Passkeys

Sichere passwortlose Authentifizierungsmethode unter Verwendung asymmetrischer Kryptografie, der WebAuthn-Schnittstelle und basierend auf dem FIDO 2-Standard-Framework und dem Challenge-Response-Verfahren.

24. Apr 20255 min Lesezeit

Was sind Passkeys?

Viele kennen und nutzen Passwörter für die Anmeldung bei Web-Diensten und Anwendungen. Doch beinahe täglich gelangen Passwörter durch Phishing und Datendiebstähle in fremde Hände und sorgen so für eine Menge Probleme.

Der logische nächste Schritt, wäre eine passwortlose Zukunft.

Und an genau der Stelle kommen Passkeys ins Spiel. Der Begriff „Passkey“ ist eine Kombination aus den Wörtern „Passwort“ und „Schlüssel“. Passkeys sind als moderne, sichere Nachfolger von Passwörtern und herkömmlicher Multi-Faktor-Authentifizierung konzipiert.

Passkeys sind eine passwortlose Authentifizierungsmethode, die auf dem Konzept basiert, von der wissensbasierten Authentifizierung (etwas, das Sie wissen) zur besitzbasierten Authentifizierung (etwas, das Sie haben) überzugehen.

Bei Passkeys handelt es sich um eine von der FIDO-Allianz in Zusammenarbeit mit dem W3C (World Wide Web Consortium) ins Leben gerufene Authentifizierungsmethode. FIDO steht dabei für Fast Identity Online, deutsch „schnelle Identität bei digitalen Verbindungen“. Die Allianz wurde im Februar 2013 offiziell gegründet und zu ihr gehören mittlerweile Zahlreiche internationale Tech-Unternehmen wie Google, Infineon, Microsoft, Paypal und seit 2015 auch das BSI (Bundesamt für Sicherheit in der Informationstechnik). Das Ziel ist es, offene und lizenzfreie Industriestandards zu entwickeln und zu etablieren, die von allen beteiligten genutzt werden sollen. Dies wurde bereits für die Passkey-Technologie mit dem FIDO 2-Standard und in Kombination mit der WebAuthn-Schnittstelle erreicht.

Passkeys, FIDO 2 und WebAuthn und wie sie im Web zusammenarbeiten

Der zugrunde liegende Prozess basiert auf der Schlüsselpaar-Kryptografie der asymmetrischen Verschlüsselung und verwendet das Challenge-Response-Verfahren. Wenn ein Benutzer die Passkey-Funktion für eine Anwendung oder einen Webdienst aktiviert, werden zwei digitale Schlüssel gemäß dem vom FIDO 2-Framework definierten Standard generiert und über die WebAuthn-Schnittstelle (Web Authentication API) ausgetauscht: Ein privater Schlüssel, der immer geheim gehalten werden muss (privat), und ein öffentlicher Schlüssel. Der private Schlüssel wird im Authentifikator erstellt (normalerweise ein sicherer Tresor auf dem lokalen Gerät oder sicher gespeichert und an dieses gebunden). Authentifikator bezeichnet einen sicheren lokalen Speicherplatz auf dem Gerät des Benutzers, bei dem es sich um ein Smartphone, Tablet, Laptop oder Desktop-PC oder einen Passwort-Manager handeln kann.

Der öffentliche Schlüssel wird mathematisch aus dem privaten Schlüssel abgeleitet und kann, wie der Name schon sagt, veröffentlicht und an den Kontoserver des Dienstes gesendet werden, bei dem sich der Benutzer regelmäßig authentifizieren möchte. Bei jeder weiteren Anmeldung sendet der Kontoserver eine Herausforderung in Form eines Datenpakets an das Gerät des Benutzers, die gelöst werden muss. Die Herausforderung läuft im Hintergrund, ohne dass der Benutzer etwas davon bemerkt. Der Benutzer muss lediglich die Authentifizierung entsperren, indem er die Gerätesperre aufhebt. Dies geschieht durch Eingabe eines Authentifizierungsfaktors, z. B. einer PIN, eines Wischmusters, durch Scannen eines Fingerabdrucks oder durch Gesichtserkennung.

