Nach Apple hat auch Google beschlossen, Passkeys (zu Deutsch: Hauptschlüssel) einzuführen, um Passwörter überflüssig zu machen. Entwickler können die neue einfache und sichere Authentifizierungsmethode bereits in Google Chrome und im Google Play Service testen. Hier erfahren Sie, wie die neue Google-Authentifizierung funktioniert.
Ist eine Zukunft ohne Passwörter möglich? Nutzer geben oft zu schwache Passwörter ein oder verwenden sie mehrfach, um sich bei verschiedenen Konten anzumelden. Das macht es Hackern viel leichter, mit diesen Passwörtern persönliche Daten der Nutzer zu stehlen. Inzwischen gibt es Lösungen wie die Zwei-Faktor-Authentifizierung, die den Zugang zu Konten zusätzlich sichern, oder Passwortmanager, die aber immer noch gehackt werden können.
Eine neue Lösung könnten Googles Passkeys sein. Nachdem Apple angekündigt hatte, seine neusten Betriebssysteme iOS 16 und macOS mit dem neuen FIDO-Anmeldestandard auszustatten, zog auch Google nach. Die sichere und einfache Authentifizierungs-Technologie ohne Passwörter und über alle Plattformen hinweg wurde zunächst testweise in die Android-Beta-Version von Google Play Services und in die Canary-Version von Google Chrome integriert.
Laut Diego Zavala, Android-Produktmanager, und Christiaan Brand, Produktmanager Identität und Sicherheit bei Google, ist die Entwicklung von Passkeys ein wichtiger Schritt für mehr Online-Sicherheit. Im Google-Blog für Android-Entwickler sagten sie, Passkeys "können nicht wiederverwendet werden, können bei Server-Verletzungen nicht nach außen dringen und schützen die Benutzer vor Phishing-Angriffen."
Mit Passkeys kann der Nutzer ein Gerät, zum Beispiel sein Smartphone, als Hauptauthentifizierungssystem für Websites und Anwendungen auswählen. Bei der Anmeldung oder beim Wechsel der Verbindungsmethode erstellt das Smartphone zwei verschlüsselte Schlüssel: einen öffentlichen, der an den Dienstanbieter gesendet wird, und einen privaten, der im Smartphone gespeichert bleibt und den Zugang zur Website oder zur App über den Authentifizierungsmechanismus des Smartphones (PIN-Code, Muster, Gesichtserkennung oder Fingerabdruck) ermöglicht.
Die Online-Anmeldung erfolgt also statt mit einem Passworts mit der personalisierten Entsperrmethode des Smartphones. Der Smartphone-Schlüssel kann auch verwendet werden, um von einem anderen Gerät, zum Beispiel vom Laptop aus eine Verbindung zu einer Website herzustellen. Dazu müssen Sie nur den QR-Code einscannen, der auf dem Bildschirm erscheint. So können Sie die Passkeys auch auf verschiedenen Geräten mit verschiedenen Betriebssystemen (Windows, macOS, ChromeOS, Android und iOS) nutzen, um sich zum Beispiel über den Google-Passkey, der auf Ihrem iPhone gespeichert ist, im Chrome-Browser auf Ihrem Windows-Computer anzumelden.
Im Alltag bedeutet die Verwendung von Passkeys für den Nutzer keine große Veränderung. Tatsächlich gibt es bereits Standards, die den Zugriff auf Anwendungen oder Websites durch Bestätigung von einem anderen Gerät aus ermöglichen. Um diese Funktion zu aktivieren, muss man sich jedoch mindestens einmal mit dem Passwort angemeldet haben. Dabei ist es aber jederzeit weiterhin möglich, sich mit Hilfe der normalen Zugangsdaten, also Benutzername und Passwort, anzumelden.
Die Verwendung von Passkeys hat jedoch einige Nachteile, vor allem wenn man ein Android-Gerät gegen ein iPhone austauscht (oder umgekehrt), wenn das Smartphone gestohlen wird oder kaputt geht. In diesen Fällen müssen Sie nämlich manuell alle Passwörter auf das neue Telefon kopieren, was ziemlich lästig ist, und neue Zugangscodes für alle Dienste anfordern, wobei Sie natürlich jedes Mal Ihre Identität authentifizieren müssen.
Google Passkeys sollen für alle Nutzer von Android 9.0 oder neuer und von Chrome ab November 2022 verfügbar sein. Sie müssen nur Ihre eigene API (Application Programming Interface) erstellen, die es Ihnen ermöglicht, die Passkeys in nativen Android-Anwendungen zu verwenden.
Foto: © Google LLC.