Passwörter sind ein leidiges Thema, denn obwohl sie die grundlegende Sicherheitsschranke für den Zugang zu Daten und Diensten bilden, werden sie von vielen Nutzern als lästig empfunden. Google arbeitet schon seit über zehn Jahren daran, die Passwörter in ihrer ursprünglichen Form abzuschaffen und hat nun anlässlich des heutigen Welt-Passwort-Tag die Umsetzung einer Lösung der FIDO-Allianz präsentiert: Automatische Passkeys statt Passwörter – und das auf allen Plattformen.
Passwörter müssen sehr hohe Ansprüche erfüllen, bei denen zwei gegensätzliche Dinge unter ein Dach gebracht werden müssen: Sie müssen sicher sein, aber der Nutzer muss sie sich auch merken können. Und natürlich sollte man sie vor allem bei wichtigen Diensten nicht mehrfach verwenden. Dieses Problem lässt sich seit vielen Jahren durch Passwortmanager lösen und mit der 2FA haben viele große Plattformen längst eine zusätzliche Sicherheitsschranke etabliert. Aber beides könnte in der heute bekannten Form schon bald nicht mehr notwendig sein.
In der FIDO Allianz arbeitet man schon seit langer Zeit an einer Alternative und sowohl Google (Android, Chrome) als auch Apple (iOS, Mac OS) und Microsoft (Windows) werden diese umsetzen. Statt Passwörter kommen Passkeys zum Einsatz, die den Login vollständig ersetzen können. Dabei handelt es sich um kryptographische Schlüssel, die bei der Registrierung zwischen dem Online-Anbieter und dem Passkey-Verwalter (in diesem Fall Google) ausgetauscht werden. Dieser Zugangsschlüssel wird auf dem Gerät sowie in der Cloud des Verwalters gespeichert. Bei Google ist das der Google-Account.
Der Austausch dieser Zugangsdaten, die dann nur noch aus dem kryptographischen Schlüssel bestehen, kann automatisch erfolgen. Gelegentlich (vielleicht auch immer) muss man seine Identität gegenüber des Google-Kontos bestätigen. Entweder durch Fingerabdruck, Gesichtserkennung oder vielleicht auch einem festgelegten PIN oder dem Passwort des Google-Kontos. Das soll das einzige Passwort sein, das man sich überhaupt noch merken muss.
So funktioniert die Zukunft ohne Passwörter
Wenn ihr euch mit eurem Smartphone auf einer Webseite oder in einer App anmeldet, entsperrt ihr einfach euer Telefon. Euer Konto benötigt dann kein Passwort mehr.
Stattdessen speichert euer Telefon eine FIDO-Berechtigung, die als „Passkey“ (also als Hauptschlüssel) bezeichnet wird und zum Entsperren eures Online-Kontos verwendet wird. Dieser Passkey macht die Anmeldung weitaus sicherer, da er auf einem öffentlichen Schlüssel mit Kryptographie basiert und eurem Online-Konto nur angezeigt wird, wenn ihr euer Telefon entsperrt.
Um euch auf eurem Computer auf einer Website anzumelden, müsst ihr nur euer Telefon griffbereit haben. Denn dann werdet ihr aufgefordert, das Telefon für den Zugriff zu entsperren. Sobald ihr das getan habt, braucht ihr das Telefon nicht mehr und könnt euch anmelden, indem ihr einfach euren Computer entsperrt. Selbst wenn ihr euer Telefon verliert, werden eure Passkeys aus der Cloud-Sicherung sicher mit eurem neuen Telefon synchronisiert, sodass ihr genau dort weitermachen könnt, wo euer altes Gerät aufgehört hat.
Mit dieser Methode möchte man Passwörter endgültig abschaffen und dennoch für ausreichend Sicherheit sorgen. Allerdings legt man dafür auch seine gesamte Identität und alle Schlüssel in die Hände von Google oder des jeweiligen Verwalters. Gut, das tun viele Menschen durch das Smartphone und die Online-Dienste schon heute, aber die Abhängigkeit wird noch einmal ein ganzes Stück größer. Google ist nicht bekannt dafür, Daten zu verlieren – aber was wenn es dann doch mal passiert? Dann verpufft die digitale Identität des Nutzers. Vielleicht habe ich da auch was falsch verstanden, aber das wäre eine reele Gefahr.