Google arbeitet derzeit an Android 14, das im Laufe des Jahres veröffentlicht werden soll. Eine der Verbesserungen soll die Möglichkeit sein, Passkeys für Drittanwender-Apps zu verwalten. Erfahre im Folgenden alles Wichtige über Passkeys und ihre Vorteile, aber auch Nachteile.
Was sind Passkeys?
Passkeys sollen Passwörter durch eine sicherere Authentifizierungsoption ersetzen; es wird auch von der passwortlosen Zukunft gesprochen. Das Wort Passkey setzt sich aus „pass“ für Passwort und „key“ für Schlüssel zusammen, also ein „Passwort-Schlüssel“.
Bei der ersten Anmeldung bei einem Konto erzeugst du ein individuelles Schlüsselpaar, das nur für diesen Account gültig ist. Auf der Webseite oder in der App wird ein sogenannter öffentlicher Schlüssel erzeugt, auf deinem Gerät hingegen ein privater Schlüssel.
Jedes Mal, wenn du dich anmeldest, erzeugt das verbundene Gerät ein neues einmaliges Passwort, das von dem privaten Schlüssel verschlüsselt wurde; nur der öffentliche Schlüssel kann dieses entschlüsseln.
Diesen Vorgang startest du durch eine biometrische Anmeldung (Fingerabdruck, Gesichtserkennung, etc.) oder durch die Eingabe einer PIN.
Ein Passwort verändert sich nie, Passkeys hingegen erstellen jedes Mal neue, einmalige Codes, die verschlüsselt sind. Zudem kannst ausschließlich du einen Passkey nutzen, die Kombination aus Benutzernamen und Passwort hingegen theoretisch jeder.
Vor- und Nachteile von Passkey
Im Folgenden zeigen wir dir die Vor- und Nachteile von Passkey.
Vorteile
Ein langes und starkes Passwort für jedes Konto ist wichtig. Beim Passkey-Verfahren muss sich der Anwender kein Passwort mehr merken, und die Gefahr sinkt, dass Hacker Zugangsdaten stehlen, weil Kennwörter zu schwach sind oder für mehrere Konten verwendet werden.
Passkeys können auch bei Phishing-Angriffen nützlich sein. Wenn du kein festes Passwort besitzt, können Cyberkriminelle es auch nicht stehlen, indem sie dich zum Beispiel auf gefälschte Webseiten führen oder E-Mails mit virenverseuchten Anhängen verschicken.
Auch sind die Zeiten vorbei, in denen Hacker im großen Stile Passwörter erbeuten können, wie es bei Facebook 2021 der Fall war, als 500 Millionen Nutzerdaten entwendet wurden. Denn die Passwörter sind nicht länger auf den Webseiten selbst gespeichert.
Nachteile
Es ist wegen der genannten Eigenschaften des Passkey-Verfahrens nicht länger möglich, sich Konten zu teilen. Das ist zum Beispiel bei Streaming-Diensten wie Amazon oder Netflix ein Nachteil.
Wenn du dein Smartphone oder Laptop verlierst, mit dem du dich identifizierst, kann es sein, dass du dich nicht mehr anmelden kannst. Eine Option bietet die Speicherung der Schlüsselpaare in der Cloud, doch auch hier muss es wiederum einen Sicherheitsschlüssel geben, um auf die Cloud zugreifen zu können.
Nicht jede Webseite oder Anwendung wird sich unmittelbar an die neue Technik anpassen. Es kann also sein, dass du deine klassischen Anmeldedaten bei manchen Konten weiterhin brauchst.
Zudem könnten Kriminelle dich zwingen, Zugriff auf dein Konto zu erhalten. Dafür reicht es, wenn sie dir bei einer biometrischen Anmeldung einfach das Smartphone vors Gesicht halten oder den Finger auf den Sensor legen.
Die klassische Anmeldung – so schützt du dich
Passkeys sind ein Trend, der sich nicht aufhalten lässt, aber sie werden die klassische Passwort-Anmeldung nicht sofort gänzlich ersetzen. Deshalb gilt es weiterhin, gewisse Vorsichtsmaßnahmen zu treffen, um deine Konten so sicher wie möglich zu halten.
Nutze einen Passwort-Manager
Das Allerwichtigste ist, dass du stets ein langes und starkes Passwort wählst. Das bedeutet, es sollte aus Buchstaben, Zahlen und Sonderzeichen bestehen, und du solltest für jedes Konto ein anderes Kennwort nutzen.
Hilfe kann dir dabei ein Passwort-Manager liefern, der sichere Passwörter für dich erstellt und in einem virtuellen Tresor abspeichert, auf den du von all deinen Geräten aus zugreifen kannst. Du musst dir nur noch das sogenannte Master-Passwort merken, das deine Zugangsdaten freischaltet.
Zwei-Faktor-Authentifizierung (2FA)
Darüber hinaus kannst du deine Konten mit einer Zwei-Faktor-Authentifizierung (2FA) schützen. Das bedeutet, du musst zu deiner Anmeldung zusätzlich einen einmaligen Code eingeben, der von einer App erzeugt wird oder dir per SMS zugesandt wird. Im Online-Banking-Bereich ist dies seit längerer Zeit verpflichtend, und bei anderen Konten hast du oft die Möglichkeit, eine 2FA zu aktivieren. Den kleinen Mehraufwand ist es auf jeden Fall wert, vor allem weil du den Code meist nur dann eingeben musst, wenn du von einem anderen Gerät oder Browser auf dein Konto zugreifst.
Sensibilisierung für Phishing
Ein großes Risiko für die Sicherheit deiner Konten ist das Phishing. Wie erwähnt, mindern Passkeys die Gefahr deutlich, doch solange du deine klassischen Zugangsdaten verwendest, ist es ratsam, sich für Phishing zu sensibilisieren. Denn die Attacken werden immer raffinierter und häufiger.
Oftmals lassen sich gefälschte E-Mails kaum noch erkennen. Konntest du früher noch anhand des Designs oder aufgrund von Rechtschreibfehlern erkennen, dass es sich um eine Phishing-Mail handelt, ist das heute schon schwieriger.
Allgemein solltest du bei E-Mails von unbekannten Absendern skeptisch sein; und auch vermeintliche Nachrichten von zum Beispiel deiner Bank, PayPal oder Amazon, in denen du aufgefordert wirst, deine Zugangsdaten zu bestätigen, sind sehr wahrscheinlich nicht echt. Lösche diese Nachrichten umgehend und kontaktiere im Zweifelsfall den Absender