Pass­keys

Lese­dau­er 2 Minu­ten

In einer zuneh­mend digi­ta­li­sier­ten Welt ste­hen Nut­zer und Unter­neh­men vor der Her­aus­for­de­rung, siche­re und zugleich nut­zer­freund­li­che Authen­ti­fi­zie­rungs­me­tho­den bereit­zu­stel­len. Pass­keys sind eine inno­va­ti­ve Alter­na­ti­ve zu her­kömm­li­chen Pass­wör­tern und bie­ten erheb­li­che Vor­tei­le hin­sicht­lich Sicher­heit und Datenschutz.

Was sind Passkeys?

Pass­keys basie­ren auf asym­me­tri­scher Kryp­to­gra­phie und erset­zen klas­si­sche Pass­wör­ter durch ein Sys­tem aus einem pri­va­ten und einem öffent­li­chen Schlüs­sel. Wäh­rend der pri­va­te Schlüs­sel sicher auf dem Gerät des Nut­zers gespei­chert bleibt, wird der öffent­li­che Schlüs­sel auf dem Ser­ver des Dienst­an­bie­ters hin­ter­legt. Die Authen­ti­fi­zie­rung erfolgt über eine bio­me­tri­sche Veri­fi­ka­ti­on (z. B. Fin­ger­ab­druck oder Gesichts­er­ken­nung) oder eine gerä­te­ba­sier­te PIN, wodurch das Risi­ko von Phis­hing und Pass­wort­dieb­stahl erheb­lich redu­ziert wird.

Vor­tei­le von Passkeys

Da Pass­keys nicht über­trag­bar sind und nicht durch Phis­hing abge­grif­fen wer­den kön­nen, wird das Risi­ko von Iden­ti­täts­dieb­stahl erheb­lich ver­rin­gert. Bei her­kömm­li­chen Pass­wör­tern besteht zudem die Gefahr, dass Daten­lecks gro­ße Men­gen an Anmel­de­infor­ma­tio­nen kom­pro­mit­tie­ren. Pass­keys spei­chern kei­ne gehei­men Zugangs­da­ten auf Ser­vern, wodurch die­se Angriffs­flä­che ent­fällt. Nutzer:innen behal­ten die voll­stän­di­ge Kon­trol­le über ihre Anmel­de­da­ten, da der pri­va­te Schlüs­sel aus­schließ­lich auf ihrem Gerät ver­bleibt und nicht an Drit­te wei­ter­ge­ge­ben wird.Da für jeden Dienst ein ein­zig­ar­ti­ger Pass­key gene­riert wird, ent­fällt das Pro­blem der Pass­wort-Wie­der­ver­wen­dung, das häu­fig zu Daten­schutz­pro­ble­men führt.

Daten­schutz­recht­li­che Herausforderungen

Trotz der genann­ten Vor­tei­le gibt es auch daten­schutz­recht­li­che Fra­ge­stel­lun­gen, die berück­sich­tigt wer­den müs­sen. Da der pri­va­te Schlüs­sel auf einem spe­zi­fi­schen Gerät gespei­chert wird, stellt sich die Fra­ge, wie Nutzer:innen den Zugriff bei Gerä­te­ver­lust wie­der­her­stel­len kön­nen, ohne Sicher­heits­ri­si­ken ein­zu­ge­hen. Anbie­ter müs­sen hier daten­schutz­kon­for­me Back­up- und Wie­der­her­stel­lungs­mög­lich­kei­ten bereitstellen.

Die Nut­zung von Pass­keys ist aktu­ell auf bestimm­te Betriebs­sys­te­me und Platt­for­men beschränkt, was daten­schutz­recht­li­che Fra­gen zur Inter­ope­ra­bi­li­tät und Zugäng­lich­keit auf­wirft. Nach der Daten­schutz-Grund­ver­ord­nung (DSGVO) müs­sen Unter­neh­men gewähr­leis­ten, dass Nut­zer trans­pa­ren­te Infor­ma­tio­nen über die Ver­ar­bei­tung ihrer Anmel­de­da­ten erhal­ten und jeder­zeit ihre Rech­te auf Löschung und Berich­ti­gung aus­üben können.

Fazit

Pass­keys stel­len eine viel­ver­spre­chen­de Alter­na­ti­ve zu her­kömm­li­chen Pass­wör­tern dar und bie­ten erheb­li­che Vor­tei­le für Sicher­heit und Daten­schutz. Sie eli­mi­nie­ren zen­tra­le Schwach­stel­len der klas­si­schen Pass­wort­nut­zung, erfor­dern jedoch eine sorg­fäl­ti­ge Imple­men­tie­rung, um den daten­schutz­recht­li­chen Anfor­de­run­gen gerecht zu wer­den. Unter­neh­men soll­ten daher nicht nur auf die tech­ni­sche Sicher­heit von Pass­keys set­zen, son­dern auch sicher­stel­len, dass sie DSGVO-kon­form und nut­zer­freund­lich in ihre Sys­te­me inte­griert werden.

Also las­sen Sie sich gut beraten.