Ende des Passworts: So melden sie sich sicher an mit Passkeys

Berlin. Viele sind mit ihren Zugangsdaten im Netz leichtsinnig. Eine Allianz um Google und Apple will das Anmelden vereinfachen – so geht’s.

Das Konto von Kriminellen gekapert, Login-Daten geklaut, Fremde verschaffen sich Zugang zu persönlichen Daten oder zum Online-Banking – eine Horrorvorstellung. Trotzdem gehen viele leichtsinnig ans Werk, wenn es darum geht, sichere Passwörter für die eigenen Online-Konten zu vergeben.

So landete in der jährlichen Rangliste des Hasso-Plattner-Instituts (HPI) der beliebtesten Passwörter 2022 erneut „123456“ auf Platz eins. „Der laxe Umgang mit Passwörtern ist gefährlich“, mahnte HPI-Chef Christoph Meinel. Kontoschutz ist für viele wie Steuererklärung und Frühjahrsputz: Eigentlich müsste man.

Aus diesem Grund machen Aktionen wie der weltweite Datenschutztag („Privacy Day“) am Samstag (28. Januar) Verbraucherinnen und Verbraucher darauf aufmerksam, wie wichtig ein sorgsamer Umgang mit Passwörtern im Netz ist.

Zukunft ohne Passwörter: Das plant die Fido-Allianz um Google und Apple

Die gute Nachricht: Künftig werden wir Online-Konten von Banking über Mails und Online-Shops bis Netflix auch ohne Passwörter sicher schützen können. Diese Zukunft ist näher als viele glauben – und nennt sich „FIDO“.

Das Kürzel steht für „Fast Identity Online“, zu deutsch: schnelle Online-Identifikation. Dahinter verbirgt sich ein Zusammenschluss der wichtigsten Technologiegrößen weltweit mit einem ehrgeizigen Ziel: Passwörter überflüssig zu machen. Mitte vergangenen Jahres hat die nichtkommerzielle Fido-Allianz ihren Vorstoß öffentlich gemacht.

Federführend mit im Boot sind die Techriesen Google, Apple, Microsoft und Amazon, zudem etwa Visa und Mastercard. Insgesamt ist die Rede von „Hunderten von Technologieunternehmen und Dienstleistern aus der ganzen Welt“. Beteiligt ist auch das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI). Aber wie genau schützen wir künftig unsere Konten ganz ohne Passwörter, und wo lässt sich die Methode schon nutzen?

Google-Experte: Anmelden so leicht wie das Handy zu entsperren

„Wir wollen es Nutzern ermöglichen, sich genauso einfach in Apps oder auf Webseiten anzumelden, wie man jetzt schon sein Handy entsperrt“, sagt Patrick Nepper im Gespräch mit unserer Redaktion. Der Informatiker ist Produktmanager am Google Safety Engineering Center, einem weltweiten Forschungszentrum für Datenschutz in München. Dort arbeitet Nepper am kommenden Passwort-Ersatz. Der nennt sich „Passkeys“, also Zugangsschlüssel.

Lesen Sie auch: Paypal- und Bank-Kunden: So reagieren Sie bei Betrug richtig

Die Technik basiert auf den Standards, die Google zusammen mit anderen Unternehmen der Fido-Allianz ausgearbeitet hat. „Die enge Zusammenarbeit hat den Vorteil, dass diese Art sich anzumelden in Zukunft überall funktionieren wird“, erklärt Nepper. Nicht nur auf Webseiten und Apps von Google, wie dem Chrome-Browser oder Android, sondern genauso mit Betriebssystemen der anderen großen Hersteller wie Microsoft Windows oder Apple mit iOS und macOS.

Bei der Passkeys-Methode der Fido-Allianz ersetzen zwei digitale Schlüssel das bisherige Passwort. © Getty Images/iStockphoto | Yutthana Gaetgeaw

Passkeys-Anmeldung: Zwei Schlüssel ersetzen das Passwort

Meldet man sich bislang bei seinen Online-Konten an, gibt man dort neben dem Benutzernamen sein Passwort ein – und damit sein „Geheimnis“ preis. Bei Passkeys dagegen, erklärt Nepper, komme ein digitales, kryptografisches Schlüsselpaar zum Einsatz: ein privater Hauptschlüssel auf dem eigenen Gerät – etwa Smartphone, Laptop oder USB-Stick – sowie je genutzter App oder Webseite ein erstellter öffentlicher Schlüssel.

