Passkeys statt Passwörter: Google Chrome startet jetzt mit neuen Standard – so funktioniert es (Infografiken)
Google hat den Passwörtern schon vor vielen Jahren den Kampf angesagt und an unterschiedlichen Lösungen gearbeitet, um die Passwort-Problematik für die Nutzer in den Griff zu bekommen. Mit dem kürzlichen Start der Passkeys im Chrome-Browser, die von einer breiten Industrievereinigung unterstützt werden, könnte man das innerhalb kürzester Zeit umsetzen. Wir erklären euch, wie die Passkeys funktionieren und warum sie das Passwort ersetzen können.
Die Kombination aus Benutzername und Passwort ist seit Jahrzehnten der Standardschlüssel zum Login in Onlinedienste. Abwandlungen gibt es praktisch nicht, sodass zur Erhöhung der Sicherheit viele Jahre immer aufwendigere Passwörter von den Nutzern gefordert wurden: Mehr als acht Zeichen, mindestens eine Ziffer, mindestens ein Sonderzeichen, wenigstens einen Großbuchstaben, keine Zahlenfolgen,… ihr kennt das. Mit Blick auf Brute-Force-Methoden mag das sinnvoll erscheinen, aber man hat eher das Gegenteil erreicht.
Viele Nutzer denken sich EIN starkes Passwort aus, verwenden dieses Meisterwerk dann überall und sind beim Hack eines einzelnen Anbieters plötzlich stark gefährdet. Aber wer kann sich schon unzählige verschiedene Passwörter ausdenken und merken? Natürlich kann man sich eigene Muster schaffen, aber die Standardlösung war der Passwortmanager. Doch dann kam die Zwei-Faktor-Authentifizierung mit der zusätzlichen Hürde des Smartphones und plötzlich werden viele Logins aufwendiger, als sie eigentlich sein müssten.
Google will mit der FIDO-Allianz, die man selbst anführt, in der viele IT-Größen wie Apple und Microsoft vertreten sind, das klassische Passwort und den Loginvorgang abschaffen. Für die Nutzer soll alles einfacher werden, aber natürlich nur unter der Voraussetzung, dass es mindestens genauso sicher wie die bisher verwendeten Technologien ist.
Letzte Aktualisierung am 2024-12-17 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
Passkeys sollen Passwörter ersetzen. Aber natürlich ergäbe es nur wenig Sinn, wenn man das eine durch das andere ersetzen würde, also steckt mehr dahinter. Denn Passkeys ersetzen nicht nur das Passwort, sondern die Kombination aus Benutzername und Passwort. Sie ersetzen die gesamte Hürde zum Zugang in das Onlinekonto, sodass nur noch eine einzige Information ausgetauscht werden muss, um in ein Konto zu gelangen.
Bei der Registrierung in einem Onlineservice werden zwei kryptographische Schlüssel erstellt – ein öffentlicher Schlüssel und ein privater Schlüssel. Der öffentliche wird an den Onlinedienst weitergeleitet, wo dieser mit dem Konto des Nutzers verbunden wird. Der private Schlüssel verbleibt auf dem Gerät des Nutzers und wird dieses auch niemals verlassen. Dieser wird nur auf dem Gerät verwendet, um den Nutzer zu identifizieren. Dieser identifiziert den Nutzer und die von ihm verwendeten Methode zur Authentifzierung gegenüber des Geräts. Fingerabdruck, Gesichtsscan, PIN oder wieder ein Passwort.
Beim Login wird die Kombination aus beidem benötigt. Der Nutzer muss sich auf dem eigenen Gerät authentisieren (nicht immer), um sicherzustellen, dass es sich dabei um den Nutzer handelt. Vergleichbar mit dem Entsperren des Smartphones. Wird dies erfolgreich durchgeführt, kann der öffentliche Schlüssel abgerufen und an den Onlinedienst gesendet werden. Über diesen kann man sich dann ohne weitere Eingaben einloggen. Soweit die Theorie. In der Praxis zeigt sich allerdings das Problem, dass der Login dann nur auf diesem einen Gerät funktioniert.
Und hier kommen die Unternehmen im Hintergrund zum Einsatz, wobei allen voran Google, Apple und Microsoft die Plattformen bieten werden, um einen FIDO-Login zu ermöglichen.
Um den Geräte-übergreifenden Login zu ermöglichen, sollen die privaten Schlüssel in der Cloud abgelegt und mit dem Konto des Nutzers verbunden werden. Vergleichbar mit den heute in der Cloud gespeicherten Passwörtern. Durch die Synchronisierung kann sich der Nutzer dann überall einloggen, wo das Konto von Google, Apple, Microsoft oder einem anderen Betreiber angemeldet ist. Dadurch gibt man zwar die Sicherheit theoretisch wieder aus der Hand, aber das ist bei den Passwortmanagern mit Cloud-Sync ähnlich gelagert. Außerdem werden die Schlüssel standardmäßig ebenfalls wieder verschlüsselt in der Cloud abgelegt.
Diese neue Lösung soll schon in den nächsten Monaten sehr vielen Nutzern angeboten werden, wobei die Plattformbetreiber bereits die notwendige Vorarbeit geleistet haben. Gerade erst hat Google Chrome die Passkey-Unterstützung erhalten. Natürlich müssen auch die Onlinedienste dies unterstützen, aber ich denke, dass Google, Apple und Microsoft genügend Anreize (nett gesagt für „sanften Druck“) schaffen werden, um das schnell zu verbreiten. Und so könnte Googles Ankündigung „Hello passkeys, goodbye passwords“ schon sehr schnell Wirklichkeit werden.
» Google Chrome: So könnt ihr den neuen Arbeitsspeicher-Sparmodus aktivieren und gezielt optimieren
Letzte Aktualisierung am 2024-12-11 / Bilder von der Amazon Product Advertising API / Affiliate Links, vielen Dank für eure Unterstützung!
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Im Artikel steht:
Um den Geräte-übergreifenden Login zu ermöglichen, sollen die öffentlichen Schlüssel in der Cloud abgelegt
Es müsste aber wie folgt heissen:
Um den Geräte-übergreifenden Login zu ermöglichen, sollen die PRIVATEN Schlüssel in der Cloud abgelegt
Vielen Dank, hab das korrigiert.