Fachbeiträge
Neuigkeiten zu IT-Themen und Comp4U
Häufige Fragen (FAQ) rund um Passkeys – verständlich erklärt
Mit FIDO2 und Passkeys wird das Einloggen nicht nur einfacher, sondern auch deutlich sicherer. Doch was steckt hinter den Begriffen, wie funktionieren Passkeys genau, und was bedeutet das für den Alltag? In diesem FAQ beantworten wir die häufigsten Fragen rund um das Thema – verständlich, kompakt und praxisnah.
Warum ist Passkey als Konzept sicherer als klassische Kennwörter?
Passkeys eliminieren die größte Schwachstelle klassischer Authentifizierungsverfahren: das Passwort. Es gibt nichts, das mitgeschnitten, wiederverwendet oder erraten werden kann. Der private Schlüssel bleibt immer sicher auf dem Gerät gespeichert, während der öffentliche Schlüssel dienstspezifisch auf dem Zielsystem hinterlegt wird. Phishing, Credential Stuffing oder Brute-Force-Angriffe sind dadurch wirkungslos. Auch das Risiko von Datenlecks auf Serverseite sinkt drastisch – denn dort liegen keine geheimen Daten mehr, die gestohlen werden könnten.
Welche Endgeräte funktionieren damit?
Passkeys werden inzwischen von allen relevanten Plattformen unterstützt – darunter Windows, macOS, Android und iOS. Voraussetzung ist lediglich, dass das Gerät entweder ein Hardware-Sicherheitselement (z. B. TPM, Secure Enclave) oder einen zertifizierten Software-Speicher für Schlüssel bereitstellt. Auch moderne Passwortmanager mit FIDO2-Unterstützung – wie z. B. professionelle Unternehmenslösungen oder spezialisierte Tools wie Keeper – können als sichere Speicherorte für Passkeys dienen. In Kombination mit modernen Browsern oder systemseitiger Integration (z. B. über Windows Hello oder Apple iCloud Keychain) sind Passkeys auch plattformübergreifend einsetzbar – z. B. am Smartphone erstellt, am Desktop genutzt.
Brauche ich unbedingt einen Hardware-Token?
Nein, ein dedizierter Hardware-Token ist nicht zwingend erforderlich, aber in sicherheitskritischen Umgebungen kann er ein sinnvoller zusätzlicher Schutz sein. Passkeys lassen sich grundsätzlich auf allen Geräten verwenden, die über eine sichere Schlüsselverwaltung verfügen – etwa Smartphones, Tablets oder Laptops mit TPM bzw. Secure Enclave. Diese Schlüssel können dann auch über Passwortmanager oder Plattformdienste wie iCloud oder Google Password Manager synchronisiert werden. Ein Hardware-Token (z. B. FIDO2-kompatibles Sicherheitsschlüsselgerät) bietet aber zusätzliche Sicherheit, da der private Schlüssel physisch vom Gerät getrennt ist und nur bei Bedarf via USB/NFC/Bluetooth eingebunden wird – ideal für besonders sensible Anwendungen oder den Einsatz in regulierten Branchen.
Kann ich die FIDO2-Funktion auch mit Software realisieren?
Ja, moderne Plattformen und Passwortmanager ermöglichen die Nutzung von FIDO2-Passkeys ohne dedizierte Hardware – rein softwarebasiert. Hierbei wird der private Schlüssel innerhalb eines geschützten Software-Containers auf dem Gerät gespeichert und durch eine biometrische Authentifizierung oder einen lokalen Code geschützt. Diese Variante ist für viele Anwendungsfälle ausreichend sicher und bietet gleichzeitig hohen Komfort. Wichtig ist dabei, dass der Speicherbereich gegen unbefugten Zugriff abgesichert ist – was etwa über TPM, Secure Enclave oder sichere App-Container gewährleistet wird. Auch professionelle Passwortmanager wie Keeper, bieten hierfür sichere und verwaltbare Softwarelösungen an. Je nach Schutzbedarf sollte entschieden werden, ob Software allein ausreicht oder Hardware ergänzt wird.
