Zum Hauptinhalt springen
Passwork LogoPasswork LogoSecurity champion course

Passkeys und passwortlose Authentifizierung

Passwörter sind das schwächste Glied in den meisten Sicherheitskonzepten – nicht weil die Technologie fehlerhaft ist, sondern weil Menschen sie mehrfach verwenden, vergessen und auf Phishing-Seiten eintippen. Der Verizon Data Breach Investigations Report 2025 stellte fest, dass gestohlene Zugangsdaten bei der Mehrheit der Webanwendungsangriffe eine Rolle spielten. Diese Zahl hat sich über Jahre kaum verändert.

Was ist ein Passkey

Ein Passkey ist eine Zugangsdaten, die auf Ihrem Gerät gespeichert ist – kein Passwort, das Sie eintippen, sondern ein kryptografisches Schlüsselpaar, das bei der Registrierung generiert wird. Ein Schlüssel verbleibt auf Ihrem Gerät (privat), der andere geht an den Server (öffentlich). Wenn Sie sich anmelden, sendet der Server eine Herausforderung, Ihr Gerät signiert sie mit dem privaten Schlüssel, und der Server verifiziert die Signatur mit dem öffentlichen Schlüssel. Zugriff gewährt.

Der private Schlüssel verlässt Ihr Gerät nie. Er ist durch die Authentifizierungsmethode Ihres Geräts geschützt – Biometrie, PIN oder ein Hardware-Sicherheitsschlüssel. Der Server sieht ihn nie, also gibt es auf Serverseite nichts zu stehlen.

Das ist der WebAuthn-Standard, entwickelt von W3C und der FIDO Alliance. Es ist dieselbe Technologie hinter Passkeys auf Google-, Apple- und Microsoft-Accounts.

Unterstützte Authentifizierungsmethoden

Passkeys funktionieren mit jedem WebAuthn-kompatiblen Authenticator:

AuthentifizierungsmethodeBeispieleWo der Schlüssel liegt
Geräte-BiometrieFace ID, Touch ID, Windows Hello, Android-FingerabdruckSecure Enclave / TPM-Chip
Physischer SicherheitsschlüsselYubiKey, Google Titan Key, jeder FIDO2-SchlüsselDer Schlüssel selbst
Geräte-PINWindows-PIN, iPhone-PasscodeSicherer Gerätespeicher

Alle diese Methoden funktionieren entweder als primäre Anmeldemethode (ersetzen Ihr Passwort) oder als zweiter Faktor zusätzlich zu einem Passwort.

Zwei Möglichkeiten, Passkeys zu nutzen

Option 1: Passwortlose Anmeldung

Sie ersetzen Ihr Passwort durch einen Passkey. Wenn Sie eine App oder einen Dienst öffnen, authentifizieren Sie sich mit Ihrem Fingerabdruck, Gesicht oder Sicherheitsschlüssel – kein Passwortfeld, kein Eintippen.

Das ist die sicherste Option. Ein Passwort, das nicht existiert, kann nicht gephisht, erraten oder bei einem Datenleck gestohlen werden. Gut geeignet für:

  • Teams, bei denen Phishing ein realistisches Risiko ist
  • Umgebungen, in denen Passwort-Wiederverwendung schwer zu kontrollieren ist
  • Organisationen, die den IT-Support-Aufwand durch Passwort-Resets reduzieren möchten

Option 2: Passkey als zweiter Faktor

Sie behalten Ihr Passwort und fügen einen Passkey als zweiten Authentifizierungsschritt hinzu. Anstatt einen 6-stelligen TOTP-Code aus einer Authenticator-App einzugeben, bestätigen Sie den Login mit Biometrie oder einem Sicherheitsschlüssel.

Gut geeignet für:

  • Teams, die ihren zweiten Faktor verbessern möchten, ohne die Login-Gewohnheiten zu ändern
  • Schrittweise Einführung – mit 2FA beginnen, später zu passwortlos wechseln

Warum Passkeys sicherer als TOTP sind

TOTP-Codes haben eine bekannte Schwäche: Echtzeit-Phishing. Ein Angreifer richtet eine gefälschte Login-Seite ein, erfasst Ihren Benutzernamen, Ihr Passwort und Ihren TOTP-Code, während Sie sie eingeben, und spielt sie sofort auf der echten Website wieder ein. Das 30-Sekunden-Fenster reicht dafür aus.

Passkeys haben dieses Problem nicht. Die kryptografische Herausforderung ist an die exakte Domain der Website gebunden. Wenn Sie auf einer gefälschten Domain sind – selbst einer, die identisch aussieht – verwendet das Gerät den Passkey nicht. Es gibt keinen Code zum Abfangen und keine Möglichkeit, die Authentifizierung zu wiederholen.

SicherheitseigenschaftTOTPPasskey
Phishing-resistentNeinJa
Eintippen erforderlichJa (6-stelliger Code)Nein
Kann in Transit abgefangen werdenJaNein
An spezifische Domain gebundenNeinJa
Auf Server gespeichertHash des SecretsNur öffentlicher Schlüssel

NIST SP 800-63B (Revision 2024) schreibt explizit vor, dass MFA-Implementierungen mindestens eine phishing-resistente Option anbieten müssen. Passkeys erfüllen diese Anforderung. SMS-OTP nicht.

Passkeys in Ihrer Organisation einführen

Mit einer Pilotgruppe beginnen

Wählen Sie ein kleines Team – idealerweise eines, das mit neuen Tools vertraut ist – und lassen Sie es als erstes wechseln. Sammeln Sie Feedback, bevor Sie die Einführung ausweiten.

