Anmeldung ohne Passwort mit Passkeys

Einführung

Passkeys sind eine sicherere und einfachere Alternative zu Passwörtern. Mit Passkeys können sich Nutzer mit einem biometrischen Sensor (z. B. Fingerabdruck oder Gesichtserkennung), PIN oder Muster in Apps und Websites anmelden, sodass sie sich keine Passwörter mehr merken und verwalten müssen.

Sowohl Entwickler als auch Nutzer hassen Passwörter: Sie beeinträchtigen die Nutzererfahrung, sorgen für Schwierigkeit bei der Konvertierung und führen sowohl für Nutzer als auch für Entwickler zu einer Haftung für die Sicherheit. Der Google Passwortmanager in Android und Chrome vereinfacht das automatische Ausfüllen. Für Entwickler, die noch mehr Verbesserungen bei Konvertierung und Sicherheit wünschen, sind Passkeys und Identitätsföderation die modernen Ansätze der Branche.

Ein Passkey kann die Anforderungen der Multi-Faktor-Authentifizierung in einem einzigen Schritt erfüllen. Dabei werden sowohl ein Passwort als auch ein OTP (z. B. ein sechsstelliger SMS-Code) ersetzt, um einen robusten Schutz vor Phishing-Angriffen zu bieten und die UX-Schwierigkeiten von SMS oder anwendungsbasierten Einmalpasswörtern zu vermeiden. Da Passkeys standardisiert sind, ermöglicht eine einzige Implementierung eine passwortfreie Nutzung auf allen Geräten eines Nutzers, in verschiedenen Browsern und Betriebssystemen.

Passkeys sind einfacher:

• Nutzer können ein Konto auswählen, mit dem sie sich anmelden möchten. Die Eingabe des Nutzernamens ist nicht erforderlich.
• Nutzer können sich über die Displaysperre des Geräts authentifizieren, z. B. über einen Fingerabdrucksensor, Gesichtserkennung oder eine PIN.
• Sobald ein Passkey erstellt und registriert wurde, kann der Nutzer nahtlos zu einem neuen Gerät wechseln und es sofort verwenden, ohne sich neu registrieren zu müssen (im Gegensatz zur herkömmlichen biometrischen Authentifizierung, die auf jedem Gerät eingerichtet werden muss).

Passkeys sind sicherer:

• Entwickler speichern statt eines Passworts nur einen öffentlichen Schlüssel auf dem Server. Für böswillige Akteure ist es also weitaus weniger wert, sich in Server zu hacken, und es ist im Falle einer Datenpanne weitaus weniger Aufwand erforderlich.
• Passkeys schützen Nutzer vor Phishingangriffen. Passkeys funktionieren nur auf ihren registrierten Websites und Apps. Nutzer können nicht dazu verleitet werden, sich auf einer betrügerischen Website zu authentifizieren, da der Browser oder das Betriebssystem die Überprüfung übernimmt.
• Passkeys reduzieren die Kosten für das Senden von SMS und machen sie somit zu einer sichereren und kostengünstigeren Methode für die 2-Faktor-Authentifizierung.

Was sind Passkeys?

Ein Passkey ist ein digitaler Berechtigungsnachweis, der mit einem Nutzerkonto und einer Website oder Anwendung verknüpft ist. Passkeys ermöglichen es Nutzern, sich zu authentifizieren, ohne einen Nutzernamen oder ein Passwort eingeben oder einen zusätzlichen Authentifizierungsfaktor angeben zu müssen. Diese Technologie soll alte Authentifizierungsmechanismen wie Passwörter ersetzen.

Wenn sich ein Nutzer bei einem Dienst anmelden möchte, der Passkeys verwendet, hilft ihm sein Browser oder Betriebssystem bei der Auswahl und Verwendung des richtigen Passkeys. Das funktioniert ähnlich wie gespeicherte Passwörter. Damit nur der rechtmäßige Eigentümer einen Passkey verwenden kann, wird er vom System aufgefordert, sein Gerät zu entsperren. Dies kann mit einem biometrischen Sensor (z. B. Fingerabdruck oder Gesichtserkennung), PIN oder Muster durchgeführt werden.

