Passkeys sind eine sichere Alternative, die uns einer passwortlosen Zukunft einen Schritt näher bringt. Hier finden Sie alles, was Sie über Hauptschlüssel wissen müssen.
Passwörter sind eine notorische Schwachstelle in jedem Sicherheitsworkflow. Sie sind schwer zu generieren und zu merken, und allzu oft sind sie für Angreifer leicht zu erraten. Glücklicherweise sind Passkeys hier, um möglicherweise den Tag zu retten.
Passkeys sind schneller und sicherer als Passwörter
Mai 2023, in ein Beitrag auf The Keyword, kündigte Google den Anfang vom Ende des Passworts an – die Einführung von Hauptschlüsseln als alternative Methode zum Schutz Ihres Google-Kontos. Aber was sind Passkeys und wie können Passkeys dazu beitragen, Ihr Google-Konto zu schützen?
Kombinationen aus Benutzername und Passwort sind seit den Anfängen der Computer die bevorzugte Authentifizierungsmethode. Aber selbst in den Tagen, als Angreifer physischen Zugang zu einem Computer benötigten und die Tastenanschläge manuell eintippen mussten, bedeutete Social Engineering, dass Passwörter oft trivial zu erraten waren.
Auch heute noch, die gängigsten Passwörter basieren auf persönlichen Informationen wie Namen, Daten, Tieren und Lebensmitteln.
Dies liegt daran, dass die Verwendung der Informationen, an die Sie sich sofort erinnern können, Passwörter leicht zu merken macht. Sie werden nie den Namen Ihres Hundes vergessen, den Geburtstag Ihres Ehepartners oder dass Leber und Zwiebeln Ihr Lieblingsdinner für ein Date sind.
Leider bedeutet dies, dass auch Kriminelle Ihr Passwort erraten können – vor allem, wenn Sie es erfahren übermäßiges Teilen in sozialen Medien.
Während Passwort-Manager einen Dienst anbieten, mit dem Sie zufällige, nicht zu erratende Passwörter erstellen und verwalten können, gehören Datenschutzverletzungen dazu Die größten Passwort-Manager-Unternehmen haben dazu geführt, dass die Passwörter von Millionen von Benutzern jetzt in den Händen von Bösewichten sind Schauspieler.
Die Multifaktor-Authentifizierung (MFA) erhöht die Sicherheit, indem sichergestellt wird, dass potenzielle Diebe sowohl Ihr Passwort kennen als auch Zugriff auf die App oder das physische Gerät haben müssen, mit dem Sie sich authentifizieren.
Die Passkeys von Google sollen die Komplikationen und den Stress rund um die Passwortsicherheit beseitigen So können Sie sich sofort mit Ihrem Android-Telefon authentifizieren – kein Passwort-Manager oder MFA erforderlich.
Wie funktionieren Passkeys?
Passkeys, besser bekannt als Multi-Device-FIDO-Credentials, sind die Hälfte eines Verschlüsselungsschlüsselpaars. Der öffentliche Schlüssel wird von dem Dienst gespeichert, auf den Sie zugreifen möchten, während der private Schlüssel auf Ihrem Gerät und in Ihrem Google-Konto gespeichert ist.
Wenn Sie sich über einen Browser oder auf Ihrem Telefon bei Ihrem Google-Konto anmelden, müssen Sie weder Ihr Passwort eingeben noch in Ihrer SMS- oder MFA-App nach einem Authentifizierungscode suchen. Sie müssen sich nur mit derselben Methode verifizieren, die Sie zum Entsperren Ihres Telefons verwenden. Dies kann per Fingerabdruck, PIN-Code oder Gesichtsscan erfolgen.
Passkeys, die Sie über einen Desktop-Browser erstellen, können in mobilen Apps oder in mobilen Browsern verwendet werden.
Im Gegensatz zu Passwörtern können Passkeys nicht erraten oder durch einen Brute-Force-Angriff aufgedeckt werden, und das sind sie einfach einzurichten und zu verwenden – was bedeutet, dass sie eher von Leuten übernommen werden, die den Aufwand nicht mögen MFA.
Google ist nicht das einzige Technologieunternehmen, das Passkeys zur Verbesserung der Sicherheit verwendet, da sowohl Microsoft als auch Apple 2022 mit der Einführung von Passkeys begonnen haben.
So verwenden Sie Google Passkeys
Es ist ganz einfach, sich mit Ihrem Google-Konto für Passkeys anzumelden. Besuchen Sie zum Einstieg g.co/passkeys und melden Sie sich wie gewohnt bei Ihrem Google-Konto an.