Das Modell festlegen

Zwei Optionen:

  • Passwortlos – Passkey ersetzt das Passwort vollständig. Höhere Sicherheit, größere Veränderung für Benutzer.
  • Passkey als 2FA – Passkey kommt zusätzlich zum Passwort hinzu. Geringeres Einführungsrisiko, leichter zu kommunizieren.

Für die meisten Organisationen ist Passkey als 2FA der richtige erste Schritt.

Geräteverlust einplanen

Definieren Sie den Prozess, bevor jemand sein Telefon verliert. Möglichkeiten:

  • Backup-Passkey auf einem physischen Sicherheitsschlüssel
  • Wiederherstellungscode im Unternehmens-Passwortmanager gespeichert
  • Admin-Reset-Verfahren

Dokumentieren Sie es und stellen Sie sicher, dass Benutzer es kennen, bevor die Einführung beginnt – nicht nach dem ersten Vorfall.

Hardware-Schlüssel für Accounts mit hohen Berechtigungen verwenden

Für Administratoren und Benutzer mit Zugriff auf sensible Systeme bietet ein Hardware-Sicherheitsschlüssel (YubiKey oder ähnlich) eine zusätzliche Sicherheitsebene. Im Gegensatz zu Geräte-Biometrie kann ein physischer Schlüssel physisch gesichert und seine Nutzung separat auditiert werden.

Registrieren Sie immer mindestens zwei Passkeys pro Account – einen für das primäre Gerät, einen als Backup. Bei Geräteverlust werden Sie nicht ausgesperrt.

Die Änderung kommunizieren

Benutzer, die biometrische Authentifizierung noch nie für ein Arbeitstool genutzt haben, verstehen möglicherweise nicht, was passiert. Eine kurze interne Anleitung – was sich geändert hat, wie man es einrichtet, was man bei Problemen tun soll – verhindert die meisten Support-Anfragen.

Häufige Fragen

Kann ich einen Passkey auf mehreren Geräten verwenden?

Ja. Sie registrieren separate Passkeys für jedes Gerät – Ihren Laptop, Ihr Telefon, einen Hardware-Schlüssel. Jeder ist unabhängig. Das Entfernen eines Passkeys beeinflusst die anderen nicht.

Was passiert, wenn ich mein Gerät verliere?

Wenn Sie einen Backup-Passkey auf einem anderen Gerät oder Hardware-Schlüssel haben, melden Sie sich damit an. Falls nicht, kann ein Administrator Ihre Authentifizierung zurücksetzen. Deshalb ist die Registrierung eines Backups Pflicht, nicht optional.

Werden biometrische Daten an den Server gesendet?

Nein. Biometrische Daten verlassen Ihr Gerät nie. Das Gerät nutzt die Biometrie, um den privaten Schlüssel lokal zu entsperren, und sendet dann nur die kryptografische Signatur an den Server. Ihr Fingerabdruck oder Ihr Gesichtsscan wird nie übertragen.

Kann ich nach der Einrichtung eines Passkeys noch ein Passwort verwenden?

Standardmäßig ja – es sei denn, ein Administrator hat die passwortbasierte Anmeldung deaktiviert. Beide Methoden können während einer Übergangsphase nebeneinander bestehen.

Passkeys in Passwork

Wenn Sie Passwork als Passwortmanager verwenden, ist Passkey-Unterstützung bereits integriert. Sie können sich bei Passwork mit Face ID, Touch ID, Windows Hello oder einem physischen Sicherheitsschlüssel anmelden – entweder als primäre Anmeldemethode (ersetzt das Master-Passwort vollständig) oder als zweiter Faktor.

Passwork unterstützt auch TOTP-basierte 2FA über die Passwork 2FA App.

Alle Authentifizierungsmethoden werden von einer einzigen Seite in Ihren Account-Einstellungen verwaltet. Vollständige Dokumentation: Anmeldemethoden.

Das große Bild

Passkeys werden zur Standard-Authentifizierungsmethode in der Branche. Apple, Google und Microsoft haben sich alle zum Standard bekannt. GitHub, Shopify, PayPal und andere haben ihn bereits eingeführt. Die Infrastruktur ist vorhanden; die Akzeptanz nimmt zu.

Für kleine Unternehmen ist das bedeutsam, weil sich die Angriffsfläche dramatisch verändert. Phishing-Kampagnen, die Zugangsdaten abgreifen – die Mehrheit der Angriffe gegen kleine Unternehmen – funktionieren nicht mehr, wenn es keine Passwörter zum Abgreifen gibt.

Die Einrichtung dauert ein paar Minuten. Die Sicherheitsverbesserung ist dauerhaft.

Wie es weitergeht

Die Authentifizierung ist geregelt. Als nächstes: Benutzerverzeichnis und SSO – Zugriff zentralisieren, sodass das Hinzufügen und Entfernen von Personen aus allen Systemen eine einzige Aktion ist, nicht zwanzig.

© 2014–2025 «Passwork»
Unternehmen
Über unsDatenschutzrichtlinieISO 27001-ZertifikatVersionshinweiseRoadmapBlog
Browser-Erweiterung
Google ChromeMozilla FirefoxMicrosoft EdgeApple Safari
Mobile Anwendung
App StoreGoogle Play
Für Unternehmen
TeamsKleine UnternehmenUnternehmen und KonzerneEnterpriseOn-Premise-LösungPasswort-FreigabetoolSecret Management
Hilfe
BenutzerhandbuchTechnische DokumentationHilfezentrum