Anmeldung ohne Passwort mit Passkeys

Einführung

Passkeys sind ein sichererer und einfacherer Ersatz für Passwörter. Mit Passkeys können sich Nutzer mit einem biometrischen Sensor wie einem Fingerabdruck oder einer Gesichtserkennung, einer PIN oder einem Muster in Apps und auf Websites anmelden. Dadurch müssen sie sich keine Passwörter mehr merken und verwalten.

Mit einem Passkey können Sie ein Passwort und einen zweiten Faktor in einem Schritt ersetzen. Die Nutzererfahrung kann so einfach sein wie das automatische Ausfüllen eines Passwortformulars. Passkeys bieten einen robusten Schutz vor Phishingangriffen, anders als SMS oder anwendungsbasierte Passwörter. Da Passkeys standardisiert sind, ermöglicht eine einzelne Implementierung eine passwortlose Nutzung in verschiedenen Browsern und Betriebssystemen.

Was sind Passkeys?

Ein Passkey ist ein digitaler Anmeldedatenschlüssel, der mit einem Nutzerkonto und einer Website oder Anwendung verknüpft ist. Mit Passkeys können sich Nutzer authentifizieren, ohne dass sie einen Nutzernamen oder ein Passwort eingeben müssen oder einen zusätzlichen Authentifizierungsfaktor angeben müssen. Diese Technologie zielt darauf ab, alte Authentifizierungsmechanismen wie Passwörter zu ersetzen.

Wenn ein Nutzer sich bei einem Dienst anmelden möchte, der Passkeys verwendet, kann er mit dem Browser oder Betriebssystem den richtigen Passkey auswählen und verwenden. Das funktioniert ähnlich wie gespeicherte Passwörter. Damit nur der rechtmäßige Inhaber einen Passkey verwenden kann, wird er vom System aufgefordert, sein Gerät zu entsperren. Dazu können ein biometrischer Sensor (z. B. ein Fingerabdruck oder eine Gesichtserkennung), eine PIN oder ein Muster verwendet werden.

Zum Erstellen eines Passkeys für eine Website oder Anwendung muss sich ein Nutzer zuerst bei dieser Website oder Anwendung registrieren.

1. Rufen Sie die Anwendung auf und melden Sie sich mit der vorhandenen Anmeldemethode an.
2. Klicken Sie auf die Schaltfläche Schlüssel erstellen.
3. Prüfen Sie die mit dem neuen Passkey gespeicherten Informationen.
4. Verwende die Entsperrung des Gerätebildschirms, um den Passkey zu erstellen.

Wenn sie sich wieder auf dieser Website oder in dieser App anmelden, können sie so vorgehen:

1. Rufen Sie die Anwendung auf.
2. Klicken Sie auf Anmelden.
3. Wählen Sie den entsprechenden Schlüssel aus.
4. Verwenden Sie die Displaysperre des Geräts, um die Anmeldung abzuschließen.

Das Gerät des Nutzers generiert eine Signatur basierend auf dem Schlüssel. Mit dieser Signatur werden die Anmeldedaten zwischen dem Ursprung und dem Passkey überprüft.

Ein Nutzer kann sich auf jedem Gerät mit einem Passkey in Diensten anmelden, unabhängig davon, wo der Passkey gespeichert ist. Beispielsweise kann ein auf einem Smartphone erstellter Passkey verwendet werden, um sich auf einem separaten Laptop auf einer Website anzumelden.

Wie funktionieren Passkeys?

Passkeys sollen über eine Betriebssysteminfrastruktur verwendet werden, mit der Passkey-Manager Passkeys Anwendungen erstellen, sichern und zur Verfügung stellen können, die auf diesem Betriebssystem ausgeführt werden. Unter Chrome auf Android werden Passkeys im Google Passwortmanager gespeichert, der Passkeys zwischen den Android-Geräten des Nutzers synchronisiert, die im selben Google-Konto angemeldet sind.

