Passwortlose Anmeldung mit Passkeys

Passkeys

Einführung

Passkeys sind eine sichere und einfache Alternative zu Passwörtern. Mit Passkeys können sich Nutzer mit einem biometrischen Sensor (z. B. Fingerabdruck oder Gesichtserkennung), PIN oder Muster in Apps und Websites anmelden, sodass sie sich keine Passwörter merken und verwalten müssen.

Sowohl Entwickler als auch Nutzer hassen Passwörter: Sie beeinträchtigen die Nutzererfahrung, sorgen für Conversion-Verluste und haften sowohl für Nutzer als auch für Entwickler. Der Google Passwortmanager in Android und Chrome vereinfacht das automatische Ausfüllen. Für Entwickler, die noch mehr Verbesserungen bei der Konvertierung und Sicherheit wünschen, sind Passkeys und Identitätsföderation die modernen Ansätze der Branche.

Ein Passkey kann die Anforderungen für die Multi-Faktor-Authentifizierung in einem einzigen Schritt erfüllen. Dabei werden sowohl ein Passwort als auch ein OTP (z. B. ein sechsstelliger SMS-Code) ersetzt, um einen robusten Schutz vor Phishing-Angriffen zu bieten und die UX-Schwierigkeiten von SMS- oder anwendungsbasierten Einmalpasswörtern zu vermeiden. Da Passkeys standardisiert sind, ermöglicht eine einzige Implementierung eine passwortfreie Nutzung auf allen Geräten eines Nutzers, in verschiedenen Browsern und Betriebssystemen.

Passkeys sind einfacher:

  • Nutzer können ein Konto auswählen, mit dem sie sich anmelden möchten. Die Eingabe des Nutzernamens ist nicht erforderlich.
  • Nutzer können sich über die Displaysperre des Geräts wie einen Fingerabdrucksensor, Gesichtserkennung oder eine PIN authentifizieren.
  • Sobald ein Passkey erstellt und registriert wurde, kann der Nutzer nahtlos zu einem neuen Gerät wechseln und es sofort verwenden, ohne dass eine erneute Registrierung erforderlich ist (im Gegensatz zur herkömmlichen biometrischen Authentifizierung, die auf jedem Gerät eingerichtet werden muss).

Passkeys sind sicherer:

  • Entwickler speichern statt eines Passworts nur einen öffentlichen Schlüssel auf dem Server. Das bedeutet für böswillige Akteure ist es weitaus weniger wert, in Server einzudringen, und es ist bei einem Datenpannen viel weniger Aufwand erforderlich.
  • Passkeys schützen Nutzer vor Phishingangriffen. Passkeys funktionieren nur bei registrierten Websites und Apps. Nutzer dürfen nicht dazu verleitet werden, sich auf einer betrügerischen Website zu authentifizieren, da der Browser oder das Betriebssystem die Überprüfung übernimmt.
  • Passkeys senken die Kosten für das Senden von SMS und machen sie daher zu einer sichereren und kostengünstigeren Methode für die 2-Faktor-Authentifizierung.

Was sind Passkeys?

Ein Passkey ist ein digitaler Berechtigungsnachweis, der mit einem Nutzerkonto und einer Website oder Anwendung verknüpft ist. Passkeys ermöglichen die Authentifizierung, ohne einen Nutzernamen oder ein Passwort eingeben zu müssen oder einen zusätzlichen Authentifizierungsfaktor anzugeben. Diese Technologie soll alte Authentifizierungsmechanismen wie Passwörter ersetzen.

Wenn sich ein Nutzer bei einem Dienst anmelden möchte, der Passkeys verwendet, hilft ihm der Browser oder das Betriebssystem, den richtigen Passkey auszuwählen und zu verwenden. Das funktioniert ähnlich wie gespeicherte Passwörter. Damit nur der rechtmäßige Inhaber einen Passkey verwenden kann, wird er vom System aufgefordert, sein Gerät zu entsperren. Dies kann mit einem biometrischen Sensor (z. B. Fingerabdruck oder Gesichtserkennung), einer PIN oder einem Muster erfolgen.

Um einen Passkey für eine Website oder Anwendung zu erstellen, muss sich ein Nutzer zuerst bei dieser Website oder Anwendung registrieren.

  1. Rufen Sie die Anwendung auf und melden Sie sich mit der vorhandenen Anmeldemethode an.
  2. Klicken Sie auf die Schaltfläche Passkey erstellen.
  3. Prüfen Sie die mit dem neuen Passkey gespeicherten Informationen.
  4. Verwenden Sie die Displaysperre des Geräts, um den Passkey zu erstellen.

Wenn er dann zu dieser Website oder App zurückkehrt, um sich anzumelden, kann er die folgenden Schritte ausführen:

  1. Öffnen Sie die App.
  2. Tippen Sie auf das Feld für den Kontonamen, um im Dialogfeld für die AutoFill-Funktion eine Liste der Passkeys aufzurufen.
  3. Wählen Sie den Passkey aus.
  4. Verwenden Sie die Displaysperre, um die Anmeldung abzuschließen.

Das Gerät des Nutzers generiert eine Signatur, die auf dem Passkey basiert. Diese Signatur wird verwendet, um die Anmeldedaten zwischen dem Ursprung und dem Passkey zu verifizieren.

