Wie funktionieren Passkeys? Leitfaden zum Authentifizierungsablauf

Was ist ein Passkey?

Gestohlene Zugangsdaten waren laut dem Verizon 2024 DBIR in 22 % der bestätigten Sicherheitsverletzungen das Einfallstor. Der Diebstahl von Zugangsdaten, insbesondere durch Infostealer-Malware und Phishing-Kampagnen, bleibt das schwache Glied bei der herkömmlichen passwortbasierten Authentifizierung. Dieses Muster zeigt sich in realen Vorfällen:

• MGM Resorts (2023): Angreifer nutzten einen Social-Engineering-Anruf, um Zugangsdaten zu erlangen, und legten letztlich Hotel- und Casino-Betrieb lahm; MGM meldete einen negativen Einfluss von 100 Millionen US-Dollar auf das bereinigte EBITDAR der Immobilien im Quartal und 10 Millionen US-Dollar an einmaligen Kosten (MGM Resorts 8-K-Meldung).
• Colonial Pipeline (2021): Das DOJ erklärte, der Vorfall sei auf ein kompromittiertes Konto für den Fernzugriff zurückzuführen, was zu einer erheblichen Störung der Kraftstoffversorgung an der US-Ostküste führte (DOJ-Pressemitteilung).
• Twilio (2022): Eine Phishing-Kampagne fing Mitarbeiter-Zugangsdaten ab und ermöglichte so den Zugriff auf interne Systeme mit Auswirkungen auf nachgelagerte Kunden (Twilio-Vorfallbericht).

Passkeys beseitigen dieses Ausfallrisiko durch kryptografische Authentifizierung, die an spezifische Domains gebunden ist, wodurch Diebstahl und Wiederverwendung von Zugangsdaten architektonisch unmöglich werden.

Ein Passkey ist ein kryptografisches Authentifizierungsmerkmal, das auf dem FIDO2-Protokoll basiert. Anstelle eines gemeinsam genutzten Geheimnisses wie einem Passwort, das sowohl auf Ihrem Gerät als auch auf einem Server gespeichert wird, verwendet ein Passkey ein asymmetrisches Schlüsselpaar aus öffentlichem und privatem Schlüssel Kryptografie. Ihr Gerät generiert und speichert den privaten Schlüssel in sicherer Hardware wie einem Trusted Platform Module (TPM) oder einer Secure Enclave. Der zugehörige öffentliche Schlüssel wird an den Server übertragen. Beim Login stellt der Server eine kryptografische Herausforderung, Ihr Gerät signiert diese mit dem privaten Schlüssel, und der Server überprüft die Signatur mit dem öffentlichen Schlüssel.

Der private Schlüssel verlässt niemals Ihr Gerät. Der Server hält kein wiederverwendbares Geheimnis. Es gibt nichts zu phishen, nichts zu missbrauchen und nichts, was aus einer kompromittierten Datenbank gestohlen werden könnte.

Dieses Design hat direkte Auswirkungen darauf, wie Organisationen sich gegen die häufigsten Angriffsvektoren auf die Identitätsinfrastruktur verteidigen.

Wie Passkeys mit Cybersicherheit zusammenhängen

Passkeys adressieren die dominierende Kategorie des Erstzugriffs bei Unternehmensvorfällen: Kompromittierung von Zugangsdaten. Der Verizon DBIR stellte fest, dass kompromittierte Zugangsdaten in 42 % aller Sicherheitsverletzungen eine Rolle spielten (Verizon 2024 DBIR). Herkömmliche MFA-Methoden wie SMS-Codes und TOTP bleiben anfällig für Echtzeit-Phishing, bei dem Angreifer Codes an legitime Dienste weiterleiten, bevor sie ablaufen. Passkeys nutzen kryptografische Domain-Bindung, das heißt, das Authentifizierungsmerkmal funktioniert nur auf der legitimen Ursprungsdomain. Selbst wenn ein Nutzer mit einer Phishing-Seite interagiert, kann der Passkey nicht gegen eine gefälschte Domain authentifizieren. Eine Auffrischung, wie diese Angriffe funktionieren, finden Sie im Phishing-Angriff-Leitfaden von SentinelOne.

Für Sicherheitsteams, die Identitätsinfrastrukturen verwalten, verschieben Passkeys die Verteidigungsstrategie von der Reduzierung der Wahrscheinlichkeit eines Diebstahls von Zugangsdaten hin zur architektonischen Unmöglichkeit. Die  Identity Security Übersicht von SentinelOne hilft Ihnen, die Härtung der Authentifizierung auf den breiteren Identitätsrisikobereich abzubilden.