Wie authentifiziert das Endgerät eine Zugriffsanfrage vom Zielsystem?
Beim Login mit einem Passkey kommuniziert der Browser oder das Betriebssystem direkt mit dem Authentifizierungsdienst des Zielsystems – also dem Server, der den jeweiligen Dienst bereitstellt (etwa eine Webanwendung oder ein Remote-Zugangssystem). Dieser Dienst stellt dem Endgerät eine sogenannte „Challenge“: eine digitale Prüfaufgabe, die unter anderem den FQDN (Fully Qualified Domain Name) der Zielseite enthält. Das Endgerät überprüft daraufhin lokal, ob für genau diesen FQDN ein registrierter Passkey existiert. Ist dies der Fall, wird die Challenge mit dem passenden privaten Schlüssel beantwortet – andernfalls scheitert die Anmeldung. Dieses Verfahren stellt sicher, dass ein Passkey nicht versehentlich an ein gefälschtes oder manipuliertes Zielsystem gesendet werden kann. Dadurch wird Phishing effektiv verhindert – selbst bei optisch identischen, aber technisch abweichenden Zielsystemen.
Wie unterscheiden sich die Anfragen von unterschiedlichen Zielsystemen?
Jedes Zielsystem, das FIDO2/Passkeys unterstützt, stellt bei der Authentifizierung eine individuelle Challenge zur Verfügung, die mit seinem eigenen FQDN verknüpft ist. Dadurch ist der jeweilige öffentliche Schlüssel, der zur Anmeldung verwendet wird, immer an den exakten Dienst gebunden. Eine Anmeldung bei einem fremden System – selbst mit derselben Benutzerkennung – ist dadurch nicht möglich. Unterschiede zwischen Zielsystemen können in der konkreten Umsetzung der Benutzeroberfläche, im eingesetzten IAM-System oder in der Art der Rückmeldung an den Nutzer bestehen. Der Sicherheitsmechanismus dahinter bleibt jedoch standardisiert: Es wird immer eine signierte Challenge vom Endgerät erwartet, die nur mit dem passenden privaten Schlüssel erzeugt werden kann.
Was passiert, wenn eine falsche Passkey-Challenge vom Zielsystem eintrifft?
Wenn das Zielsystem eine Challenge sendet, die nicht mit einem der lokal gespeicherten öffentlichen Schlüssel übereinstimmt – beispielsweise weil die Domain nicht korrekt ist oder es sich um ein manipuliertes System handelt –, wird die Anfrage vom Gerät abgelehnt. Es findet keine Signierung statt, und der Anmeldeversuch wird unterbunden. Dies ist ein zentraler Sicherheitsmechanismus des FIDO2-Protokolls, um Phishing und Man-in-the-Middle-Angriffe zu verhindern. Der Nutzer wird in der Regel durch eine Fehlermeldung im Browser oder in der Anwendung über die fehlgeschlagene Authentifizierung informiert.
Was passiert, wenn ich mich an einem Zielsystem anmelden möchte, den Passkey aber auf diesem Gerät nicht gespeichert habe?
Wenn auf dem genutzten Gerät kein gültiger Passkey für das gewünschte Zielsystem hinterlegt ist, kann keine Authentifizierung stattfinden. In vielen Fällen bieten Plattformen wie iCloud, Google oder professionelle Passwortmanager wie Keeper eine geräteübergreifende Synchronisation an – der Passkey ist dann auch auf anderen verknüpften Geräten verfügbar. Ist das nicht der Fall, muss entweder ein neues vertrauenswürdiges Gerät gekoppelt oder ein anderer registrierter Authentifizierungsweg gewählt werden – z. B. Backup-Code, Passwort oder Zweitgerät (je nach implementierter Fallback-Strategie).
Wie wird ein Passkey für ein Zielsystem initial erstellt?
