Passkeys: Was sie wirklich leisten und wo Vorsicht geboten ist

by Heike Vollmers in Cybersecurity

Passkeys (FIDO/WebAuthn) werden als die nächste große Verbesserung gegenüber Passwörtern und klassischen Zwei-Faktor-Methoden gehandelt — und das aus gutem Grund. Sie binden Authentisierungsdaten an die Website-Origin und sorgen dafür, dass ein gefälschtes Login-Formular allein nicht mehr ausreicht. Trotzdem sind Passkeys kein Allheilmittel: Implementierungsfehler, Browser-Schwachstellen und unsichere Recovery-Workflows können die Schutzwirkung schmälern.

Passkeys gelten als die Zukunft der sicheren Anmeldung im Web. Sie versprechen eine phishing-resistente Authentifizierung, die klassische Passwörter und unsichere Zwei-Faktor-Methoden ersetzt. Aber, sind Passkeys wirklich unknackbar? In diesem Beitrag erfährst du:

  • Wie Passkeys (FIDO/WebAuthn) funktionieren
  • Warum sie deutlich sicherer als Passwörter sind
  • Welche Risiken Unternehmen und Endanwender kennen müssen

Was sind Passkeys und wie funktionieren sie?

Passkeys sind digitale Schlüsselpaare, die bei der Registrierung erstellt werden:

  • Privater Schlüssel: bleibt sicher auf dem Gerät (Smartphone, Hardware-Key, Secure Enclave).
  • Öffentlicher Schlüssel: wird beim Online-Dienst gespeichert.

Bei der Anmeldung wird eine Challenge kryptografisch signiert – und zwar domain-gebunden. Ein Angreifer auf einer Fake-Seite erhält daher keine gültige Signatur für die echte Domain.

Warum sind Passkeys phishing-resistent?

  • Keine geheimen Passwörter, kein Passwort-Phishing mehr: Es gibt nichts, das ein Phisher per Formular abgreifen und auf einer echten Seite wiederverwenden kann.
  • Domain-Bindung (Origin-Binding): Die Authentifizierung bezieht die Website-Origin mit ein — eine Fake-Site erhält keine gültige Signatur für die echte Domain. Nur die echte Domain kann einen gültigen Login auslösen.
  • Schutz gegen Credential-Leaks: Server speichern nur öffentliche Schlüssel; massenhafte Leak-Exploits sind damit weniger schädlich.

Im Vergleich zu TOTP-Codes, SMS-2FA oder Push-TAN sind Passkeys deutlich robuster gegen Phishing und Man-in-the-Middle-Angriffe.

Grenzen und Risiken von Passkeys

So stark Passkeys sind – unüberwindbar sind sie nicht. Hier ein paar typische Risiken, die Passkeys mit sich bringen:

  1. Kompromittierte Plattformen – manipulierte Browser oder Extensions können den Prozess abfangen.
  2. Implementierungsfehler – CVEs in WebAuthn-/Browser-Implementierungen zeigen, dass Fehler ausgenutzt werden können.
  3. Cloud-Sync & Recovery – viele Passkeys werden in iCloud, Google oder Microsoft-Konten synchronisiert. Wird das Hauptkonto übernommen, sind auch Passkeys angreifbar.
  4. Fallback-Methoden – unsichere Recovery-Prozesse (SMS, E-Mail) können die starke Sicherheit aushebeln.
  5. Vendor-Lock-in & Migration – Nutzer sind abhängig von Ökosystemen (Apple, Google, Microsoft).

Empfehlungen für Unternehmen und Admins

  1. Passkeys einführen — aber richtig: Setze Passkeys dort ein, wo es sinnvoll ist, und erzwinge sie für sensible Konten.
  2. Endgeräte & Browser härten: Führe Regeln (Policies) ein, die verhindern, dass Benutzer Erweiterungen/Add-ons in ihren Browser installieren können, sofern diese nicht verifiziert oder freigegeben sind.
  3. Sichere Recovery-Prozesse: Definiere strikte Verfahren für Recovery-Prozesse und die Erzeugung neuer Passkeys — Cloud-Backups müssen durch starke 2FA und Monitoring geschützt sein.
  4. Hardware-Keys für High-Value-Konten: Wo höchste Sicherheit nötig ist (Admins, Finanz-Accounts), bleiben physische FIDO-Security-Keys eine sehr starke Option.
  5. Monitoring & CVE-Management: beobachte WebAuthn/Browser-CVE-Feeds und patch schnell (Beispiel: WebAuthn-/Chrome-Bugs wurden bereits öffentlich).

Empfehlungen für Endnutzer

  • Aktiviere Passkeys, wenn es angeboten wird. Sie sind in den meisten Fällen sicherer als Passwörter.
  • Schütze dein Cloud-Backup-Konto mit starker 2FA (kein SMS-only), verwahre Recovery-Codes an einem sicheren Ort.
  • Entferne unnötige Browser-Erweiterungen und installiere sie nur aus vertrauenswürdigen Quellen.
  • Für sehr sensible Accounts: verwende zusätzlich eine physische Sicherheits-Key-Option.

Passkeys minimieren viele der klassischen Phishing- und Breach-Risiken, die wir von Passwörtern kennen. Die tatsächliche Sicherheit hängt allerdings stark von einer fehlerfreien Implementierung, der Integrität von Browsern/OS, sicheren Backup- und Wiederherstellungs-Methoden und operativen Prozessen ab.

Plattform-Sicherheit, Recovery und Implementierung bleiben allerdings ein entscheidender Faktor. Wer Passkeys einsetzt, muss diese Prozesse genauso sorgfältig absichern. Richtig umgesetzt sind Passkeys eine praktikable, benutzerfreundliche und sicherere Alternative zu Passwörtern.

Wenn du Fragen zur Verwendung von Passkeys hast oder Hilfe bei der sicheren Implementierung von Passkeys benötigst, melde dich gerne bei uns:

E-Mail: hallo@teufelswerk.net, Tel. +49 4762 3639555
Signal: @cyberhelden.42, Signal-Link: https://signal.me/#u/cyberhelden.42

Abonniere jetzt unsere Cyber-News!

Ca. alle 4 Wochen erhältst du wertvolle Insights, Informationen, Tipps und Ratschläge zur Cybersicherheit, Cyberbedrohungen, Phishing-Methoden, Betrugsmaschen und Social-Engineering, ganz gleich ob du Anfänger oder Fortgeschrittener bist.

Newsletter abonnieren

Hat dir dieser Beitrag gefallen?

Ja
Nein
Danke für dein Feedback!

Ähnliche Beiträge

KI, Datenschutz, SicherheitKI, Datenschutz, Sicherheit
ChatGPT Atlas bringt Künstliche Intelligenz direkt in...
Am 21. Oktober 2025 stellte OpenAI den Webbrowser ChatGPT Atlas...
>>>
KI GespensterKI Gespenster
Schutz vor GhostGPT: Wie sich Unternehmen gegen...
Cyberbedrohungen gehen heute von mächtigen, selbstlernenden KIs aus. Deshalb ist...
>>>
Verdächtige E-Mails erkennen: So entlarvst du raffinierte...
Immer wieder landen täuschend echt aussehende E-Mails in unseren Postfächern....
>>>
Tagged with: , , , , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert