Was Sie über Passkeys wissen sollten

Was ist ein Passkey?

Ein Passkey ist eine Methode zur passwortlosen Authentifizierung, die mehr Sicherheit und Bequemlichkeit bieten soll als herkömmliche Passwörter. Er kann allein oder als zweiter Faktor eingesetzt werden. Zunächst ist es wichtig zu verstehen, wie ein Nutzer gegenüber einem Webdienst beweisen kann, dass er tatsächlich zum Zugriff berechtigt ist. Hierzu muss ein Faktor oder Merkmal verwendet werden, das nur dieser Nutzer hat und das Unberechtigte nicht besitzen. Solche Faktoren können zu einer von drei Kategorien gehören: Wissen (der Nutzer weiß etwas, das andere nicht wissen, zum Beispiel ein Passwort), Haben (der Nutzer hat einen Gegenstand, auf den andere keinen Zugriff haben) und Sein (der Nutzer hat eine persönliche Eigenschaft, die andere nicht haben).

Die Schwächen von Passwörtern sind allgemein bekannt: Sie können vergessen, erraten oder gestohlen werden. Außerdem vernachlässigen Anwender häufig die Sicherheit, wenn sie sich einzigartige und komplexe Passwörter für jeden ihrer Webdienste merken sollen. Daher wird in den letzten Jahren zunehmend dazu übergegangen, Konten passwortlos abzusichern, also durch einen Faktor aus der Kategorie „Sein“ oder „Haben“. Zur ersten Kategorie zählen beispielsweise biometrische Merkmale wie Fingerabdruck, Gesichtserkennung oder Stimmerkennung, zur zweiten Kategorie etwa USB-Krypto-Sticks – auch die im Folgenden beschriebenen Passkeys, die an ein bestimmtes Gerät im Besitz des Nutzers gebunden sind.

Die Schwächen von Passwörtern

Passwörter geraten immer mehr ins Hintertreffen, denn sie sind oft die schwächste Komponente beim Schutz digitaler Ressourcen. Abgesehen davon, dass es mühselig ist, sie sich zu merken, werden sie oft wiederverwendet und müssen häufig geändert werden. Der Support und die Wartung von Passwörtern sind in vielen IT-Abteilungen nicht selten der größte Kostenfaktor. Das Ersetzen der Passwörter durch sicherere Authentifizierungsfaktoren macht es Angreifern schwerer und kostspieliger, erfolgreich zu sein.

So werden Passkeys verwendet

Bei einem Passkey verläuft die Authentifizierung des Nutzers im Konto folgendermaßen: Statt sich mit einem Benutzernamen und einem Passwort bei einem Konto anzumelden, gibt der Nutzer auf der Anmeldeseite des Dienstes lediglich an, für welches Konto er sich per Passkey anmelden möchte, und nutzt dafür bestimmte Sicherheitsfeatures des dafür registrierten Geräts (z. B. den Fingerabdruck auf dem Smartphone). Ist dem Dienst bekannt, dass das verwendete Gerät dem betreffenden Nutzer gehört, lässt er die Anmeldung zu. Dafür muss auf diesem Gerät zuvor ein Passkey für den Dienst generiert worden sein, wofür ein Authenticator zuständig ist. Als Authenticator können Smartphone-Apps wie Google Passwortmanager, iCloud-Schlüsselbund oder Microsoft Authenticator, ein FIDO2-kompatibler USB-Security-Stick, aber auch Windows Hello oder ein Passwortmanager auf dem PC fungieren.

Passwortlose Authentifizierung und Nutzerpräferenzen

Eine moderne und passwortlose Authentifizierung bietet eine reibungslose und sichere Benutzererfahrung. Nutzer sind zunehmend an passwortlose Authentifizierungsmethoden gewöhnt, insbesondere von mobilen Endgeräten. Sie bevorzugen bequeme Logins über alle Kanäle, was die Implementierung von passwortlosen Verfahren wie biometrischen Authentifizierungen oder One-Time-Passwörtern (OTPs) besonders attraktiv macht. Unternehmen sollten daher verschiedene, moderne Authentifizierungsverfahren anbieten, um den unterschiedlichen Präferenzen der Nutzer gerecht zu werden.

