Sind Passkeys bereit für den breiten Einsatz? – Die Sicherheitsperspektive (Teil 1)

Fast jedes Mal, wenn man sich auf einer Website authentifizieren muss, begegnet man ihnen: Passwörtern. Sie sind noch immer die häufigste Form der Authentifizierung – und gleichzeitig eine der problematischsten.

Mit dem rasanten Wachstum der Rechenleistung, angetrieben durch leistungsfähigere Hardware und jüngste Fortschritte im Bereich KI und Machine Learning, ist es deutlich einfacher geworden, schwache Passwörter zu knacken. Was früher Jahre dauern konnte, ist heute oft in Stunden oder sogar Minuten möglich. Studien zeigen bereits, wie drastisch sich die Zeit zum Durchprobieren von Passwörtern (Brute Force) reduziert hat – besonders bei kurzen oder schlecht gewählten Passwörtern¹.

Neben den Sicherheitsproblemen sind Passwörter auch schlicht unbeliebt. Die meisten Menschen würden wahrscheinlich zugeben, dass sie wenig Freude daran haben, ständig neue Passwörter zu erstellen, sich zu merken und zurückzusetzen.

Genau hier setzen Passkeys an. Sie wurden entwickelt, um zentrale Schwächen von Passwörtern zu beheben und eine sicherere sowie deutlich benutzerfreundlichere Methode zur Authentifizierung bereitzustellen.

Aber können sie Passwörter wirklich dauerhaft ersetzen? Schauen wir uns das genauer an.

Der Umgang mit Passwörtern ist für viele Nutzer frustrierend. Dieser Artikel soll kein reines „Password-Bashing“ sein – aber bevor wir uns mit den Vorteilen von Passkeys beschäftigen, lohnt sich ein Blick auf die Probleme, die sie eigentlich lösen sollen.

Fast jeder kennt diese Situation: Man registriert sich auf einer neuen Website und muss wieder ein neues Konto anlegen. Bevor Passwortmanager weit verbreitet waren, griffen viele Menschen auf eine kleine Auswahl ähnlicher Passwörter zurück – oder verwendeten sogar ein einziges Passwort für zahlreiche Dienste.

Dieses Verhalten ist erstaunlich verbreitet. Eine Umfrage von YouGov zeigt, dass etwa zwei Drittel der Nutzer dasselbe Passwort auf mehreren Websites verwenden².

Das wird spätestens dann zum Problem, wenn eine Website gehackt wird. Gelangt ein Angreifer an eine geleakte Passwortdatenbank, kann er die enthaltenen E-Mail-Passwort-Kombinationen auf anderen Plattformen ausprobieren – eine Methode, die als Credential Stuffing bekannt ist. Ein Datenleck bei einem eher unbedeutenden Dienst kann so plötzlich Zugriff auf deutlich sensiblere Accounts ermöglichen, etwa auf das eigene E-Mail-Postfach oder sogar auf Online-Banking-Konten.

Hinzu kommt, dass viele Nutzer weiterhin Passwörter wählen, die als unsicher gelten – zu kurz, zu einfach oder nach leicht vorhersehbaren Mustern aufgebaut.

Aus Sicht der IT-Sicherheit sind schwache und wiederverwendete Passwörter vermutlich die denkbar schlechteste Kombination. Gleichzeitig ist dieses Verhalten aus menschlicher Perspektive durchaus nachvollziehbar. Angesichts der Vielzahl an Accounts, die Menschen heute verwalten müssen, ist es kaum realistisch, sich für jeden Dienst ein einzigartiges und komplexes Passwort zu merken – zumindest ohne technische Hilfsmittel.

Unternehmen sind sich dieser Risiken bewusst und versuchen gegenzusteuern, indem sie Passwortregeln durchsetzen: Mindestlängen, Sonderzeichen, Großbuchstaben, regelmäßige Passwortwechsel³ und ähnliche Vorgaben. Auf dem Papier erhöhen solche Regeln zwar die Sicherheit, in der Praxis gehen sie jedoch oft zulasten der Benutzerfreundlichkeit. Passwörter zu erstellen, die alle Anforderungen erfüllen, ist mühsam und frustrierend – und führt nicht selten dazu, dass Nutzer wieder auf unsichere Strategien zurückgreifen, etwa Passwort-Wiederverwendung oder minimal abgeänderte Varianten.

Während Passwörter auf etwas basieren, das man weiß, beruhen Passkeys auf etwas, das man besitzt, und etwas, das man ist. Diese Kombination – ein physisches Gerät zusammen mit biometrischer Authentifizierung – schafft eine deutlich robustere Sicherheitsgrundlage.

Technisch basieren Passkeys auf Public-Key-Kryptographie. Bei der Registrierung wird ein einzigartiges Schlüsselpaar erzeugt: ein privater Schlüssel, der sicher auf dem Gerät des Nutzers gespeichert bleibt, und ein öffentlicher Schlüssel, der beim jeweiligen Dienst hinterlegt wird.

Bei der Anmeldung muss der Nutzer nicht mehr ein Passwort übermitteln. Stattdessen weist das Gerät den Besitz des privaten Schlüssels über einen Challenge-Response-Mechanismus nach. Der Server sendet dazu eine zufällige Challenge, die das Gerät mit dem privaten Schlüssel signiert, nachdem der Nutzer das Gerät entsperrt hat – beispielsweise per Face ID, Touch ID oder Geräte-PIN. Der Server überprüft anschließend die Signatur mithilfe des gespeicherten öffentlichen Schlüssels.

Der entscheidende Vorteil dabei: Der private Schlüssel verlässt niemals das Gerät. Er wird weder übertragen noch mit dem Server geteilt. Selbst wenn ein Server kompromittiert wird, können Angreifer lediglich die öffentlichen Schlüssel erlangen – und diese sind für Identitätsdiebstahl oder zukünftige Anmeldeversuche nutzlos.

Dieser Ansatz löst viele klassische Passwortprobleme auf einmal:

• Es gibt nichts mehr zu merken oder wiederzuverwenden.
• Phishing-Angriffe verlieren weitgehend ihre Wirkung, da Passkeys an eine konkrete Domain gebunden sind und der private Schlüssel dank Challenge-Response niemals über eine manipulierte Drittseite abgegriffen werden kann.
• Server-Leaks legen keine sensiblen Authentifizierungsdaten mehr offen.

Passkeys lösen viele der grundlegenden Sicherheits- und Usability-Probleme traditioneller Passwörter. Statt bei der Anmeldung ein gemeinsames Geheimnis – also ein Passwort – zu übertragen, basiert die Authentifizierung auf kryptografischen Nachweisen. Dadurch verändert sich der gesamte Authentifizierungsprozess grundlegend.

Doch Sicherheit allein entscheidet noch nicht darüber, ob sich eine Technologie im Alltag durchsetzt. Daher stellen sich einige praktische Fragen:

• Wie gut funktionieren Passkeys im Alltag für normale Nutzer?
• Lassen sie sich problemlos über mehrere Geräte hinweg verwenden?
• Was passiert, wenn man sein Smartphone verliert?
• Und bieten Passkeys überhaupt noch einen spürbaren Vorteil, wenn Nutzer bereits Passwortmanager verwenden?

Diese Fragen betreffen weniger die Kryptographie selbst, sondern vor allem die praktische Nutzung und die User Experience. Im nächsten Artikel werfen wir deshalb einen genaueren Blick darauf, wie Passkeys erstellt, gespeichert, synchronisiert und im Alltag verwendet werden – und ob sie tatsächlich bereit für den breiten Einsatz sind.