Die Erstellung eines Passkeys erfolgt in der Regel bei der erstmaligen Anmeldung oder Registrierung an einem FIDO2-kompatiblen Zielsystem. Dabei erkennt das System, dass ein neuer Passkey erforderlich ist, und initiiert den Prozess über den Browser oder die App. Der Nutzer wird aufgefordert, eine Authentifizierungsmethode auszuwählen – etwa biometrisch, per PIN oder über einen Hardware-Token. Daraufhin wird ein neues Schlüsselpaar erstellt: Der öffentliche Schlüssel wird an das Zielsystem übertragen, der private bleibt lokal gespeichert. Anschließend kann dieser Passkey dauerhaft für künftige Logins verwendet werden.
Wie sicher ist die Verschlüsselung innerhalb eines FIDO2-Prozesses?
FIDO2 verwendet moderne, bewährte kryptografische Verfahren – insbesondere ECC (Elliptic Curve Cryptography) mit Schlüssellängen wie P-256 oder Ed25519. Die Kommunikation erfolgt ausschließlich über gesicherte Kanäle (z. B. TLS), und die Challenge-Response-Signaturen sind resistent gegen Replay-Angriffe. Der private Schlüssel verlässt niemals das Gerät, was ein enormes Sicherheitsplus darstellt. Durch die Kombination aus asymmetrischer Kryptografie, Challenge-Prinzip und Gerätenutzung ist FIDO2 heute eines der sichersten Authentifizierungsverfahren.
Können FIDO2-Schlüsselalgorithmen getauscht werden, ohne das Schlüsselpaar neu zu generieren?
Nein – der eingesetzte Algorithmus ist fester Bestandteil des generierten Schlüsselpaares. Wenn beispielsweise ein Zielsystem auf einen neuen Algorithmus wechselt (etwa von P-256 auf Ed25519), muss für dieses System ein neuer Passkey mit einem entsprechend kompatiblen Algorithmus erstellt werden. Ein Austausch des Algorithmus ohne Neuregistrierung ist aus Sicherheitsgründen nicht vorgesehen, um die Integrität der kryptografischen Beziehung zwischen Client und Zielsystem sicherzustellen.
Wie kann ich ein neues Gerät integrieren?
Ein neues Gerät kann über die geräteeigene Verwaltung der Passkey-Plattform oder über den verwendeten Passwortmanager (z. B. Keeper) eingebunden werden. Dafür ist in der Regel eine Bestätigung über ein bereits autorisiertes Gerät erforderlich – etwa durch biometrische Freigabe, PIN oder Hardware-Token. Nach erfolgreicher Verifikation wird das neue Gerät mit dem Passkey-Pool synchronisiert und erhält Zugriff auf die bestehenden Anmeldeinformationen. Plattformdienste wie iCloud Keychain oder Google Password Manager übernehmen diese Synchronisation in der Regel automatisch.
Wie kann ich ein vertrauenswürdiges Gerät entfernen, weil es „weg ist“?
Verlorene oder nicht mehr genutzte Geräte sollten möglichst umgehend aus der Passkey-Geräteverwaltung entfernt werden. Dies kann direkt über die zentrale Plattform erfolgen (z. B. Apple ID, Google-Konto, Unternehmens-IAM). Auch Passwortmanager wie Keeper bieten entsprechende Verwaltungsfunktionen. In sicherheitskritischen Fällen ist es zudem ratsam, die betroffenen Passkeys zu widerrufen und neu zu erzeugen.
Wie kann ich sehen, welche Geräte gekoppelt sind?
Die Übersicht über gekoppelte Geräte wird über die jeweilige Plattformverwaltung bereitgestellt – z. B. über Apple ID Einstellungen, Google Konto oder Enterprise IAM-Systeme. Auch Passwortmanager wie Keeper bieten eine Übersicht über die aktuell verknüpften Geräte und gespeicherten Passkeys. Wichtig: Regelmäßige Kontrolle der verbundenen Geräte erhöht die Sicherheit und hilft, unautorisierte Zugriffe frühzeitig zu erkennen.