Pushe dein Business – mit AI

• Finde den optimalen Domainname
• Gestalte dein Logo
• Optimiere dein Website-Design

Mehr zu Airo von GoDaddy

Statistiken zu Cybersecurity-Bedrohungen

Aktuelle Statistiken zeigen, dass 69 % aller Spam-E-Mails Phishing- und Betrugsmails sind. Von diesen E-Mails zielen 90 % auf finanzielle Informationen ab. Diese Zahlen verdeutlichen die Dringlichkeit, sich mit den Risiken von Cyberangriffen auseinanderzusetzen und geeignete Sicherheitsmaßnahmen zu ergreifen. 

Passkeys: ein Blick unter die Haube

Wie funktioniert dies technisch? Die Grundlage ist die sogenannte Public-Key-Kryptografie. Hierbei handelt es sich um ein mathematisches Verfahren, bei dem zwei digitale Schlüssel generiert werden – ein privater und ein öffentlicher Schlüssel. Diese sind so benannt, weil der private Schlüssel stets von seinem Besitzer geheim gehalten werden muss, um die Sicherheit des Verfahrens zu gewährleisten. Der öffentliche Schlüssel dagegen kann, wie der Name schon sagt, öffentlich gemacht werden.

Die Public-Key-Kryptografie ist ein Verfahren der asymmetrischen Kryptografie. Das bedeutet, dass zur Ver- und Entschlüsselung jeweils unterschiedliche Schlüssel zur Anwendung kommen: Eine Zeichenkette, die mit dem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem zugehörigen privaten Schlüssel entschlüsselt werden, und umgekehrt. Ein fundamentales Konzept der asymmetrischen Kryptografie ist das Schlüsselpaar, bestehend aus einem öffentlichen und einem privaten Schlüssel. Daten, die mit dem öffentlichen Schlüssel verschlüsselt werden, können nur mit dem privaten Schlüssel entschlüsselt werden. Daher muss der private Schlüssel vom Besitzer des Schlüsselpaares geheim gehalten werden.

Dies ist auch die technische Grundlage von Ende-zu-Ende-Verschlüsselung von E-Mails, digitalen Signaturen, HTTPS und anderen verbreiteten Verfahren im Internet, bei denen es auf lückenlose Sicherheit ankommt. Die digitale Signatur, die auch beim Passkey eine Rolle spielt, funktioniert im Prinzip so: Eine Prüfziffer des zu signierenden Dokuments wird mit dem privaten Schlüssel des Signierenden verschlüsselt. Die Öffentlichkeit – jeder, der den zugehörigen öffentlichen Schlüssel hat – kann nun die Echtheit der Signatur prüfen, weil die Verschlüsselung durch den privaten Schlüssel nur durch den zugehörigen öffentlichen Schlüssel rückgängig gemacht werden kann.

Login per Challenge vom Server

Zurück zum Passkey: Nachdem der Authenticator des Nutzers bei seiner Registrierung für einen Webdienst ein solches Schlüsselpaar generiert hat, verbleibt der private Schlüssel im Authenticator (also auf dem verknüpften Gerät im Besitz des Nutzers). Der öffentliche Schlüssel dagegen wird an den Server des Dienstes geschickt, auf dem das Konto des Nutzers liegt. Dieser öffentliche Schlüssel muss nicht geheim gehalten werden und kann also einfach im Klartext übermittelt werden. Bei einer Login-Anfrage des Nutzers schickt nun der Server eine sogenannte Challenge an den Authenticator. Hierbei handelt es sich um ein kleines Datenpaket, das vom Authenticator mit dem privaten Schlüssel des Nutzers signiert und so zurück an den Server geschickt wird. Dieser kann die Echtheit der Signatur prüfen, indem er sie mit dem zugehörigen öffentlichen Schlüssel (der zuvor vom Authenticator auf dem Server deponiert wurde) entschlüsselt.

