Passkeys: Wie funktioniert das passwortlose Login | SwissSign

Navigieren auf SwissID

Eine Datensicherheitsspezialistin der Schweizerischen Post
Tobias Bertschi • 01.10.2024

Passkeys: passwortloses Login

Passkeys machen den Login-Vorgang für die Nutzer nicht nur einfacher und bequemer, sondern sorgen auch für mehr Sicherheit. Wie funktioniert diese Technologie?

Passkeys: Wie funktioniert das passwortlose Login?

Immer häufiger wird kein Passwort mehr benötigt, um sich bei verschiedenen Online-Diensten einzuloggen. Sogenannte Passkeys ermöglichen sowohl das Login als auch die Authentifizierung des Nutzers. Doch wie funktioniert diese Technologie und wie sicher ist sie? Ein Überblick.

Was ist ein Passkey?

Ein Passkey ist ein digitaler Berechtigungsnachweis für Online-Dienste. Er ermöglicht sowohl das Login als auch die Authentifizierung eines Nutzers, ohne ein Passwort und zum Beispiel einen SMS-Code eingeben zu müssen.

Wie funktioniert das Login mit einem Passkey?

Kurz erklärt: Möchte sich der Nutzer bei einem Online-Dienst anmelden, schlägt ihm sein Gerät den gespeicherten Passkey für die Authentifizierung vor. Um die Login-Anfrage zu bestätigen, muss er danach lediglich sein verknüpftes Gerät entsperren, zum Beispiel mittels Fingerabdrucksensor oder Gesichtserkennung. Dadurch beweist er, dass er Zugriff auf den verwendeten Passkey hat.

Passkeys vs. Passwörter: der Vergleich in Zahlen

Erfolgsrate der Login-Versuche

  • Passwörter: 14%
  • Passkeys: 64%

Dauer des Login-Vorgangs

  • Passwörter: 30 Sekunden
  • Passkeys: 15 Sekunden

Quelle: Making authentication faster than ever: passkeys vs. passwords

Exkurs: Das Problem mit Passwörtern

Werden Passwörter richtig verwendet, sind auch sie eine sichere Methode zum Login. Das Problem hierbei ist es jedoch, dass sich Nutzer häufig unzählige Passwörter merken müssen. Die Folge: Es werden zu einfache Passwörter definiert oder dasselbe Passwort wird für den Zugang zu verschiedenen Online-Diensten verwendet. Passwort-Manager helfen hierbei zwar, denn sie speichern die Zugangsdaten und füllen diese beim entsprechenden Online-Dienst – falls gewünscht – automatisch aus. Häufig muss die Login-Anfrage danach jedoch noch mit einem zweiten Faktor bestätigt werden. Ausserdem werden die Passwörter oftmals auf den Servern der Online-Dienste gespeichert, was diese für Hacker wieder zu einer attraktiven Angriffsplattform macht.

Passkeys: schneller, einfacher und sicherer

Passkeys gelten als einfachere und sicherere Login-Methode als Passwörter. Doch weshalb ist das so?

Das Login mittels Passkey ist für die Nutzer einfacher und bequemer, denn die Notwendigkeit eines zusätzlichen zweiten Faktors entfällt. Stattdessen können sie sich mittels Fingerabdrucksensor, Gesichtserkennung oder PIN authentifizieren. Somit stellt der private Schlüssel den ersten und beispielsweise der Fingerabdruck den zweiten Faktor dar. Ausserdem sind Passkeys standardisiert. Das heisst, dass sie einmalig eingerichtet werden müssen und danach auf allen Geräten genutzt werden können.

Und auch bezüglich Sicherheit sind Passkeys die bessere Alternative: Statt eines Passworts wird nur ein öffentlicher Schlüssel auf dem Server gespeichert. Das macht es für Angreifer deutlich weniger interessant, sich überhaupt in solche Server zu hacken. Ausserdem funktionieren Passkeys nur bei registrierten Webseiten und Apps. Der Browser oder das Betriebssystem übernimmt die Prüfung und schützt die Nutzer dadurch vor Phishing-Attacken.

Ein Passkey ist ein sicherer, benutzerfreundlicher digitaler Nachweis, der mithilfe der Public-Key-Kryptografie Passwörter und zusätzliche zweite Faktoren ersetzt.

Wie funktionieren Passkeys genau?