Dieser Kontext ermöglicht einen direkten Vergleich zwischen dem, was Passkeys ersetzen, und dem, was sie bieten.

Passkeys vs. Passwörter

Die folgende Tabelle fasst die wichtigsten Unterschiede zwischen Passkeys und Passwörtern in den sicherheitsrelevanten und betrieblichen Dimensionen zusammen, die für Verteidiger am wichtigsten sind.

Dieser Vergleich zwischen Passkey und Passwort erklärt, warum die Branche schnell umstellt. Der nächste Abschnitt erläutert die Bausteine, die Passkey-Authentifizierung ermöglichen.

Kernkomponenten der Passkey-Authentifizierung

Die Passkey-Authentifizierung verwendet einen gestaffelten Stack aus Protokollen, Hardware und Plattformdiensten, der Ihre Zugangsdaten in jeder Phase schützt. Jede Komponente spielt eine spezifische Rolle, um Zugangsdaten phishing-resistent und kryptografisch gebunden zu halten.

1. FIDO2-Protokollstack: FIDO2 ist das Rahmenwerk, das zwei Kern-Spezifikationen umfasst. WebAuthn, definiert durch die W3C Web Authentication Spezifikation, ist die browserseitige API, die Relying Parties zur Erstellung und Überprüfung von Public-Key-Zugangsdaten über JavaScript-Aufrufe nutzen. CTAP (Client to Authenticator Protocol) steuert die Kommunikation zwischen Client-Plattform und Authenticator-Hardware über USB, NFC oder Bluetooth Low Energy (BLE). Zusammen verbinden WebAuthn und CTAP Ihre Anwendung, den Browser und die sichere Hardware, die Ihren privaten Schlüssel schützt.
2. Authenticator-Typen: Die  FIDO Alliance Authenticator-Spezifikationen definieren zwei Kategorien. Plattform- (eingebettete) Authenticatoren sind direkt in die Gerätehardware integriert und speichern private Schlüssel in Secure Enclaves oder TPMs. Roaming- (plattformübergreifende) Authenticatoren sind externe Hardwaregeräte, die systemübergreifend via USB, NFC oder BLE arbeiten und die stärkste Isolation bieten, da private Schlüssel innerhalb eines dedizierten Secure Elements verbleiben. Die Wahl des Authenticators bestimmt Ihr Vertrauensniveau, den Wiederherstellungsplan und die Nutzererfahrung.
3. Sichere Hardware-Schicht: Die Sicherheit jedes Passkeys hängt vom Authenticator ab, der den privaten Schlüssel schützt. Hardware-Sicherheitsschlüssel bieten den stärksten Schutz durch dedizierte Secure Elements, die sowohl physischen als auch logischen Extraktionsangriffen widerstehen.
4. Attestation: Während der Registrierung von Zugangsdaten ermöglicht Attestation die Überprüfung, dass ein Passkey auf einem zugelassenen Authenticator-Modell (identifiziert durch seine AAGUID) erstellt wurde, das Ihre Sicherheitsanforderungen erfüllt, wie hardwaregestützte Schlüsselspeicherung oder FIPS 140-2-Zertifizierung.

Diese vier Ebenen – FIDO2-Protokollstack, Authenticator-Typen, sichere Hardware und Attestation – arbeiten bei jeder Passkey-Interaktion zusammen. Der nächste Abschnitt zeigt, wie sie bei Registrierung und Anmeldung zusammenspielen.

Wie Passkey-Authentifizierung funktioniert

Der Passkey-Lebenszyklus umfasst zwei Abläufe: Registrierung (Erstellung des Merkmals) und Authentifizierung (Nachweis des Besitzes). Beide folgen einem Challenge-Response-Modell mit Public-Key-Kryptografie.

