Was ist ein Passkey, wie funktioniert er und warum ist er besser als ein Passwort?

Das National Cyber Security Centre des Vereinigten Königreichs hat das Aus für Passwörter gemacht – ab sofort sollten Sie einen Passkey verwenden.

Das NCSC erklärte diese Woche, dass es Passwörter nicht mehr empfehlen wird, wo Passkeys verfügbar sind. Sie sollten die erste Wahl der Verbraucher für die Anmeldung bei allen digitalen Diensten sein, da Passwörter nicht sicher genug sind, um modernen Cyber-Bedrohungen standzuhalten.

Was ist ein Passkey? Sicherheitsbeamte beschreiben einen Passkey als einen „digitalen Stempel“, der es Ihnen ermöglicht, sich bei Apps und Websites anzumelden und auf Ihrem Gerät gespeichert wird.

Es handelt sich um eine passwortfreie Form der Anmeldung. Im Gegensatz zu einem Passwort kann es bei einem Phishing-Angriff nicht gestohlen werden, bei dem Personen dazu verleitet werden, ihre Anmeldedaten herauszugeben, die später im Dark Web auftauchen können.

Es erfordert lediglich Ihr Smartphone oder Gerät, um zu bestätigen, dass Sie versuchen, sich anzumelden, indem Sie biometrische Methoden wie Gesichtserkennung oder den PIN-Code Ihres Telefons verwenden. Dies löst den „Stempel“ – oder den sicheren Passkey – aus, der der App oder Website bestätigt, dass Sie die Person sind, für die Sie sich ausgeben. Jeder Account, für den Sie sich registriert haben, hat einen anderen Passkey.

Selbst wenn eine App oder Website, die Passkeys verwendet, gehackt wird, ist dies für einen Angreifer nutzlos, da das Gerät den „privaten“ Passkey enthält, der zum Abschließen einer Anmeldung benötigt wird.

Passkeys können auch über Geräte hinweg synchronisiert werden.

Wie richtet man einen Passkey ein? Das NCSC sagt, Sie können die Sicherheitseinstellungen oder Datenschutzeinstellungen für Apps und Websites besuchen, die Sie bereits verwenden, oder auf Aufforderungen von Diensten achten, die Sie auffordern, auf Passkeys umzusteigen. Möglicherweise werden Sie auch aufgefordert, einen einzurichten, wenn Sie ein neues Konto für eine App oder Website erstellen.

Google gibt an, dass gerade über 50 % der Nutzer seiner Dienste im Vereinigten Königreich einen registrierten Passkey haben.

Warum sind Passkeys gut? Sie sind keine Passwörter, die über Phishing-E-Mails oder im Dark Web hereingeholt oder durch Betrug erlangt werden können.

Im vergangenen Jahr fanden Forscher von Cybernews, einer Online-Tech-Veröffentlichung, Milliarden von Anmeldedaten. Die Datensätze enthielten die URL, gefolgt von Anmeldedetails und einem Passwort. Experten äußerten sich skeptisch zu dem Bericht und sagten, dass die Daten wahrscheinlich bereits online im Umlauf seien und viele der Details Duplikate seien. Dennoch betonten sie die Notwendigkeit, Passwörter regelmäßig zu aktualisieren und robuste Sicherheitsmaßnahmen wie die Zwei-Faktor-Authentifizierung zu übernehmen, bei der Benutzer aufgefordert werden, neben ihrem Passwort eine andere Form der Verifizierung anzugeben.

„Passwörter waren noch nie eine perfekte Lösung aus Nutzersicht, weil wir ständig Dinge hinzufügen müssen, um sie sicherer zu machen“, sagte Dave Chismon, ein leitender Technologieexperte beim NCSC. „Und doch sind sie immer noch anfällig für Phishing-Angriffe, und die zusätzliche Sicherheit erschwert das Leben der Benutzer.

„Obwohl die Technologie komplex ist, sind Passkeys für einen Benutzer schneller und einfacher als das Erinnern an ein Passwort oder das Durchlaufen der Zwei-Faktor-Authentifizierung.“

Ist Gesichtserkennung anfällig? Das Umgehen von biometrischen Prüfungen auf einem Gerät ist schwierig. Alan Woodward, ein Professor für Cybersicherheit an der Surrey University, sagt, die Gesichtserkennung habe sich deutlich verbessert.

„Es sind nicht nur die Erkennungsalgorithmen besser geworden, sondern Geräte enthalten jetzt auch eine 'Proof-of-Liveness'-Funktion, um die Verwendung von Bildern zu verhindern. Wie bei all Cybersecurity ist es ein Katz-und-Maus-Spiel. Die Tricks von Hackern verbessern sich, und auch die Gegenmaßnahmen verbessern sich“, sagt er.

Es könnte ein Problem geben, z. B. wenn ein Familienmitglied oder Partner Ihren Telefon-PIN-Code kennt. Experten sagen, dass eine offensichtliche Verteidigung darin besteht, Ihren PIN-Code privat zu halten – sogar vor Familienmitgliedern.

Welche anderen Vorsichtsmaßnahmen sollten Menschen treffen? Eine große Bedrohung für die persönliche Cybersicherheit der Menschen ist ihr eigenes Verhalten. „Die meisten Angriffe gegen Einzelpersonen erfolgen immer noch aufgrund eines Mangels an grundlegender Cyber-Hygiene – das Beachten der Grundlagen funktioniert wirklich“, sagte Chismon.

Einige grundlegende Empfehlungen sind die Verwendung von Passkeys oder, wenn Sie Passwörter verwenden, die Verwendung der Zwei-Faktor-Authentifizierung. Eine weitere ist die Verwendung starker Passwörter, insbesondere eines starken und separaten für Ihr E-Mail-Konto. Und verwenden Sie einen Passwort-Manager, der Passwörter sicher erstellt und speichert.

Sie sollten Apps und Betriebssystemsoftware auf Ihren Geräten regelmäßig aktualisieren. Phishing-Angriffe, bei denen Angreifer versuchen, auf Ihre Anmeldedaten zuzugreifen oder Sie dazu zu verleiten, schädliche Software herunterzuladen, können vermieden werden, indem Sie auf verdächtig aussehende E-Mails, Links und Anhänge achten (und nicht darauf klicken).

Die häufigsten Passwörter der Welt sehen für Hacker wie ein Geschenk aus. Laut Nordpass, einer Passwort-Manager-App, die Passwörter sicher speichert, ist das am häufigsten verwendete Passwort – basierend auf einer Analyse öffentlich verfügbarer Datenlecks und Dark-Web-Datenbestände – „123456“. Andere in den Top 10 sind „admin“, „password“ und „admin123“. Wenn das Ihre Passwörter sind, dann sind Passkeys definitiv etwas für Sie.