Der private Schlüssel verlässt das eigene Gerät bei der Anmeldung nicht. „Dieses Geheimnis ist sicher auf Ihrem eigenen Gerät gespeichert und wird lediglich dafür verwendet, eine Nachricht die während der Anmeldung vom Dienstanbieter kommt, mit Ihrem Geheimnis zu unterschreiben und zurückzuschicken.“ Der Anbieter kann mithilfe des öffentlichen Schlüssels, den er erhält, feststellen, ob der Anmelder den richtigen privaten Schlüssel besitzt, ohne diesen zu kennen.

Auch interessant: So schützen Sie sich vor Gefahren im Netz: 5 Alltagstipps

Betrüger könnten mit dem erbeuteten öffentlichen Schlüssel allein nichts anfangen. Biometrische Daten wie Fingerabdruck oder Gesichtserkennung bleiben auch künftig ein wichtiges Sicherheitsmerkmal, und zwar beim Entsperren des eigenen Handys oder Laptops, um an den privaten Hauptschlüssel zu gelangen.

Fido-Methode: Das sind die Vorteile von Passkeys

Nepper meint, die Fido-Anmeldung werde sich durchsetzen, wenn jedem die Vorteile klar sind: Die Methode sei komfortabler, Nutzer müssten sich keine Passwörter merken oder umständlich mit der TV-Fernbedienung eingeben. Und sicherer: Ein Passkey kann nicht bei der Anmeldung geraubt werden oder durch ein Sicherheitsleck beim Anbieter öffentlich im Netz landen.

Gängige Browser wie Google Chrome, Apple Safari, Mozilla Firefox und Microsoft Edge unterstützen die passwortlose Anmeldung bereits, genauso Betriebssysteme wie Windows, Android, iOS und macOS und viele Online-Services.

Lesen Sie auch: Betrug auf Ebay Kleinanzeigen: Das ist die neue Masche

Anmelden ohne Passwort: Google und Apple bieten es schon

Experten raten, in den Kontoeinstellungen des jeweiligen Dienstes im Bereich Sicherheit nachzusehen, welche Optionen es gibt, Fido zu nutzen. Zum Beispiel als Passwort-Ersatz oder als zweiten Faktor mit dem Handy. Auf dem verwendeten Gerät sollte ein neueres Betriebssystem laufen, das aktuelle Versionen des verwendeten Browsers unterstützt. Der nötige Tresor-Chip (TPM) zur Speicherung des privaten Schlüssels steckt heute in den meisten Smartphones sowie in neueren PCs und Notebooks oder auch in speziellen USB-Sticks.

„In 2023 werden wir alle mit der Zeit auf die ersten Webseiten und Apps stoßen, wo uns angeboten wird, statt Passwörtern beim nächsten Mal einen Passkey zu verwenden“, sagt Google-Manager Nepper. „Aber bis Passwörter nicht mehr zu unserem Alltag gehören, ist es noch ein langer Weg.“

Auch interessant: Zuverlässige Antivirenprogramme für Ihren PC

Passkeys soll auch das Online-Banking und Bezahlen beim Online-Shopping einfacher gestalten. © iStock | istock

Sicher Anmelden: Diese vier Passwort-Regeln empfehlen IT-Experten

In der Zwischenzeit empfehlen IT-Experten, sich an die allgemein bewährten Regeln zur Passwortsicherheit zu halten. Diese vier Passwort-Regeln gilt es aus Sicht von Fachleuten bei der Anmeldung im Netz zu beherzigen:

Jedes Passwort sollte möglichst lang (mehr als 15 Zeichen) und schwer zu erraten sein. Passwortmanager und spezielle Webseiten erstellen diese auf Wunsch in Sekunden.
Nie das gleiche oder ein sehr ähnliches Passwort für mehrere Konten verwenden.
Einen Passwortmanager nutzen. Diese Dienste gibt es teils auch kostenlos und als bequeme Browser-Erweiterung. Dort lassen sich die Zugangsdaten für alle Online-Konten hinterlegen, geschützt durch ein möglichst schweres Hauptpasswort. Google bietet mit dem Google Passwortmanager auf Wunsch einen eigenen Dienst, Apple mit dem iCloud-Schlüsselbund ebenfalls.
Zwei-Faktor-Authentifizierung aktivieren, wenn möglich. Dabei wird neben dem Passwort noch ein zweiter Faktor geprüft, etwa ein generierter Code oder der Fingerabdruck auf dem Handy.

Das könnte Sie auch interessieren: Apple, Samsung und Co.: EU beschließt einheitliche Ladekabel

Apple und Co wollen Passwort ersetzen: Anmelden mit Passkeys

weitere Videos