Registrierung: Einen Passkey erstellen

1. Server generiert eine Challenge. Wenn Sie die Passkey-Einrichtung starten, generiert der Relying-Party-Server eine kryptografisch zufällige Challenge sowie Registrierungsparameter: die RP-Kennung, Nutzerinformationen, unterstützte Algorithmen (typischerweise ES256) und Authenticator-Anforderungen.
2. Ihr Gerät erstellt ein Schlüsselpaar. Der Client ruft credentials.create(challenge) auf. Ihr Authenticator generiert ein neues Public-Private-Schlüsselpaar innerhalb sicherer Hardware. Der private Schlüssel verlässt diesen geschützten Bereich nie.
3. Die Antwort wird signiert zurückgesendet. Ihr Gerät sendet den öffentlichen Schlüssel, eine Credential-ID und die signierte Challenge an den Server. Die W3C-Spezifikation stellt sicher, dass der vollständige Ursprung kryptografisch in das Attestation-Objekt signiert wird, wodurch das Merkmal an die legitime Domain gebunden wird.
4. Der Server prüft und speichert. Der Server bestätigt die signierte Challenge, validiert den Ursprung, prüft die Attestation (bei Unternehmenseinsätzen) und speichert den öffentlichen Schlüssel und die Credential-ID, die Ihrem Konto zugeordnet sind.

Zu diesem Zeitpunkt hält der Server Ihren öffentlichen Schlüssel und die Credential-ID, hat aber nie Ihren privaten Schlüssel gesehen. Diese Asymmetrie macht jeden nachfolgenden Login phishing-resistent.

Authentifizierung: Anmeldung mit einem Passkey

1. Server stellt eine neue Challenge aus. Jeder Anmeldeversuch erzeugt eine neue kryptografisch zufällige Challenge, um Replay-Angriffe zu verhindern.
2. Ihr Gerät signiert die Challenge. Der Client ruft credentials.get(challenge) auf. Ihr Authenticator fordert eine Nutzerverifikation (biometrischer Scan oder Geräte-PIN) an, ruft den privaten Schlüssel ab, erhöht den Signaturzähler und signiert die Authenticator-Daten und den Client-Daten-Hash.
3. Der Server prüft die Signatur. Mit Ihrem gespeicherten öffentlichen Schlüssel prüft der Server die Signatur und weist kryptografisch nach, dass Sie den privaten Schlüssel besitzen, ohne dass dieser Ihr Gerät verlässt.

Abgefangener Datenverkehr enthält nichts Wiederverwendbares, da jede Sitzung eine eindeutige Challenge verwendet. Der private Schlüssel bleibt in der Hardware gesperrt. Ihre biometrischen Daten verlassen nie das Gerät; die Verifikation erfolgt vollständig lokal.

Beide Abläufe gehen davon aus, dass der Passkey auf dem Gerät lebt, das Sie gerade verwenden. In der Praxis arbeiten Nutzer jedoch geräteübergreifend, was die Frage aufwirft, wie Passkeys zwischen Geräten übertragen werden.

Plattformübergreifende Synchronisierung

Passkeys können entweder gerätegebunden oder über Ihr Geräte-Ökosystem synchronisiert sein.

• Synchronisierte Passkeys werden über Plattform-Zugangsdatenmanager mit Ende-zu-Ende-Verschlüsselung repliziert. Laut  Apples iCloud-Schlüsselbund-Dokumentation kann Apple die Schlüsselbundinhalte selbst bei kompromittiertem Cloud-Konto nicht lesen. Allerdings verlangt  NIST SP 800-63B nicht exportierbare private Schlüssel für AAL3-Konformität, was synchronisierte Passkeys ausschließt, da private Schlüssel zur Synchronisierung das Ursprungsgerät verlassen müssen.
• Gerätegebundene Passkeys verlassen niemals die Authenticator-Hardware und erfüllen die strengsten Anforderungen, einschließlich NIST SP 800-63B AAL3. Synchronisierte Passkeys qualifizieren sich weiterhin als AAL2-Authentifikatoren für phishing-resistente Authentifizierung gemäß Bundesrichtlinien.

Sobald Sie die Entscheidung zwischen gerätegebunden und synchronisiert verstanden haben, können Sie bewerten, wo Passkeys bereits unterstützt werden und wohin die Entwicklung geht.

Welche Dienste und Plattformen unterstützen Passkeys

Über 15 Milliarden Online-Konten unterstützen mittlerweile Passkey-Authentifizierung, und 48 % der Top-100-Websites bieten Passkeys als Login-Option an (FIDO Alliance). Die Einführung erstreckt sich über Verbraucherplattformen, Unternehmenslösungen und Finanzdienstleistungen.

