Weiter mit Tracking durch Dritte

Besuchen Sie unsere Website mit externen Inhalten, personalisierter Werbung und Werbetracking durch Dritte. Details und Informationen zu Cookies, Verarbeitungszwecken sowie Ihrer jederzeitigen Widerrufsmöglichkeit finden Sie in der Datenschutzerklärung und in den Privatsphäre-Einstellungen.

Weiter mit dem PUR-Abo

Nutzen Sie unser Angebot ohne Werbetracking durch Dritte für 4,99 Euro/Monat. Kunden mit einem bestehenden Abo (Tageszeitung, e-Paper oder PLUS) zahlen nur 0,99 Euro/Monat. Informationen zur Datenverarbeitung im Rahmen des PUR-Abos finden Sie in der Datenschutzerklärung.

Zum Angebot Bereits PUR-Abonnent? Hier anmelden

Einwilligung: Durch das Klicken des "Akzeptieren und weiter"-Buttons stimmen Sie der Verarbeitung der auf Ihrem Gerät bzw. Ihrer Endeinrichtung gespeicherten Daten wie z.B. persönlichen Identifikatoren oder IP-Adressen für die beschriebenen Verarbeitungszwecke gem. § 25 Abs. 1 TTDSG sowie Art. 6 Abs. 1 lit. a DSGVO durch uns und unsere bis zu 220 Partner zu. Darüber hinaus nehmen Sie Kenntnis davon, dass mit ihrer Einwilligung ihre Daten auch in Staaten außerhalb der EU mit einem niedrigeren Datenschutz-Niveau verarbeitet werden können.

Tracking durch Dritte: Zur Finanzierung unseres journalistischen Angebots spielen wir Ihnen Werbung aus, die von Drittanbietern kommt. Zu diesem Zweck setzen diese Dienste Tracking-Technologien ein. Hierbei werden auf Ihrem Gerät Cookies gespeichert und ausgelesen oder Informationen wie die Gerätekennung abgerufen, um Anzeigen und Inhalte über verschiedene Websites hinweg basierend auf einem Profil und der Nutzungshistorie personalisiert auszuspielen.

Externe Inhalte: Zur Ergänzung unserer redaktionellen Texte, nutzen wir in unseren Angeboten externe Inhalte und Dienste Dritter („Embeds“) wie interaktive Grafiken, Videos oder Podcasts. Die Anbieter, von denen wir diese externen Inhalten und Dienste beziehen, können ggf. Informationen auf Ihrem Gerät speichern oder abrufen und Ihre personenbezogenen Daten erheben und verarbeiten.

Verarbeitungszwecke: Personalisierte Werbung mit Profilbildung, externe Inhalte anzeigen, Optimierung des Angebots (Nutzungsanalyse, Marktforschung, A/B-Testing, Inhaltsempfehlungen), technisch erforderliche Cookies oder vergleichbare Technologien. Die Verarbeitungszwecke für unsere Partner sind insbesondere:
Informationen auf einem Gerät speichern und/oder abrufen

Für die Ihnen angezeigten Verarbeitungszwecke können Cookies, Gerätekennungen oder andere Informationen auf Ihrem Gerät gespeichert oder abgerufen werden.

Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen

Anzeigen und Inhalte können basierend auf einem Profil personalisiert werden. Es können mehr Daten hinzugefügt werden, um Anzeigen und Inhalte besser zu personalisieren. Die Performance von Anzeigen und Inhalten kann gemessen werden. Erkenntnisse über Zielgruppen, die die Anzeigen und Inhalte betrachtet haben, können abgeleitet werden. Daten können verwendet werden, um Benutzerfreundlichkeit, Systeme und Software aufzubauen oder zu verbessern.

▌▉▍▉▉▍▉▌▌▉▍▉▌ ▉▌▌▉▍▉▌▌▉▍▉▍▉▍ ;▌▉▍▉▉▍▉▌▌▉▍▉▌
  1. Startseite
  2. Geld & Leben
  3. Passkey statt Passwort: So funktioniert das Anmeldeverfahren

Digitales
03.06.2024

Passkey statt Passwort: Wie das neue Anmeldeverfahren für Online-Konten funktioniert

Beim Einloggen in Online-Konten kann man auch ohne ein Passwort auskommen.
Foto: Fabian Sommer, dpa

Ein neues Log-in-Verfahren für Online-Konten verspricht mehr Sicherheit und Komfort. Der große Vorteil: Nutzerinnen und Nutzer müssen sich kein Passwort mehr merken.

Passwörter sollen Online-Accounts schützen, aber das klappt nicht immer. Viele sind zu einfach gestrickt, wie etwa "12345" oder sie werden von Hackern geklaut. Jetzt gibt es eine bessere Alternative: sogenannte Passkeys. Bei immer mehr Online-Anbietern können die User ihre Konten damit sichern. Was man dazu wissen muss:

Wo liegt der Vorteil des neuen Verfahrens? 

