May 9, 2025

Globe Signals | Latest News

Get the Latest Breaking News

Author Info

Yaseen Khan

Find Me On

Trending News

Politics
Federal Workers Rally to Save Their Jobs—and All of Us From Toxic Waste 01
02
Health
Hippocratic AI, EUCALIA partner to bring generative AI to Japan
03
Crypto
Ethereum Breaks Key Resistance In One Massive Move – Higher High Confirms Momentum
04
Business
Metallus projects $30M revenue from aerospace and defense initiatives in 2025
05
Entertainment
Elon Musk’s Daughter Vivian Shows Off Moves at Drag Bash

Passkeys statt Passwörter | heise online

mubeenkhan45986@gmail.com017 mins

In einer Zukunft ohne Passwörter könnten Passkeys eine wichtige Rolle spielen. Mithilfe asymmetrischer Kryptografie bleiben private Schlüssel sicher auf Ihrem Gerät und machen Passwörter überflüssig. Cloud-Synchronisation sorgt dafür, dass Sie auch bei Geräteverlust Zugang behalten. c’t 3003 zeigt, wie Passkeys funktionieren, welche Anbieter sie unterstützen und warum die Technik hinter Passkeys sicherer als ein Passwort ist.

Anzeige


Transkript des Videos

(Hinweis: Dieses Transkript ist für Menschen gedacht, die das Video oben nicht schauen können oder wollen. Der Text gibt nicht alle Informationen der Bildspur wieder.)

Guckt mal hier, ich logge mich in mein PayPal-Account einfach per Gesichtserkennung ein und zwar nicht in der PayPal-Handy-App, sondern ganz normal in meinem Browser auf meinem Desktop. Und das geht auch bei WhatsApp, GitHub, Amazon, Google, Telekom, Uber, TikTok und so weiter. Möglich machen das Passkeys. Das sind virtuelle Schlüssel, die ihr auf eurem Gerät speichert und die ein Passwort ersetzen können. Also nicht nur können, ich habe alle Anbieter, wo das geht, und das sind schon echt viele, mittlerweile auf Passkeys umgestellt. Passkeys haben einen riesigen Vorteil gegenüber dem Passwort. Sie sind nämlich sicherer und vor allem komfortabler. Denn während sich jeder, der dein Passwort kennt, damit anmelden kann, sind Passkeys auf deinem Gerät gespeichert und können nur mit deinem Fingerabdruck, FaceID oder PIN genutzt werden. Also man braucht auf jeden Fall Zugriff aufs Gerät. Wir haben vor einem Jahr schon mal ein Video über Passkeys gemacht und das ist auch noch ziemlich aktuell. Nur sind inzwischen etliche weitere Anbieter dazugekommen. Es gibt jetzt auch mehrere Passwort-Manager wie Bitwarden oder 1Password, die Passkeys unterstützen. Und ihr hattet auch noch einige Fragen zu dem Thema. In diesem Video gehen wir ganz konkret darauf ein, was ein Passkey eigentlich ist, wie ich das einrichte und wir beantworten eure Fragen, die ihr uns zum Thema Passkeys geschickt habt. Kleines Versprechen, wenn du das Video geguckt hast, dann hast du endlich Passkeys verstanden. Also hoffe ich auf jeden Fall. Ich muss nämlich zugeben, so komplett hundertprozentig gecheckt hatte ich das bisher selbst nicht. Jetzt schon. Bleibt dran.

