Der Begriff “Passkey” setzt sich aus den Wörtern “Password” (Passwort) und “Key” (Schlüssel) zusammen. Passkey wird als moderner und sicherer Nachfolger von Passwörtern und Multi-Faktor-Authentifizierung angeboten und basiert auf WebAuthn (Web Authentication API), einem Standard aus dem FIDO2 Framework.
Passkey ist eine passwortlose Authentifizierungsmethode, deren Idee es ist, von der wissensbasierten Authentifizierung (etwas, das man kennt) zur besitzbasierten Authentifizierung (etwas, das man hat) überzugehen.
Das zugrundeliegende Verfahren basiert auf der Schlüsselpaar-Kryptographie der asymmetrischen Verschlüsselung und nutzt das Challenge-Response-Verfahren. Wenn ein Benutzer die Passkey-Funktion für eine Anwendung oder einen Webdienst aktiviert hat, werden zwei digitale Schlüssel (daher Passkeys) erzeugt. Ein privater Schlüssel (Private Key), der grundsätzlich geheim (privat) zu halten ist und ein öffentlicher Schlüssel (Public Key).
Der Private Key wird in einem sogenannten Authenticator erzeugt, sicher gespeichert und mit diesem verknüpft. Mit Authenticator ist das angeschlossene Gerät des Benutzers gemeint, das kann ein Smartphone, Tablet, Laptop oder Desktop-PC oder ein Passwort-Manager sein.
Der Public Key leitet sich mathematisch vom Private Key ab, kann, wie der Name schon sagt, öffentlich gemacht werden und wird an den Kontoserver übermittelt.
Bei jeder folgenden Anmeldung sendet der Kontoserver eine Challenge in Form eines Datenpakets an das Gerät des Benutzers, die es zu lösen gilt. Die Challenge läuft für den Benutzer unbemerkt im Hintergrund ab. Dieser muss lediglich den Authenticator entsperren, indem er die Gerätesperre aufhebt. Entweder durch Eingabe einer PIN, eines Wischmusters, durch Scannen eines Fingerabdrucks oder mittels FaceID.
Nach dem Entsperren des Authenticators wird die gelöste Challenge automatisch mit dem Private Key signiert und an den Account-Server zurückgeschickt. Dieser überprüft mit Hilfe des Public-Keys die Echtheit der Signatur und authentifiziert den Benutzer. Der gesamte Vorgang dauert nur Sekundenbruchteile.
Auch wenn der Nutzer nur einen Faktor aktiv bestätigt, nämlich den Faktor Besitz durch Entsperren des Gerätes, verfügt Passkey immer noch über den Faktor Wissen in Form des Private Keys. Die Berechnungen für diesen Faktor laufen aber unbemerkt im Hintergrund ab.
Nachteile von Passkeys
Ohne Gerät kein Zugang. Das bedeutet, dass der Authenticator immer mitgeführt werden muss. Und wenn dieser verloren geht, kann es mit einigem Aufwand verbunden sein, einen Passkey wiederherzustellen. Ein weiterer Nachteil ist oft noch die Bindung an ein Produkt oder Ökosystem, die es Nutzern schwer macht, Passkeys plattformunabhängig zu nutzen. Handelt es sich bei dem Authenticator nicht um ein Gerät, sondern um einen Passwortmanager, kann dieses Problem zumindest umgangen werden.
Vorteile von Passkeys
Die erzeugten Schlüssel sind eindeutig und nur für den Zugang gültig, für den sie erzeugt wurden. Sie können also nicht für andere Zugänge/Webseiten verwendet werden, weshalb Phishing-Angriffe wirkungslos sind. Es gibt auch kein Passwort mehr, das vergessen werden kann, was wiederum die IT-Anfragen aufgrund von Passwortrücksetzungen reduziert. Zudem ist der private Schlüssel sicher im Authenticator gespeichert und selbst wenn Angreifer durch einen Hack des Kontoservers an den öffentlichen Schlüssel gelangen, ist dieser für diese wertlos.
Das sorgt für mehr Komfort und mehr Sicherheit als bei der Verwendung von normalen Passwörtern.