Zum Erstellen eines Passkeys für eine Website oder Anwendung muss sich der Nutzer zuerst bei dieser Website oder Anwendung registrieren.

1. Rufen Sie die Anwendung auf und melden Sie sich mit der vorhandenen Anmeldemethode an.
2. Klicken Sie auf die Schaltfläche Passkey erstellen.
3. Prüfen Sie die mit dem neuen Passkey gespeicherten Informationen.
4. Verwende die Display-Entsperrung des Geräts, um den Passkey zu erstellen.

Wenn er dann zu dieser Website oder App zurückkehrt, um sich anzumelden, kann er die folgenden Schritte ausführen:

1. Rufen Sie die Anwendung auf.
2. Tippen Sie auf das Feld für den Kontonamen, um im Dialogfeld zum automatischen Ausfüllen eine Liste mit Passkeys aufzurufen.
3. Wählen Sie den Passkey aus.
4. Verwenden Sie die Displaysperre, um die Anmeldung abzuschließen.

Das Gerät des Nutzers generiert eine Signatur, die auf dem Passkey basiert. Diese Signatur wird verwendet, um die Anmeldedaten zwischen dem Ursprung und dem Passkey zu verifizieren.

Ein Nutzer kann sich mit einem Passkey auf jedem Gerät in Diensten anmelden, unabhängig davon, wo der Passkey gespeichert ist. Beispielsweise kann ein auf einem Smartphone erstellter Passkey für die Anmeldung bei einer Website auf einem separaten Laptop verwendet werden.

Wie funktionieren Passkeys?

Passkeys sind für die Verwendung in der Betriebssysteminfrastruktur vorgesehen, die es Passkey-Managern ermöglicht, Passkeys zu erstellen, zu sichern und für Anwendungen, die auf diesem Betriebssystem ausgeführt werden, zur Verfügung zu stellen. Unter Android können Passkeys im Google Passwortmanager gespeichert werden, der Passkeys zwischen den Android-Geräten des Nutzers synchronisiert, die im selben Google-Konto angemeldet sind. Passkeys werden vor der Synchronisierung auf dem Gerät sicher verschlüsselt und müssen auf neuen Geräten entschlüsselt werden. Nutzer mit Android 14 oder höher können ihre Passkeys in einem kompatiblen Passwortmanager eines Drittanbieters speichern.

Nutzer müssen die Passkeys nicht nur auf dem Gerät verwenden, auf dem sie verfügbar sind: Passkeys auf Smartphones können bei der Anmeldung an einem Laptop verwendet werden, auch wenn der Passkey nicht mit dem Laptop synchronisiert ist, solange sich das Smartphone in der Nähe des Laptops befindet und der Nutzer die Anmeldung auf dem Smartphone genehmigt. Da Passkeys auf FIDO-Standards basieren, können sie von allen Browsern unterstützt werden.

Beispiel: Ein Nutzer ruft example.com im Chrome-Browser auf seinem Windows-Computer auf. Dieser Nutzer hat sich zuvor auf seinem Android-Gerät bei example.com angemeldet und einen Passkey generiert. Auf dem Windows-Computer entscheidet sich der Nutzer für die Anmeldung mit einem Passkey von einem anderen Gerät. Die beiden Geräte werden verbunden und der Nutzer wird aufgefordert, die Verwendung seines Passkeys auf dem Android-Gerät, z. B. mit einem Fingerabdrucksensor, zu genehmigen. Anschließend sind sie auf dem Windows-Computer angemeldet. Der Passkey selbst wird nicht auf den Windows-Computer übertragen. Daher bietet example.com normalerweise an, dort einen neuen Passkey zu erstellen. Auf diese Weise wird das Smartphone bei der nächsten Anmeldung des Nutzers nicht mehr benötigt. Weitere Informationen finden Sie unter Mit einem Smartphone anmelden.

