Was ist ein Passkey? Definition, Funktionsweise und Standards
Was ist ein Passkey? Ein Passkey ist ein kryptografischer Anmelde-Schlüssel auf Basis der FIDO2-Standards, der das Passwort ersetzt. Er besteht aus einem Schlüsselpaar: Der öffentliche Schlüssel liegt beim Dienst, der private bleibt auf dem Gerät des Nutzers und wird nie übertragen. Weil der Passkey fest an die Domain des Dienstes gebunden ist, läuft Phishing technisch ins Leere.
Das Wichtigste in Kürze
- Prinzip: Public-Key-Kryptografie mit Challenge-Response. Der private Schlüssel verlässt das Gerät nie, entsperrt wird lokal per Biometrie oder PIN.
- Phishing-Resistenz: Der Passkey ist an die exakte Domain gebunden. Es gibt kein Geheimnis, das ein Nutzer auf einer Fake-Seite eingeben könnte.
- Standards: Passkeys beruhen auf FIDO2, der Kombination aus der W3C-Spezifikation WebAuthn und dem FIDO-Protokoll CTAP.
Wie ein Passkey funktioniert
Bei der Registrierung erzeugt das Gerät für jeden Dienst ein eigenes Schlüsselpaar. Der Dienst speichert nur den öffentlichen Schlüssel. Bei jeder Anmeldung schickt er eine Challenge, das Gerät signiert sie mit dem privaten Schlüssel und der Dienst prüft die Signatur. Freigegeben wird die Signatur erst nach lokaler Verifikation, per Fingerabdruck, Gesichtserkennung oder PIN. Die biometrischen Daten bleiben dabei genauso auf dem Gerät wie der private Schlüssel.
In der Praxis begegnen Unternehmen zwei Varianten. Synchronisierte Passkeys liegen in einem Credential-Manager wie dem Apple- oder Google-Schlüsselbund und stehen Ende-zu-Ende-verschlüsselt auf allen Geräten des Nutzers bereit. Gerätegebundene Passkeys bleiben dauerhaft auf einem einzelnen Authenticator, typischerweise einem FIDO-Sicherheitsschlüssel. Kopieren lassen sie sich nicht.
WebAuthn (W3C) plus CTAP (FIDO Alliance): die zwei Standards hinter jedem Passkey
Quelle: FIDO Alliance
Warum Phishing ins Leere läuft
Die Phishing-Resistenz ist kein Marketing-Versprechen. Sie folgt aus der Architektur. Ein Passkey wird bei der Erstellung an die Origin des Dienstes gebunden, also an dessen exakte Domain. Browser und Betriebssystem geben das Credential nur gegenüber genau dieser Domain frei. Eine täuschend echte Kopie der Login-Seite auf einer fremden Domain bekommt schlicht keine Signatur.
Dazu kommt: Es existiert kein geteiltes Geheimnis. Passwörter und Einmalcodes kann ein Angreifer über einen Phishing-Proxy in Echtzeit abgreifen und weiterreichen. Beim Passkey gibt es nichts, was der Nutzer eingeben oder weitergeben könnte. Auch das BSI beschreibt Passkeys deshalb als sichere Alternative zum Passwort und hat mit der TR-03188 eine Technische Richtlinie für die serverseitige Umsetzung veröffentlicht.
Was Unternehmen jetzt prüfen müssen
Der Umstieg beginnt bei der Bestandsaufnahme: Welche Anwendungen hängen noch an Passwörtern und wo richten Credential-Stuffing und Phishing den größten Schaden an? Danach entscheidet sich, welche Dienste zuerst auf WebAuthn umgestellt werden und wie die Wiederherstellung bei Geräteverlust geregelt ist.
Jetzt prüfen
- ✓Anmeldeverfahren inventarisieren und Phishing-Risiken je Anwendung bewerten
- ✓WebAuthn-fähigen Passkey-Server aufsetzen oder Anbieter wählen, Orientierung: BSI TR-03188
- ✓Pilot mit ausgewählten Nutzergruppen starten, Passwort-Login übergangsweise parallel lassen
- ✓Recovery regeln: synchronisiert oder gerätegebunden, Backup-Schlüssel für kritische Konten
- ✓Schwache Fallbacks abbauen, sonst hebelt der Passwort-Reset die Passkey-Sicherheit aus
Abgrenzung zu verwandten Begriffen
FIDO2 ist der Oberbegriff für zwei Bausteine. WebAuthn ist die W3C-Spezifikation, über die Browser und Dienste Credentials erstellen und prüfen. CTAP regelt die Kommunikation zwischen Client und Authenticator, etwa einem Sicherheitsschlüssel. Ein Passkey ist das daraus entstehende Credential.
Vom klassischen zweiten Faktor unterscheidet sich der Passkey grundsätzlich. Einmalcodes per SMS oder Authenticator-App bleiben phishbar, weil sie sich in Echtzeit abfangen und weiterreichen lassen. Ein Hardware-Schlüssel wie ein YubiKey ist wiederum kein Gegensatz zum Passkey: Er ist ein Speicherort für gerätegebundene Passkeys und bietet zusätzlich eine Hersteller-Attestation für hohe Schutzanforderungen.
Häufige Fragen
Jede Frage ist verschlossen. Ein Tippen entriegelt die Antwort.
Was passiert bei Geräteverlust?
Synchronisierte Passkeys lassen sich über den Credential-Manager auf einem neuen Gerät wiederherstellen. Bei gerätegebundenen Passkeys braucht es einen Backup-Schlüssel oder einen Recovery-Prozess beim Dienst.
Sind Passkeys sicherer als Passwort plus MFA?
Gegen Phishing ja. Einmalcodes und Push-Bestätigungen lassen sich über Echtzeit-Relays abfangen, ein Passkey gibt auf einer fremden Domain schlicht keine Signatur ab. Die FIDO Alliance stuft einen Passkey deshalb stärker ein als Passwort plus klassischen zweiten Faktor.
Funktionieren Passkeys überall?
Alle gängigen Betriebssysteme und Browser unterstützen sie, die Anmeldung über ein zweites Gerät läuft per QR-Code und Bluetooth-Nähe-Prüfung. Der jeweilige Dienst muss WebAuthn allerdings selbst anbieten, längst nicht jeder tut das schon.
Worin unterscheidet sich ein Passkey von einem YubiKey?
Der Passkey ist das Credential, der YubiKey ein physischer Speicherort dafür. Hardware-Schlüssel halten Passkeys gerätegebunden und bieten Attestation, geeignet für Umgebungen, in denen nur eine einzige Kopie des Schlüssels existieren darf.
Kann man Passkeys auf einen anderen Anbieter übertragen?
Innerhalb eines Ökosystems wie iCloud oder Google Password Manager wandern synchronisierte Passkeys automatisch mit. Ein direkter Export zwischen verschiedenen Anbietern ist bislang nur eingeschränkt möglich, gerätegebundene Passkeys lassen sich gar nicht kopieren.
Lesetipps der Redaktion
LesetippPasskeys im Unternehmen: Das Ende des PasswortsLesetippAdaptive MFA im NIS2-Audit: Wann die Policy zum Nachweis taugtLesetippSecurity Awareness: die Klickrate misst das Falsche
Mehr aus dem MBF Media Netzwerk
cloudmagazinAcht Minuten bis AWS-Admin: Wie ein offener S3-Bucket und eine Admin-Lambda reichtenMyBusinessFuturemAI-Aktionsmonat: Cyberanalysen für KMUs ohne IT-TeamDigital ChiefsManaged Security Services: CISO haftet nicht allein





