Passkeys: Google läutet die Zukunft ohne Passwörter ein
Geht es nach „Big Tech“, sollen Passwörter oder eine Zwei-Faktor-Authentifizierung (2FA), um sich bei Apps, Websites oder anderen Diensten anzumelden, in Zukunft keine große Rolle mehr spielen. An ihre Stelle treten optimalerweise über biometrische Verfahren abgesicherte Passkeys. Google geht jetzt einen weiteren Schritt.
Was sind Passkeys?
Die „passwortlose Zukunft“ sieht vor, die bereits in den Mobil- oder anderen Geräten vorhandenen Schutztechnologien zu nutzen um sich bei externen Diensten anzumelden. Zu diesen gehören unter anderem biometrische Sicherheitskonzepte wie der Fingerabdruck oder die Gesichtserkennung, aber auch eventuell vorhandene Hardware-Sicherheitsschlüssel sowie PIN-Codes sollen als virtuelle Torwächter herangezogen werden können.
Klassische Passwörter, wie es jetzt noch der Fall ist, wenn sich auf Smartphones mit Android oder iOS auf einer Webseite oder in einer App angemeldet wird, indem das verschlüsselte Login aus dem Schlüsselbund genommen wird, gibt es mit Passkeys nicht mehr.
Mit Passkeys wird das für viele Nutzer zum Alltag gehörende gewohnte Anmelden bestehend aus Nutzernamen und Passwort zuzüglich einer etwaigen 2-Faktor-Absicherung in nicht zu ferner Zeit der Vergangenheit angehören. Auch die weitere Absicherung durch zusätzliche Mechanismen wie Einmalpasswörter, die unter anderem über den Google Authenticator bezogen werden können, würden dann wegfallen. Schon beim Anmelden für einen kompatiblen Dienst entfällt die Eingabe eines Passworts, wenn die Anmeldemethode Passkey genutzt wird.
Einfacherer und sicherer
Die Entwickler sehen den größten Vorteil in dem neuen Konzept vor allem darin, dass die Zugangsinformationen auf den Geräten der Nutzer gespeichert bleiben und nicht durch einen eventuellen Hack auf einen Server erbeutet werden können. Ebenso würde dieses Vorgehen Phishing-Versuche deutlich einschränken, im Optimalfall sogar komplett verhindern, da für den Zugang immer ein physischer Zugriff auf die jeweilige Hardware erforderlich ist. Darüber hinaus müssen sich Nutzer nicht mehr mit verschiedenen komplexen Passwörter herumschlagen, die sich nur schwer gemerkt werden können. Dadurch wird der Gefahr, aus Bequemlichkeit nur ein Passwort für alles zu nutzen, ein Riegel vorgeschoben. Der Nachteil ist, dass das Endgerät zum Schlüssel für alle Dienste wird, dessen Sicherheit mit der Sicherheit des Betriebssystems und der gewählten Authentifizierungsmethode steht und fällt.
Dass ein solches Vorhaben den Anmeldevorgang für Nutzer nicht nur vereinfachen, sondern in anderer Weise sogar sicherer macht, hat der Code-Generator von Google in den letzten Tagen auf andere Art gezeigt: Die erst kurz vorher implementierte neue Funktion zur Synchronisation der Daten verfügt nicht über eine Ende-zu-Ende-Verschlüsselung und überträgt diese daher im Klartext. Mancherorts wurde nicht nur das Abschalten der neuen Funktion empfohlen, sondern gleich die Nutzung der App infrage gestellt.
„Big Tech“ unterstützt Passkeys geschlossen
Bereits im letzten Jahr hat Google zusammen mit der FIDO-Allianz, einem Bündnis verschiedener Unternehmen mit dem Ziel, offene und lizenzfreie Industriestandards für die weltweite Authentifizierung im Internet zu entwickeln, sowie Apple und Microsoft angekündigt, die Nutzung sogenannter Passkeys in Zukunft deutlich voranzutreiben.
Als erster Schritt gilt am heutigen Welt-Passwort-Tag, der immer am ersten Donnerstag im Mai Nutzern die Wichtigkeit von starken Passwörtern vor Augen führen soll und der direkt auf den „Ändere Dein Passwort“-Tag am 1. Februar folgt, die Einführung als weitere Anmeldeoption für die eigenen Dienste. Federführend entwickelt wurde das neue Sicherheitskonzept vom Team des Google Safety Engineering Center (GSEC) in München, welches durch den Konzern als „der globale Hub von Google für die Entwicklung von Datenschutz- und Sicherheitsprodukten im Herzen Europas“ bezeichnet wird.
Ab heute werden Passkeys als Option für Nutzer von Google-Konten verfügbar sein, die eine passwortlose Anmeldung ausprobieren möchten. Teams des Google Safety Engineering Center (GSEC) in München waren an der Entwicklung von Passkeys beteiligt. Das GSEC München ist der globale Hub von Google für die Entwicklung von Datenschutz- und Sicherheitsprodukten im Herzen Europas.
Google
Dienste, die Passkeys bereits unterstützen, sind Docusign, Kayak, PayPal, Shopify und Yahoo! Japan.
Schon heute nutzen viele Anwender biometrische Verfahren
Für viele Nutzer dürfte die neue Art der Anmeldung bereits gewohnt sein, denn zahlreiche andere Dienste angefangen von Passwort-Managern bis hin zu sicherheitskritischen Strukturen wie Banken-Apps arbeiten bereits mit entsprechenden Zugangskontrollen über Finger- oder Gesichtsscanner, auch wenn in diesem Fall noch vormals vergebene Passwörter oder PINs und keine Passkeys an die Anwendung übergeben werden.
Für Zugänge auf Geräten, welche nicht über entsprechende Funktionen verfügen, können unter anderem Smartphones oder Tablets als Schlüssel mit den genannten Mechanismen verwendet werden, aber auch weitere externe Erkennungsgeräte, wie sie bereits vielfach für Dienste wie Online-Banking verwendet werden, sind denkbar. Darüber hinaus lassen sich entsprechende Passkeys über die Google-Einstellungen zurückziehen, was bei einem eventuellen Diebstahl des jeweils genutzten Gerätes ratsam wäre.
Bisher nur zusätzlich
Google macht in seiner Ankündigung aber ebenso deutlich, dass die neue Methode, auch wenn sie in Zukunft alle anderen Konzepte ablösen soll, aktuell nur eine Option darstellt und auch die gewohnten Zugänge weiterhin zur Verfügung stehen werden.
ComputerBase plant die Nutzung von Passkeys, wartet allerdings auf ein entsprechendes Update der Foren-Software, die das Login-System beinhaltet.