Nutzer dürfen die Passkeys nur auf dem Gerät verwenden, auf dem sie gespeichert sind. Die auf Smartphones gespeicherten Passkeys können auch dann verwendet werden, wenn sich der Passkey auf dem Laptop befindet, solange sich das Smartphone in der Nähe des Laptops befindet und der Nutzer die Anmeldung auf dem Smartphone genehmigt. Da Passkeys auf FIDO-Standards basieren, können sie von allen Browsern verwendet werden.

Beispiel: Ein Nutzer besucht example.com auf seinem Chromebook. Dieser Nutzer hat sich zuvor auf seinem iOS-Gerät bei example.com angemeldet und einen Passkey generiert. Auf dem Chromebook meldet sich der Nutzer mit einem Passkey von einem anderen Gerät an. Die beiden Geräte werden verbunden und der Nutzer wird aufgefordert, die Verwendung seines Passkeys auf dem iOS-Gerät zu genehmigen, z. B. mit FaceID. Danach sind sie auf dem Chromebook angemeldet. Der Passkey selbst wird nicht auf das Chromebook übertragen. In der Regel bietet example.com an, dort einen neuen Passkey zu erstellen. So ist das Smartphone nicht erforderlich, wenn sich der Nutzer das nächste Mal anmelden möchte. Weitere Informationen findest du unter Mit einem Smartphone anmelden.

Überlegungen zum Datenschutz

• Einige Nutzer sind überrascht, wenn eine biometrische Authentifizierung plötzlich auf einer Website oder in einer App erscheint und der Ansicht ist, dass dadurch sensible Informationen an den Server gesendet werden. Mit Passkeys werden die biometrischen Informationen des Nutzers niemals an die Website oder die App weitergegeben. Biometrisches Material verlässt niemals das private Gerät des Nutzers.
• Für Passkeys ist das Tracking von Nutzern oder Geräten zwischen Websites nicht zulässig. Ein Passkey wird nie mit mehr als einer Website verwendet. Passkey-Protokolle sind sorgfältig so konzipiert, dass keine mit Websites geteilten Informationen als Tracking-Vektor verwendet werden können.
• Passkey-Manager schützen Passkeys vor unbefugtem Zugriff und unbefugter Nutzung. Im Google Passwortmanager werden Passkey-Secrets von Anfang bis Ende verschlüsselt. Nur der Nutzer kann darauf zugreifen und sie verwenden. Obwohl er auf den Servern von Google gesichert ist, kann er nicht von Google verwendet werden, um die Identität eines Nutzers anzunehmen.

Sicherheitsaspekte

• Passkeys verwenden kryptographische Schlüssel. Die Kryptografie mit öffentlichem Schlüssel verringert die Bedrohung durch potenzielle Datenpannen. Wenn ein Nutzer einen Passkey mit einer Website oder Anwendung erstellt, wird ein Paar aus öffentlichem und privatem Schlüssel auf dem Gerät des Nutzers generiert. Nur der öffentliche Schlüssel wird von der Website gespeichert, aber allein diese ist für Angreifer nutzlos. Ein Angreifer kann den privaten Schlüssel des Nutzers nicht aus den auf dem Server gespeicherten Daten ableiten. Dies ist für die Authentifizierung erforderlich.
• Da Passkeys an die Identität einer Website oder App gebunden sind, sind sie vor Phishing-Angriffen geschützt. Der Browser und das Betriebssystem sorgen dafür, dass ein Passkey nur mit der Website oder App verwendet werden kann, von der sie erstellt wurden. So müssen Nutzer sich nicht mehr auf der echten Website oder in der App anmelden.

Benachrichtigungen erhalten

Abonniere den Google-Newsletter für Passkeys, um über Passkey-Updates informiert zu werden.

Nächste Schritte

• Sicherheitsschlüssel für passwortlose Anmeldungen im Web erstellen
• Hier erfahren Sie, wie Sie Nutzern die Anmeldung mit einem Passkey über die Autofill-Funktion im Web ermöglichen.
• Mit dem Credential Manager in einer Android-App anmelden