Phishing war gestern: Wie Passkeys Ihre IT sicherer machen

Passkeys beenden die Ära unsicherer Passwörter und befreien uns vom ständigen Wettlauf zwischen IT-Sicherheit und Phishing-Angriffen

Jeder Mensch, der online ist, hat mindestens ein Passwort: das Kennwort für den Account beim Internetanbieter.

Ob im Büro, beim Online-Banking oder Online-Shopping – Accounts, die nur durch ein Passwort geschützt sind, gelten als unsicher. Daher sollte überall dort, wo es möglich ist, eine Multifaktor-Authentifizierung verwendet werden. Diese stellt sicher, dass neben dem Kennwort eine weitere Barriere den Zugang zu sensiblen Informationen schützt.

In der Regel ist das ein Code, der per SMS ans Smartphone geschickt wird, eine generierte Zeichenfolge innerhalb einer App oder ein USB-Dongle. Seit 2018 existiert zudem ein neues Verfahren ganz ohne Passwörter. Und das wird mit zunehmender Verbreitung immer relevanter: Passkeys.

Was sind Passkeys und wie funktionieren sie?

Das Verfahren basiert auf dem Abgleich eines kryptografischen Schlüsselpaars. Alles, was sie dafür benötigen, ist Ihr Endgerät (z. B. Laptop oder Smartphone) und einen sogenannten Authenticator.
Das kann ein physischer Dongle, die Passwörter-App bzw. der iCloud-Schlüsselbund von Apple, Windows Hello, Googles Passwortmanager oder ein Anbieter Ihrer Wahl sein (z. B. Proton Pass, 1Password, Bitwarden etc.).

Sobald Sie sich bei einem Dienst (Adobe, Discord, Netflix …), registrieren und als Log-in-Methode Passkeys angeben, erstellt der Authenticator einen öffentlichen und einen privaten Schlüssel.
Dabei handelt es sich um lange und zufällig generierte Zeichenfolgen. Der private Schlüssel liegt auf Ihrem Gerät (beim Einsatz eines Dongles) bzw. im Tresor des Passwortmanagers. Den öffentlichen Schlüssel verwahrt der jeweilige Dienst, bei dem Sie sich registriert haben.

Wenn Sie sich nun anmelden möchten, fragt der Dienst nach einem Nachweis, dass Sie es sind. Während Sie früher E-Mail-Adresse und Passwort eingetippt hätten, fordert Sie das Passkey-Verfahren auf, Ihren Fingerabdruck, die Gesichtserkennung oder die Geräte-PIN zum Entsperren des Displays zu verwenden. Der Authenticator führt dann den Abgleich der Passkeys durch.

Dafür erstellt er aus dem privaten Schlüssel eine Art digitale Unterschrift. Diese erhält der Service, bei dem Sie sich anmelden. Dieser vergleicht sie mit dem öffentlichen Schlüssel, der beim Serviceanbieter sicher abgelegt ist. Stimmen beide Informationen überein, erhalten Sie Zugang. Dabei gelangen weder Ihre biometrischen Daten noch Ihr privater Schlüssel nach außen.

Das klingt alles furchtbar kompliziert? Ist es aber nicht! Denn was im Hintergrund passiert, bekommen Sie gar nicht mit. In vielen Fällen sehen Sie nicht einmal mehr eine Log-in-Maske, sondern werden direkt angemeldet.

Sind Passkeys FIDO2?

Die Allianz Fast IDentity Online (FIDO) ist eine Initiative, die sich zum Ziel gesetzt hat, Passwörter durch eine Kombination zweier kryptografischer Schlüssel zu ersetzen. Das Verfahren kombiniert die WebAuthn-API mit dem CTAP-Protokoll und ermöglicht so eine sichere, passwortlose und phishing-resistente Authentifizierung.

Hinter der Allianz stehen das World Wide Web Consortium (W3C) und große Tech-Unternehmen wie Amazon, Apple, Cisco Systems, Dell, Google, Microsoft oder auch Samsung.

Sie alle eint die Vision, die Accounts ihrer Kundinnen und Kunden noch sicherer zu machen. Als gut verkaufbaren Namen haben sie „Passkeys” etabliert. Dahinter steckt eine moderne Weiterentwicklung ihres Verfahrens namens FIDO2.

