Erst vor wenigen Tagen schrieb eine Kundin: “Was ist ein Passkey? Genügt mein Passwort nicht?” Ich hatte keine gute Antwort parat und noch weniger eine Anleitung. Daher hab ich mich hingesetzt und mal hier alles zusammengeschrieben dazu.

Ganz kompakt: Ein Passkey ist eine passwortlose, kryptografisch abgesicherte Login-Methode, die laut dem Bundesamt für Sicherheit in der Informationstechnik (BSI)  als besonders phishing-resistent gilt.

Das ist kein Passwort, das ist eine Einladung

Diesen Satz sage ich gerne mal bei Trainings. Denn häufig ist das Passwort der Name des ersten Kindes in Kombination mit dem Geburtsjahr und einem Rufzeichen. Schreib mir bitte keinen Kommentar, wenn Du dich hier erwischt fühlst. Danke.

Passwörter können:

• erraten
• geleakt
• wiederverwendet
• abgefangen

werden.

Dann kam 2FA & wurde Pflicht

Dann kam die Zwei-Faktor-Authentifizierung (2FA). Sie war ein wichtiger Schritt, denn man musste einmal die Kombination aus Login und Passwort kennen. Dazu kam ein zweiter Faktor, wie etwa ein Smartphone mit einer speziellen App oder einen Sicherheitsschüssel, den man besitzen musste. Das hat viele lange genervt bei LinkedIn Konten, speziell, wenn man einer Assistenz Arbeiten übertragen wollte. Daher haben viele die 2FA gemieden und haben sie heute noch nicht eingestellt. Weil ihnen ja vielleicht noch nix passiert ist. 

Doch leider schlafen Hacker dank KI und Co noch weniger. Aktuelle Angriffsmethoden zeigen, dass selbst Einmalcodes wie sie von Authenticatorn erstellt werden, jetzt abgefangen werden können. Der IT-Blog BornCity berichtete kürzlich über Phishing-Kits, die Login und 2FA-Code in Echtzeit weiterleiten. Der Alptraum für alle, die sich mühsam einen Account bei Instagram, YouTube oder LinkedIn aufgebaut haben. Aber auch für alle, die viele Passworte managen (müssen). Denn jetzt konnte ja trotzdem alles von Hacker übernommen werden.

Der Mensch bleibt der Schwachpunkt

Wir Menschen sind immer noch der einfachste Angriffspunkt. Fake-Mails sind schon so gut, dass sie selbst Profis nicht mehr sofort auffallen. Authenticator-Sperren können mit einem Screenshot ausgehebelt werden. Von komplett kopierten und echt aussehenden Doppelgänger-Seiten jetzt mal gar nicht zu sprechen.

Passkeys eliminieren genau das, denn ein Passkey basiert auf Public-Key-Kryptografie. Diese hat zwei Schritte:

Ein privater Schlüssel bleibt sicher auf deinem Gerät

Ein öffentlicher Schlüssel wird beim Dienst gespeichert

Beim Login wird kein Passwort übertragen.

Stattdessen wird kryptografisch überprüft, ob dein Gerät berechtigt ist.

Hersteller wie Yubico erklären dieses Verfahren als phishing-resistent, da der Login an die echte Domain gebunden ist. Eine gefälschte Website kann den Passkey technisch nicht verwenden und Hacker schauen mit dem Ofenrohr ins Gebirge.

Warum Passkeys phishing-resistent sind

Authenticator-Apps erzeugen Codes, die unbedingt geheim bleiben müssen, auch wenn sie nur 60 Sekunden gültig sind. Diese Codes können abgefangen werden, während Du garnix davon merkst. 

Passkeys dagegen:

• übertragen keine Geheimnisse
• funktionieren nur auf der echten Domain
• sind nicht wiederverwendbar
• sind kryptografisch einzigartig

Das BSI beschreibt Passkeys als “sichere Anmeldung ohne Passwort, die insbesondere vor Phishing schützt”.

Wie sicher sind Fingerabdruck, Face ID und Geräte-PIN?

Viele wissen, dass ich Fingerabdruck, FaceID und Co immer kritisch gegenüberstehe. Hier also nur kurz:

Fingerabdruck:

• Wird im geschützten Hardware-Bereich des Gerätes gespeichert.
• Speichert nicht das Bild, sondern eine mathematische Repräsentation
• Sehr geringe Fehl-Akzeptanzrate

Risiken:

Stark verletzte Finger oder beschädigte Sensoren.

