Tipp: Passkeys unter Windows 11 für die passwortlose Anmeldung an Webseiten verwenden
Das sicherste Passwort ist jenes, dass es nicht mehr gibt. Immer mehr Webdienste ermöglichen es, statt einem Passwort einen Passkey für die Anmeldung zu verwenden. Windows 11 verfügt ab Version 23H2 über eine eingebaute Passkey-Verwaltung, die es wiederum ermöglicht, sich mit der Windows-PIN oder Windows Hello bei den hinterlegten Webdiensten einzuloggen. Diese Anleitung zeigt, wie das funktioniert.
Was ist ein Passkey überhaupt?
Es handelt sich hierbei um einen von der FIDO Alliance entwickelten Standard zur kennwortfreien Anmeldung. Ein Server stellt dafür einen öffentlichen Schlüssel zur Verfügung, auf dem Client wird ein privater Schlüssel abgelegt. Bei der Anmeldung fordert der Client vom Server eine sogenannte Challenge an. Der Server sendet die Challenge, der Client verschlüsselt diese mit seinem privaten Schlüssel und schickt die generierte Zeichenfolge wieder zurück. Nun weiß der Server, dass er es tatsächlich mit dem zuvor hinterlegten Gerät zu tun hat – die Anmeldung ist erfolgreich.
Vorteil: Selbst wenn es gelänge, den Datenverkehr abzufangen, wären die erbeuteten Informationen wertlos. Gängige Schadprogramme, die darauf ausgelegt sind, Passwörter zu stehlen, greifen ins Leere.
Ein kleiner “Nachteil” ist, dass man die Anmeldung per Passkey an einem Webdienst auf allen Geräten, die man dafür verwenden möchte, einzeln konfigurieren muss. Das ist allerdings nur ein einmaliger Aufwand, und weil die Anmeldung per Passkey komfortabler, aber ebenso sicher ist wie die Zwei-Faktor-Authentifizierung, lohnt sich die “Arbeit” allemal.
Passkeys unter Windows 11 verwenden
Was liegt auf dieser Seite näher, als die Einrichtung eines Passkey für das persönliche Microsoft-Konto zu beschreiben (geschäftliche Microsoft 365 Konten unterstützen diese Methode derzeit leider noch nicht).
Hierzu meldest Du Dich zunächst unter account.microsoft.com an Deinem Konto an und klickst auf “Sicherheit”. Auf der sich nun öffnenden Seite klickst Du auf “Erweiterte Sicherheitsoptionen”.
Alle bereits konfigurierten Sicherheitsverfahren werden jetzt aufgelistet. Das ist übrigens eine gute Gelegenheit, um zu überprüfen, ob man eine Telefonnummer und eine alternative E-Mail-Adresse hinterlegt hat. Das ist wichtig, sollte man den Zugang zu seinem Konto aus welchem Grund auch immer verlieren.
Jetzt folgt ein Klick auf “Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen”. Aus der sich öffnenden Liste wird “Windows-PC verwenden” ausgewählt.
Daraufhin folgt die Aufforderung, Windows Hello zu konfigurieren.
Nicht verwirren lassen, der Dialog erscheint auch dann, wenn Windows Hello bereits eingerichtet ist. In diesem Fall muss man nur noch bestätigen und alles ist erledigt. Andernfalls muss man die Erkennung per Gesicht oder Fingerabdruck (sofern verfügbar) konfigurieren oder eine PIN vergeben.
Wenn alles fertig eingerichtet ist, wird es Zeit für einen Test. Sobald Du Dich das nächste Mal bei Microsoft anmelden musst, gibst Du in der Anmeldemaske überhaupt nichts ein, sondern klickst auf “Anmeldeoptionen” und dann auf “Gesichtserkennung, Fingerabdruck, PIN oder Sicherheitsschlüssel”. Je nach Verfahren startet anschließend zum Beispiel die Gesichtserkennung, und bei Erfolg ist man angemeldet. Das funktioniert übrigens mit jedem beliebigen Browser.
Es gibt viele Online-Dienste, welche die Anmeldung per Passkey ermöglichen, in aller Regel findet man die Option in den Kontoeinstellungen unter “Sicherheit”.
Die unter Windows 11 eingerichteten Passkeys findet man in den PC-Einstellungen unter Konten / Hauptschlüsseleinstellungen. Um einen zuvor eingerichteten Login per Passkey wieder zu löschen, klickt man auf die drei Punkte und wählt “Hauptschlüssel löschen”.