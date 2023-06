Als Teil einer offenen Beta können Google-Nutzer ab sofort Passkeys einsetzen. Mit ihnen melden sich Anwender anschließend bei den Workspace-Diensten an. Langfristig soll die Technik die althergebrachten Passwörter ersetzen und die Sicherheit des Login-Prozesses erhöhen. Angekündigt hatte Google den Schritt bereits Anfang Mai, nun geht die Funktion erstmals live.

Passkeys: Displaysperre als Passwortersatz

Aber wie soll so eine Anmeldung ohne Passwort und zweitem Faktor funktionieren? Passkeys sind ein Authentifizierungsverfahren, das mehrere große Tech-Unternehmen wie Microsoft, Apple und eben auch Google als Teil der FIDO Alliance vorantreiben. Hierbei greift der Login-Prozess auf eine asymmetrische Verschlüsselung zurück, bei der der private Schlüssel stets auf dem lokalen Gerät – zum Beispiel ein USB-Token oder eine App auf dem Smartphone – bleibt. Beim Anmeldeverfahren fordert der Dienst eine Challenge beim lokalen Gerät an, das diese Aufgabe löst und das Ergebnis signiert zurück übermittelt. Solange also der private Schlüssel im alleinigen Besitz des Nutzers bleibt, gehen Angreifer leer aus. Das gilt auch für Phishing-Attacken und das Social Engineering.

Zum Start haben Nutzer zwei Optionen, Passkeys einzusetzen: Zum einen lassen sie sich als zweiter Faktor neben dem gewohnten Kennwort heranziehen. Alternativ ersetzen sie das Passwort komplett. Administratoren können ihren Anwendern ab sofort entsprechend explizit erlauben, den Schritt des Kennwort-Logins zu überspringen und direkt ihren Passkey heranzuziehen. Nutzer können anschließend selbst entscheiden, ob sie das wollen.

Nicht mit Linux, noch nicht mit Firefox

In seiner Support-Seite gibt Google an, dass Nutzer einen Passkey auf PCs mit wenigstens Windows 10, einem Mac mit macOS Ventura oder ChromeOS 109 erstellen und verwenden können. Linux-Systeme fehlen in der Auflistung. Bei den Mobilgeräten sind mindestens iOS 16 oder Android 9 die Voraussetzung. Schließlich unterstützt Workspace ebenfalls alle Hardware-Sicherheitsschlüssel mit Support für das FIDO2-Protokoll.

Beispiel für einen Passkey: Anmeldung bei den Workspace-Diensten mit dem Fingerabdruck, die biometrischen Daten bleiben stets lokal gespeichert und gehen nie an Google selbst. (Bild: Google)

Bei den Browsern sind ferner Chrome 109, Safari 16 oder Edge 109 oder höher notwendig – Firefox unterstützt Google hingegen offiziell noch nicht, mangels Support durch den Browser-Entwickler. Zudem müssen Nutzer auf ihrem Gerät die Bildschirmsperre aktivieren – und Bluetooth einschalten, wenn sie das Smartphone für die Anmeldung auf dem PC heranziehen. Als Passkey kann es sich hierbei ebenfalls um die PIN-Sperre für das Handy handeln. Außerdem stehen biometrische Methoden wie der Fingerabdruck oder das Gesicht zur Auswahl.

Verwaltung der Schlüssel in den Google-Einstellungen

In den Sicherheitseinstellungen lassen sich die Schlüssel hinzufügen, verwalten und bei Bedarf wieder löschen. Wer mehrere Endgeräte einsetzt, muss anschließend für jeden Client einen zugehörigen Passkey einrichten. Diese Arbeit kann einem das Android-Smartphone abnehmen: Ist der Anwender hier mit seinem Google-Konto angemeldet, registriert es die lokalen Passkeys automatisch – jedenfalls möglicherweise, wie der Anbieter nebulös angibt.

Wer ein Konto des lokalen Desktops mit anderen Nutzern teilt, sollte an diesem keinen passwortlosen Zugang einrichten. Stattdessen sollen Nutzer wie schon im Mai angekündigt zum Smartphone zur einmaligen Authentifizierung greifen. Macht man doch den Fehler einer Passkey-Verknüpfung auf einem gemeinsamen Rechner oder wird der private Schlüssel gestohlen, lässt sich der betroffene Passkey einfach von einem anderen Zugang aus remote entfernen. Zu guter Letzt bleibt der Login per Kennwort ebenfalls erhalten, zunächst überspringt Google diesen einfach – mit einem Klick auf die Optionen steht die Anmeldung per Passwort wieder zur Verfügung.

Noch nicht für Schulen und Unternehmen?

Die Passkey-Anmeldung soll innerhalb der nächsten 15 Tage zur Verfügung stehen. In der Ankündigung gibt Google an, dass alle Workspace- und Cloud-Identity-Nutzer sie jetzt erhalten können – während das zugehörige Support-Dokument aktuell Bildungseinrichtung und durch Arbeitgeber gebuchte Konten ausschließt. Angaben dazu, wann die Passkey-Funktion generell verfügbar sein wird, macht der Anbieter nicht.

(fo)