Was, wenn es nicht funktioniert? Geräte-PIN.

Face ID

• Erstellt einen 3D-Tiefenscan des Gesichts
• Speicherung lokal auf dem Gerät

Risiken:

Sehr seltene Fehlidentifikation bei eineiigen Zwillingen

Schwere Gesichtsverletzungen oder auch nur eine Zahn-OP (selbst getestet)

Was, wenn es nicht funktioniert? Geräte-PIN.

Geräte-PIN

• Mindestens 6-stellig
• Keine Geburtsdaten
• Keine simplen Muster

“Das größere Risiko bei Passkeys liegt im Verlust des Geräts.” 

Dagegen kannst Du folgendes tun:

• Gerätesperre mit Codeword oder Zahlencode aktiv
• Remote-Löschung über ein zweites Gerät (z. B. „Mein iPhone suchen“ oder „Find My Device“)
• Dann: Gerät in der Account-Geräteliste entfernen

Hardware ist der Hit: FIDO2-Sicherheitsschlüssel

Ich kann nach wie vor immer empfehlen, dass Du Dir zwei hardware-Sicherheitsschlüssel pro Person zulegen solltest. Diese sollten dann bitte auch immer über die Hersteller-Website gekauft werden. Nein, nicht über große Online-Kaufhäuser und erst recht nicht gebraucht. Man kauft sich auch keinen gebrauchten Tresor, bei dem die Kombination nicht verändert werden kann. 

Meine Entscheidung ist auf Yubikey gefallen. 

Warum?

Physischer Besitz erforderlich – ohne dem Schlüssel geht nix.

Kein Cloud-Synchronisation

FIDO2-Standard (für mehr brauchst Du einen Quantencomputer und die sind grad noch arg teuer)

Das sollten aus meiner Sicht alle nutzen, die 

• Administrator-Zugänge
• große Creator-Accounts
• Unternehmensprofile betreuen. 

Passkey bei Instagram einrichten

Werden wir konkret: Wie richtest Du das schnell bei Instagram ein?

Direktlink zu den Sicherheitseinstellungen:

https://www.instagram.com/accounts/password/change/ 

Die Schritte:

1. Instagram öffnen
2. Einstellungen → Sicherheit
3. Passwort & Sicherheit
4. Passkey erstellen
5. Biometrisch bestätigen
6. Jubeln!

Passkey bei Facebook einrichten

Vielleicht hast Du auch ein Facebook Konto, das auf Werbekonten, Unternehmensseite oder Ähnliches zugreift. Hier ist die Anleitung für die Einrichtung des Passcodes:

Direktlink:

https://www.facebook.com/security 

Account Center:

https://accountscenter.facebook.com/password_and_security 

Schritte:

1. Einstellungen → Sicherheit und Login
2. Passwort und Sicherheit
3. Passkey aktivieren
4. Yay!

Passkey bei LinkedIn einrichten

Auf LinkedIn wähnen wir uns alle immer besonders sicher, aber auch hier hat sich ein Schwarzmarkt für gehackte Konten gebildet. Daher: Bitte immer so sicher wie irgendwie möglich einrichten.

Direktlink:

https://www.linkedin.com/mypreferences/d/security 

Schritte:

1. Einstellungen & Datenschutz
2. Login & Sicherheit
3. Passkey erstellen
4. LinkedIn Post über diese Errungenschaft teilen!

Passkey bei YouTube (Google-Konto) einrichten

Bei einem Dienst wie Google einen Passkey einzustellen sollte selbstverständlich sein, denn hier hängt gleich unglaublich viel mit dran: Youtube, Google Ads, Google Drive und auch Google Mail.

Direktlink:

https://myaccount.google.com/security 

Schritte:

1. Google-Konto öffnen
2. Sicherheit
3. Passkeys
4. Gerät hinzufügen
5. Durchatmen!

Mein Fazit

Bitte schütze deine Konten mit Passkeys. Auch wenn Du “nix zu verbergen” hast.  Passkey plus Hardware-Schlüssel ist aktuell der sicherste Standard für Social-Media-Logins auf Profi-Level.

Für private Nutzer reicht:

→ Passkey + starke PIN

Für Unternehmer, Creator oder Admins sinnvoll:

→ Passkey + Hardware-Key als Backup

Und jetzt freue ich mich, wenn wir alle eine Runde sicherer schlafen können.

Herzlichst,
Sandra