Anmeldung ohne Passwort mit Passkeys

Einführung

Passkeys sind eine sicherere und einfachere Alternative zu Passwörtern. Passkeys ermöglichen Nutzern die Anmeldung in Apps und auf Websites mit einem biometrischen Sensor wie einem Fingerabdruck oder einer Gesichtserkennung, einer PIN oder einem Muster, sodass sie sich keine Passwörter merken und verwalten müssen.

Entwickler und Nutzer hassen sowohl Passwörter als auch: Sie sorgen für eine schlechte Nutzererfahrung, sorgen für eine reibungslose Nutzung der Conversions und erhöhen die Sicherheit für Nutzer und Entwickler. Der Google Passwortmanager in Android und Chrome erleichtert das automatische Ausfüllen. Entwickler, die auf der Suche nach weiteren Verbesserungen in Bezug auf Konvertierung und Sicherheit sind, sind die Passkeys und die Identitätsföderation als moderner Ansatz der Branche.

Ein Passkey kann die Anforderungen der Multi-Faktor-Authentifizierung in einem Schritt erfüllen und ein Passwort und ein OTP (z. B. sechsstelligen SMS-Code) ersetzen. Dies bietet einen robusten Schutz vor Phishingangriffen und vermeidet die UX-Schwierigkeit von SMS oder App-basierten einmaligen Passwörtern. Da Passkeys standardisiert sind, ermöglicht eine einzige Implementierung eine passwortlose Nutzung auf allen Geräten eines Nutzers, auf verschiedenen Browsern und Betriebssystemen.

Passkeys sind einfacher:

• Nutzer können ein Konto für die Anmeldung auswählen. Der Nutzername muss nicht eingegeben werden.
• Nutzer können sich über die Displaysperre des Geräts authentifizieren, z. B. per Fingerabdruck, Gesichtserkennung oder PIN.
• Nachdem ein Passkey erstellt und registriert wurde, kann der Nutzer nahtlos zu einem neuen Gerät wechseln und diesen sofort verwenden, ohne sich noch einmal registrieren zu müssen (im Gegensatz zur herkömmlichen biometrischen Authentifizierung, bei der auf jedem Gerät eine Einrichtung erforderlich ist).

Passkeys sind sicherer:

• Entwickler speichern anstelle eines Passworts nur einen öffentlichen Schlüssel auf dem Server. Das bedeutet, dass böswillige Akteur*innen sich deutlich weniger hacken können und im Falle einer Datenpanne weitaus weniger Daten löschen müssen.
• Passkeys schützen Nutzer vor Phishingangriffen. Passkeys funktionieren nur auf registrierten Websites und Apps. Nutzer können nicht zur Authentifizierung auf einer betrügerischen Website verleitet werden, da die Bestätigung vom Browser oder Betriebssystem durchgeführt wird.
• Passkeys reduzieren die Kosten für das Senden von SMS und sind damit sicherer und kostengünstiger für die Bestätigung in zwei Schritten.

Was sind Passkeys?

Ein Passkey ist ein digitaler Ausweis, der mit einem Nutzerkonto und einer Website oder App verknüpft ist. Passkeys ermöglichen Nutzern die Authentifizierung, ohne einen Nutzernamen oder ein Passwort eingeben zu müssen oder einen zusätzlichen Authentifizierungsfaktor anzugeben. Diese Technologie dient dazu, alte Authentifizierungsmechanismen wie Passwörter zu ersetzen.

Wenn ein Nutzer sich bei einem Dienst anmelden möchte, der Passkeys verwendet, hilft der Browser oder das Betriebssystem dem Nutzer, den richtigen Passkey auszuwählen. Das funktioniert ähnlich wie gespeicherte Passwörter. Damit nur der rechtmäßige Inhaber einen Passkey verwenden kann, muss er sein Gerät entsperren. Dazu können ein biometrischer Sensor (z. B. ein Fingerabdruck oder eine Gesichtserkennung), eine PIN oder ein Muster verwendet werden.

Zum Erstellen eines Passkeys für eine Website oder Anwendung muss sich ein Nutzer zuerst bei der jeweiligen Website oder App registrieren.

1. Rufen Sie die Anwendung auf und melden Sie sich mit der vorhandenen Anmeldemethode an.
2. Klicken Sie auf die Schaltfläche Passkey erstellen.
3. Prüfen Sie die mit dem neuen Passkey gespeicherten Informationen.
4. Du kannst den Passkey auf dem Gerätedisplay entsperren.

Wenn sie sich auf dieser Website oder in dieser App anmelden, können sie folgende Schritte ausführen:

1. Rufen Sie die Anwendung auf.
2. Tippe auf das Feld für den Kontonamen, um eine Liste der Passkeys in einem Dialogfeld zu sehen.
3. Wählen Sie den zugehörigen Passkey aus.
4. Schließe die Entsperrung auf dem Bildschirm des Geräts ab, um die Anmeldung abzuschließen.

Das Gerät des Nutzers generiert eine Signatur anhand des Passkeys. Diese Signatur dient zur Verifizierung der Anmeldedaten zwischen Ursprungsort und Passkey.

Ein Nutzer kann sich mit einem Passkey auf jedem Gerät in Diensten anmelden, unabhängig davon, wo der Passkey gespeichert ist. Ein auf einem Smartphone erstellter Passkey kann beispielsweise verwendet werden, um sich auf einem separaten Laptop auf einer Website anzumelden.

Wie funktionieren Passkeys?