• Betriebssysteme und Browser: Apple (iOS, macOS, Safari), Google (Android, Chrome) und Microsoft (Windows, Edge) haben Passkey-Unterstützung vollständig integriert. Über 95 % der iOS- und Android-Geräte sind Passkey-fähig, und Windows erweitert die Unterstützung für synchronisierte Passkeys über Windows Hello (Biometric Update). Geräteübergreifende Authentifizierung funktioniert über CTAP via Bluetooth Low Energy (BLE), sodass Sie sich auf einem Laptop mit einem auf einem nahegelegenen Smartphone gespeicherten Passkey anmelden können.
• Verbraucherplattformen: Google hat Passkeys für über 800 Millionen Konten aktiviert und berichtet von viermal erfolgreicheren Anmeldungen als mit Passwörtern. Amazon hat 175 Millionen Kunden mit aktivierten Passkeys erreicht. TikTok erzielte eine Authentifizierungserfolgsrate von 97 % mit Passkeys. Weitere große Verbraucherplattformen mit Passkey-Unterstützung sind PayPal, eBay, GitHub und Target (FIDO Alliance Passkey Index).
• Unternehmens- und Workforce-Tools: Die Einführung in Unternehmen beschleunigt sich. Daten von HID und FIDO Alliance zeigen, dass etwa 87 % der Unternehmen Passkeys bereits eingeführt haben oder aktiv einführen. Plattformen wie Okta, HubSpot und Cisco Duo haben Passkey-Unterstützung eingeführt; HubSpot berichtet von einer 25%igen Verbesserung der Login-Erfolgsraten und viermal schnelleren Anmeldungen im Vergleich zu Passwörtern und Zwei-Faktor-Authentifizierung (Dashlane Passkey Report).
• Finanzdienstleistungen und Behörden: Banken wie American Express, Bank of America und Wells Fargo haben mit der Einführung von Passkeys begonnen. Die Kryptowährungsbörse Gemini war eine der ersten großen Plattformen, die Passkeys für alle Nutzer verpflichtend machte. Im öffentlichen Sektor hat Australiens MyGov-Service Passkeys für fast 30 Millionen Menschen verfügbar gemacht, und die Europäische Union hat ihr Digital Identity Wallet Framework mit Passkeys als Kernelement gestartet.

Die breite Plattformunterstützung bedeutet, dass die meisten Organisationen heute mit Passkey-Pilotprojekten beginnen können. Das bedeutet jedoch nicht, dass die Einführung reibungslos verläuft – der nächste Abschnitt behandelt die betrieblichen Herausforderungen, auf die Sie sich vorbereiten sollten.

Herausforderungen bei der Implementierung von Passkeys

Passkeys lösen das Problem des Diebstahls von Zugangsdaten, bringen aber operative Herausforderungen mit sich, die Sie vor der Einführung berücksichtigen müssen.

• Das Wiederherstellungs-Sicherheitsdilemma: Wenn ein Nutzer sein einziges Gerät mit einem gerätegebundenen Passkey verliert und kein Backup registriert hat, ist das Konto ohne Rückfallmechanismen faktisch nicht wiederherstellbar. Herkömmliche Wiederherstellungsprozesse über E-Mail oder SMS führen die Schwachstellen wieder ein, die Passkeys eigentlich eliminieren sollen.
• Kompatibilität mit Altsystemen: Ältere Anwendungen unterstützen häufig kein FIDO2/WebAuthn. Laut dem  Enterprise Passkeys Whitepaper der FIDO Alliance können föderierte Umgebungen Passkeys auf IdP-Ebene implementieren und so nachgelagerte Unterstützung ohne individuelle Anpassungen ermöglichen. Nicht-föderierte Umgebungen müssen FIDO in jeder Anwendung einzeln implementieren oder zunächst auf ein föderiertes Modell migrieren.
• Organisatorische und plattformübergreifende Hürden: Selbst bei starken Sicherheitsvorteilen kann die Einführung von Passkeys an Ressourcen, Zuständigkeiten und Prozessänderungen scheitern. Das Verhalten von Passkeys variiert zudem je nach Plattform und Browser, mit unterschiedlichen Registrierungsabläufen und Synchronisationsverhalten, was Schulungen erschwert und den Supportaufwand während der Einführung erhöht.

Keine dieser Herausforderungen ist ein Showstopper, aber jede erfordert eine bewusste Entscheidung in der Planungsphase statt einer nachträglichen Korrektur. Die folgenden Best Practices adressieren Wiederherstellung, Kompatibilität und Einführungsfriktionen direkt.

Best Practices für die Passkey-Einführung im Unternehmen

Eine erfolgreiche Passkey-Einführung erfordert architektonische Planung, gestufte Richtlinien und eine phasenweise Umsetzung.

