Was sind Passwort und Passkey?
Stellen Sie sich folgendes Szenario vor: Um 2:14 Uhr überprüft Ihr SOC-Analyst Authentifizierungsprotokolle, die in der letzten Stunde Hunderte fehlgeschlagene Anmeldeversuche zeigen. Um 2:31 Uhr gelingt einer mit Zugangsdaten, die aus einem früheren Vorfall gestohlen wurden, und Ihr Security-Stack hat dies nie erkannt.
Dies ist der grundlegende Unterschied zwischen Passwörtern und Passkeys. Passwörter basieren auf einem Shared-Secret-Modell, bei dem dasselbe Anmeldegeheimnis sowohl auf Ihrem Gerät als auch auf dem Server existiert. Wenn Angreifer diesen Server kompromittieren oder die Zugangsdaten abgreifen, verfügen sie über alles, was für die Authentifizierung benötigt wird. Passkeys beseitigen diese Schwachstelle durch asymmetrische Kryptografie. Private Schlüssel verlassen niemals Ihr Gerät, und auf Servern gespeicherte öffentliche Schlüssel sind für Angreifer kryptografisch wertlos.
Laut dem 2025 DBIR, der 22.052 Sicherheitsvorfälle analysiert, waren bei 88 % der Verstöße gestohlene Zugangsdaten im Spiel. Passwörter schaffen eine systemische Schwachstelle – unabhängig von Komplexitätsanforderungen, Rotationsrichtlinien oder Benutzerschulungen.
Passkeys implementieren die FIDO2-Protokollarchitektur durch zwei komplementäre Standards: die W3C Web Authentication (WebAuthn)-Spezifikation für die Verwaltung von Anmeldeinformationen in Browsern und Plattformen sowie das FIDO Alliance CTAP2 (Client to Authenticator Protocol) für die Kommunikation zwischen Anwendungen und Authentifikatoren. Zusammen ersetzen diese Protokolle die Passwortübertragung durch eine kryptografische Challenge-Response-Authentifizierung, die an spezifische Domains gebunden ist.
Wenn Sie einen Passkey registrieren, generiert Ihr Authentifikator ein einzigartiges Schlüsselpaar für genau dieses Konto. Der private Schlüssel bleibt sicher im Hardware-Sicherheitsmodul oder Secure Enclave Ihres Geräts gespeichert und wird niemals über Netzwerke übertragen. Nur der öffentliche Schlüssel wird beim Server registriert. Während der Authentifizierung sendet der Server eine kryptografische Herausforderung, die Ihr Gerät mit dem privaten Schlüssel signiert – der Besitz wird nachgewiesen, ohne den Schlüssel selbst preiszugeben.
Diese architektonischen Unterschiede bestimmen direkt, welche Angriffe gegen Ihre Infrastruktur erfolgreich sind und welche nicht.
Wie Passwort und Passkey mit Cybersecurity zusammenhängen
Passkeys adressieren die Authentifizierungsschwächen, die den Großteil der Sicherheitsvorfälle verursachen. NIST Special Publication 800-63B verlangt für AAL2 eine phishing-resistente Authentifizierung und macht sie für AAL3 verpflichtend, und CISA CPG 2.0 empfiehlt Passkeys explizit als phishing-resistente Methode. Passwörter können keine dieser Anforderungen erfüllen – unabhängig von Länge, Komplexität oder Rotationshäufigkeit.
Die Daten belegen dies deutlich. Laut 2025 DBIR research machten Credential-Stuffing-Angriffe an Spitzentagen 44 % des gesamten Authentifizierungstraffics aus, und 80 % der kompromittierten Konten hatten zuvor Zugangsdaten von anderen Diensten verloren. Ransomware war in 44 % der Verstöße beteiligt, wobei Passwort-Wiederverwendung den initialen Zugangspunkt bot. Der Angriff auf Colonial Pipeline 2021 verdeutlicht dies: Angreifer nutzten ein einziges kompromittiertes VPN-Passwort, um Zugang zum Netzwerk zu erhalten, was laut DOJ disclosures zu 4,4 Millionen US-Dollar Lösegeld führte.