Passkeys werden über die Betriebssysteminfrastruktur verwendet, die es Passkey-Managern ermöglichen, Passkeys für Anwendungen, die auf diesem Betriebssystem ausgeführt werden, zu erstellen, zu sichern und verfügbar zu machen. Unter Android können Passkeys im Google Passwortmanager gespeichert werden. Dadurch werden Passkeys zwischen den Android-Geräten des Nutzers synchronisiert, die im selben Google-Konto angemeldet sind. Passkeys werden vor der Synchronisierung sicher auf dem Gerät verschlüsselt und müssen auf neuen Geräten entschlüsselt werden. Nutzer mit Android OS 14 oder höher können ihre Passkeys in einem kompatiblen Passwortmanager eines Drittanbieters speichern.

Nutzer können nicht nur auf dem Gerät, auf dem sie verfügbar sind, Passkeys verwenden. Auch Passkeys auf Smartphones können bei der Anmeldung auf Laptops verwendet werden, selbst wenn der Passkey nicht mit dem Laptop synchronisiert wird – solange das Smartphone sich in der Nähe des Laptops befindet und der Nutzer die Anmeldung auf dem Smartphone genehmigt. Da Passkeys auf FIDO-Standards basieren, können sie von allen Browsern verwendet werden.

Ein Nutzer ruft beispielsweise example.com im Chrome-Browser auf seinem Windows-Computer auf. Dieser Nutzer hat sich zuvor auf seinem Android-Gerät in example.com angemeldet und einen Passkey generiert. Auf dem Windows-Computer entscheidet sich der Nutzer, sich mit einem Passkey auf einem anderen Gerät anzumelden. Die beiden Geräte werden verbunden und der Nutzer wird aufgefordert, die Verwendung seines Passkeys auf dem Android-Gerät zu genehmigen, z. B. mit einem Fingerabdrucksensor. Danach sind sie auf dem Windows-Computer angemeldet. Der Passkey selbst wird nicht auf den Windows-Computer übertragen. In der Regel bietet example.com an, dort einen neuen Passkey zu erstellen. So ist das Smartphone bei der nächsten Anmeldung nicht erforderlich. Weitere Informationen finden Sie unter Mit einem Smartphone anmelden.

Wer verwendet Passkeys?

Einige Dienste verwenden bereits Passkeys in ihren Systemen.

• Logo: DocuSign
• Google
  • Beginn des Endes des Passworts
  • Google-Blog zur Onlinesicherheit: Schnellere Authentifizierung: Passkeys und Passwörter
• Kayak
• Mercari
• NTT Docomo
• Logo: PayPal
• Shopify
  • Wie Passkeys Reibungsverluste im E-Commerce-Einkaufserlebnis verhindern
  • Support Passkeys in Shop's Authentication Flows
• Yahoo! Japan
  • Yahoo! Dank der passwortfreien Authentifizierung in Japan konnte die Zahl der Anfragen um 25 % und die Anmeldezeit um das 2,6-Fache gesteigert werden.

Selbst ausprobieren

Sie können Passkeys in dieser Demo ausprobieren: https://passkeys-demo.appspot.com/

Hinweise zum Datenschutz

• Die Anmeldung mit biometrischen Verfahren kann den Nutzern eine falsche Impression vermitteln, dass dadurch vertrauliche Informationen an den Server gesendet werden. Biometrisches Material verbleiben grundsätzlich auf dem Gerät des Nutzers.
• Passkeys lassen das Tracking von Nutzern oder Geräten zwischen Websites nicht zu. Ein Passkey wird nie mit mehr als einer Website verwendet. Passkey-Protokolle sind so gestaltet, dass keine mit Websites geteilten Informationen als Tracking-Vektor verwendet werden können.
• Passkey-Manager schützen Passkeys vor unbefugtem Zugriff und unberechtigter Nutzung. Der Google Passwortmanager verschlüsselt Passkey-Secrets beispielsweise durchgängig. Nur der Nutzer kann darauf zugreifen und sie verwenden. Obwohl er auf den Google-Servern gesichert wird, kann Google ihn nicht verwenden, um sich als Nutzer auszugeben.

Sicherheitsaspekte

• Passkeys verwenden die Kryptografie für öffentliche Schlüssel. Die öffentliche Kryptografie reduziert die Bedrohung durch potenzielle Datenpannen. Wenn ein Nutzer einen Passkey mit einer Website oder Anwendung erstellt, wird ein öffentliches/privates Schlüsselpaar auf dem Gerät des Nutzers erzeugt. Nur der öffentliche Schlüssel wird von der Website gespeichert, aber dieser allein ist für Angreifer nutzlos. Ein Angreifer kann den privaten Schlüssel des Nutzers nicht aus den auf dem Server gespeicherten Daten ableiten. Dies ist für die Authentifizierung erforderlich.
• Da Passkeys an die Identität einer Website oder App gebunden sind, sind sie sicher vor Phishing-Angriffen. Der Browser und das Betriebssystem sorgen dafür, dass ein Passkey nur mit der Website oder App verwendet werden kann, von der er erstellt wurde. So müssen Sie sich nicht anmelden.

Benachrichtigungen erhalten

Wenn Sie Benachrichtigungen zu Passkey-Updates erhalten, können Sie den Newsletter für Google Passkeys-Entwickler abonnieren.

Nächste Schritte

• Passkey-Unterstützung für Android und Chrome
• Häufig gestellte Fragen (FAQs)
• Anwendungsfälle
• Passkeys-Entwicklerleitfaden für vertrauende Parteien
• In Android-Apps mit dem Anmeldedaten-Manager anmelden