Gibt es einen Fallback, wenn mein primäres Device nicht mehr verfügbar oder defekt ist?
Ja, viele Plattformen und Systeme bieten alternative Anmeldemethoden für Notfälle – etwa Backup-Codes, Zweitgeräte oder temporäre Passwörter. Auch die Nutzung eines synchronisierten Passwortmanagers wie Keeper kann einen alternativen Zugriff ermöglichen. Wichtig ist, im Vorfeld eine Fallback-Strategie zu definieren, insbesondere bei unternehmenskritischen Anwendungen. Für maximale Sicherheit empfiehlt sich außerdem der Einsatz von mindestens zwei registrierten Geräten oder einem zusätzlichen Hardware-Token.
Wie kann ich die Verwendung von Passkeys auf einem Gerät zusätzlich absichern?
Die Sicherheit eines Passkeys hängt maßgeblich davon ab, wie gut das Gerät abgesichert ist, auf dem er gespeichert wird. Idealerweise erfolgt der Zugriff ausschließlich über starke Authentifizierungsverfahren wie biometrische Merkmale (Fingerabdruck, Gesichtserkennung) oder eine lokale PIN. Plattformen wie Windows Hello oder Apple Face ID bieten hier integrierten Schutz. Zusätzlich kann ein professioneller Passwortmanager wie Keeper eingesetzt werden, um die Passkeys in einem eigenen, geschützten Container mit zusätzlicher Zugriffskontrolle zu verwalten.
Was passiert, wenn ein Gerät mit gültigem Passkey gestohlen wird?
Wird ein vertrauenswürdiges Gerät entwendet, ist der Zugriff auf gespeicherte Passkeys nur möglich, wenn auch die Gerätesicherung überwunden wird. Dennoch sollte das Gerät umgehend aus der zentralen Verwaltung (Apple ID, Google-Konto, Unternehmens-IAM oder Keeper Vault) entfernt werden. In kritischen Fällen empfiehlt es sich, die betroffenen Passkeys zu widerrufen und neu zu generieren. Der Einsatz von Hardware-Token als zusätzlicher Faktor kann ebenfalls zur Absicherung beitragen.
Wie unterscheiden sich Passkeys von klassischer Zwei-Faktor-Authentifizierung (2FA)?
Passkeys kombinieren Besitz (Gerät) und Inhärenz (z. B. Biometrie) in einem einzigen, nahtlosen Authentifizierungsschritt – ohne zusätzliches Passwort. Klassische 2FA setzt dagegen auf getrennte Faktoren, meist Passwort plus Einmalcode. Passkeys gelten als sicherer und benutzerfreundlicher, da kein Übertragungsmedium (z. B. SMS) nötig ist und Phishing effektiv verhindert wird.
Welche Einschränkungen bestehen bei älteren Systemen oder inkompatiblen Plattformen?
Ältere Betriebssysteme und Browser ohne FIDO2-Unterstützung können Passkeys nicht nutzen. Auch Legacy-Dienste ohne FIDO2-Integration lassen keine Anmeldung mit Passkeys zu. In solchen Fällen ist weiterhin ein klassisches Login-Verfahren erforderlich – etwa mit Passwort und 2FA. Unternehmen sollten prüfen, welche Plattformen kompatibel sind und ggf. auf FIDO2-fähige Lösungen migrieren.
Wie wird der Passkey-Speicher auf einem Gerät vor Manipulation geschützt?
Der lokale Passkey-Speicher wird durch die Sicherheitsarchitektur des Geräts geschützt – z. B. Secure Enclave, TPM oder geschützte Software-Container. Bei kompromittierten Geräten (z. B. Jailbreak, Rooting) ist dieser Schutz potenziell ausgehebelt. Deshalb sollten nur verifizierte Geräte eingesetzt und per MDM, Richtlinien oder App-Härtung zusätzlich abgesichert werden.
Gibt es branchenspezifische Vorgaben oder Compliance-Standards, die Passkeys bereits empfehlen oder fordern?
Ja. Standards wie ISO/IEC 27001, PCI-DSS 4.0 und nationale Regelwerke wie die deutsche NIS2-Umsetzung (NIS2UmsuCG) betonen die Notwendigkeit starker Authentifizierungsmethoden. Während Passkeys nicht explizit gefordert werden, gelten sie als moderne Umsetzung starker, phishing-resistenter Authentifizierung – insbesondere bei Zugriff auf kritische Systeme oder personenbezogene Daten. Organisationen im Gesundheits-, Finanz- oder öffentlichen Sektor profitieren durch Passkeys von einer auditierbaren, standardkonformen Zugangskontrolle.
Welche Rolle spielen Plattformen wie EntraID oder Okta bei der Verwaltung von Passkeys im Unternehmensumfeld?
IAM-Plattformen wie Microsoft EntraID oder Okta übernehmen im Unternehmenskontext zentrale Funktionen rund um Passkeys: Geräte- und Benutzerregistrierung, Synchronisation, Trust-Management, Lebenszyklus-Handling und Compliance-Auswertung. Sie ermöglichen unter anderem:
- zentrale Durchsetzung von Richtlinien zur Passkey-Nutzung,
- automatisiertes User-Onboarding mit FIDO2,
- Kontrolle und Widerruf kompromittierter Schlüssel,
- Integration in SSO-Umgebungen und Conditional Access.
Diese Plattformen sind entscheidend für den skalierbaren, sicheren und regelkonformen Einsatz von Passkeys im Unternehmen.
Wie unterscheiden sich Passkeys in zentral verwalteten Umgebungen von privaten Setups?
In zentral verwalteten Umgebungen (z. B. via MDM, EntraID, Okta) gelten unternehmensweite Richtlinien: Geräte müssen registriert und geprüft sein, Passkeys können administrativ gesteuert, gesperrt oder widerrufen werden. Zusätzlich lassen sich Compliance-Vorgaben, Zugriffskontrollen und Logging aktiv umsetzen.
Im Gegensatz dazu stehen private Setups, bei denen Nutzer eigenverantwortlich Geräte und Schlüssel verwalten – ohne zentrale Übersicht oder Steuerungsmöglichkeit durch das Unternehmen. Für unternehmenskritische Anwendungen ist daher eine zentrale Verwaltung essenziell.
Kann ein Passkey auch für mehrere Zielsysteme gleichzeitig verwendet werden?
Nein – Passkeys sind dienstspezifisch. Jedes Zielsystem registriert einen eigenen öffentlichen Schlüssel, der nur zu diesem einen System passt. Eine Wiederverwendung desselben Passkeys für unterschiedliche Dienste ist aus Sicherheitsgründen nicht vorgesehen. Für jeden neuen FQDN bzw. Dienst ist eine eigene Registrierung und somit ein separates Schlüsselpaar erforderlich.
Wie funktioniert Passkey-Login bei Shared Devices?
Auf gemeinsam genutzten Geräten (z. B. in Callcentern, Schichtarbeitsplätzen oder Labors) müssen pro Nutzer individuelle Passkeys hinterlegt und durch persönliche Authentifizierungsmethoden gesichert werden. Das Betriebssystem oder die IAM-Plattform verwaltet dabei die Zuordnung der Schlüssel zu Benutzerkonten. Alternativ können Hardware-Token mit Nutzerbindung eingesetzt werden. Wichtig ist, dass ein Passkey nur durch den rechtmäßigen Nutzer aktiviert werden kann – auch auf einem Shared Device.
Unterstützung benötigt?
Sie möchten wissen, wie Passkeys konkret in Ihre Unternehmensumgebung integriert werden können – oder welche Sicherheitsstrategie für Ihre Anforderungen am besten passt?
Unsere Experten bei Comp4U unterstützen Sie bei der Analyse, Auswahl und technischen Umsetzung moderner Authentifizierungslösungen auf Basis von FIDO2.
Sicherheit, Benutzerfreundlichkeit und Compliance – professionell abgestimmt auf Ihre IT.
+49 6103 9707-500