Passkeys eliminieren diese Angriffswege. Laut der FIDO Alliance macht das Passkey-Design Zugangsdaten resistent gegen Phishing, Credential Stuffing und großflächige Datenpannen, da auf Servern gespeicherte öffentliche Schlüssel ohne die privaten Schlüssel auf den Benutzergeräten keinen Authentifizierungswert besitzen.
Bevor spezifische Angriffsvektoren im Detail betrachtet werden, zeigt die folgende Tabelle, wie sich Passwörter und Passkeys in den für Sicherheitsteams wichtigsten Dimensionen unterscheiden.
Passwort vs Passkey auf einen Blick
Die Unterschiede zwischen Passwörtern und Passkeys erstrecken sich über Sicherheitsarchitektur, Benutzererlebnis, Compliance-Bereitschaft und Ökosystemunterstützung. Dieser Vergleich basiert auf Forschung der FIDO Alliance, NIST-Standards und Verizon DBIR-Daten zur Quantifizierung jeder Dimension.
| Feature | Password | Passkey |
| Authentifizierungsmodell | Shared Secret (Server speichert Anmeldeinformation) | Asymmetrische Kryptografie (Server speichert nur öffentlichen Schlüssel) |
| Phishing-Resistenz | Keine; Zugangsdaten werden an jede Domain übertragen | Kryptografische Domain-Bindung blockiert Phishing-Seiten |
| Risiko Credential Stuffing | Hoch; wiederverwendete Zugangsdaten funktionieren dienstübergreifend | Keins; jede Anmeldeinformation ist dienstspezifisch einzigartig |
| Login-Erfolgsrate | 63 % im Durchschnitt (FIDO Alliance Passkey Index) | 93 % im Durchschnitt (FIDO Alliance Passkey Index) |
| Login-Geschwindigkeit | ~27,5 Sekunden im Durchschnitt | ~13,6 Sekunden im Durchschnitt (FIDO Alliance Passkey Index) |
| Erforderliche Benutzeraktion | Passwort merken und eingeben, dann MFA abschließen | Biometrischer Scan oder Geräte-PIN |
| Auswirkung Serverkompromittierung | Gehashte Passwörter werden für Offline-Angriffe offengelegt | Öffentliche Schlüssel sind ohne private Schlüssel kryptografisch wertlos |
| Wiederherstellungsmethode | Passwort-Reset per E-Mail | Synchronisierte Passkeys, Backup-Authentifikatoren oder Admin-Wiederherstellung |
| Compliance (NIST AAL2/AAL3) | Kann phishing-resistente Anforderungen nicht erfüllen | Erfüllt phishing-resistente Anforderungen |
| Plattformunterstützung | Universell | Apple-, Google-, Microsoft-Ökosysteme; 48 % der Top-100-Websites |
Die folgenden Abschnitte beleuchten jede dieser Dimensionen im Detail, beginnend mit den spezifischen Passwort-Schwachstellen, die Passkeys eliminieren sollen.
Sicherheitslücken: Passwort-Angriffsvektoren
Passwörter schaffen vier Hauptschwächen, die Ihre Sicherheitslage direkt beeinflussen: Phishing-Anfälligkeit, Credential-Stuffing-Exposition, Man-in-the-Middle-Abgriff und Auswirkungen von Datenbankkompromittierungen. NIST SP 800-63B bestätigt, dass die asymmetrische Kryptografie-Architektur von FIDO2/WebAuthn eine phishing-resistente Authentifizierung ermöglicht, die Passwörter unabhängig von Komplexitätsanforderungen nicht erreichen können.
- Phishing-Angriffe bleiben bei passwortbasierter Authentifizierung wirksam. Laut Forschung, zusammengefasst im 2025 Verizon DBIR, klicken Nutzer weiterhin auf simulierte Phishing-Übungen, selbst nach Schulungen. Wenn Nutzer Passwörter auf von Angreifern kontrollierten Domains eingeben, werden diese Zugangsdaten im Klartext an Angreifer übertragen, die sie sofort gegen Ihre echten Dienste testen. Der MGM Resorts-Vorfall 2023 zeigt dies deutlich; Angreifer nutzten Social Engineering, um MFA zu umgehen, was laut SEC-Meldungen zu etwa 100 Millionen US-Dollar Schaden führte.