• Entwickeln Sie eine zweistufige Zugangsdatenstrategie: Teilen Sie Ihre Nutzerbasis nach Risikoprofil und erforderlichem Vertrauensniveau auf. Privilegierte Konten (Administratoren, Finanzwesen, regulierte Zugriffe), die AAL3-Konformität erfordern, sollten gerätegebundene Passkeys oder Hardware-Sicherheitsschlüssel mit nicht exportierbaren privaten Schlüsseln verwenden. Allgemeine Mitarbeiter können synchronisierte Passkeys (AAL2-phishing-resistent) für bessere Nutzbarkeit und plattformgestützte Wiederherstellung über ihre Geräte-Zugangsdatenmanager nutzen.
• Führen Sie die Einführung in drei Phasen durch: Starten Sie mit einem Pilotprojekt von 50 bis 100 Nutzern auf besonders schützenswerten Anwendungen (E-Mail, VPN, HR-Systeme), um Lebenszyklus- und Wiederherstellungsprozesse zu etablieren. Skalieren Sie auf weitere Anwendungen und Nutzergruppen, während Sie Prozesse für Bereitstellung, Widerruf und Auditierung formalisieren. Machen Sie schließlich Passkeys zur Standardauthentifizierung und verschieben Sie passwortbasierte Rückfalloptionen auf Notfälle.
• Föderieren Sie vor der Einführung: Wenn Ihre Authentifizierungsarchitektur nicht über einen Identity Provider zentralisiert ist, adressieren Sie dies zuerst. Föderierte Umgebungen, die Passkeys auf IdP-Ebene implementieren, können nachgelagerte Anwendungen ohne individuelle Anpassungen unterstützen. Nicht-föderierte Umgebungen müssen Passkey-Unterstützung in jeder Anwendung einzeln umsetzen.
• Entwerfen Sie phishing-resistente Wiederherstellung: Schaffen Sie SMS- und E-Mail-basierte Wiederherstellung ab und setzen Sie stattdessen zeitlich begrenzte Wiederherstellungsmechanismen und Backup-Passkeys ein. Wiederherstellungstoken sollten 5 bis 15 Minuten gültig sein, an die Ursprungssitzung gebunden und nur einmal verwendbar sein. Backup-Passkeys auf Zweitgeräten bieten den stärksten Rückfall, da sie die kryptografischen Sicherheitsmerkmale der primären Authentifizierung beibehalten.
• Verlangen Sie Attestation für Unternehmensregistrierungen: Setzen Sie AAGUID-basiertes Attestation-Filtering ein, um sicherzustellen, dass nur zugelassene Authenticator-Modelle Zugangsdaten registrieren können. So verhindern Sie, dass Nutzer Passkeys auf Authenticatoren registrieren, die Ihre Hardware-Sicherheitsanforderungen nicht erfüllen.
• Investieren Sie in gezielte Schulungen: Schulungsprogramme sollten die Passkey-Registrierung auf verschiedenen Gerätetypen, Wiederherstellungsverfahren bei Geräteverlust, Nutzung von Rückfall-Authentifizierung und die Sicherheitsgründe hinter den Richtlinien abdecken. Plattformübergreifende Inkonsistenzen machen praktische Schulungen effektiver als reine Dokumentation.
• Implementieren Sie Audit-Logging ab Tag eins: Protokollieren Sie jedes Registrierungsereignis, jeden Authentifizierungsversuch, jede Wiederherstellungsaktion und jeden Widerruf von Zugangsdaten in Ihrem SIEM. Integrieren Sie Passkey-Lebenszyklusereignisse, um Audit-Trails zu erhalten, die ISO 27001-Kontrollziele und SOC 2 CC6-Anforderungen an logischen Zugriff unterstützen. Die  SIEM-Anleitung und die  XDR-Übersicht von SentinelOne helfen Ihnen, Identitätstelemetrie mit Endpoint- und Cloud-Signalen abzugleichen.

Diese operativen Grundlagen bereiten Sie darauf vor, Passkeys in auditfähige Kontrollen zu überführen – hier kommen Compliance- und Regulatorik-Anforderungen ins Spiel.

Compliance- und regulatorische Treiber für Passkey-Authentifizierung

Regulatorischer Druck beschleunigt die Einführung von Passkeys. CISA fordert jedes Unternehmen auf, phishing-resistente MFA für E-Mail, VPNs und Systeme mit kritischer Infrastruktur zu implementieren. CISA und NIST haben zudem einen  gemeinsamen Entwurfsbericht zum Schutz von Authentifizierungstoken vor Manipulation, Diebstahl und Replay-Angriffen veröffentlicht. NIST SP 800-63B legt fest, dass AAL2 eine phishing-resistente Option erfordert, während AAL3 einen phishing-resistenten Authenticator mit nicht exportierbarem privaten Schlüssel verlangt.