Klicken Sie auf das Blau Verwenden Sie Passkeys Schaltfläche, und Sie sehen eine Benachrichtigung, die besagt: „Sie können jetzt Ihre Passkeys verwenden, um sich anzumelden“.
Um dies zu testen, melden Sie sich von Ihrem Google-Konto ab und melden Sie sich dann wieder an. Nachdem Sie Ihren Benutzernamen eingegeben haben, werden Sie nicht zur Eingabe eines Passworts aufgefordert. Stattdessen werden Sie aufgefordert, „Ihren Hauptschlüssel zu verwenden, um zu bestätigen, dass Sie es wirklich sind“.
Klicken Weitermachen, und scannen Sie dann den QR-Code mit Ihrem Telefon. Wenn Sie einen PC verwenden, stellt Ihr Telefon über Bluetooth eine Verbindung zu Ihrem Desktop her und fordert Sie dann auf, einen Hauptschlüssel für die Anmeldung auszuwählen. Authentifizieren Sie sich mit Ihrer üblichen Entsperrmethode und Sie werden sofort angemeldet!
Die Verwendung von Passkeys hat einige Nachteile
Während Passkeys versprechen, die Anmeldung bei Ihrem Google-Konto und anderen Websites viel einfacher und sicherer zu machen, gibt es einige mögliche Nachteile der Passkey-Authentifizierung.
Der offensichtlichste Stolperstein ist, dass Sie ein Gerät benötigen, das entweder mit Google, Microsoft oder Apple kompatibel ist, um einen Hauptschlüssel zu verwenden. Während die meisten Menschen eines davon haben, werden heute noch andere mobile Betriebssysteme wie KaiOS verwendet. und es gibt eine wachsende Bewegung in Richtung Dumbphones, die Ablenkungen minimieren und soziale Medien einschränken Sucht.
Und obwohl kein Zweifel besteht, dass der Passkey Sie vor Kriminellen schützt, die über das Internet operieren, falls ein Angreifer dies getan hat Ihr Telefon in ihrem Besitz ist, ist die Sicherheit Ihres Hauptschlüssels nur so gut wie die Mittel, mit denen Sie Ihr Telefon normalerweise entsperren Gerät. Face ID kann fehlschlagen, Fingerabdrücke können erfasst werden, und Ihre vier- oder sechsstellige PIN ist noch einfacher zu erraten als Ihr Passwort.
Wenn Sie beispielsweise den Geburtstag Ihres ältesten Kindes als vierstellige PIN zum Entsperren Ihres Telefons verwenden und Ihr Gerät verloren geht oder gestohlen wird, kann jeder Angreifer dies tun Ihr Telefon entsperren können, haben vollständigen Zugriff auf Ihr Google-Konto, einschließlich aller Ihrer E-Mails, Ihrer Passwörter und aller von Ihnen festgelegten Hauptschlüssel hoch. Sie können auch eine Liste der Konten sehen, für die Sie Passkeys haben.
Wenn Sie sich mit Ihrem Hauptschlüssel bei einem PC anmelden, muss außerdem Bluetooth aktiviert sein. Dies kann ein erheblicher Stromverbrauch sein, wenn Sie es eingeschaltet lassen.
Sie können Ihr Google-Passwort weiterhin verwenden
Obwohl Google beabsichtigt, Passwörter und andere Authentifizierungsmethoden letztendlich vollständig abzuschaffen, ist es noch nicht bereit, dies zu tun.
Wenn Sie sich für den Hauptschlüssel angemeldet haben, aber trotzdem Ihr Passwort verwenden möchten, klicken Sie auf Versuchen Sie es anders nach Eingabe Ihres Benutzernamens. Klicken Sie nun auf Geben Sie Ihr Passwort ein.
Zum Zeitpunkt des Schreibens konnten wir keine Option finden, um die Passwortauthentifizierung vollständig zu deaktivieren, was bedeutet dass die Verwendung Ihres Hauptschlüssels mit Google zumindest vorerst eher eine Frage der Bequemlichkeit ist als Sicherheit.
Passkeys werden schließlich Ihre Online-Sicherheit verbessern
Durch die Förderung der Verwendung von Passkeys hofft Google, dass Sie weniger anfällig dafür sind, dass Ihr Konto kompromittiert wird.
Wenn Sie jedoch weiterhin die Anmeldung per Passwort zulassen – ohne Möglichkeit, die Option zu entfernen – laufen Sie Gefahr, sich in einem falschen Sicherheitsgefühl wiegen zu lassen. Stellen Sie sicher, dass Sie neben der Multifaktor-Authentifizierung weiterhin starke, nicht zu erratende Passwörter verwenden, während Google auf vollständig passwortfreie Anmeldungen umstellt.