Um dies noch einmal hervorzuheben: Bei der Authentifizierung per Passkey muss zwischen Authenticator und Konto-Server niemals eine geheime Information (wie etwa ein Passwort) übermittelt werden. Daher kann auch kein Geheimnis von einem Angreifer abgefangen und missbraucht werden. Und weil Passkeys domainspezifisch erstellt werden, können auch gefälschte Phishing-Seiten, selbst solche mit sehr ähnlichen Domainnamen, nichts ausrichten.

Passwort trotz Passkey?

Trotzdem sind auch bei Passkeys geheime Informationen im Spiel – nämlich der private Schlüssel des Nutzers. Dieser muss sorgfältig geheim gehalten werden, um die Sicherheit des Verfahrens nicht zu beeinträchtigen. Das bedeutet, dass der Authenticator selbst ebenfalls gegen unbefugten Zugriff abgesichert werden muss. Wenn dieser nur durch ein Passwort gesichert ist, etwa das Masterpasswort eines Passwortmanagers oder die PIN des Smartphones, bleibt das Verfahren dennoch sehr viel sicherer als Online-Passwörter, da der Passkey an das jeweilige Gerät gebunden ist und dieses erst in die Hände eines Angreifers geraten müsste. Es ist jedoch ratsam, insbesondere bei Mobilgeräten, andere Absicherungsverfahren zu nutzen, die nicht nur sicherer, sondern auch bequemer einsetzbar sind, insbesondere biometrische Zugangsverfahren.

Auch bei der Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung (MFA) per Passkey sind Passwörter in der Regel immer noch im Spiel: Hierbei handelt es sich oft um einen herkömmlichen Login mit Benutzernamen und Passwort, der, wie bei MFA üblich, durch einen zweiten Faktor abgesichert wird. Dieser zweite Faktor ist dann ein Passkey von einem Authenticator, der genauso generiert wird wie zuvor beschrieben.

Passkeys als Authentifizierungsmethode der Zukunft

Ein Vorteil von Passkeys gegenüber dem FIDO2-Standard, auf dem sie basieren, ist, dass sie einfach zwischen verschiedenen Geräten synchronisiert werden können. Die FIDO Alliance, eine Industrievereinigung, der unter anderem Google, Microsoft, Samsung oder das deutsche BSI angehören, entwickelt gemeinsam mit dem W3C möglichst sichere, aber einfach zu nutzende Standards für die passwortlose Authentifizierung, um die Online-Security zu verbessern. Passkeys sind das neueste Ergebnis dieser Bemühungen. Große Anbieter wie Google oder Apple implementieren die Synchronisation in ihrem jeweiligen Ökosystem bereits, sodass ihre Nutzer einmal generierte Passkeys ohne zusätzlichen Aufwand von verschiedenen Geräten aus nutzen können. Nutzer müssen dabei jedoch darauf vertrauen, dass die privaten Schlüssel tatsächlich verschlüsselt übermittelt werden. Unternehmen mit höheren Sicherheitsanforderungen verzichten daher oft auf die Synchronisation von Passkeys zwischen verschiedenen Geräten, um zu verhindern, dass sie durch Angreifer abgefangen werden. Solche Passkeys werden als device-bound bezeichnet.

Wichtige Hinweise zur Nutzung von Passkeys

Es ist wichtig zu beachten, dass Nutzer Passkeys auf jedem Gerät erstellen müssen, das sie verwenden möchten. Bei gemeinsam genutzten Geräten sollte darauf geachtet werden, dass diese passwortgeschützt bleiben, um unbefugten Zugriff zu verhindern. Wenn ein Passkey auf einem gemeinsam genutzten Gerät gespeichert wird, könnte jede Person mit Zugriff auf dieses Gerät auch auf das Google-Konto des Nutzers zugreifen.

Statistiken zur Nutzung von Passkeys

Seit ihrer Einführung wurden Passkeys bereits über eine Milliarde Mal zur Authentifizierung in mehr als 400 Millionen Google-Konten verwendet. Diese Zahlen verdeutlichen die wachsende Akzeptanz dieser Technologie und zeigen, dass Passkeys auf dem besten Weg sind, eine zentrale Rolle in der Online-Sicherheit zu spielen.