- Credential Stuffing nutzt Passwort-Wiederverwendung im großen Maßstab aus. Der 2025 Data Breach Investigations Report von Verizon bestätigt, dass 80 % der kompromittierten Konten zuvor Zugangsdaten von anderen Diensten verloren hatten. Nutzer verwenden Zugangsdaten routinemäßig dienstübergreifend – von Consumer-Services über berufliche Plattformen bis hin zu Unternehmensanwendungen. Wird ein beliebiger Consumer-Service kompromittiert, testen Angreifer diese Zugangsdaten sofort gegen Unternehmens- Authentifizierungsendpunkte.
- Man-in-the-Middle-Angriffe fangen Passwortübertragungen ab. MITM-Angreifer positionieren sich zwischen Nutzer und Server und nutzen Techniken wie gefälschte SSL-Zertifikate, um Daten im Transit abzufangen. Passwortbasierte Authentifizierung erfordert die Übertragung eines Geheimnisses zur Identitätsbestätigung – diese Übertragung schafft eine Schwachstelle, unabhängig von der Transportverschlüsselung.
- Datenpannen legen gespeicherte Passwörter trotz Hashing offen. Ihre Authentifizierungsdatenbank enthält Passwort-Hashes, keine Klartext-Passwörter. Dieser Schutz verzögert die Kompromittierung, verhindert sie aber nicht. Angreifer mit Datenbankzugriff führen Offline-Brute-Force-Angriffe gegen gehashte Passwörter durch, ohne Account-Lockout- oder Rate-Limiting-Mechanismen auszulösen. Wird Ihre Datenbank kompromittiert, müssen alle Passwörter Ihrer Nutzerbasis sofort zurückgesetzt werden.
Passkeys eliminieren diese Schwachstellen durch eine kryptografische Architektur, die Diebstahl von Zugangsdaten wirkungslos macht.
Passkey-Kryptografie-Architektur
Die Sicherheitsgarantien von Passkeys beruhen auf der Funktionsweise der zugrundeliegenden Kryptografie. Im Gegensatz zu Passwörtern, die auf der Geheimhaltung eines gemeinsamen Werts basieren, nutzen Passkeys Public-Key-Kryptografie, bei der Authentifizierungsnachweis und Authentifizierungsgeheimnis grundlegend verschiedene Objekte sind.
Während der Authentifizierung sendet Ihr Server eine kryptografische Herausforderung über die WebAuthn-API an den Authentifikator des Nutzers. Der Authentifikator signiert diese Herausforderung mit dem auf dem Gerät gespeicherten privaten Schlüssel, und die signierte Assertion wird über den Browser an Ihren Server zurückgegeben. Ihr Server prüft die digitale Signatur mit dem zuvor registrierten öffentlichen Schlüssel. Dieser Challenge-Response-Prozess beweist den Besitz des privaten Schlüssels, ohne ihn jemals offenzulegen.
Domain-Bindung bietet Phishing-Resistenz. WebAuthn bindet die Authentifizierung kryptografisch an die spezifische Ursprungsdomain, auf der die Registrierung erfolgte. Besuchen Nutzer Phishing-Seiten, die Ihre Domain nachahmen, blockiert die WebAuthn-Implementierung des Browsers Authentifizierungsantworten für die falsche Domain. Dieser Schutz greift auf Protokollebene, nicht auf Basis der Nutzerentscheidung. Phishing-Seiten können keine gültigen Authentifizierungsantworten für Ihre Domain erhalten, selbst wenn Nutzer durch visuelle Ähnlichkeit getäuscht werden.
Die kryptografischen Algorithmen erfüllen NIST-Spezifikationen für staatliche und Unternehmensbereitstellungen. Unterstützte Algorithmen umfassen:
- ECDSA-, RSA- und EdDSA-Varianten für Signaturoperationen
- FIPS 202 (SHA-3) für Hashing
- SP 800-108 für Schlüsselableitung
- SP 800-90a für Zufallszahlengenerierung
Diese sind in der FIDO Authenticator Allowed Cryptography List definiert, die explizit auf NIST-Standards verweist. Auf dieser Architektur basierende discoverable Credentials ermöglichen passwortlose Authentifizierung, bei der Nutzer sich keine Benutzernamen merken müssen, und die Browser-Autofill-Integration vereinfacht den Login-Prozess.
