Passkeys sind passwortlose Anmeldeinformationen nach dem offenen Standard FIDO2. FIDO steht für «Fast Identity Online» und ist eine Initiative zur Entwicklung offener und lizenzfreier Standards für eine starke Authentifizierung. Passkeys nutzen kryptografische Schlüsselpaare anstelle von Passwörtern. Es kommen die Web Authentication API (WebAuthn) und das Client to Authenticator Protocol 2 (CTAP 2) zum Einsatz. Bei der Einrichtung speichert der Dienst, auf den man zugreifen möchte, den öffentlichen Schlüssel. Der zugehörige private Schlüssel verbleibt sicher beim Benutzer. Beim Login signiert der Client eine vom Server gesendete Challenge mit dem privaten Schlüssel und der Server prüft die Signatur mit dem öffentlichen Schlüssel.
Passkeys können beispielsweise in Passwort-Managern (z.B. Microsoft-Kennwortmanager, KeePassXC) oder auf physischen Hardware-Sicherheitsschlüssel (z.B. in der Form eines Schlüsselanhängers vom Hersteller Yubikey) gespeichert werden. Die Nutzung des Microsoft-Kennwortmanagers oder des Apple Passwort-App in Kombination mit einem Cloud-Konto ermöglicht die Nutzung desselben Passkeys auf mehreren Geräten. Physische Hardware-Schlüssel speichern Passkeys in einem sicheren Hardware-Chip. Diese gerätegebundene Speicherung bieten einen erhöhten Schutz da die Passkeys nicht exportiert oder in einer Cloud gespeichert werden können. Bietet der physische Token zusätzlich biometrische Funktionen (z.B. wie das Modell Yubikey Bio mit Fingerprint-Reader) ergibt dies einen sehr sicheren und auch sehr benutzerfreundlichen Passwort-Ersatz.
Passkeys sind resistent gegen Phishing, Brute-Force-Angriffe und Credential Stuffing, da sie nur für eine bestimmte Webseite gelten und nicht wiederverwendet werden können. Nutzer müssen sich weder komplexe Passwörter merken noch diese regelmässig ändern.
Die wichtigsten Vorteile:
- Verbesserte Sicherheit: Phishing-resistente Anmeldung, deutlich weniger erfolgreiche Phishing-Angriffe.
- Erhöhter Benutzerkomfort: Bequemeres Login ohne Passwort, weniger Helpdesk-Tickets wegen Passwort-Reset oder gesperrten Benutzerkonten, schnellere Logins.
- Sicherheit wird „eingebaut“ statt „antrainiert“, technische Kontrolle statt Prinzip Hoffnung. Auf Phishing-Kampagnen und komplexe Kennwortrichtlinien kann in Zukunft verzichtet werden.
Grenzen und Nachteile:
- Klassische lokale Active-Directory-Anmeldung lässt sich nicht 1:1 durch Passkeys ersetzen.
- Wählt man die Speicherung auf einem Hardware-‑Token kosten die Tokens zusätzlich und müssen verwaltet werden.
- Ohne sauberen Backup-Prozess (z.B. einen zweiten physischen Token oder eine alternative Authentifizierungsmethode) wird das Szenario „Key verloren“ zum Business-Problem.
Checkliste für die Einführung:
- Prüfen welche Unternehmens-Anwendungen Passkeys unterstützen (dies ist der Fall bei allen modernen Cloud-Anwendungen) und für welche Zielgruppe Passkeys eingeführt werden sollen.
- Beurteilung wo die Passkeys gespeichert werden sollen (Hardware-Token, Microsoft Passwort-Manager usw.).
- Zielgruppe frühzeitig mit dem neuen Verfahren vertraut machen, um eine reibungslose Umstellung zu gewährleisten.
- Pilotgruppe bilden, FIDO2 als Authentifizierungsmethode aktivieren (z.B. für M365 im Entra ID), Passkeys registrieren, Backup-Keys oder alternative Authentifizierungsmethode gewährleisten.
- Erfahrung mit der Pilotgruppe sammeln.
- Rollout für die gesamte Zielgruppe. Nach erfolgreicher Einführung Login mit Passwörtern deaktivieren.
Auch privat ist der Einsatz von Passkeys sehr einfach und wird von sämtlichen modernen Cloud-Anwendungen unterstützt. Die Verbreitung wächst rasant: Weltweit sind schon über eine Milliarde Passkeys im Einsatz!
Wir unterstützen unsere Kunden nicht nur bei theorielastigen Themen wie der Einführung von Informationssicherheits-Managementsystemen (ISMS) oder der Erstellung von ISDS-Konzepten, sondern verbessern die Sicherheit auch mit vielen konkreten Praxismassnahmen. Wenn Sie mehr erfahren möchten, wenden Sie sich bitte an Peter Flütsch.