Die Vorteile von Passkeys

Passkeys ersetzen sowohl Passwörter als auch traditionelle Multi-Faktor-Authentifizierung. Sie ermöglichen es den Nutzern, sich mit biometrischen Daten wie Fingerabdrücken oder Gesichtsscans anzumelden, was den Authentifizierungsprozess erheblich vereinfacht.

Sicherheit von Passkeys

Ein entscheidender Vorteil von Passkeys ist ihre Immunität gegen die breite Masse bekannter Phishing-Angriffe. Selbst wenn ein Nutzer versucht, sich auf einer gefälschten Webseite einzuloggen, wird der geheime Schlüssel niemals preisgegeben. Der Login scheitert, und die Angreifer erfahren nichts über das Angriffsziel oder dessen Daten. Dies erhöht die Sicherheit erheblich und schützt die Nutzer vor den Risiken, die mit Phishing und Datendiebstahl verbunden sind.

Passwortmanager: Ein unverzichtbares Tool für die Sicherheit

Zusätzlich zu Passkeys spielen Passwortmanager eine entscheidende Rolle bei der Verbesserung der Sicherheit. Sie speichern komplexe Passwörter und generieren sichere Anmeldedaten, sodass Nutzer sich keine komplizierten Passwörter merken müssen. Passwortmanager bieten nicht nur eine zentrale Anlaufstelle für alle Zugangsdaten, sondern schützen auch vor Phishing-Angriffen, indem sie nur die richtigen Anmeldedaten für die jeweilige Webseite bereitstellen. Dies reduziert das Risiko von Identitätsdiebstahl erheblich und ist besonders wichtig, solange Passwörter weiterhin verwendet werden. Die Kosten für die Lizenzen sind im Vergleich zu den potenziellen Schäden, die durch Sicherheitsverletzungen entstehen können, vernachlässigbar.

FAQ – Häufig gestellte Fragen zu Passkeys

Wie richte ich einen Passkey für mein Konto ein?:  Die Einrichtung erfolgt je nach Anbieter etwas unterschiedlich. Bei Google finden Sie beispielsweise in den Kontoeinstellungen unter „Sicherheit‟ den Punkt „Passwortlose Anmeldung‟ und können dort Ihren Passkey einrichten. Bei Apple-Geräten werden Passkeys automatisch in der iCloud Keychain gespeichert, wenn Sie diese aktiviert haben.

Grundsätzlich läuft die Einrichtung eines Passkeys folgendermaßen ab:

1. Melden Sie sich beim Dienst an, der Passkeys unterstützt.
2. Navigieren Sie zu den Sicherheits- oder Kontoeinstellungen (meist unter „Sicherheit‟, „Anmeldung‟ oder „Konto‟).
3. Suchen Sie nach Optionen wie „Passkeys‟ oder „Anmeldemethoden‟.
4. Wählen Sie „Passkey hinzufügen‟ und bestätigen Sie Ihre Identität durch Ihr bestehendes Passwort.
5. Authentifizieren Sie sich auf Ihrem Gerät per Fingerabdruck, Gesichtserkennung oder PIN.
6. Der Passkey wird erstellt und mit dem Konto verknüpft.

Welche Geräte und Betriebssysteme unterstützen Passkeys?: Passkeys werden auf den meisten modernen Geräten unterstützt:

• Apple: ab iOS/iPadOS 16+, macOS Ventura+, Safari
• Google/Android: ab Android 9+, Chrome (Version 108+), Google Password Manager
• Microsoft: Windows 10/11 mit Windows Hello, Edge-Browser, Microsoft Authenticator
• Weitere Browser: Firefox (ab Version 111), Brave Browser
• Hardware: FIDO2-kompatible Sicherheitsschlüssel wie YubiKey, Feitian oder Thetis

Die besten Erfahrungen machen Sie mit neueren Geräten, die biometrische Sensoren besitzen. Bei älteren Geräten ohne solche Hardware können Sie meist eine PIN als Alternative verwenden, was etwas weniger komfortabel ist.