Dieses kryptografische Fundament führt zu spürbaren Unterschieden im täglichen Umgang mit Passwörtern und Passkeys.
Benutzererlebnis: Passwort vs Passkey Login
Passwort-Authentifizierung verlangt von Nutzern, für jeden Dienst eindeutige Zugangsdaten zu merken, diese korrekt einzugeben und zusätzliche MFA-Schritte wie SMS-Codes oder Push-Bestätigungen durchzuführen. Dieser mehrstufige Prozess erzeugt messbare Reibung. Laut dem FIDO Alliance Passkey Index liegt die Erfolgsquote passwortbasierter Logins im Durchschnitt bei 63 %, d. h. mehr als jeder dritte Versuch scheitert an vergessenen Zugangsdaten, Tippfehlern oder abgelaufenen MFA-Tokens.
Passkey-Authentifizierung reduziert den Login auf einen einzigen Schritt. Nutzer authentifizieren sich per Biometrie (Face ID, Fingerabdruck oder Windows Hello) oder Geräte-PIN. Die FIDO Alliance World Passkey Day research ergab, dass Passkeys eine Login-Erfolgsrate von 93 % und durchschnittlich 13,6 Sekunden pro Anmeldung erreichen, verglichen mit 27,5 Sekunden für Passwörter. Es gibt nichts zu merken, nichts einzugeben und nichts abzufangen. Biometrische Daten verbleiben auf dem Gerät und werden nie an den Server übertragen, was sowohl Sicherheit als auch Datenschutz gewährleistet.
Für Organisationen bedeutet diese UX-Verbesserung direkte operative Einsparungen. Teilnehmer des FIDO Alliance Passkey Index berichteten von einer Reduzierung der sign-in-bezogenen Helpdesk-Anrufe um 81 % nach der Einführung von Passkeys – einer der größten wiederkehrenden Kostenfaktoren im IT-Support.
Diese UX-Vorteile hängen davon ab, wo Ihre Nutzer und Anwendungen tatsächlich arbeiten, was die Plattform- und Ökosystembereitschaft in den Fokus rückt.
Plattform- und Ökosystemunterstützung
Die Unterstützung für Passkeys ist auf allen wichtigen Plattformen breit verfügbar:
- Apple synchronisiert Passkeys über iCloud Keychain auf iOS-, iPadOS- und macOS-Geräten mit Ende-zu-Ende-Verschlüsselung.
- Google verwaltet Passkeys über den Google Password Manager auf Android 9+ und Chrome, synchronisiert über alle Geräte mit demselben Google-Konto.
- Microsoft integriert Passkeys über Windows Hello ab Windows 10 mit Unterstützung in Edge und Microsoft-Konten.
Laut der FIDO Alliance unterstützen inzwischen 48 % der weltweit 100 größten Websites Passkey-Authentifizierung – mehr als doppelt so viele wie 2022.
Plattformübergreifende Authentifizierung funktioniert über QR-Code-Übergaben und Bluetooth-Proximity, sodass Nutzer sich am Laptop mit einem auf dem Smartphone gespeicherten Passkey anmelden können. Drittanbieter-Passwortmanager wie 1Password und Bitwarden unterstützen inzwischen Passkey-Speicherung und -Synchronisation, wodurch die Abhängigkeit von einem einzelnen Ökosystem sinkt. Das Credential Exchange Protocol (CXP) der FIDO Alliance entwickelt sich weiter, um einen sicheren Passkey-Transfer zwischen Anbietern zu ermöglichen und Vendor-Lock-in zu adressieren.
Die Browserunterstützung ist umfassend. Safari, Chrome, Edge und Firefox implementieren alle die für Passkey-Authentifizierung erforderliche WebAuthn-API. Das bedeutet, dass Ihre Webanwendungen Passkeys ohne browser-spezifischen Code unterstützen können.