Wer verwendet Passkeys?

Eine Reihe von Diensten verwendet bereits Passkeys in ihren Systemen.

• Logo: DocuSign
• Google
  • Der Anfang des Endes des Passworts
  • Google-Blog zur Onlinesicherheit: Making Authentifizierung schneller als je zuvor: Passkeys vs. Passwörter
  • Nutzerfreundlichkeit von Passkeys in Google-Konten gestalten
• Kajak
• Mercari
• NTT Docomo
• Logo: PayPal
• Shopify
  • Wie Passkeys Probleme beim E-Commerce-Shopping reduzieren
  • Unterstützung von Passkeys in Shop-Authentifizierungsabläufen
• Yahoo! JAPAN
  • Yahoo! Die passwortfreie Authentifizierung von JAPAN konnte die Anfragen um 25 % reduzieren und die Anmeldezeit um das 2,6-Fache beschleunigen.

Selbst ausprobieren

Sie können Passkeys in dieser Demo ausprobieren: https://passkeys-demo.appspot.com/

Datenschutz

• Weil bei der Anmeldung mit biometrischen Daten bei Nutzern der falsche Eindruck erweckt werden kann, dass dadurch vertrauliche Informationen an den Server gesendet werden. In Wirklichkeit verlässt biometrisches Material niemals das persönliche Gerät des Nutzers.
• Passkeys alleine erlauben kein Tracking von Nutzern oder Geräten zwischen Websites. Derselbe Passkey wird nie für mehr als eine Website verwendet. Passkey-Protokolle sind sorgfältig so konzipiert, dass an Websites weitergegebene Informationen nicht als Trackingvektor verwendet werden können.
• Passkey-Manager schützen Passkeys vor unbefugtem Zugriff und unbefugter Verwendung. Beispielsweise werden Passkey-Secrets mit dem Google Passwortmanager durchgängig verschlüsselt. Nur der Nutzer kann auf sie zugreifen und sie verwenden. Obwohl sie auf den Google-Servern gesichert werden, kann Google sie nicht dazu verwenden, die Identität von Nutzern zu stehlen.

Sicherheitsaspekte

• Passkeys verwenden Public-Key-Kryptografie. Public-Key-Kryptografie reduziert die Gefahr durch potenzielle Datenpannen. Wenn ein Nutzer einen Passkey auf einer Website oder Anwendung erstellt, wird auf dem Gerät des Nutzers ein Paar aus öffentlichem und privatem Schlüssel generiert. Die Website speichert nur den öffentlichen Schlüssel, aber dies allein ist für einen Angreifer nutzlos. Ein Angreifer kann den privaten Schlüssel des Nutzers nicht aus den Daten ableiten, die auf dem Server gespeichert sind. Diese sind für die Authentifizierung erforderlich.
• Da Passkeys an die Identität einer Website oder App gebunden sind, sind sie vor Phishingangriffen geschützt. Browser und Betriebssystem sorgen dafür, dass ein Passkey nur mit der Website oder App verwendet werden kann, von der er erstellt wurde. Nutzer sind dann nicht mehr für die Anmeldung auf der echten Website oder App verantwortlich.

Benachrichtigungen erhalten

Wenn Sie den Newsletter für Google Passkeys-Entwickler abonnieren, werden Sie über Neuigkeiten zu Passkeys informiert.

Nächste Schritte

• Passkey-Unterstützung unter Android und Chrome
• Häufig gestellte Fragen (FAQs)
• Anwendungsfälle
• Passkeys-Entwicklerleitfaden für vertrauende Parteien
• Mit dem Anmeldedatenmanager in einer Android-App anmelden