Alternative zu Passwörtern

Was Du zu Passkeys wissen musst und wie sie funktionieren

Andreas Sebayang
2 Kommentare
veröffentlicht am 24.10.2023

Passkeys sind eine interessante Alternative zu Passwörtern. Wir erklären Dir am Beispiel Amazon wie sie funktionieren und wie Du Dich selbst mit einem Android-Smartphone auf einem Windows-PC anmelden kannst – ohne ein Passwort rauskramen zu müssen.

Passkey-Erzeugung auf einem Android-Smartphone

Wir erzeugen einen zweiten Passkey unter Android, nachdem wir uns auf dem Chromebook (Hintergrund) angemeldet haben.

Inhaltsverzeichnis

Der Schutz Deiner Onlinezugänge ist so eine Sache. Traditionell nutzt man dabei Passwörter. Doch wenn man die zu kurz und einfach wählt, um sie sich zu merken, dann ist die Wahrscheinlichkeit hoch, dass jemand an diese ran kommt. Werden die Passwörter komplex, können hingegen die wenigsten sich diese merken. Nicht gut für Deine Handy-Sicherheit.

Passwortmanager helfen dabei. Doch auch hier werden die Passwörter gespeichert, idealerweise hinter einem sicheren Passwort. Um trotzdem sicherzustellen, dass die Person, die sich anmeldet, die ist, die sie vorgibt, kannst Du zusätzlich einen zweiten Faktor nutzen. Seien es Codes, die per SMS, über die E-Mail oder über eine App generiert werden. Man kennt das vom Onlinebanking.

Noch sicherer versprechen Passkeys zu werden. Die sind per Definition sehr komplex, da das „Passwort“ von der Hardware erzeugt wird. Du musst Dir aber nichts merken, da diese Passkeys sicher verwahrt werden.

Vorstellen kannst Du Dir das tatsächlich wie Deinen Haustürschlüssel. Wie der Schlüssel aufgebaut ist, musst Du Dir nicht merken, außer Du willst einen zusätzlichen anfertigen. Du steckst den Schlüssel einfach in ein Schloss hinein. Nur dass der Schlüssel in Passkeys deutlich komplexer ist.

Passkeys werden bereits von Google unterstützt, ebenso von Apple und neuerdings auch von Amazon und WhatsApp. Zeit also, sich das Ganze am Beispiel Amazon einmal genauer anzuschauen.

Passkeys am Beispiel Amazon

Wir spielen das Ganze an einem Amazon-Konto durch. Die Aktivierung der Passkey-Funktion ist denkbar einfach. Du gehst auf „Mein Konto“ und wählst dort „Anmelden und Sicherheit“ aus. Mittig findet sich dann die Möglichkeit, einen Passkey einzurichten.

Du kannst auch mehrere einrichten. Wir haben beispielsweise zwei eingerichtet, da wir sowohl im Apple– wie auch Google-Universum zu Hause sind. Selbst dieser komplexere Fall ist einfach durchgeführt.

Kleines Problem: Direkt vor der Einrichtung eines Passkeys muss man sich frisch angemeldet haben oder wird zu einer neuen Anmeldung aufgefordert. Das verwirrt dann vielleicht etwas, wenn der zweite Passkey eingerichtet wird.

Wo Du Passkeys speichern kannst

Das offensichtlichste für Dich als Smartphone-Nutzer ist die Speicherung in der Cloud bei Google (für Android-Smartphones) und bei Apple (für iOS-Smartphones). Damit stehen die Passkeys überall zur Verfügung, notfalls indem beim Anmelden ein QR-Code abfotografiert wird.

Alternativ lassen sich die Passkeys auch lokal, etwa auf einem Rechner, speichern. Das funktioniert auch mit Passwortmanagern wie 1Password. Bei 1Password gibt es übrigens eine klare Empfehlung für Passkeys.