Ein Nutzer kann sich mit einem Passkey auf jedem Gerät in Diensten anmelden, unabhängig davon, wo der Passkey gespeichert ist. Ein auf einem Smartphone erstellter Passkey kann beispielsweise für die Anmeldung auf einer Website auf einem separaten Laptop verwendet werden.

Wie funktionieren Passkeys?

Passkeys sind für die Verwendung in der Betriebssysteminfrastruktur vorgesehen, die es Passkey-Managern ermöglicht, Passkeys zu erstellen, zu sichern und für die auf diesem Betriebssystem ausgeführten Anwendungen zur Verfügung zu stellen. Unter Android können Passkeys im Google Passwortmanager gespeichert werden. Dieser synchronisiert Passkeys zwischen den Android-Geräten des Nutzers, die im selben Google-Konto angemeldet sind. Passkeys werden vor der Synchronisierung auf dem Gerät sicher verschlüsselt und müssen auf neuen Geräten entschlüsselt werden. Nutzer mit Android 14 oder höher können ihre Passkeys in einem kompatiblen Passwortmanager eines Drittanbieters speichern.

Nutzer sind nicht darauf beschränkt, die Passkeys nur auf dem Gerät zu verwenden, auf dem sie verfügbar sind. Passkeys, die auf Smartphones verfügbar sind, können bei der Anmeldung an einem Laptop verwendet werden, auch wenn der Passkey nicht mit dem Laptop synchronisiert ist, solange sich das Smartphone in der Nähe des Laptops befindet und der Nutzer die Anmeldung auf dem Smartphone genehmigt. Da Passkeys auf FIDO-Standards basieren, können sie von allen Browsern unterstützt werden.

Beispiel: Ein Nutzer ruft example.com im Chrome-Browser auf seinem Windows-Computer auf. Dieser Nutzer hat sich auf seinem Android-Gerät zuvor bei example.com angemeldet und einen Passkey generiert. Auf dem Windows-Computer entscheidet sich der Nutzer für die Anmeldung mit einem Passkey von einem anderen Gerät. Die beiden Geräte werden verbunden und der Nutzer wird aufgefordert, die Verwendung seines Passkeys auf dem Android-Gerät zu genehmigen, z. B. mit einem Fingerabdrucksensor. Anschließend ist er auf dem Windows-Computer angemeldet. Der Passkey selbst wird nicht auf den Windows-Computer übertragen. Daher bietet example.com normalerweise an, dort einen neuen Passkey zu erstellen. So wird das Smartphone nicht benötigt, wenn sich der Nutzer das nächste Mal anmelden möchte. Weitere Informationen finden Sie unter Mit einem Smartphone anmelden.

Wer verwendet Passkeys?

Eine Reihe von Diensten verwendet in ihren Systemen bereits Passkeys.

Selbst ausprobieren

Sie können Passkeys in dieser Demo ausprobieren: https://passkeys-demo.appspot.com/

Datenschutz

  • Da bei der Anmeldung mit biometrischen Daten der Nutzer fälschlicherweise den Eindruck bekommt, dass vertrauliche Informationen an den Server gesendet werden. In Wirklichkeit verlässt biometrisches Material niemals das persönliche Gerät der Nutzenden.
  • Passkeys allein erlauben kein Tracking von Nutzern oder Geräten zwischen Websites. Derselbe Passkey wird nie für mehr als eine Website verwendet. Passkey-Protokolle sind so konzipiert, dass keine für Websites freigegebenen Informationen als Verfolgungsvektor verwendet werden können.
  • Passkey-Manager schützen Passkeys vor unbefugtem Zugriff und unbefugter Verwendung. So verschlüsselt beispielsweise der Google Passwortmanager deine Passkey-Secrets Ende-zu-Ende. Nur der Nutzer kann auf sie zugreifen und sie verwenden. Obwohl die Inhalte auf den Google-Servern gesichert sind, kann Google sie nicht dazu verwenden, um sich als Nutzer auszugeben.

Sicherheitsaspekte

  • Passkeys verwenden Public-Key-Kryptografie. Mit Public-Key-Kryptografie lassen sich die Gefahren von möglichen Datenpannen verringern. Wenn ein Nutzer einen Passkey auf einer Website oder Anwendung erstellt, wird auf dem Gerät des Nutzers ein öffentlich/privates Schlüsselpaar generiert. Von der Website wird nur der öffentliche Schlüssel gespeichert, aber das allein ist für einen Angreifer nutzlos. Ein Angreifer kann den privaten Schlüssel des Nutzers nicht aus den auf dem Server gespeicherten Daten ableiten. Diese sind für die Authentifizierung erforderlich.
  • Da Passkeys an die Identität einer Website oder App gebunden sind, sind sie vor Phishing-Angriffen geschützt. Der Browser und das Betriebssystem sorgen dafür, dass ein Passkey nur mit der Website oder App verwendet werden kann, von der er erstellt wurde. Nutzer müssen dann nicht mehr für die Anmeldung bei der echten Website oder App verantwortlich sein.

Benachrichtigungen erhalten

Abonnieren Sie den Newsletter für Entwickler von Google Passkeys, um über Updates zu Passkeys informiert zu werden.

Nächste Schritte