Nachdem der Authentifikator entsperrt wurde, wird die Abfrage automatisch mit dem privaten Schlüssel signiert und an den Kontoserver zurückgesendet. Der Server verwendet den öffentlichen Schlüssel, um die Echtheit der Signatur zu überprüfen und den Benutzer zu authentifizieren. Der gesamte Vorgang dauert nur einen Bruchteil einer Sekunde und kann nur abgeschlossen werden, wenn der öffentliche und der private Schlüssel übereinstimmen.

Obwohl zwei Authentifizierungsfaktoren erforderlich sind, bestätigt der Benutzer nur einen Faktor aktiv, nämlich den Besitzfaktor, indem er das Gerät entsperrt. Der zweite Faktor besteht aus der Passkey-Authentifizierung und basiert auf dem Wissensfaktor in Form des privaten Schlüssels. Die kryptografischen Berechnungen für diesen Faktor werden im Hintergrund durchgeführt.

Nachteile von Passkeys

Ohne das Gerät kein Zugriff. Das bedeutet, dass Sie den Authentifikator immer bei sich haben müssen. Und wenn er verloren geht, kann es einige Mühe kosten, einen Passkey wiederherzustellen. Ein weiterer Nachteil ist, dass er oft an ein Produkt, eine Plattform oder ein Ökosystem gebunden ist, was es für Nutzer schwierig macht, Passkeys plattformübergreifend zu verwenden. Das bedeutet, dass die Technologie nicht geräteübergreifend funktioniert, z. B. zwischen einem von Microsoft betriebenen Notebook und einem Apple-basierten iPhone. Wenn der Authentifikator jedoch kein Gerät, sondern ein Passwort-Manager ist, kann dies zumindest vermieden werden.

Vorteile von Passkeys

Die generierten Schlüssel sind einzigartig und nur für das Konto gültig, für das sie generiert wurden. Das bedeutet, dass sie nicht für andere Konten/Websites verwendet werden können, wodurch Phishing-, Brute-Force- oder Wörterbuchangriffe unwirksam werden. Es gibt auch keine Passwörter, die vergessen werden können, was die Anzahl der IT-Anfragen zur Passwortzurücksetzung reduziert. Der private Schlüssel wird ebenfalls sicher im Authentifikator gespeichert, und selbst wenn Angreifer durch Hacken eines Kontoservers Zugriff auf den öffentlichen Schlüssel erhalten würden, wäre dieser ohne den privaten Schlüssel für sie wertlos. Daher ist die Passkey-Methode im Allgemeinen sicherer als die klassische Benutzername/Passwort- oder andere Authentifizierungsmethoden.

Schließlich ist die Verwendung der Passkey-Authentifizierung eine benutzerfreundliche, schnelle und einfache Technologie mit höchsten Sicherheitsstandards, die auch den menschlichen Faktor des Vergessens oder Verlegens von Passwörtern berücksichtigt.

Passwortlose Authentifizierung mit Passkeys, WebAuthn und Biometrie für eine sichere Zukunft im Internet

Die Zukunft wird zeigen, wie schnell und ob Passkeys zum De-facto-Standard für die Benutzerauthentifizierung werden. Wir können heute feststellen, dass die Technologie gegenüber etablierten Authentifizierungsmethoden wie Benutzername/Passwort oder Multi-Faktor-Authentifizierung viele Vorteile bietet. Die FIDO 2-Allianz mit ihren vielen großen, leistungsstarken Technologieunternehmen wird alles daran setzen, den Authentifizierungsstandard WebAuthn bei ihren Kunden und Partnern durchzusetzen. Zusammen mit einer Vielzahl von biometrischen Faktoren oder hardwarebasierten Authentifizierungslösungen haben Passkeys in Kombination mit WebAuthn das Potenzial, uns optimal vor Cyber-Bedrohungen zu schützen. Dennoch müssen die Nutzer zunächst diese neue komfortable Art der Authentifizierung akzeptieren, was wahrscheinlich stark von der Fähigkeit der Ökosysteme abhängt, miteinander interoperabel zu werden.

Hinweis: Dieser Glossarbeitrag wurde erstmals im Juli 2024 veröffentlicht und zuletzt im April 2025 aktualisiert und korrigiert.