Passkeys basieren auf dem Prinzip der asymmetrischen Verschlüsselung. Auf Ihrem Mobiltelefon wird ein privater Schlüssel gespeichert. Diesen können Sie sich als eine lange, zufällig generierte Zeichenfolge vorstellen. Anders als ein Passwort, wird dieser niemals mit dem verknüpften Online-Dienst geteilt.

Möchten Sie sich nun bei einem Online-Dienst einloggen, wird eine Anmeldeaufforderung an Ihr Gerät geschickt. Dieses signiert die Anforderung mit Ihrem privaten Schlüssel und sendet die Anfrage zur Kontrolle an den Online-Dienst zurück. Der Zugriff auf den privaten Schlüssel ist dabei zum Beispiel mittels Fingerabdruck abgesichert. Mithilfe des öffentlichen Schlüssels prüft der Server danach, ob der richtige private Schlüssel verwendet wurde und bestätigt in diesem Fall die Login-Anfrage.

Die Vorteile von Passkeys zusammengefasst

  • Schutz vor Phishing

  • Minderung von Verletzungen der Datensicherheit

  • Benutzerfreundlicheres Login

Exkurs: Gerät vs. Cloud

Passkeys, die nur auf dem Gerät gespeichert werden, werden nicht geräte-übergreifend synchronisiert und können daher auch nur auf diesem spezifischen Gerät für das Login verwendet werden. Speichern Sie diese jedoch in Ihrem Cloud-Schlüsselbund, können Sie diese auf allen Geräten nutzen, die in Ihrem Konto – zum Beispiel Google oder iCloud – angemeldet sind.

Wenn Sie sich bei einem Online-Dienst normalerweise über Ihr Mobiltelefon einloggen, haben Sie darauf vermutlich auch Ihren Passkey erstellt und gespeichert. Wenn Sie nun den gleichen Online-Dienst auf Ihrem Computer aufrufen, können Sie trotzdem Ihr Mobiltelefon für die Authentifizierung verwenden. In den meisten Fällen erhalten Sie beim Login eine Push-Benachrichtigung auf Ihrem Gerät. Danach bestätigen Sie die Login-Anfrage mittels Biometrie oder Pin.

Probleme kann es jedoch geben, wenn Sie Geräte mit verschiedenen Betriebssystemen verwenden. Hierfür können Sie jedoch Passwortmanager von externen Passkey-Anbietern oder die cloud-basierten Lösungen von Google, Apple usw. nutzen und alle Passkeys – unabhängig vom Betriebssystem – an einem Ort speichert.

Fazit

Passwörter eingeben war gestern! Passkeys machen den Login-Vorgang für die Nutzer nicht nur einfacher und bequemer, sondern sorgen auch für mehr Sicherheit. Das passwortlose Anmeldeverfahren wird heute bereits von grossen Anbietern wie Amazon und Google unterstützt. In der nahen Zukunft werden sicherlich noch zahlreiche weitere Online-Dienste dazukommen und Passkeys langsam aber sicher zum Login-Standard werden.

Zur Übersicht

Das könnte Sie auch interessieren

Adrian Mueller • 21.11.2024

PKI – Was ist Public Key Infrastructure?

Was ist eine Public Key Infrastructure (PKI)? Die Basis für SSL-Zertifikate, digitale Signaturen und mehr – für digitale Sicherheit und Effizienz in Unternehmen
Cybersecurity PKI & Zertifikate
Torsten Kahlstadt • 17.12.2024

Was ist integrale Sicherheit?

Ein umfassendes Sicherheitskonzepts, das neben den zwei Säulen der physischen Sicherheit und der IT-Sicherheit organisatorische, personelle und rechtlich-regulatorische Massnahmen integriert – und wie es SwissSign als Trust Service Provider umsetzt.
Cybersecurity
SwissSign • 30.08.2024

SSL/TLS: DV, OV oder EV?

Für einen professionellen Webauftritt benötigen Sie auf jeden Fall ein SSL/TLS-Zertifikat. Aber welche Validierungsstufe ist die richtige: Domain-validiert (DV), organisationsvalidiert (OV) oder "Extended" validiert (EV)?
Cybersecurity PKI & Zertifikate

SwissSign

Ressourcen

Wissen

Support

Eine Datensicherheitsspezialistin der Schweizerischen Post

Logo von «Die Post», Sie gelangen zur Website von «Die Post».