Mit FIDO2 Passkeys ohne Passwörter unterwegs sein

FIDO2 hat sich in den letzten Jahren zum führenden Rahmen für passwordlose Authentifizierung entwickelt. Technisch besteht FIDO2 aus zwei Standards: WebAuthn (W3C) für die Kommunikation zwischen Browser/App und Server sowie CTAP2 (Client to Authenticator Protocol) für die Kommunikation zwischen Betriebssystem und Authenticator.

Passkeys sind dabei die praxisnahe Umsetzung dieser Standards: Statt Benutzername und Passwort nutzt der Benutzer einen kryptographischen Schlüssel, der sicher auf seinem Endgerät oder in einer vertrauenswürdigen Plattform-Infrastruktur hinterlegt ist. Die Freigabe erfolgt üblicherweise über biometrische Merkmale (Fingerabdruck, Gesicht) oder eine lokale PIN – also mit demselben Mechanismus, mit dem das Gerät entsperrt wird.

Im Unterschied zu klassischen Faktoren (Passwort + SMS / TOTP) gibt es kein gemeinsames Geheimnis zwischen Benutzer und Dienst mehr. Der Server hält nur noch den Public Key, der private Schlüssel verbleibt im Secure Element oder Trusted Platform Module des Clients. Dadurch verschiebt FIDO2 das Sicherheitsmodell von „Wissen“ (Passwort) hin zu „Besitz + lokale Verifikation“ und erhöht massiv die Resilienz gegen Phishing, Credential Stuffing und Datenbank-Leaks.

Bei der Registrierung sendet der Server zunächst eine Challenge sowie die Parameter der WebAuthn-Relying-Party an das Endgerät, welches diese über CTAP2 an den Authenticator weiterleitet. Dort wird ein neues Schlüsselpaar erzeugt, dessen privater Anteil das Gerät nie verlässt, während der öffentliche Schlüssel inklusive Metadaten kryptographisch an die betreffende Domain gebunden und an den Server zur Speicherung als Credential übermittelt wird. Bei einer späteren Anmeldung stellt der Server erneut eine Challenge bereit, die der Authenticator entgegennimmt und dem passenden, zuvor registrierten Credential zuordnet. Der Benutzer bestätigt die Freigabe lokal per Biometrie oder PIN, woraufhin der Authenticator die Challenge mit dem privaten Schlüssel signiert. Abschliessend prüft der Server die Signatur anhand des gespeicherten Public Keys und authentifiziert den Benutzer sicher und ohne Passwort.

Zentrale Vorteile gegenüber Passwörtern:

• Phishing-Resistenz: Der Authenticator gibt nur Credentials für genau die Domain frei, auf der sie registriert wurden. Ein Phishing-Link auf eine ähnliche Domain erhält schlicht keinen gültigen Credential.
• Kein Credential-Reuse: Es gibt keine wiederverwendbaren Passwörter mehr, die zwischen Diensten „recycled“ werden.
• Keine Datenbank-Leaks von Geheimnissen: Ein Angreifer, der die Datenbank eines Dienstes kompromittiert, erhält nur Public Keys – diese sind kryptographisch wertlos.
• Besserer UX: Kein Eintippen, keine Passwort-Resets, kein komplexes Policy-Management mehr.

Gerade in regulierten Umgebungen wie NIS2, DORA, TISAX, etc. ermöglicht FIDO2, starke Authentisierung mit deutlich besserer Usability zu kombinieren, was die Akzeptanz bei Anwendern signifikant erhöht.

Die Einrichtung eines FIDO2 Passkeys beginnt serverseitig mit der Bereitstellung des WebAuthn-Registrierungsprozesses, den der Dienst nach einer erfolgreichen Anmeldung mit dem bestehenden Verfahren auslöst. Der Server generiert die notwendigen Parameter und Challenges, stellt sie über die WebAuthn-Schnittstelle bereit und definiert damit eindeutig, für welche Domain und welchen Sicherheitskontext der neue Passkey gültig sein soll.

Erst danach übernimmt das Endgerät und öffnet einen systemeigenen Dialog, über den der Nutzer kurz auswählt, ob der Passkey im integrierten Plattform-Authenticator oder auf einem externen FIDO2-Security-Key gespeichert wird, siehe auch device-bound vs. cloud passkey.