Welche Websites und Dienste unterstützen bereits Passkeys?: Die Liste der Dienste mit Passkey-Unterstützung wächst stetig. Zu den bekanntesten gehören:

• Google (für Gmail, YouTube, Drive und andere Google-Dienste)
• Microsoft (Microsoft 365, Outlook, OneDrive)
• Apple (für Apple ID und iCloud-Dienste)
• PayPal, Amazon, eBay, Shopify
• Dropbox, DocuSign, GitHub
• Banken wie Bank of America und Capital One
• Passwortmanager wie 1Password, Dashlane und Bitwarden

Die Website https://passkeys.directory/ bietet eine aktuelle Übersicht unterstützter Dienste.

Können Passkeys über verschiedene Betriebssysteme hinweg verwendet werden?: Ja, allerdings mit gewissen Einschränkungen. Am reibungslosesten funktioniert die Synchronisation innerhalb eines Ökosystems (Apple-Geräte über iCloud Keychain, Google-Geräte über Google Password Manager, Microsoft-Geräte über Microsoft Authenticator).

Für die betriebssystemübergreifende Nutzung stehen verschiedene Methoden zur Verfügung. Sie können sich auf einem neuen Gerät anmelden, indem der Dienst einen QR-Code anzeigt, den Sie mit Ihrem authentifizierten Gerät scannen. Das funktioniert beispielsweise zwischen Android und iOS. Cloud-basierte Passwortmanager wie 1Password, Dashlane oder Bitwarden arbeiten an der plattformübergreifenden Synchronisation von Passkeys. Auch USB-Sicherheitsschlüssel wie YubiKeys funktionieren mit verschiedenen Betriebssystemen und können Passkeys speichern.

Brauche ich weiterhin einen Passwort-Manager, wenn ich Passkeys verwende?: Ein Passwort-Manager bleibt aus mehreren Gründen sinnvoll. Wir befinden uns in einer Übergangsphase, in der viele Websites noch keine Passkeys unterstützen und dies möglicherweise auch in naher Zukunft nicht tun werden. Passwortmanager bieten zudem mehr als nur Passwörter – sie speichern auch Kreditkartendaten, sensible Notizen und Identitätsdokumente.

Sie können als Brücke zwischen verschiedenen Ökosystemen dienen und bieten eine wichtige Backup-Option, falls Ihre primäre Passkey-Methode nicht funktioniert. Moderne Passwortmanager wie 1Password, Dashlane und Bitwarden haben bereits begonnen, Passkeys in ihre Produkte zu integrieren, und fungieren damit als Hybrid-Lösung während der Übergangszeit von Passwörtern zu Passkeys.

Was passiert, wenn ich mein Gerät verliere oder es gestohlen wird?: Bei Geräteverlust sind Ihre Passkeys besser geschützt als herkömmliche Passwörter, da sie lokal verschlüsselt gespeichert werden, in der Regel eine biometrische Verifizierung oder PIN erfordern und nicht einfach extrahiert werden können.

Dennoch sollten Sie vorbeugende Maßnahmen treffen. Synchronisieren Sie Ihre Passkeys über einen vertrauenswürdigen Cloud-Dienst, um von anderen Geräten aus darauf zugreifen zu können. Richten Sie alternative Anmeldemethoden für wichtige Konten ein und aktivieren Sie die Fernlöschung Ihres Geräts im Passkey über Dienste wie „Mein Gerät finden‟ (Apple) oder „Gerät finden‟ (Google). Sperren Sie im Verlustfall Ihr Gerät umgehend.

Wie funktioniert die Wiederherstellung eines Kontos mit Passkey?: Die Kontowiederherstellung hängt vom jeweiligen Dienst ab, folgt aber meist einem von mehreren Wegen. Wenn Sie Ihre Passkeys über iCloud, Google oder einen Passwortmanager synchronisieren, können Sie sich einfach über ein anderes Gerät anmelden. Viele Dienste bieten bei der Passkey-Einrichtung die Möglichkeit, Notfall-Codes zu generieren. Bewahren Sie diese sicher auf, idealerweise in einem Passwortmanager oder einer physischen Sicherheitskopie.

