Erinnern Sie sich noch an Ihren ersten PC, Ihr erstes E-Mail-Konto oder Ihren ersten Social-Media-Account? Für viele ist es schon Jahrzehnte her, dass sie zum ersten Mal ein digitales Konto eingerichtet haben – doch auch nach all dieser Zeit sind Passwörter die gängigste Methode geblieben, um Daten zu schützen. Die Idee ist nicht schlecht: Mit einem guten Kennwort verweigert man Kriminellen im Idealfall den Zugriff aufs private Konto. Doch inzwischen glaubt keine Expertin und kein Experte mehr, dass dies der beste Weg ist, Online-Accounts und -Daten zu schützen.

Das erste Problem ist: Eine erstaunliche Zahl an Menschen macht es sich auch im Jahr 2023 zu einfach mit den Passwörtern. „123456″ und „password“ zählen immer noch zu den beliebtesten Kennwörtern. Doch damit haben es Angreifende leicht, sich Zugang zum Konto zu verschaffen. Das zweite Problem ist: Selbst komplexe Passwörter schützen nicht, wenn Cyberkriminelle sie durch gewiefte Phishing-Attacken und Hacks ergattern können. Cyberangriffe auf Passwörter sind eine ständige Gefahr – im Darknet floriert noch immer das Geschäft mit gestohlenen Daten. Einige Fachleute gehen sogar soweit zu sagen, es gibt kein sicheres Passwort. Doch was wären die Alternativen?

Passkeys: Login ohne Passwort – dafür mit Fingerabdruck

Apple, Google und Microsoft haben im vergangenen Jahr beschlossen, das Passwort langfristig abzuschaffen. Sie wollen auf Passkeys setzen, durch die die Anmeldung einfacher und sicherer werden soll. Pünktlich zum Welt-Passwort-Tag am 4. Mai 2023 hat Google damit begonnen, Nutzerinnen und Nutzern die Anmeldung per Passkey zu ermöglichen.

Passkeys lassen sich schnell einrichten: Wer ein neues Konto erstellt hat oder bei einem bestehenden Account das Passwort durch einen Passkey ersetzen möchte, muss sich zunächst lediglich auf einem Gerät anmelden. Wenn sich Nutzerinnen und Nutzer für einen Schutz per Passkey entscheiden, wird automatisch ein Passkey erstellt, das lokal auf dem Gerät gespeichert wird. Bei jedem Login bedient sich das System automatisch am gespeicherten Passkey – man muss also nur noch den Nutzernamen oder die E-Mail angeben.

Theoretisch lässt sich auf jedem Gerät, das man verwendet, ein Passkey für ein Online-Konto erstellen. Alternativ können Nutzerinnen und Nutzer aber auch das Smartphone nutzen, um sich auf jedem Smartphone, Laptop und Co. beim Account anzumelden: zum Beispiel per Fingerabdruck, Gesichtsscan oder PIN für die Bildschirmentsperrung. Dazu muss sich das Handy nur in der Nähe des Geräts befinden, auf dem sie sich einloggen.

Die Methode ist wesentlich simpler, als sich unzählige verschiedene Passwörter zu merken. Viel wichtiger ist aber, dass Passkeys resistent gegen Phishing-Attacken sind. Denn was wollen Cyberkriminelle schon mit einer Fake-Website eines Online-Dienstes erreichen, wenn es für den entsprechenden Account gar kein Passwort mehr gibt? Um an die Daten zu kommen, bräuchten sie schon das entsprechende Gerät oder Smartphone – und selbst dann können sie ohne den richtigen PIN, Fingerabdruck oder Gesichtsscan nicht viel damit anfangen.

Doch was wäre, wenn etwa das Smartphone abhanden kommt – und es das einzige Gerät ist, auf dem ein Passkey gespeichert ist? In diesem Szenario wäre das Konto nicht endgültig verloren. Die Entwickler sind darauf eingestellt und lassen Nutzerinnen und Nutzer den Zugriff auf ihre Konten per Mailadresse oder Telefonnummer wiederherstellen. Aber um das vermeiden, lohnt es sich, nicht nur ein einziges Gerät als Passkey zu verwenden.

