography) verwendet, um deine Benutzer-Konten besser zu sichern.
Sie basieren auf öffentlichen und privaten Schlüsselpaaren, die von einem deiner Endgeräte generiert und dort sicher gespeichert werden. Dadurch werden viele Sicherheitsrisiken vermieden, die mit traditionellen Passwörtern verbunden sind.
Während dieses Anmelde-Prozesses …
wird die Website dich bitten, deinen Authenticator zu bestätigen. Das kann dein Smartphone, ein anderes mobiles Gerät oder ein Passwort-Manager sein, der Passkeys unterstützt. Der Authenticator fordert immer noch eine weitere Form der Verifikation, um auf dein Passwort zugreifen zu können. Während dies ein Master-Passwort sein könnte, wie bei einem Passwort-Manager, kann es auch biometrische Daten sein. Durch die Verwendung deines Gesichts oder Fingerabdrucks machst du den Prozess nicht nur sicherer, sondern musst dir auch kein Passwort für deinen Authenticator merken.
Beim Einloggen …
sendet der Server der Website eine sogenannte Challenge an den Authenticator, die der AUthenticator mittels privatem Schlüssel löst und als Antwort an den Server zurücksendet. Während der Server überprüfen kann, ob öffentliche und private Schlüssel übereinstimmen, muss er den Inhalt deines privaten Schlüssels nicht kennen, um ihn zu verifizieren. Sobald dies abgeschlossen ist, kannst du auf das Konto zugreifen, das du mit einem Passkey anstelle eines Passworts eingerichtet hast.
Üblicherweise verwendest du die Passkeys dort, wo du sie gespeichert hast. Willst du einen Passkey am Telefon nutzen um dich mit deinem Computer einzuloggen sieht der Vorgang etwas anders aus: In diesem Fall generiert die Website einen QR-Code, den du mit deinem Smartphone scannst, und dann kannst du dich mit einem Passkey anmelden. Dein Computer muss über Bluetooth verfügen, um eine sichere Verbindung zwischen ihm und deinem Smartphone herzustellen.
Wie führt man Passkeys in Unternehmen ein?
Die Implementierung von Passkeys kann durch moderne Authentifizierungssysteme und Plattformen erfolgen, die diese Technologie unterstützen. Es ist wichtig, sicherzustellen, dass alle relevanten Systeme und Geräte kompatibel sind. Eine schrittweise Einführung, unterstützt durch Schulungen und klare Kommunikation, erleichtert den Übergang für die Mitarbeiter.
Passkeys bieten zahlreiche Vorteile
Passkeys bieten neben erhöhter Sicherheit auch eine verbesserte Benutzerfreundlichkeit. Mitarbeiter müssen sich keine komplizierten Passwörter merken und haben einen schnelleren und reibungsloseren Zugang zu Systemen. Außerdem reduzieren Passkeys die Kosten und den Aufwand für Passwortverwaltung und -wiederherstellung.
Passkeys können weder durch Datenlecks noch durch Phishing-Angriffe gestohlen werden. Cyberkriminelle und Hacker nutzen oft Phishing oder Social Engineering, um Zugang zu Benutzername und Passwort zu erhalten, um Konten zu stehlen. Bei Passkeys haben Sie jedoch einen privaten und einen öffentlichen Schlüssel, und während der öffentliche Schlüssel auf den Servern eines Unternehmens bleibt, verbleibt der private Schlüssel auf Ihrem Gerät und kann nur mit erheblichen Aufwand gestohlen werden.
Relevante Glossareinträge
Identity und Access Management
Weiterführende Links
Der WebAuth Standard wurde vom W3C (World Wide Web Consortium) unter Einbeziehung der FIDO-Allianz veröffentlicht