Eine weitere Möglichkeit sind Security Keys, die üblicherweise per USB angesteckt werden. Ein Beispiel ist Yubico. Eine Besonderheit: Die Passkeys können nicht von den Security Keys kopiert werden. Das wird auch Hardware Bound oder Hardwaregebunden genannt.

Aber das ist, wie gesagt der Sonderfall. Die meisten werden wohl nur einen Passkey einrichten, wobei sich ein zweiter auch schon aus Backupgründen anbietet. Mit den Passwörtern seiner Accounts muss man dann nicht mehr hantieren. Alles, was es braucht, ist ein Gerät mit einem Passkey.

Anmeldungen mit dem Smartphone

Fortan melden wir uns bei Amazon mit einem vereinfachten und doch sicheren Verfahren an. Man gibt die E-Mail-Adresse an und wählt im nächsten Schritt unten Anmeldung per Passkey. Bei direkter Integration kann nun auf einem Mac etwa der Fingerabdruckleser genutzt werden, um den Passkey für Amazon zur Verfügung zu stellen.

Passkeys nutzen

Passkeys für Google-Konten: So geht Einloggen heute

Neue Funktionen in iOS-16-Update: Vom Lockscreen bis Bildbearbeitung – massig neue Features

Sichere Passwörter: Mit diesen Tipps schützt Du Deine Daten

Es kann aber auch ein Signal an ein Smartphone geschickt werden. So funktioniert das etwa auf Chromebooks. Dann gibt es eine Notification und anschließend gibt man auf seinem Android-Smartphone den Passkey frei.

Die letzte Alternative gibt es, wenn gar keine Integration vorhanden ist. Das ist etwa der Fall, wenn der Browser keinen Zugang zu dem eigenen Profil hat, Du im Privatmodus surfst oder schlicht Dich etwa auf dem Rechner Deiner Eltern anmelden willst. Dann kann die Anzeige eines QR-Codes ausgewählt werden. Der wird mit der iPhone- oder Android-Kamera aufgenommen und danach wird die Anmeldung freigegeben.

Amazon behält übrigens den zweiten Faktor für die Anmeldung bei.

Industrie verspricht mehr Sicherheit

Passkeys werden sich wohl mehr und mehr verbreiten. Für die meisten dürfte das tatsächlich eine Verbesserung der Sicherheit sein, denn allzu einfache Passwörter sind damit Geschichte. Zugleich bieten Passkeys einen hohen Komfort bei der Nutzung.

Kleine Probleme

Beim Testlauf mit Amazon lief nicht alles rund. Manches war auch unerwartet. So ließ sich auf einem Chromebook etwa kein Passkey erzeugen. Das Gerät wird nur bedingt unterstützt. Hier braucht es also ein weiteres Gerät, um Passkeys auf Google-Notebooks zu verwenden.

Der Versuch, sich unter Safari (MacOS) mit einem Android-Phone über den QR-Code anzumelden, scheiterte ebenfalls. Angeblich gibt es ein Problem mit dem Passkey.

Eine Gegenprobe mit dem Chromebook sowie einem Windows-Notebook (Edge-Browser) zeigte aber, dass der Passkey funktioniert, wie er sollte. Zudem funktioniert auch die Anmeldung über Android auf dem Vivaldi-Browser auf dem Mac. Das dürfte eine Kinderkrankheit von Safari sein.

Absolute Sicherheit gibt es freilich auch mit Passkeys nicht. Wenn Dir etwa Dein Smartphone gestohlen wird, braucht es nur noch die Überbrückung der Sicherheitsfunktionen im Telefon, um dann auch an die Passkeys zu kommen. Das ist aber alles andere als einfach für einen Angreifer, der eher mit Phishing-E-Mails arbeitet. Dagegen sollten Passkeys sehr gut abgesichert sein.

Weitergehende Informationen findest Du bei der Fido Alliance, die sich um die Passkeys kümmert und beispielsweise in der Google-Dokumentation zum Chrome-Browser.