Fido: Anmeldung per Stick

Auch die Allianz Fido (Fast Online Identity) ist davon überzeugt: Die Zukunft ist passwortfrei. Ihr Fido-2-Standard soll dabei eine komfortable und sichere Anmeldung ermöglichen. Darunter ist eine Authentifizierung zu verstehen, die ähnlich wie Passkeys passwortlos operieren. Nutzerinnen und Nutzer benötigen dazu einen Fido-Authenticator – also zum Beispiel einen USB-Stick oder einen USB-C-Stick fürs Smartphone, auf denen geheime Schlüssel zu einzelnen Konten hinterlegt sind. Sticks gibt es von verschiedenen Herstellern, darunter Google und Yubikey.

Ein Fido-Authenticator muss zuerst über einen Dienst verbunden werden. Dort werden die Schlüssel zu den jeweiligen Websites und Apps gespeichert. Wird der Authenticator aktiviert – also zum Beispiel der USB-Stick in das Gerät gesteckt und anschließend der Knopf auf dem Stick gedrückt – verbindet es sich mit den jeweiligen Accounts, indem es eine sogenannte Challenge an den Authenticator schickt. Damit ist eine Art mathematisches Rätsel gemeint, das nur der Sicherheitschip lösen kann. Nutzerinnen und Nutzer haben dabei die Wahl: Entweder ersetzt Fido das Passwort komplett oder aber es wird zusätzlich zum Passwort als zweiter Identifikationsschritt eingesetzt. Beides ist sicherer als ein Passwort allein.

Wie auch bei den Passkeys ist hierbei der Vorteil, dass Phishing- und Hackerangriffe zwecklos sind: Die Accounts schalten sich erst dann frei, wenn Sie sich per Stick authentifizieren. Das Passwort, sofern es noch komplett durch den Authenticator ersetzt wurde, bringt Angreiferinnen und Angreifern ohne den Stick nichts.

Warum Fido 2 Passwörter noch nicht abgelöst hat

Fido-Sticks gibt es bereits seit 2019, doch noch konnten sie Passwörtern nicht im großen Stil Konkurrenz machen. Der Grund dafür ist unter anderem, dass bislang längst nicht alle Dienste mit Fido funktionieren. Bei Microsoft und Google können Userinnen und User einen Authenticator nutzen, bei vielen anderen Services jedoch nicht – oder nur als Ergänzung zu einem Passwort.

Fido-Authenticator müssen zudem stets überall mitgenommen werden, um auf jedem gewünschten Gerät Zugriff auf die Konten zu haben. Das hat sich bislang für viele Menschen als wenig attraktiv herausgestellt, weil ähnlich wie beim Haus- oder Autoschlüssel die Gefahr besteht, dass man die kleinen Sicherheitschips verliert. Und dann muss der Zugriff zu allen Accounts, die per Authenticator gesichert sind, erst wieder aufwendig hergestellt werden. Den Stick sollten Nutzerinnen und Nutzer daher immer gut aufbewahren, am besten am Schlüsselbund. Außerdem empfiehlt es sich, einen Back-Up-Stick zu haben, mit dem Sie sich beim Verlust des ersten bei Ihren Konten anmelden können.

Die Vorherrschaft der Passwörter hat ein Ablaufdatum

Passkey und Fido gelten als vielversprechendste Alternativen zum Passwort. Die Forschung tüftelt jedoch auch an wesentlich unkonventionelleren Wegen: ein „Brain-Passwort“ zum Beispiel. Dabei wird die Gehirnaktivität eines Menschen auf bestimmte Reize mit Hilfe von Sensoren gemessen. Die daraus entstehende Gehirnstruktur dient als Passwort, dass nicht replizierbar ist. Für so etwas bräuchte es aber selbstverständlich erst alltagstaugliche Hardware, die diese Signale überhaupt messen und an das Zielgerät weiterleiten können.

Klar ist aber: Die Vorherrschaft der Passwörter hat ein Ablaufdatum. Online-Dienste haben die große Gefahr durch vermehrte Cyberangriffe erkannt: Schon jetzt erfordern viele eine Zwei-Faktor-Authentifizierung beim Login, für die zusätzlich zum Kennwort etwa ein SMS-Code benötigt wird. Einzelne Apps bieten alternativ auch an, sich mit der Handynummer und einem SMS-Code einzuloggen. Und wenn Giganten wie Google, Apple und Microsoft nun zunehmend auf Passkeys setzen, werden Nutzerinnen und Nutzer früher oder später die Vorteile von einfachen, passwortfreien Login-Methoden erkennen. Sicherer als Passwörter, die massenweise durch Phishing- und Hackerangriffen gestohlen werden, sind sie auf jeden Fall.

