_CORE
Leistungen
KI & Agentensysteme Unternehmensinformationssysteme Cloud & Platform Engineering Datenplattform & Integration Sicherheit & Compliance QA, Testing & Observability IoT, Automatisierung & Robotik Mobile & Digitale Produkte
Branchen
Banken & Finanzen Versicherungen Öffentliche Verwaltung Verteidigung & Sicherheit Gesundheitswesen Energie & Versorgung Telko & Medien Industrie & Fertigung Logistik & E-Commerce Retail & Treueprogramme
Referenzen Technologien
Lab
Blog Know-how Tools
Über uns Zusammenarbeit Karriere
CS EN DE
Lassen Sie uns sprechen

Passkeys — Passwortlose Authentifizierung endlich in der Praxis

22. 05. 2024 3 Min. Lesezeit CORE SYSTEMSai
Passkeys — Passwortlose Authentifizierung endlich in der Praxis

Passwörter sind tot. Nun ja — sie sollten es sein. Über 80 % der Datenlecks beginnen mit einem kompromittierten Passwort. Passkeys, basierend auf dem FIDO2/WebAuthn-Standard, bieten endlich eine echte Alternative: Anmeldung per Fingerabdruck oder Gesichtserkennung, ohne ein einziges Passwort. 2024 werden sie von Google, Apple, Microsoft und großen Banken eingeführt. Hier erfahren Sie, was Sie wissen müssen.

Was sind Passkeys

Ein Passkey ist ein kryptographisches Schlüsselpaar (öffentlicher + privater Schlüssel), gebunden an eine bestimmte Domain. Der private Schlüssel verlässt nie das Gerät des Nutzers — er ist durch Biometrie (Face ID, Touch ID, Windows Hello) oder eine PIN geschützt. Der öffentliche Schlüssel wird auf dem Server gespeichert. Bei der Anmeldung sendet der Server eine Challenge, das Gerät signiert sie mit dem privaten Schlüssel, und der Server verifiziert die Signatur mit dem öffentlichen Schlüssel. Fertig.

Kein Passwort, das ein Angreifer stehlen, phishen oder per Brute-Force knacken könnte. Keine Passwort-Datenbank, die leaken könnte. Keine „Passwort vergessen”-Formulare.

Warum jetzt — Was hat sich geändert

Der FIDO2/WebAuthn-Standard existiert seit 2019, aber eine entscheidende Zutat fehlte: die geräteübergreifende Schlüsselsynchronisation. Das ursprüngliche Modell (gerätegebundene Credentials) bedeutete: Telefon verloren = Zugang verloren. 2022 kündigten Apple, Google und Microsoft Unterstützung für synchronisierte Passkeys an — Schlüssel synchronisieren sich über iCloud Keychain, Google Password Manager oder Microsoft Account.

Bis 2024 ist die Unterstützung universell: Safari, Chrome, Firefox, Edge. iOS 16+, Android 14+, Windows 11, macOS Sonoma. Das Ökosystem ist bereit.

Wie Passkeys technisch funktionieren

Registrierung: Der Server generiert eine Challenge und Parameter (Relying Party ID = Domain, Benutzerinfo, unterstützte Algorithmen). Der Browser ruft navigator.credentials.create() auf. Das OS zeigt einen biometrischen Prompt. Nach der Verifikation wird ein Schlüsselpaar erstellt und der öffentliche Schlüssel + Credential-ID werden an den Server gesendet.

Authentifizierung: Der Server sendet eine Challenge und eine Liste erlaubter Credential-IDs. Der Browser ruft navigator.credentials.get() auf. Das OS bietet verfügbare Passkeys für die jeweilige Domain an. Der Nutzer verifiziert per Biometrie. Das Gerät signiert die Challenge mit dem privaten Schlüssel. Der Server verifiziert die Signatur.

Der gesamte Prozess dauert typischerweise 2–3 Sekunden. Kein Ausfüllen von Formularen, kein Kopieren von Codes aus SMS.

Phishing-resistent by Design

Passkeys sind an die Domain (Origin) gebunden. Wenn ein Nutzer auf einer Phishing-Seite fake-bank.com statt bank.com landet, findet der Browser schlicht keinen Passkey für diese Domain. Der Angriff scheitert automatisch, ohne jegliche Entscheidung des Nutzers. Das ist ein fundamentaler Unterschied zu Passwörtern und sogar OTP-Codes, die in Echtzeit weitergeleitet werden können.

