Neue Login-Methoden
Google, Microsoft und Apple schaffen das Passwort ab
Die Techkonzerne spannen zusammen und planen einen grossen Coup. Wann das neue Feature kommt und wie ein Leben ohne Passwörter funktioniert.
Matthias Schüssler
Worum geht es?
Zum heutigen Welt-Passwort-Tag, der immer am ersten Donnerstag im Mai stattfindet, haben die grossen Techkonzerne eine Ankündigung gemacht, die selbigen auf längere Sicht überflüssig macht: Ein grosses, bislang aber notwendiges Übel soll aus der Welt geschafft werden.
Mit dieser Neuerung werden wir uns im Web und in Apps künftig nicht mehr mittels Benutzernamen und Passwort anmelden und authentifizieren, sondern über unsere Geräte. Google, Microsoft und Apple wollen diese neue Methode im Verlauf eines Jahres in ihre Betriebssysteme einbauen.
Das macht den Umgang mit Apps und Websites, die ein Log-in erfordern, nicht nur einfacher, sondern auch sicherer: Risiken wie schwache oder mehrfach verwendete Passwörter oder auch Phishing-Attacken, bei denen die Zugangsdaten geklaut werden sollen, werden mittelfristig ausgeschaltet.
Wie funktioniert die Anmeldung ohne Passwort?
Eine passwortlose Anmeldung funktioniert folgendermassen: Wir werden bei einer Registrierung nicht mehr aufgefordert, uns ein Passwort auszudenken. Stattdessen müssen wir uns als autorisierter Nutzer identifizieren. Wie genau das vonstattengeht, hängt von den Umständen ab: Je nach Hardware scannen wir den Fingerabdruck, lassen eine Gesichtserkennung ausführen, tippen die Geräte-PIN oder stecken einen USB-Sicherheitsschlüssel ein. Auch eine Bestätigung über Ihr Smartphone, wenn Sie sich z.B. am Computer einloggen möchten, ist möglich.
Sobald das Gerät sicher ist, es mit dem rechtmässigen Besitzer zu tun zu haben, erzeugt es einen Passkey. Dieser digitale Schlüssel fungiert als Passwort, doch mit dem entscheidenden Unterschied, dass er automatisch gespeichert wird: Wir müssen ihn uns nicht merken und können ihn dementsprechend auch nicht vergessen, verlieren oder den falschen Leuten verraten.
Aber ist das auch sicher?
Die passwortlose Anmeldung setzt Sicherheitsmerkmale bei der Hardware voraus. Das ist ein Sicherheitschip, der die Schlüssel zur Entsperrung der Passkeys in einer geschützten Umgebung auf dem Gerät verwahrt und erst freigibt, nachdem sich der Nutzer mit Fingerabdruck, Gesichtserkennung oder über die System-PIN identifiziert hat.
Auch diese Methode ist nicht unknackbar, ist aber mindestens so verlässlich wie ein gut geschützter Passwortmanager. Sie ist zusätzlich mit dem Betriebssystem verzahnt, das die Verwaltung, die Freigabe und den Schutz der Passkeys übernimmt. Deshalb sind für die Realisierung die grossen Hersteller, Google bei Android, Microsoft bei Windows und Apple beim iPhone, iPad und Mac, gefragt.
Bei älteren Geräten ohne Sicherheitschips funktioniert die Methode nicht?
Das wird von den Umständen abhängen. In manchen Fällen wird man sich per Smartphone authentifizieren können. Aber so oder so wird das Passwort nicht von heute auf morgen verschwinden. «Wir sind uns im Klaren, dass es noch einige Zeit dauern wird, bis diese Technologie auf allen Geräten verfügbar ist und die Entwickler von Websites und Apps die Vorteile nutzen», schreibt Google in einem Blogpost: «Passwörter werden auch während dieser Umstellung weiterhin Teil unseres Lebens sein.»
Wenn das Gerät meine Zugangsdaten verwaltet, kann man sich trotzdem mit mehreren Geräten anmelden?
Das sollte kein Problem sein, wenn man mit Geräten des gleichen Herstellers arbeitet: Die werden die Passkeys via Cloud synchronisieren, sodass sie auch beim Umstieg auf ein neues Gerät zur Verfügung stehen.
Dieser Abgleich ist bereits heute bei klassischen Passwörtern der Fall, die Sie in den Browsern von Apple, Google und Microsoft speichern lassen. Ob ein Austausch zwischen den Herstellern erfolgen wird, bleibt abzuwarten. Falls nicht, erzeugt man zu seinem Benutzernamen einen neuen Passkey; von denen darf man mehr als einen verwenden.
Ab wann kann ich die neue Methode nutzen?
Wann die passwortlose Anmeldung kommen wird und wie sie die einzelnen Hersteller konkret umsetzen, müssen wir abwarten. Im Mediengespräch stellte ein Vertreter von Google in Aussicht, dass das innerhalb eines Jahres passieren soll.
Es gibt indes heute schon Möglichkeiten, die passwortlose Anmeldung auszuprobieren: In Ihren Microsoft-Account können Sie sich seit einiger Zeit auf diese Weise einloggen: Sie verwenden stattdessen die biometrischen Features, die Microsoft Authenticator App oder einen USB-Sicherheitsschlüssel. Das richten Sie unter account.microsoft.com ein: Klicken Sie auf «Sicherheit > Erweiterte Sicherheitsoptionen» und aktivieren Sie die Option «Kennwortloses Konto».
Doch unabhängig davon, wie lange es effektiv gehen wird – die passwortlose Anmeldung ist eine echte Innovation. Nicht nur für uns, sondern auch die Hersteller. Microsoft schreibt auf Anfrage, es sei für ihr Unternehmen «von entscheidender Bedeutung, dass wir zu den ersten Anwendern gehören, um unsere Position in der Branche als Vordenker und Pionier des passwortlosen Verfahrens zu behaupten». Und bei Google heisst es schlicht: «Wir sind gespannt, was die Passkey-Zukunft bringt.»
Wieso spannen Google, Microsoft und Apple zusammen?
Die drei Hersteller sind, wie die meisten der grossen Techunternehmen, Mitglied der Fido-Allianz. Diese wurde 2013 mit dem Ziel gegründet, die Authentifizierung im Netz zu vereinfachen. Der Name ist Programm; Fido steht für Fast IDentity Online, zu Deutsch: schnelle Onlineidentität.
In diesem Video führen wir vor, wie ein Sicherheitsschlüssel das Passwort ersetzt oder ergänzt.
Video: Matthias Schüssler
Auf dem Fido2-Standard der Allianz basieren auch die Hardware-Sicherheitsschlüssel, die sich auf zweierlei Arten nutzen lassen: Erstens sichern sie das klassische Log-in zusätzlich ab, indem der Nutzer neben Benutzernamen und Passwort via USB oder auch über Bluetooth den Schlüssel vorweisen muss. Zweitens können sie das Passwort auch vollständig ersetzen. Die passwortlose Anmeldung basiert auf Fido2, indem der Sicherheitschip im Gerät die Rolle des Schlüssels übernimmt.