Erklärvideo: Passkeys
26.03.2025

Neues Erklärvideo: Mehr Sicherheit ohne Passwörter

Mit Passkeys wird eine der grössten Schwächen der Cybersecurity behoben: Passwörter. Immer noch beliebt: 1234. Oder Nutzerinnen und Nutzer werden gezwungen, alle paar Wochen ihre Passwörter zu ändern – und beschränken sich auf simple Passwörter, die sie sich merken können.

Passwörter sind anfällig, weil sie oft zu kurz, zu einfach oder auf zu vielen Diensten gleichzeitig verwendet werden. Einmal geknackt, öffnet sich ein Schlaraffenland für Hacker. Mit Passkeys ist das anders.

Von breiter Industrieallianz entwickelt

Mit einer persönlichen Hardware wie einem Smartphone oder einem FIDO Key (z. B. USB-Stick) wird der IT-Service abgesichert. Einmal registriert, öffnet sich dieser mittels Fingerabdruck oder Gesichtserkennung. Voraussetzung ist eine aktivierte Displaysperre und für die Nutzung auf dem PC aktiviertes Bluetooth. Ausserdem muss die 2-Faktor-Authentifizierung eingeschaltet sein.

Passkeys wurden von der FIDO Alliance entwickelt, der die grossen Unternehmen der IT-Industrie angehören, darunter auch Google oder Apple. Die passwortlose Sicherheitstechnologie basiert auf dem Standard «WebAuthentication». Passkeys sind offen und herstellerunabhängig.

Das geschieht im Hintergrund

Asymmetrische Verschlüsselung gelangt zum Einsatz. Das Geheimnis, eine lange, zufällig generierte Zeichenfolge, wird bei erstmaliger Nutzung auf dem Gerät gespeichert und niemals geteilt. Beim Einloggen in einen Webservice beweist das physische Gerät mittels mathematischer Verfahren die Existenz des Geheimnisses, ohne es preiszugeben. Nutzerinnen und Nutzer werden von der Website aufgefordert, das Gerät zu entsperren (mittels Fingerabdruck oder Gesichtsscan), und anschliessend erfolgt das Einloggen in den IT-Service.

Nutzerinnen und Nutzer müssen keine Passwörter mehr erstellen und verwalten. Ausserdem sind Phishing-Angriffe nicht mehr möglich, die in den meisten Fällen Ausgangspunkt für Einbrüche ins Firmennetzwerk sind: Der geheime Schlüssel wird niemals preisgegeben, auch dann nicht, wenn sich ein Mitarbeitender auf einer gefälschten Website einloggen will.

Übergangsfrist für Passwörter

Passkeys sind heute in vielen Betriebssystemen und Browsern verfügbar und viele Websites unterstützen das Verfahren, jedoch längst nicht alle. Darum werden Passwörter mit 2-Faktor-Authentifizierung noch länger eine wichtige Rolle spielen, sind die Grundregeln eines sicheren Passworts nicht ausser Kraft:

  • Möglichst langes Passwort, bestehend aus Sonderzeichen, Zahlen, Gross- und Kleinbuchstaben. Tipp: Langen Merksatz bilden und jeweils das erste Zeichen jedes Wortes entnehmen und damit das Passwort bilden.
  • Pro Webservice ein einzigartiges Passwort. Nutzen Sie dazu einen Passwortmanager (im Browser, im Betriebssystem oder einen externen Passwortmanager).

b.secure: Die Baggenstos-Spezialistinnen und -Spezialisten zeigen Ihnen gerne, wie Sie Ihre Organisation immun gegen Phishing machen und Ihren Mitarbeitenden das digitale Leben erleichtern. Führen Sie mit uns Passkeys in Ihren IT- und Webservices ein.

Zum Cloud Security Assessment

Vorheriger Artikel

Meldepflicht soll ab dem 1. Ap...

Nächster Artikel