Trotz dieser breiten Plattformunterstützung bringen Passkeys Kompromisse mit sich, die Organisationen vor einer Einführung berücksichtigen müssen.
Passkey-Einschränkungen und Kompromisse
Keine Authentifizierungstechnologie ist völlig reibungslos, und das Verständnis dieser Einschränkungen hilft bei der Entwicklung einer realistischen Rollout-Strategie.
- Abhängigkeit vom Ökosystem bleibt ein Thema. Synchronisierte Passkeys sind derzeit an plattformspezifische Credential-Manager gebunden. Ein Mitarbeiter, der Apple iCloud Keychain nutzt, kann diese Passkeys nicht direkt von einem Android-Gerät aus verwenden. Während QR-Code-Authentifizierung und Drittanbieter-Passwortmanager Workarounds bieten, ist die plattformübergreifende Portabilität noch in der Entwicklung. Das Credential Exchange Protocol der FIDO Alliance soll dies lösen, aber vollständige Interoperabilität ist noch kein Standard.
- Gemeinschafts- und Servicekonten erschweren die Nutzung. Passkeys sind an einzelne Geräte und Biometrie gebunden, was die Nutzung für geteilte Teamkonten, Servicekonten oder Kiosksysteme mit mehreren Nutzern am selben Gerät erschwert. Organisationen adressieren dies meist, indem sie für geteilte Konten weiterhin passwortbasierte Authentifizierung nutzen und Passkeys für individuelle Nutzerzugänge einführen.
- Wiederherstellung ohne Passwort erfordert neue Workflows. Verliert ein Nutzer alle Geräte und hat keinen Backup-Authentifikator registriert, wird die Kontowiederherstellung komplexer als ein einfacher Passwort-Reset. Organisationen benötigen erprobte Wiederherstellungsprozesse, einschließlich Administratorunterstützung und Identitätsprüfung außerhalb des regulären Kanals.
- Nicht alle Dienste unterstützen Passkeys. Trotz wachsender Verbreitung fehlt vielen Legacy-Anwendungen, internen Tools und Drittanbieter-SaaS-Produkten noch die WebAuthn-Unterstützung. Ihre Organisation wird wahrscheinlich hybride Authentifizierung beibehalten, wobei Passkeys die primären Identitätsanbieter schützen und Passwörter für nicht unterstützte Systeme während der Migration weiter genutzt werden.
Diese Einschränkungen bestimmen, wie Unternehmen Passkey-Einführungen in der Praxis angehen – und die Daten zeigen, dass die meisten trotz der Komplexität voranschreiten.
Enterprise-Passwort vs Passkey-Einführung
Laut der FIDO Alliance Enterprise Deployment Survey unter 400 Führungskräften aus Großbritannien und den USA mit Unternehmen ab 500 Mitarbeitern haben 87 % der Organisationen Passkey-Authentifizierung für Mitarbeiter-Logins eingeführt oder sind dabei, diese zu implementieren. Viele verfolgen einen schrittweisen Ansatz und adressieren zunächst die Infrastruktur-Integration vor dem vollständigen Rollout. Organisationen dokumentierten nach der Einführung von Passkeys eine Reduzierung der Passwortnutzung um 26 %, was zeigt, dass auch eine teilweise Einführung messbare Sicherheitsverbesserungen bringt, während die Kompatibilität zu Altsystemen adressiert wird.
Ihre Identity-Plattform benötigt WebAuthn-API-Unterstützung und Funktionen für das Passkey-Lifecycle-Management. Die meisten modernen Identity Provider unterstützen inzwischen Passkey-Authentifizierung über WebAuthn. Die Integration erfolgt auf der Ebene Ihres Identity Providers (IdP), wo Nutzer sich mit Passkeys authentifizieren, bevor SAML-Assertions oder OIDC-Tokens an angebundene Anwendungen ausgegeben werden. Sicherheitsplattformen wie SentinelOne Singularity Platform sollten mit Ihrem IdP integriert werden, um Sichtbarkeit über Authentifizierungsereignisse zu behalten und Passkey-basierte Logins mit Endpoint-Aktivitäten und User Behavior Analytics zu korrelieren.