FIDO2 bietet ein besonders hohes Sicherheitsniveau, weil jede Registrierung kryptographisch an eine konkrete Domain gebunden wird. Phishing-Webseiten können diese Bindung nicht erfüllen, wodurch ein Passkey dort niemals freigegeben wird. Zusätzlich bleiben private Schlüssel immer auf dem Gerät oder dem verwendeten Security-Key, sodass selbst bei einem erfolgreichen Serverangriff keine sensiblen Geheimnisse entwendet werden. Die Kombination aus Geräteeigentum und lokaler biometrischer Verifikation wirkt stärker als eine Multi-Faktor-Authentisierung. Diese Architektur reduziert gängige Angriffsflächen erheblich und schützt zuverlässig vor Social-Engineering-Angriffen.

Moderne Betriebssysteme wie Windows, macOS, iOS und Android unterstützen FIDO2 nativ und stellen eigene Authenticator-Komponenten für Passkeys bereit. Auch alle großen Browser – Chrome, Safari, Firefox und Edge – implementieren WebAuthn vollständig und ermöglichen damit eine breite Nutzbarkeit über unterschiedlichste Endgeräte hinweg. Zahlreiche Cloud-Dienste und SaaS-Anbieter haben Passkeys bereits integriert oder bieten sie als bevorzugtes Login-Verfahren an. Führende IAM-Plattformen akzeptieren Passkey als Anmeldeverfahren und kombinieren Passkeys mit zentralem Richtlinien- und Lifecycle-Management. Unternehmen können FIDO2 dadurch ohne tiefgreifende Umbauten in bestehende SSO-Landschaften integrieren.

Device-bound Passkeys werden ausschliesslich auf einem einzelnen Gerät oder einem externen Security-Key gespeichert und verlassen dessen sichere Hardware nie. Sie eignen sich besonders für sensible Konten, bei denen maximale Kontrolle über den privaten Schlüssel wichtig ist. Cloud-synchronisierte Passkeys hingegen werden Ende-zu-Ende verschlüsselt im jeweiligen Ökosystem des Nutzers gespeichert und automatisch zwischen seinen Geräten synchronisiert. Dadurch entsteht ein sehr komfortabler, leicht skalierbarer Ansatz, der vor allem für breite Mitarbeitenden- oder Kundenumgebungen ideal ist. Beide Varianten lassen sich kombinieren, je nach Sicherheitsanforderungen und Nutzungsprofilen.

Passwörter verschwinden nicht schlagartig, doch ihre Bedeutung nimmt spürbar ab. Viele Dienste betreiben Passwörter und Passkeys zunächst parallel, um Übergänge und Rückfallmechanismen sicherzustellen. Langfristig zeichnen sich jedoch Szenarien ab, in denen Passwörter nur noch als Ausnahmefall genutzt werden, beispielsweise für Notfall-Accounts oder alte Legacy-Systeme. Große Plattformanbieter verfolgen klar das Ziel, die passwortlose Anmeldung zum Standard zu machen. Auch heute reichen klassische Passwörter ja nicht mehr aus sondern werden mit Multi-Factor Authentication (MFA) ergänzt. Für Organisationen entsteht damit ein realistischer Migrationspfad hin zu deutlich sichereren, benutzerfreundlicheren Authentisierungskonzepten.

Unternehmen, die FIDO2 eingeführt haben, berichten von einer deutlichen Reduktion sicherheitsrelevanter Vorfälle und einem massiv geringeren Aufwand für Passwort-Resets. Mitarbeitende schätzen die unkomplizierte Nutzung, da sie sich mit denselben biometrischen Gesten anmelden, die sie bereits zum Entsperren ihrer Geräte verwenden. Fallstudien zeigen, dass Rollouts im Unternehmensumfeld oft in wenigen Monaten realisierbar sind, sofern ein zentrales IAM die Prozesse orchestriert. Auch Kundenplattformen profitieren: Anmeldeabbrüche sinken, während gleichzeitig die Sicherheit steigt. Die Erfolgsbilanz deutet klar darauf hin, dass Passkeys nicht nur eine technische Neuerung sind, sondern einen strukturellen Wandel der digitalen Identität einleiten.

Dieser Bericht beruht auf Expertenwissen, für die Ausformulierung wurde Hilfe von KI in Anspruch genommen.