Liebe Hackerinnen, liebe Internetsurfer, herzlich willkommen hier bei…

Okay, bevor wir uns gleich anschauen, wie Passkeys eigentlich technisch funktionieren und warum die so sicher sind, erstmal hier so eine Beruhigung. Passkeys sind wirklich super schnell eingerichtet und funktionieren schon bei etlichen Anbietern. Bei passkeys.directory gibt es eine vollständige Liste mit allen Diensten, die Passkeys heute schon unterstützen. Wenn ein Dienst Passkeys anbietet, in dem Fall hier PayPal, dann kann ich auf einem kompatiblen Gerät wie einem aktuellen Smartphone, Windows oder Mac-Computer, ein Passkey erstellen. Hier mit dem iPhone wird der Passkey dann automatisch gespeichert und auf Wunsch auch direkt mit allen anderen iCloud-Geräten synchronisiert. Apple nutzt dafür Ende-zu-Ende-Verschlüsselung, sodass selbst Apple keinen Zugriff auf eure Schlüssel hat. Das gleiche gilt zum Beispiel für den Google Password-Manager, der Passkeys zwischen Chrome auf dem Desktop und Android-Smartphones synchronisiert. Am einfachsten geht das Synchronisieren, wenn alle Geräte im selben Ökosystem zu Hause sind. Ansonsten gibt es auch die Möglichkeit, die Passkeys in Passwort-Managern wie Bitwarden zu verwalten. Das geht dann herstellerübergreifend, also Microsoft, Apple, Google. Ja, und dann kann man sich für jeden Dienst, der Passkeys unterstützt, einen eigenen Passkey erstellen. Ich kann mich also ganz einfach jetzt bei PayPal anmelden und das sogar auf einem fremden Gerät. Ich muss nur diesen QR-Code einscannen und schon bin ich angemeldet. Und ein Passwort muss ich gar nicht eingeben, denn Passkeys haben nichts mit deinem Passwort zu tun, das wir merken und eingeben müssen, sondern mit einem Schlüsselpaar. Dieses Paar besteht aus dem privaten Schlüssel, der ist auf deinem Gerät gespeichert, und einem öffentlichen Schlüssel. Der Trick liegt in der asymmetrischen Kryptografie. Das ist eines der wichtigsten Konzepte der modernen IT-Sicherheit. Dabei geht es darum, dass der öffentliche und der private Schlüssel zwar zusammengehören, aber so clever miteinander verknüpft sind, dass der öffentliche Schlüssel allein nichts über den privaten verrät. Sobald du dich mit einem Passkey anmelden willst, startet der Dienst eine sogenannte Challenge. Das sind zufällige Daten, die nur für diese eine Anmeldung gültig sind. Diese Challenge schickt der Dienst an dein Gerät und jetzt kommt dein privater Schlüssel ins Spiel. Dein Gerät erstellt mit dem privaten Schlüssel eine digitale Signatur der Challenge und schickt sie zurück an den Dienst. Der Dienst nimmt dann den gespeicherten öffentlichen Schlüssel und prüft, ob die Signatur dazu passt. Das Entscheidende, Leute, der private Schlüssel bleibt immer auf deinem Gerät. Was der Dienst sieht, ist nur die Signatur und die ist für jede Challenge, also jeden Anmeldevorgang, einzigartig. Selbst wenn jemand diese Signatur abfangen würde, könnte er damit nichts anfangen, weil sie nur zu dieser einen Challenge gehört.

Ja, und wie funktioniert das? Die Sicherheit von Passkeys basiert auf sogenannten Einwegfunktionen mit Primzahlen. Das sind mathematische Berechnungen, die in die eine Richtung ganz einfach sind und in die andere Richtung praktisch unmöglich. Solche Einwegfunktionen sind so eine Art mathematisches Puzzle. Beispiel, es ist relativ einfach, zwei große Primzahlen zu multiplizieren. Also 33.809 mal 50.581 ergibt 1.710.093.029. Das kann dir jeder Taschenrechner im Bruchteil einer Sekunde berechnen. Aber es ist super schwer, nur aus der Zahl 1.710.093.029 herauszufinden, welche zwei Primzahlen da nun miteinander multipliziert wurden. Besonders, wenn diese gigantisch groß sind. Genau auf diesem Puzzle basiert das kryptografische Verfahren RSA, welches auch bei Passkeys verwendet wird. Asymmetrische Kryptografie nutzt solche Einwegfunktionen und schützt deinen Passkey. Mit dem privaten Schlüssel kann ein Datenpaket des Servers signiert werden, sodass der Schlüssel mit dem öffentlichen Schlüssel prüfen kann, ob tatsächlich die Signatur von dir stammt. Wichtig, wichtig, wichtig. Es ist nicht möglich, vom öffentlichen Schlüssel auf den privaten Schlüssel zu schließen. Nur deswegen funktioniert das Ganze. Wenn ihr euch noch mehr in das Thema asymmetrische Verschlüsselung oder Passkeys allgemein einlesen wollt, mein Kollege Wilhelm hat das in diesem c’t-Artikel nochmal alles ausführlich aufgeschrieben.

Und warum ist das jetzt sicherer als ein Passwort? Ja, bei Passwörtern musst du dir ein geheimes Wort oder eine Zeichenkette merken. Das Problem, Passwörter können geklaut werden. Sei es durch Phishing, Datenleaks oder schlichtweg, weil sie zu einfach sind. Passkeys lösen dieses Problem. Selbst wenn jemand deinen öffentlichen Schlüssel hat, kann er nichts damit anfangen. Der private Schlüssel verlässt niemals sein Gerät. Und selbst wenn jemand die Signatur abfängt, kann daraus nicht der private Schlüssel ausgelesen werden. Außerdem sind Passkeys sicher gegen Phishing, weil sie nur exakt auf der Website funktionieren, für die sie erstellt wurden. Also nur auf heise.de und nicht auf heise-phishing.de.

Ja, fragt ihr euch jetzt wahrscheinlich, wenn der Passkey niemals mein Gerät verlässt, wie funktioniert dann die Synchronisation? Zum Beispiel mit iCloud, die du gerade erwähnt hast. Ja, das ist ein wichtiger Punkt. Passkeys, also deine privaten Schlüssel, verlassen dein Gerät bei der Anmeldung nicht. Sie können aber über die Cloud synchronisiert werden. Dann verlassen die privaten Schlüssel euer Gerät, bleiben aber Ende-zu-Ende verschlüsselt. Also sind die Passkeys so verschlüsselt, dass selbst der Cloud-Anbieter, zum Beispiel Apple, sie nicht lesen kann. Und um die Passkeys dann wieder aus diesem iCloud-Schlüsselbund rauszubekommen und zu verwenden, braucht ihr euer Apple-ID-Passwort und als zweiten Faktor eine Bestätigung auf einem anderen Apple-Gerät. Und einen Zahlencode. Weil es die verschlüsselten Passkeys in der Cloud gibt, könnt ihr sie einfach wiederherstellen, wenn euer Smartphone kaputtgeht. Aber auch, wenn ihr keinen Zugriff mehr auf den Passkey habt. Wirklich aussperren könnt ihr euch eigentlich nur aus so Hochsicherheitsaccounts. Bei Google etwa könnt ihr das einschalten, wenn ihr euch als besonders gefährdete Person betrachtet. Das heißt da Advanced Protection Program und ist zum Beispiel für Journalisten gedacht. Normale Accounts haben immer irgendeinen Recovery-Modus oder können neben dem Passkey auch noch über das Passwort und einen zweiten Faktor entsperrt werden.

Ich fand Passkeys schon vor einem Jahr spannend und habe da auch schon angefangen, das zu verwenden. Und jetzt sind eben nochmal ein gutes Stück mehr Anbieter dazugekommen. Und auch deutlich mehr Anbieter von Passwort-Tresoren bieten jetzt auch Passkey-Unterstützung. Ja und damit steigt die Verbreitung immer weiter, bis wirklich jeder Anbieter auch das Einloggen per Passkey unterstützt. Das wird wahrscheinlich nicht mehr so lange dauern. Und dann vor allem auch das Löschen von Passwort erlaubt. Damit steht und fällt irgendwie auch ein bisschen so alles, weil ich aktuell bei kaum einem Anbieter nach dem Passkey einrichten direkt das alte Passwort aus dem Account entfernen kann. Ich muss mir für die meisten Anbieter noch ein sicheres Passwort einrichten, was ich im besten Fall nie brauchen werde, das einfach in der Schublade liegt, aber natürlich alle Nachteile von Passwörtern hat. Die habe ich ja in diesem Video schon erwähnt. Und deswegen solltet ihr doch unbedingt die Zwei-Faktor-Authentifizierung angeschaltet lassen, weil das Passwort ja eben weiterhin funktioniert. Also da gibt es auf jeden Fall noch Raum für Verbesserungen, aber, und das haben wir auch schon im letzten Video gesagt, für die allermeisten Menschen dürften Passkeys erstmal eine ziemliche Sicherheitsverbesserung sein. Einfach, weil ein Passkey sicherer ist als zum Beispiel Passwörter, die für mehrere Anbieter verwendet werden. Und Hand aufs Herz, das machen ganz schön viele Leute.

Ja, wie ist das bei euch? Verwendet ihr schon überall Passkeys? Habt ihr das auf dem Schirm, dass ihr nicht das gleiche Passwort für mehrere Anbieter nutzen solltet? Und synchronisiert ihr die Sachen über Cloud-Anbieter oder habt ihr das lieber nur lokal? Gerne eure Passwort-, Passkeys-, Tipps und Tricks in die Kommentare schreiben. Wir lesen alle Kommentare und natürlich gerne abonnieren, damit wir weiter solche Videos machen können. Tschüss!

c’t 3003 ist der YouTube-Channel von c’t. Die Videos auf c’t 3003 sind eigenständige Inhalte und unabhängig von den Artikeln im c’t Magazin. Die Redakteure Jan-Keno Janssen und Lukas Rumpler sowie die Video-Producer Şahin Erengil und Pascal Schewe veröffentlichen jede Woche ein Video.


(rum)

Leave a Reply

Your email address will not be published. Required fields are marked *

Related News