Drei Fragen und Antworten: Mit Passkeys aus dem Passwörter-Elend?
Sichere und bequeme Anmeldung ohne Passwort und zusätzliche Hardware-Token – wir erklären, wie das mit Passkeys möglich ist.
(Bild: iX)
FIDO2-Sticks haben es bislang nicht geschafft, die Anmeldung mit Accountname und Passwort flächendeckend abzulösen. Ebenso ist die Absicherung ihrer Passwörter mit 2FA so manchem Nutzer zu unkomfortabel. Aber vielleicht weisen Passkeys den Weg in eine sichere und zugleich passwortlose Zukunft? In Sachen Usability und Sicherheit hat das Verfahren jedenfalls die Nase vorn, ist sich Klaus Rodewig, Titelautor der neuen iX 5/2024, sicher. Im Interview erzählt er mehr dazu.
Was machen Passkeys anders als die klassische Passwort-Anmeldung und FIDO2-Sticks?
Passkeys ersetzen das klassische Passwort. Man braucht nur noch seinen Benutzernamen und einen Passkey, mehr nicht. Passkeys werden dabei auf dem Smartphone, Tablet oder Rechner gespeichert. Ein Smartphone hat man ohnehin immer dabei. Separate Hardware ist nicht notwendig. Gerade das macht Passkeys ja so praktisch – keine Zusatzhardware, bessere Usability durch den Wegfall von Passwörtern und dazu noch ein erheblicher Sicherheitsgewinn.
Wie werden mit dem Verfahren neue Geräte für den Zugriff auf einen Account autorisiert?
In geschlossenen Infrastrukturen wie bei Apple und Google werden Passkeys im Hintergrund über die verschiedenen Geräte hinweg synchronisiert. Man hat einen Passkey also automatisch auf allen Geräten mit demselben Benutzerkonto. Ist diese Möglichkeit nicht vorhanden, kann man neue Passkeys natürlich immer durch einmalige Verwendung von klassischen Benutzername-Passwortkombinationen registrieren.
Welche Dienste und Anbieter unterstützen das derzeit?
Die Liste der unterstützenden Anbieter wird erfreulicherweise immer länger. Die großen Anbieter wie Apple, Google, Adobe und PayPal sind schon dabei. Es gibt im Internet auch verschiedene Listen, zum Beispiel das Passkey-Verzeichnis des Anbieters Keeper Security.
Vielen Dank für die Antworten!
Umfangreiche Informationen zu sicheren Anmeldeverfahren wie Passkeys und Multifaktor-Authentifizierung finden sich in den drei Titelartikeln der neuen iX-Ausgabe im Mai: "Passkeys in eigenen Anwendungen nutzen" gibt einen Überblick, wie sich Passkeys einfach in der eigenen Infrastruktur implementieren lassen. "Eigene Server mit Pushauthentifizierung schützen" befasst sich der Absicherung von Web- und SSH-Zugängen und "Mehr Sicherheit durch risiko- und kontextbasierte Multi-Faktor-Authentifizierung" stellt ein Konzept für ein Authentifizierungsverfahren vor, das immer mehr Verbreitung findet. Die iX 5/2024 ist auch ab heute im heise Shop beziehungsweise am Kiosk erhältlich.
In der Serie "Drei Fragen und Antworten" will die iX die heutigen Herausforderungen der IT auf den Punkt bringen – egal ob es sich um den Blick des Anwenders vorm PC, die Sicht des Managers oder den Alltag eines Administrators handelt. Haben Sie Anregungen aus Ihrer tagtäglichen Praxis oder der Ihrer Nutzer? Wessen Tipps zu welchem Thema würden Sie gerne kurz und knackig lesen? Dann schreiben Sie uns gerne oder hinterlassen Sie einen Kommentar im Forum.
(axk)