Ihre Mobile Device Management (MDM)- und Unified Endpoint Management (UEM)-Richtlinien müssen ebenfalls aktualisiert werden, um Passkey-Authentifikatoren und Geräteattestierung zu unterstützen. Die Kompatibilität zu Legacy-Anwendungen stellt das größte Rollout-Hindernis dar. Sie benötigen ein vollständiges Anwendungsinventar, um zuzuordnen, welche Systeme Passkeys unterstützen und wo Gateway-Lösungen oder weiterhin Passwort-Authentifizierung während der Migration erforderlich sind.
Die Nutzerakzeptanz bestimmt den Sicherheitserfolg. Der Thales/FIDO Alliance State of Passkey Deployment Report für 2024 identifiziert Nutzeraufklärung als zentrale Herausforderung bei der Einführung. Er dokumentiert Verwirrung über Passkey-Konzepte, insbesondere bei der geräteübergreifenden Synchronisation, und Widerstand gegen die Änderung etablierter Gewohnheiten. Organisationen, die die Akzeptanz nicht fördern, riskieren, trotz Passkey-Einführung dieselben Schwachstellen und Kosten beizubehalten.
Über die operative Einführung hinaus muss die Passkey-Nutzung auch die Compliance-Rahmenwerke und Zero-Trust-Architekturen erfüllen, die die Sicherheitslage von Unternehmen bestimmen.
Compliance und Zero Trust Alignment
Passkeys erfüllen phishing-resistente Authentifizierungsanforderungen, die Passwörter nicht erreichen können. NIST Special Publication 800-63B definiert Authentifizierungs-Sicherheitsniveaus, bei denen AAL2 explizit phishing-resistente Optionen verlangt und AAL3 diese ausschließlich vorschreibt. Wenn Sie ausschließlich Passwörter verwenden, können Sie diese Anforderungen nicht erfüllen – unabhängig von Komplexitätsrichtlinien oder Multi-Faktor-Authentifizierung.
Für staatliche Unternehmensbereitstellungen bestätigt die ergänzende NIST-Leitlinie, dass synchronisierte Passkeys die Anforderungen für AAL2 erfüllen. Staatliche Authentifizierungsschlüssel müssen in Synchronisationsumgebungen gespeichert werden, die FISMA-Compliance erreicht haben. Der PCI Security Standards Council hat zudem FAQ 1595 und FAQ 1596 speziell zu Passkeys und FIDO2-basierter Authentifizierung für PCI-Compliance veröffentlicht.
Passkeys entsprechen den Kernprinzipien von Zero Trust:
- Private Schlüssel verlassen niemals das Authentifikatorgerät, wodurch Credential-Diebstahl und Replay-Angriffe verhindert werden.
- Die Authentifizierung ist kryptografisch an verifizierte Domains gebunden, wodurch Phishing durch Validierung der vertrauenden Partei gestoppt wird.
- Jede Sitzung erfordert einen kryptografischen Nachweis des Gerätebesitzes anstelle der Vorlage zwischengespeicherter Zugangsdaten.
Diese Eigenschaften unterstützen das Zero-Trust-Prinzip „never trust, always verify“.
Für Organisationen in DSGVO-Jurisdiktionen, im Gesundheitswesen oder in SOC 2-Compliance-Umgebungen unterstützen Passkeys die Compliance durch reduzierte Exposition personenbezogener Daten und phishing-resistente Authentifizierung gemäß NIST AAL2/AAL3. Die Erfüllung dieser Anforderungen ist die eine Seite der Medaille; die andere ist die Aufrechterhaltung der Sichtbarkeit über Ihre Authentifizierungsinfrastruktur während der Umstellung.
Singularität™ Identität
Erkennen und reagieren Sie auf Angriffe in Echtzeit mit ganzheitlichen Lösungen für Active Directory und Entra ID.
Demo anfordernWichtige Erkenntnisse
Passwörter schaffen systemische Schwachstellen durch geteilte Geheimnisse, die Angreifer per Phishing, Credential Stuffing und Datenpannen stehlen. Passkeys eliminieren diese Angriffe durch asymmetrische Kryptografie, bei der private Schlüssel niemals Benutzergeräte verlassen.
