Passwörter sind so alt wie der Computer – und gelten trotzdem als unsicher und umständlich. Doch jetzt gibt es Hoffnung: «Passkey» heisst ein neues Verfahren, bei dem man sich weder Passwörter merken noch Codes eintippen muss – und das trotzdem sicherer ist. Dahinter steht FIDO, eine Allianz der grossen IT-Konzerne. SRF-Digitalredaktor Peter Buchmann erklärt, worum es geht.
Peter Buchmann
SRF-Digitalredaktor
Warum sind Passwörter unsicher?
«Ein Passwort ist ein Geheimnis, das zwei Parteien miteinander vereinbaren», erklärt Sicherheitsexperte Armand Portmann von der Hochschule Luzern. Obwohl das banal klingt, ist der Umgang mit Passwörtern alles andere als trivial:
- Für jedes Konto braucht es ein separates Passwort
- Nutzer und Anbieter müssen Passwörter immer sicher aufbewahren
- Passwörter müssen sicher ausgetauscht werden
Seit Jahrzehnten nutzen Angreifer diese Schwächen gezielt aus und stehlen Informationen oder Identitäten.
Was macht der neue Passkey besser?
Das FIDO-Verfahren ersetzt das Passwort durch zwei Schlüssel: Einen öffentlichen und einen privaten. Eröffnet man ein Konto, so werden diese Schlüssel automatisch generiert.
Beim Anmelden schickt der Anbieter eine Nachricht, den das Gerät der Nutzerin mithilfe ihres privaten Schlüssels digital signiert. Der Anbieter überprüft mit dem öffentlichen Schlüssel, ob die Unterschrift echt ist – falls ja, bekommt die Nutzerin Zutritt.
Der private Schlüssel bleibt bei der Nutzerin. Die beiden Parteien müssen kein Geheimnis teilen oder übermitteln.
Wie nutzt man den Passkey im Alltag?
Anders als beim Passwort sieht man den Schlüssel nie. Das ist auch gut so, denn er ist viel länger als ein Passwort, eine Abfolge von Zeichen, die keinen Sinn ergibt. Diese Buchstabensuppe wird sicher auf einem Gerät, etwa dem Smartphone, in einem digitalen Tresor aufbewahrt.
Statt den Passkey selbst braucht man nur den Schlüssel zum Tresor. Dazu reicht ein Fingerabdruck, ein Blick in die Kamera zur Gesichtserkennung oder eine PIN.
Eine einzelne simple PIN ist viel einfacher zu merken und man ist trotzdem sicherer unterwegs als mit sich unzähligen ständig ändernden Passwörtern. Möglich ist das, weil die Information zur Identifizierung nie das Gerät verlässt.
Wo kann ich den Schlüssel aufbewahren?
Dazu gibt es verschiedene Möglichkeiten: zum Beispiel im Smartphone, im Notebook oder im Browser.
Die sicherste Variante bietet ein spezielles Gerät, das aussieht wie ein USB-Stick. Damit ist garantiert, dass es nur eine Kopie des Schlüssels gibt auf einem Gerät, das man selbst kontrolliert und aufbewahrt.
Leider ist die sicherste Variante auch die Umständlichste. Jedes Mal, wenn man seine Mail lesen will, müsste man den Stick mit dem Notebook oder dem Handy verbinden.
Einfacher geht es mit dem digitalen Schlüsselbund von Apple oder Google. Die Passkeys werden dabei in der Cloud aufbewahrt und mit den unterschiedlichen Geräten synchronisiert. So ist sichergestellt, dass man sowohl vom Handy als auch vom Notebook aus seine Mail lesen kann – mit einem Fingerabdruck.
Haben Passkeys auch Nachteile?
Armand Portmann ist überzeugt, dass das neue System eine sehr gute Lösung für das Passwortproblem bietet. Den grössten Nachteil sieht der Sicherheitsexperte darin, dass es noch dauern wird, bis die Anbieter umstellen. Zurzeit sind es vor allem IT-Konzerne wie Microsoft, Google oder Amazon, bei denen man sich mit dem neuen Schlüssel anmelden kann.