Im Vergleich zum klassischen FIDO2-Verfahren können Passkeys plattformübergreifend gespeichert und verwendet werden. Sie sind herstellerunabhängig, deutlich sicherer als Passwörter und funktionieren über einen Handshake-Prozess.

Blog Image Passkey 2025

Vorteile Passwortmanager: Nutzen Sie Ihre Passkeys geräteübergreifend

Damit das Ganze möglichst komfortabel für Sie ist, sollten Sie Ihre Passkeys in einem Passwortmanager generieren und dort speichern. Die oben genannten Vertreter bieten bereits Passkey-Support an und haben für jedes Endgerät und jedes Betriebssystem eine entsprechende App bzw. Browser-Erweiterung.

So können Sie Ihre Passkeys beispielsweise in Firefox, in einer Desktop-Anwendung für macOS, Windows und Linux oder als App für iOS und Android verwalten und einsetzen.

Da Passkeys automatisch generiert werden, müssen Sie sich außerdem nie wieder selbst sichere Passwörter ausdenken, merken, speichern und verwalten.


Auf einen Blick: Darum sind Passkeys sicher

  • Keine Übertragung von Passwörtern:
    Beim Passkey-Verfahren werden keine Geheimnisse durch das Internet geschickt.
  • Kein Phishing:
    Passkeys sind an die Domain oder App gebunden, bei der sie erstellt wurden. Ein für microsoft.com erstellter Passkey kann nicht für eine Phishing-Seite wie etwa fake-microsoft.com verwendet werden.
  • Keine kritischen Informationen aufseiten der Dienste:
    Da für eine Authentifizierung beide Schlüssel nötig sind und Anbieter nur den öffentlichen Schlüssel abspeichern, ist dieser bei einem Datenleck nutzlos.
  • Biometrisch abgesichert:
    Der private Schlüssel wird erst nach einer Bestätigung per Fingerabdruck, Gesichtserkennung oder PIN verwendet.
  • Geräte-gebundene Sicherheit:
    Ihr privater Schlüssel verlässt niemals das Gerät bzw. den Passwortmanager. Auf Ihrem Endgerät sind Ihre Passkeys in gesicherten Hardware-Elementen oder Trusted Platform Modules gespeichert. Dabei handelt es sich um einen Chip, der grundlegende Sicherheitsfunktionen bereitstellt, um beispielsweise Lizenz- und Datenschutz zu gewährleisten. Verwenden Sie einen plattformübergreifenden Passwortmanager, sind Ihre Passkeys durch die Verschlüsselung des Tresors geschützt. So wie bisher auch alle Ihre Passwörter, die Sie auf diese Weise sichern.

Denken Sie trotzdem an ein Backup für Ihre Passkeys

Wenn Sie Ihre Passkeys lokal auf einem Smartphone speichern und nicht mit einem Passwortmanager plattformübergreifend nutzen, sollten Sie Vorkehrungen treffen.

Schließlich können Sie Ihre Passkeys verlieren, wenn Ihr Gerät verloren geht. Anders als Passwörter können Passkeys nicht wiederhergestellt werden. Um das Risiko eines Ausschlusses zu minimieren, können Sie bei einem Dienst mehrere Passkeys registrieren, beispielsweise einmal via Smartphone und ein weiteres Mal per Laptop mit Fingerabdrucksensor. So sind Sie nicht von einem einzigen Gerät abhängig und haben auch weiterhin Zugriff, wenn ein Gerät abhandenkommt.

Wenn Sie Apples iCloud-Schlüsselbund, Googles Passwortmanager oder einen anderen Passwortmanager verwenden, sind Sie auf der sicheren Seite. Die Passkeys liegen dann nämlich nicht lokal auf Ihrem Smartphone, sondern sind verschlüsselt im Tresor des Anbieters gespeichert.

Machen Sie sich aber in jedem Fall trotzdem mit den Wiederherstellungsfunktionen Ihrer wichtigen Accounts vertraut. Viele Dienste bieten Einmalcodes oder Recovery-Keys an. Mit diesen können Sie sich ein einziges Mal einloggen und haben so immer einen Zugriff in der Hinterhand. Diese Codes müssen Sie selbstverständlich offline und sicher aufbewahren. Bitte speichern Sie diese nicht digital ab.


