Was sind Passkeys?

Einfach gesagt, Passkeys ersetzen Passwörter. Passkeys erlauben es Nutzern sich bei Diensten auf die gleiche Art und Weise anzumelden, wie sie es bereits vom Entsperren ihrer Mobilgeräte kennen, beispielsweise mittels eines Scans ihres Fingerabdrucks oder ihres Gesichts.

Passkeys können von Nutzern problemlos eingerichtet werden. Mehr als die Zustimmung beim Einrichten eines Passkeys für das Speichern und Nutzen ist nicht nötig. Das macht die Handhabung für Nutzer sehr einfach und bequem.

Sind Passkeys sicher?

Ein Passkey ist eine Art geheimer Schlüssel, der auf dem Gerät des Nutzers gespeichert wird. Dieser Schlüssel wird entsperrt mittels biometrischer Merkmale des Nutzers. All diese Schritte werden durch extra dafür in den jeweiligen Geräten verbaute Hardware ausgeführt und geschützt.

Dies allein ist bereits ein großer Vorteil im Vergleich zu Passwörtern, wo es technisch unmöglich ist, sicherzustellen, dass Nutzer ihre Passwörter sicher speichern, vom Passwortmanager bis zum kleinen „Spickzettel“ neben dem Monitor ist alles möglich.

Aufgrund ihres Designs sind Passkeys einzigartig je verwendeten Dienst. Im Gegensatz zu Passwörtern, ist es unmöglich Passkeys wiederzuverwenden.

Zusätzlich kennen Dienste, die Passkeys verwenden, weder den geheimen Schlüssel noch haben sie darauf Zugriff. Lediglich ein öffentlicher Schlüssel ist dem jeweiligen Dienst bekannt. „Öffentlich“ bedeutet hier tatsächlich, dass es sich nicht um etwas Geheimes handelt. Der öffentliche Schlüssel ist kryptografisch so beschaffen, dass dieser lediglich vom Dienst dazu verwendet werden kann, zu verifizieren, ob ein Anmeldevorgang tatsächlich vom jeweiligen Passkey stammt.

Das ist ein großer Sicherheitsgewinn. Selbst wenn es zum schlimmsten Fall kommen sollte und ein Dienst verliert durch einen Hackerangriff die öffentlichen Schlüssel, dann können die Angreifer diese Schlüssel nicht dazu verwenden, um sich bei anderen Diensten damit anzumelden.

Sollte man Passkeys schon heute einsetzen?

Die Anzahl der Geräte und Plattformen, die Passkeys unterstützen, ist bereits enorm: Passkey unterstützende Geräte (externer Link; Englisch)

Große Unternehmen wie Apple, Google oder Microsoft forcieren die Verwendung von Passkeys und beginnen damit, diese für ihre Nutzer und Kunden auszurollen.

Zudem implementieren immer mehr Dienste und Anwendungen Passkeys. So hat Meta für WhatsApp erst kürzlich Passkeys aktiviert: „Android Nutzer können einfach und sicher sich mit Passkeys anmelden“ (externer Link, Englisch).

Und selbstverständlich ist die Verwendung von Passkeys auch mit Identity@ThingsRock, unserem Identitäts- und Zugriffsverwaltungsdienst, möglich. Dieser kann kostenlos und schnell ausprobiert werden: ThingsRock Portal.