Implementierung in einer Webanwendung

Auf der Serverseite benötigen Sie eine WebAuthn-Bibliothek. In Node.js ist das @simplewebauthn/server, in Java java-webauthn-server (Yubico), in Python py_webauthn. Der grundlegende Ablauf:

  • Endpoint zur Generierung von Registrierungsoptionen (Challenge, RP-Info)
  • Endpoint zur Verifikation der Registrierungsantwort (Speicherung des öffentlichen Schlüssels)
  • Endpoint zur Generierung von Authentifizierungsoptionen (Challenge)
  • Endpoint zur Verifikation der Authentifizierungsantwort (Signaturprüfung)

Auf der Clientseite reicht der Aufruf der WebAuthn-API — wenige Dutzend Zeilen JavaScript. Kein SDK, keine Abhängigkeiten.

Conditional UI — Passkeys ohne Button

Neu in 2024: Conditional Mediation. Der Browser bietet automatisch einen Passkey im Autocomplete-Dropdown direkt im Login-Formular an. Der Nutzer muss nicht auf „Mit Passkey anmelden” klicken — er klickt einfach auf das angebotene Konto im Autocomplete. Die UX ist identisch mit einem Passwort-Manager, aber unter der Haube läuft Kryptographie statt eines Passworts.

Enterprise-Einführung und Herausforderungen

Für Enterprise-Umgebungen sind die zentralen Fragen: Device Management (Was, wenn ein Mitarbeiter geht?), Recovery (Was, wenn alle Geräte verloren gehen?) und Attestation (Wie verifiziert man, dass der Passkey auf einem Firmengerät und nicht auf einem privaten ist?).

Lösung: eine Kombination aus synchronisierten Passkeys (für reguläre Nutzer) und gerätegebundenen Passkeys auf YubiKey-Hardware-Schlüsseln (für privilegierte Konten). Recovery über den IT-Helpdesk mit Identitätsverifikation. Attestation Metadata Service (FIDO MDS) zur Verifizierung des Authenticator-Typs.

Migration von Passwörtern — ein schrittweiser Ansatz

Wir empfehlen keinen Big Bang. Der bewährte Ansatz:

  1. Bieten Sie die Passkey-Registrierung nach erfolgreicher Passwort-Anmeldung an
  2. Bewerben Sie Passkeys in der UI — „Schneller anmelden ohne Passwort”
  3. Nach Erreichen der kritischen Masse (60 %+) setzen Sie Passkey als Standard-Anmeldemethode
  4. Behalten Sie Passwörter als Fallback, aber mit strengerer MFA

Passwörter gehören der Vergangenheit an

Passkeys sind nicht die Zukunft — sie sind die Gegenwart. Das Ökosystem ist 2024 bereit, die Bibliotheken sind ausgereift und die Nutzererfahrung ist besser als mit Passwörtern. Jede neue Anwendung sollte Passkeys ab dem ersten Tag unterstützen. Und bestehende Anwendungen? Beginnen Sie mit der optionalen Passkey-Registrierung. Ihre Nutzer (und Ihr Security-Team) werden es Ihnen danken.

passkeyswebauthnfido2security
Teilen:

CORE SYSTEMS

Wir bauen Kernsysteme und KI-Agenten, die den Betrieb am Laufen halten. 15 Jahre Erfahrung mit Enterprise-IT.

Brauchen Sie Hilfe bei der Implementierung?

Unsere Experten helfen Ihnen bei Design, Implementierung und Betrieb. Von der Architektur bis zur Produktion.

Kontaktieren Sie uns

Verwandte Artikel

FIDO2/Passkeys — Die Zukunft der Authentifizierung

Passwortlose Authentifizierung mit WebAuthn und Passkeys. Implementierung und UX.

Passkeys-Implementierung -- passwortlose Authentifizierung mit WebAuthn

Wie man Passkeys (WebAuthn/FIDO2) in Webanwendungen implementiert. Registrierung, Authentifizierung, Platform- vs....

Passkeys und FIDO2 — Das Ende der Passwort-Ära in Enterprise-Anwendungen

Apple, Google und Microsoft haben Passkeys eingeführt. Implementierungsaspekte.