Bei 88 % der Verstöße mit gestohlenen Zugangsdaten und 87 % der US-/UK-Unternehmen ab 500 Mitarbeitern, die Passkeys einführen oder implementieren, ist die Richtung klar. NIST und CISA verlangen explizit phishing-resistente Authentifizierung, die Passwörter unabhängig von Komplexitätsrichtlinien nicht bieten können.
FAQs
Ein Passkey ist ein phishing-resistentes Authentifizierungsmerkmal, das auf dem FIDO2/WebAuthn-Standard basiert. Es verwendet asymmetrische Kryptografie, um für jedes Konto ein einzigartiges Schlüsselpaar aus öffentlichem und privatem Schlüssel zu erzeugen. Der private Schlüssel verbleibt auf Ihrem Gerät und wird niemals an Server übertragen.
Ein Passwort ist ein geteiltes Geheimnis, das sowohl auf Ihrem Gerät als auch auf dem Server gespeichert wird, wodurch es anfällig für Phishing, Credential Stuffing und Datenbanklecks ist. Passkeys weisen die Identität durch kryptografische Challenge-Response-Verfahren nach, anstatt ein wiederverwendbares Geheimnis zu übertragen.
Passkeys verwenden kryptografische Domain-Bindung, wodurch Authentifizierungsantworten nur für die spezifische Ursprungsdomain gültig sind, bei der die Registrierung erfolgte. Wenn Benutzer Phishing-Seiten besuchen, verhindert die WebAuthn-Implementierung des Browsers, dass Authentifizierungsantworten an die falsche Domain gesendet werden.
Dieser Schutz greift auf Protokollebene und verlässt sich nicht darauf, dass Benutzer betrügerische Seiten erkennen. Die FIDO Alliance stuft sowohl synchronisierte als auch gerätegebundene Passkeys offiziell als phishing-resistent ein, während Passwörter weiterhin zusammen mit SMS-OTP, E-Mail-OTP und ähnlichen Methoden als phishable gelten.
Unternehmensweite Passkey-Implementierungen verwenden synchronisierte Passkeys, die auf Geräten repliziert werden, die beim selben Konten-Ökosystem wie Apple, Google oder Microsoft angemeldet sind. Wenn Benutzer ein Gerät verlieren, bleiben ihre Passkeys auf anderen authentifizierten Geräten zugänglich. Organisationen sollten Backup-Authentifikatoren und von Administratoren unterstützte Wiederherstellungs-Workflows für Szenarien implementieren, in denen Benutzer den Zugriff auf alle Geräte verlieren.
Für die NIST-Konformität müssen Authentifizierungsschlüssel bei behördlichen Implementierungen in FISMA-konformen Synchronisationsumgebungen gespeichert werden, wie im NIST SP 800-63B Supplement zu synchronisierbaren Authentifikatoren spezifiziert.
Legacy-Anwendungen ohne WebAuthn-Unterstützung können Passkey-Authentifizierung nicht direkt akzeptieren. Organisationen implementieren Passkeys auf der Identity-Provider-Ebene, wo sich Nutzer mit Passkeys authentifizieren, bevor SAML-Assertions oder OIDC-Tokens an föderierte Anwendungen ausgegeben werden.
Dies ermöglicht eine schrittweise Migration; moderne Anwendungen integrieren sich direkt mit Passkey-Authentifizierung, während Legacy-Anwendungen nach Passkey-basierter IdP-Authentifizierung Standard-Föderationstokens erhalten.
NIST SP 800-63B verlangt für AAL2 und AAL3 eine phishing-resistente Authentifizierung, die Passwörter unabhängig von Komplexität oder Rotationsrichtlinien nicht erfüllen können. CISA empfiehlt Passkeys als Standardauthentifizierung für kritische Infrastrukturen mittels phishing-resistenter Methoden.
PCI DSS v4.x behandelt Passkeys in den FAQs 1595 und 1596 für die Einhaltung der Zahlungsverkehrsbranche. Bundesweite Implementierungen müssen FISMA-Anforderungen für die Speicherung von Authentifizierungsschlüsseln in konformen Synchronisierungsumgebungen erfüllen.
