Diese Passkeys verwenden Public-Key-Kryptografie. Wenn sie also in eine Datenpanne verwickelt sind, sind sie ohne Ihr Gesicht oder Ihren Fingerabdruck für schlechte Akteure nutzlos. Wenn Ihr Laptop oder Telefon gestohlen wird, können Sie ebenfalls nicht auf Ihre Konten zugreifen, da Sie nicht in der Nähe sein werden, um die erforderliche Authentifizierung bereitzustellen.
Dies ist nicht nur eine Google-Initiative. Organisationen wie die FIDO-Allianz und die W3C-Webauthentifizierung group arbeiten ebenfalls an einer passwortlosen Zukunft, sodass Sie diese Systeme auf jedem Gerät verwenden können, egal ob von Google, Apple, Microsoft oder einem anderen Hardwarehersteller.
Passkeys einrichten und verwenden
Die gute Nachricht ist, dass die Verwendung von Passkeys so einfach ist wie das Entsperren Ihres Telefons – es soll so einfach wie möglich sein. Sie können für Ihre Konten zu einem Passkey-System wechseln, aber nur, wenn die App, bei der Sie sich anmelden, und das von Ihnen verwendete Gerät mit Passkey-Unterstützung aktualisiert wurden.
Angenommen, Google hat die Passkey-Unterstützung für Android abgeschlossen, Sie melden sich bei einer App an, die für die Verwendung von Passkeys aktualisiert wurde, und Sie haben Ja gesagt, als Sie aufgefordert wurden, von einem Standardkennwort zu wechseln. Sie werden dann aufgefordert, einen Hauptschlüssel zu erstellen, was bedeutet, dass Sie die gleiche Aktion ausführen müssen, die Sie zum Entsperren Ihres Telefons ausführen müssen – zeigen Sie Ihr Gesicht, drücken Sie Ihren Fingerabdruck oder geben Sie eine PIN ein. Dadurch wird der Hauptschlüssel erstellt und die Verbindung zwischen der betreffenden App und dem Gerät in Ihrer Hand authentifiziert. Wann immer Sie sich in Zukunft bei dieser App anmelden müssen, müssen Sie denselben Entsperrvorgang durchlaufen. Wie bei Passwörtern ist die Dauer der Authentifizierung unterschiedlich: Bei Ihrer Banking-App müssen Sie sich normalerweise jedes Mal anmelden, während bei einem Social-Media-Konto oft ein Login pro Gerät ausreicht.
Sie können sich auch über Ihr Telefon über die Magie eines QR-Codes bei Websites auf Ihrem Computer anmelden. Auf der Website wird ein QR-Code angezeigt, den Sie mit Ihrem Telefon scannen. Sobald Sie den Entsperrvorgang auf Ihrem Mobilgerät durchlaufen haben, wird Ihre Identität bestätigt und Sie werden auf der Website angemeldet.
Die verschlüsselte Synchronisierung zwischen Geräten wird ebenfalls gehandhabt – Google Password Manager fügt beispielsweise Unterstützung für Passkeys hinzu. Sollten Sie also den Zugriff auf ein Gerät verlieren, können Sie immer noch von einem anderen Gerät oder aus der Cloud auf Ihre Konten zugreifen, sofern Sie dazu in der Lage sind um die notwendige Authentifizierung zu leisten (und Sie haben in der Zwischenzeit Ihre Fingerabdrücke oder Ihr Gesicht nicht geändert).