Sind Passkeys die Zukunft?

Ob Passkeys irgendwann einmal das klassische Passwort ablösen, bleibt abzuwarten und zu hoffen. Schließlich ist das Verfahren in verschiedener Hinsicht deutlich sicherer. Wenn Sie Passkeys einrichten, prüfen Sie im gleichen Schritt, ob Sie beim Serviceanbieter Ihrer Wahl auch gleich konsequenterweise das Passwort löschen können. Zusammen mit einer Multifaktor-Authentifizierung sind Sie dann auf der wirklich sicheren Seite.


Passkeys-FAQ

Sechs Fragen, sechs Antworten: Die wichtigsten Fragen rund um Passkeys:

Was sind die Vorteile von Passkeys?

Passkeys machen Schluss mit unsicheren Passwörtern und beenden das ewige Katz-und-Maus-Spiel zwischen IT-Sicherheit und Phishing. Sie sind immer domainpspezifisch und übertragen keine geheimen Informationen über das Internet.

Selbst ein Malware-Befall kann Ihnen an der Stelle nichts anhaben.

Da Sie Ihre Biometrie für verwenden, sind Passkeys zudem sehr benutzerfreundlich. Neue Passkeys sind blitzschnell erstellt.

Was sind die Nachteile von Passkeys?

Der wohl größte Nachteil der Passkeys ist ihre Verbreitung. Noch nicht alle Anbieter ermöglichen den passwortlosen Log-in. Dieses Problem wird sich jedoch mit der Zeit erledigen.

Wenn konsequenterweise das Passwort gelöscht und der Log-in nur auf Passkeys umgestellt wurde, droht im Falle eines Verlusts der permanente Ausschluss vom entsprechenden Konto.

Zudem kann die gerätespezifische Natur von Passkeys die Benutzerfreundlichkeit einschränken, da ein nahtloser Gerätewechsel ohne Cloud-Synchronisierung oder zusätzliche Hardware-Token nicht ohne weiteres möglich ist. Verwenden Sie daher plattformübergreifende Passwortmanager wie 1Passsword, Bitwarden, Proton Pass o.a.

Wie kann ich meine Passkeys einsehen?

Unter iOS und macOS finden Sie Ihre Passkeys in den Einstellungen unter dem Eintrag Passwörter, wo sie zusammen mit den gespeicherten Passwörtern aufgelistet sind.

Auf einem Windows-Rechner befinden sich die Passkeys in den Windows-Einstellungen unter Konten > Anmeldeoptionen > Sicherheitsschlüssel > Passkeys verwalten.

In Chrome können Sie Ihre Passkeys unter chrome://settings/passkeys einsehen.

In Android-Geräten sind sie über Einstellungen > Google > Passwortmanager zugänglich.

Wenn Sie einen Passwortmanager wie 1Password oder Bitwarden nutzen, der diese Technologie unterstützt, finden Sie Ihre Passkeys in der entsprechenden Kategorie oder in der Ansicht neben den gespeicherten Passwörtern des jeweiligen Dienstes.

Was kosten Passkeys?

Nichts. Sie sind genauso kostenlos wie Passwörter.

Welche Anbieter haben Passkeys?

Je mehr Dienste Passkeys anbieten, desto mehr User werden sie auch verwenden. Welche Websites und Apps das bereits ermöglichen, sehen Sie unter https://passkeys.directory/.

Kann KeePass Passkeys speichern?

Ja. Seit der Version 2.7.7 von KeePassXC ist es mit dem quelloffenen Passwortmanager möglich, Passkeys zu speichern. Diese werden wie die Passwörter in einer Datei lokal abgespeichert, auf die KeePassXC zugreift. Für mehr Komfort kann diese Datei verschlüsselt und bei einem Cloud-Speicher online abgelegt werden, um von mehreren Geräten darauf zugreifen zu können. Einen ausführlichen User Guide finden Sie hier.

Lazar Kania

IT-Berater
BUCS IT

18/06/2025

Weitere Beiträge

Mehr aus unserem Blog