Um Passkeys auditkonform einzusetzen, müssen Sie in der Regel drei Dinge nachweisen:

• Kontrollmapping: Dokumentieren Sie, wie Passkeys bestehende Zugriffskontrollziele erfüllen oder übertreffen (z. B. ISO 27001 Anhang A Zugriffskontrollanforderungen).
• Risikobewertung: Dokumentieren Sie die eingeführten Risiken (Geräteverlust, Vendor-Lock-in, Wiederherstellungskomplexität, Downgrade-Angriffe) und Ihre Kompensationsmaßnahmen.
• Nachweis und Durchsetzung: Halten Sie Implementierungsdokumentation bereit, belegen Sie die Richtliniendurchsetzung und führen Sie Audit-Trails für Authentifizierungs- und Wiederherstellungsereignisse.

Wenn Sie diese Punkte zusammenstellen, können Sie Passkeys sowohl als Sicherheitsupgrade als auch als auditfreundliches Kontrollset positionieren. Authentifizierung ist jedoch nur eine Schicht der Identitäts-Angriffsfläche – und die Tools, die Sie um Passkeys herum einsetzen, bestimmen, wie schnell Sie Bedrohungen erkennen und darauf reagieren, wenn diese über den Login hinausgehen.

Passkey-Authentifizierung mit SentinelOne stärken

Passkeys eliminieren zugangsdatenbasierte Angriffe auf der Authentifizierungsebene, aber Identitätssicherheit reicht über den Login hinaus. Diebstahl von Sitzungstoken, laterale Bewegung und identitätsbasierte Persistenz erfolgen alle nachgelagert zur Authentifizierung.  Singularity Identity korreliert Endpoint- und Identitätsaktivitäten für kontextbasierte Erkennung und schnellere Triage, wenn Passkeys nur ein Teil der Geschichte sind. Es härtet Active Directory und Cloud-Identitätsanbieter wie SecureAuth, Ping, Duo, Entra ID und Okta, setzt Täuschungstechniken ein, um Angreifer frühzeitig zu fangen, und erkennt Diebstahl von Zugangsdaten und Privilegieneskalation in Echtzeit.

Purple AI beschleunigt die Untersuchung identitätsbezogener Alarme, indem natürliche Sprachabfragen in bereichsübergreifende Suchen übersetzt werden. Organisationen, die Purple AI nutzen, berichten von bis zu 55 % schnellerer Bedrohungsbeseitigung und einer Reduktion der Untersuchungszeit um 40–50 % (IDC-Studie).

SentinelOne erzeugte 88 % weniger Alarme als der Median aller Anbieter in den unabhängigen MITRE ATT&CK Evaluations 2024 (MITRE ATT&CK Evaluations Ergebnisse), sodass Ihr Team mehr Zeit für echte Vorfälle statt für Alarmflut aufwendet.

Wenn Sie Passkey-, Endpoint- und Identitätstelemetrie zentralisieren, bietet Ihnen  Singularity AI SIEM einen zentralen Ort zur schnellen Speicherung normalisierter Sicherheitsereignisse für schnelleres Threat Hunting und Forensik. Das  Cybersecurity 101 Hub von SentinelOne liefert unterstützende Konzepte für interne Runbooks.  Melden Sie sich für eine SentinelOne-Demo an, um zu sehen, wie Identitäts-, Endpoint- und Cloud-Telemetrie in einer Plattform zusammengeführt werden.

Wichtige Erkenntnisse

Was ist ein Passkey im Kern? Es ist ein kryptografisches Authentifizierungsmerkmal, das geteilte Geheimnisse durch asymmetrische Kryptografie ersetzt und das Risiko des Diebstahls von Zugangsdaten, das hinter 22 % der Sicherheitsverletzungen steht (Verizon 2024 DBIR), eliminiert. Die Einführung im Unternehmen erfordert eine zweistufige Zugangsdatenstrategie: gerätegebundene Passkeys für AAL3-konforme privilegierte Konten und synchronisierte Passkeys für die allgemeine Belegschaft. 

Erstellen Sie phishing-resistente Wiederherstellungsprozesse, föderieren Sie Ihre Authentifizierungsarchitektur und führen Sie die Einführung phasenweise durch. Regulatorische Vorgaben von CISA und NIST beschleunigen die Einführung.