Die meisten Dienste unterstützen mehrere Authentifizierungsmethoden wie zusätzliche E-Mail-Adressen oder Telefonnummern, Sicherheitsfragen (weniger sicher, aber weit verbreitet) und vertrauenswürdige Kontakte, die Ihren Zugang bestätigen können. Als letzte Option können Sie den Kundendienst kontaktieren, der oft einen Identitätsnachweis verlangt.

Was passiert mit meinen bestehenden Passwörtern, wenn ich auf Passkeys umsteige?: Beim Umstieg auf Passkeys bleiben Ihre Passwörter zunächst parallel nutzbar – die meisten Dienste unterstützen beide Methoden. Sie können selbst entscheiden, welche Methode Sie bevorzugen, und haben bei einigen Diensten die Option, die Passwort-Anmeldung komplett zu deaktivieren (empfehlenswert für mehr Sicherheit als die individuelle Passworteingabe). Ihre Passwörter für nicht-unterstützte Dienste sollten Sie weiterhin sicher aufbewahren.

Sind Passkeys DSGVO-konform? Passkeys wurden mit Datenschutz als Kernprinzip entwickelt und sind grundsätzlich DSGVO-konform. Sie belassen den privaten Schlüssel ausschließlich auf dem Gerät des Nutzers und erfordern keine Übermittlung vertraulicher Daten an Server. Das Risiko von Datenlecks wird minimiert, da keine zentrale Passwort-Datenbank existiert. Biometrische Daten, sofern verwendet, werden nur lokal verarbeitet und nie übertragen.

Bei der Nutzung von Cloud-Synchronisierung sollten Sie auf die Datenschutzrichtlinien des Anbieters achten. Apple, Google und Microsoft haben ihre Dienste so konzipiert, dass auch die synchronisierten Passkeys verschlüsselt und für den Anbieter nicht lesbar sind.

Wie werden Passkeys bei Unternehmen implementiert?: Die Unternehmensimplementierung von Passkeys unterscheidet sich von der privaten Nutzung. Hier erfolgt eine Integration in bestehende IAM-Systeme wie Okta, Azure AD oder Google Workspace, und eine zentralisierte Verwaltung ermöglicht administrative Kontrolle über die Erstellung, Verteilung und den Widerruf von Passkeys.

Unternehmen definieren Sicherheitsrichtlinien für Passkeys (z. B. obligatorische biometrische Authentifizierung) und binden diese in MDM-Lösungen für die Kontrolle über Unternehmensgeräte ein. Es werden Prozesse für Administratoren eingerichtet, um im Notfall Zugang zu geschützten Ressourcen zu erhalten, und die Compliance-Dokumentation wird für Prüfungen und Zertifizierungen sichergestellt.

Große Anbieter wie Microsoft Entra ID, Google Workspace und Okta halten bereits spezielle Lösungen für die Passkey-Verwaltung in Unternehmensumgebungen bereit. Diese ermöglichen eine schrittweise Migration, bei der traditionelle und Passkey-basierte Authentifizierung parallel betrieben werden können.

Quellen und weitere Artikel zum Thema

• https://www.elektronik-kompendium.de/sites/net/1910111.htm
• https://blog.google/intl/de-de/unternehmen/technologie/passkeys-101/
• https://www.bsi.bund.de/DE/Themen/Verbraucherinnen-und-Verbraucher/Informationen-und-Empfehlungen/Cyber-Sicherheitsempfehlungen/Accountschutz/Passkeys/passkeys-anmelden-ohne-passwort_node.html
• https://www.pingidentity.com/de/resources/identity-fundamentals/authentication/passwordless-authentication.html
• https://www.cidaas.com/de/passwortlose-authentifizierung/
• https://regina-stoiber.com/2023/01/31/passwortlose-authentifizierung-fido2/

Titelmotiv: Bild von Gerd Altmann auf Pixabay

Dieser Artikel ist am 22.01.2024 erschienen und wurde am 09.10.2024 und 31.03.2025 aktualisiert.