Ein Passwort besteht aus einer Folge von Ziffern und Zeichen, die man sich merken muss. Das führt dazu, dass viele Menschen zu ganz simplen Passwörtern greifen, die andere leicht erraten oder durch Ausprobieren in Erfahrung bringen können. Andere fallen auf Phishing-Betrüger herein, die Passwörter via Mail und SMS ausspionieren, oder Hacker greifen die Daten bei Online-Diensten ab. Das alles soll bei Passkeys nicht mehr vorkommen können. 

Der Grund: Im Unterschied zum Passwort muss sich ein Passkey niemand merken. Das ginge auch nicht, weil sich dahinter ein langes kryptografisches Schlüsselpaar verbirgt. Dieses Paar wird nur einmal erzeugt und zum einen Teil auf einem Endgerät des Account-Nutzers und zum anderen dem Online-Dienst hinterlegt – fertig. Ein Passwort wird nicht mehr gebraucht. Und was man nicht braucht, kann auch nicht in falsche Hände geraten. "Wir haben da ein ganz anderes Sicherheitsniveau", sagt BSI-Experte Stefan Becker. 

Wie geht der Log-in mit Passkey?

Lesen Sie dazu auch

Zur Anmeldung beim Online-Dienst gibt der User wie bisher zunächst seinen Benutzernamen oder die E-Mail-Adresse ein. Statt danach auch noch das Passwort eintippen zu müssen, startet im Hintergrund ein automatischer Identifizierungsprozess. Dabei agieren der beim Online-Dienst hinterlegte Teil des Keys (der sogenannte öffentliche Schlüssel) und der beim Nutzer abgelegte Teil des Keys (der sogenannte private Schlüssel) miteinander. Dies bekommen die Account-Inhaber selbst gar nicht mit. 

Vereinfacht läuft das so ab: Der öffentliche Schlüssel stellt eine hochkomplexe Aufgabe (genannt Challenge), die nur vom privaten Schlüssel gelöst werden kann. Stimmt die Antwort, ist der rechtmäßige Nutzer des Accounts identifiziert. Laut BSI erhöht das nicht nur die Sicherheit, sondern auch den Komfort. "Das geht schneller als ein Passwort-Eintippen, ganz bestimmt", so Experte Becker. 

Wie richte ich den Passkey ein? 

Das geht auf der Webseite oder App des Online-Dienstes unter Rubriken wie beispielsweise Konto, Sicherheit oder Anmeldung und muss nur einmalig gemacht werden. So gelangen WhatsApp-Nutzer über die drei Punkte rechts oben und die Felder "Einstellungen" und "Konto" zum "Passkey"-Button. Außerdem muss der Account-Besitzer entscheiden, wo er den privaten Teil des Passkeys speichern will. Zur Wahl stehen Smartphone oder Tablet, der heimische Rechner, spezielle USB-Sticks (Token) oder etwa die Cloud bei Apple oder Google. "Alle Methoden haben ihre Vor- und Nachteile. Für die meisten Nutzer dürfte jedoch das Smartphone der beste Kompromiss aus Sicherheit und Komfort sein", sagt Ronald Eikenberg vom IT-Fachmagazin c’t

Beispiel Amazon: Der Kunde öffnet die Webseite mit dem Browser des Smartphones, meldet sich bei seinem Amazon-Konto an und geht unter "Konto und Listen" in die Rubrik "Anmeldung & Sicherheit". Dort klickt er den Button "Passkey-Einrichten" an und bestätigt den Vorgang mit Fingerabdruck, Gesichtsscan oder Display-Entsperrungscode. Das war's schon: die Passwort-Pflicht ist passé. Beim nächsten Aufruf der Webseite fragt Amazon nur noch, ob die Identifizierung per Passkey erfolgen soll – und gibt den Konto-Zugang frei, wenn sich der Nutzer durch Fingerabdruck, Gesichtsscan oder Displaycode ausweist. Beide Methoden, Passwort und Passkey, können auch gleichzeitig aktiv gehalten werden. 

Und wenn ich mein Smartphone verliere? 

Wer das Mobilgerät besitzt, verfügt über die Passkeys, die darauf hinterlegt sind. Das gilt auch für Fremde, die das Gerät stehlen oder finden. Genau für diesen Fall sieht das Verfahren die Verpflichtung vor, sich bei einer Account-Anmeldung mit Fingerabdruck, Gesichtsscan oder Entsperrungscode als rechtmäßiger Inhaber auszuweisen. BSI-Experte Becker spricht von den "klassischen Sicherheitsmaßnahmen", die hier schützen sollen. Das bedeutet aber auch: Im entsperrten Zustand sollte das Smartphone tunlichst nicht abhandenkommen. Passiert dies doch, müssten die Daten auf dem Gerät möglichst schnell per Fernzugriff gelöscht werden. Das empfiehlt sich aber nicht nur wegen der Keys, sondern auch wegen vieler anderer Daten auf dem Smartphone wie den privaten Kontakten. 

Themen folgen

Sie haben nicht die Berechtigung zu kommentieren. Bitte beachten Sie, dass Sie als Einzelperson angemeldet sein müssen, um kommentieren zu können. Bei Fragen wenden Sie sich bitte an moderator@augsburger-allgemeine.de.

Bitte melden Sie sich an, um mit zu diskutieren.