Diese Seite erklärt, was ein Passkey ist und wie er funktioniert.
Um sich mit moin.schule bei den verschiedenen Anwendungen anzumelden, wird ein Passwort benötigt. Mit einem Passkey funktioniert die Anmeldung passwortlos. Passkeys machen die Anmeldung sicherer und schützen ein Konto vor Phishing (illegaler Abgriff persönlicher Daten), da kein Passwort übertragen wird. Das Merken von Passwötern ist nicht mehr erforderlich.
Ein Passkey besteht aus einem privaten und einem öffentlichen Schlüssel. Der private Schlüssel ist immer geheim. Er ist entweder gerätegebunden und wird auf einem Gerät (Smartphone, Tablet, Sicherheitsschlüssel) gespeichert (z. B. in Windows Hello) oder steht als synchronisierter Passkey in der Cloud zur Verfügung, z. B. im Google-Passwortmanager, Bitwarden oder der Apple-Passwörter-App.
Bei einer Passkey-Anmeldung auf einer Webseite kommuniziert die Webseite mit dem lokalen Gerät. Sie sendet eine Anfrage an das Gerät, damit sich die anmeldende Person ausweisen kann. Das Gerät bestätigt die Identität der Person. Dazu weist sich die Person an dem Gerät per Gesichtserkennung, Fingerabdruck, Passcode oder PIN aus.
Das Gerät sendet einen öffentlichen Schlüssel an die Webseite zurück und bestätigt damit, dass die Person berechtigt ist, sich anzumelden.
Bei der Einrichtung eines Passkeys wird der personengebundene Zugang zu moin.schule (Benutzername und Passwort) mit dem gerätegebundenen Passkey verknüpft. Der Zugang zu moin.schule bleibt personengebunden. Er wird nur verschlüsselt auf dem Gerät im Passkey gespeichert.
Für ein Benutzerkonto können mehrere Passkeys eingerichtet werden, z. B. für verschiedene Geräte.
Wichtig: In moin.schule werden bei Nutzung von Passkeys keine zusätzlichen Daten, insbesondere keine biometrischen Daten, gespeichert. Diese bleiben auf dem Gerät der Nutzer/-innen.
¶ Was wird für die Einrichtung von Passkeys benötigt?
Für die Einrichtung von Passkeys wird ein Gerät benötigt, das Fingerabdrucks- oder Gesichtserkennung durchführen oder Muster (QR-Codes) erkennen kann. Da viele PCs dies nicht haben, kann hier eine Geräte-PIN genutzt werden.
Passkeys können auf Sicherheitsschlüsseln gespeichert werden. Dabei handelt es sich um ein physisches Gerät - oft ein kleiner USB-Stick oder ein Chip mit Nahfunktechnik (NFC)- , das als digitaler Identitätsnachweis dient.
Weiterhin wird eine Authentificator- oder Passwortmanager-Software benötigt. Es gibt lokale Passwortmanager wie Windows Hello. Alternativ gibt es synchronisierende Passkeys mit Cloud-Speicherorten. Mögliche Passwortmanager mit Cloud-Speicherorten sind der Google-Passwortmanager, die Passwörter-App (Apple) oder alternative Passwortmanager wie Bitwarden oder KeePassXC. Beim Speichern und Verwalten eines Passkeys in der Cloud wird ein Benutzerkonto für die Cloud benötigt.
Gerätespezifische Hardware, Einstellungen in Firewalls oder MDM (Mobile Device Management, z.B. Relution, KeePassium) oder Programme können die Einrichtung von Passkeys beeinflussen. Bei Problemen den/die Schuladministrator/-in kontaktieren.
Wichtig: Für Passkeys ist die Verwendung eines personengebundenen Geräts notwendig. Bei Fragen, ob eigene Smartphones oder schulseitig zur Verfügung gestellte Geräte zur Erstellung von Passkeys genutzt werden dürfen, den/die Schuladministrator/-in kontaktieren.
Hinweis: Aktuell ist das Speichern von Passkeys für moin.schule lokal auf einen Windows-PC und auf Sicherheitsschlüsseln noch nicht möglich. Sobald die Funktionen zur Verfügung stehen, werden hier aktualisierte Informationen zu finden sein.
Passkeys sind gerätegebunden. Ein Gerät kann verloren gehen, gestohlen oder dauerhaft nicht mehr verwendet werden. In diesem Moment kommt es zu einem Verlust des Zugangs zu Konten. Daher sollten verschiedene Backup-Methoden für Passkeys genutzt werden, um nicht von einem einzigen Gerät oder einer einzigen Methode abhängig zu sein.
Folgende Hinweise sichern die Nutzung von Passkeys ab:
Passkeys in zusätzlichen Passwortmanagern speichern
Passkeys auf mehreren Geräten einrichten, z.B. auf einem Sicherheitsschlüssel
Wiederherstellungsmethoden wie Codes, E-Mail oder SMS bereithalten
Bei Verlust des Geräts: in cloud-synchronisierten Passkeys Zugriffsschlüssel sperren oder entfernen und neue registrieren