Passkey
Was ist Passkey?
PasskeyPhishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
Ein Passkey ist ein Public-Key-Credential, das von einem Authenticator (Smartphone, Sicherheitsschlüssel oder Plattform-Schlüsselbund) erzeugt, dort gespeichert und bei der Relying Party registriert wird. Er baut auf zwei Standards auf: der WebAuthn-API des W3C (Level 1 wurde am 4. März 2019 zur Recommendation, Level 2 am 8. April 2021, Level 3 liegt im Entwurf vor) und dem CTAP2-Protokoll der FIDO Alliance zwischen Client und Authenticator — zusammen als FIDO2 vermarktet. Zum Anmelden entsperrt der Nutzer den Authenticator per Biometrie oder PIN; das Gerät signiert eine vom Server gesendete Einmal-Challenge mit dem privaten Schlüssel, und der Server prüft die Signatur mit dem registrierten öffentlichen Schlüssel.
Da der private Schlüssel das Secure Element nie verlässt und die Assertion kryptografisch an den Origin der Relying Party (die rpId) gebunden ist, vereiteln Passkeys Passwort-Wiederverwendung, Phishing, Replay und die meisten Adversary-in-the-Middle-Kits wie Evilginx — der signierte Origin passt nicht zur Angreiferdomäne. Apple führte Consumer-Passkeys auf der WWDC 2022 ein; Google machte sie 2023 zur Standardoption und Microsoft folgte 2024 für Privatkonten. Synchronisierte Passkeys (iCloud Keychain, Google Password Manager, 1Password) lassen sich geräteübergreifend wiederherstellen, gerätegebundene Passkeys auf Hardware-Keys wie YubiKeys bieten die höchste Vertrauensstufe für den Unternehmenseinsatz. Restrisiken betreffen die Account-Recovery-Fallbacks und das Vertrauen in die Cloud-Sync-Anbieter.
flowchart TD
subgraph R[Registrierung]
A[Nutzer] -->|Entsperren Biometrie/PIN| B[Authenticator erzeugt Schluesselpaar]
B -->|oeffentlicher Schluessel + Credential-ID| C[Relying Party speichert oeffentlichen Schluessel]
end
subgraph V[Authentifizierung]
D[Server sendet zufaellige Challenge] --> E[Authenticator signiert Challenge<br/>mit privatem Schluessel, an rpId gebunden]
E -->|signierte Assertion| F{Signatur gueltig<br/>und Origin passt?}
F -->|Ja| G[Zugriff gewaehrt]
F -->|Nein| H[Abgelehnt - Phishing/Replay blockiert]
end● Beispiele
- 01
Anmelden bei Google mit dem im iCloud-Schlüsselbund gespeicherten Passkey auf einem iPhone.
- 02
Ein Workforce-Passkey auf einem YubiKey zur Authentifizierung an Microsoft Entra ID.
● Häufige Fragen
Was ist Passkey?
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Passkey?
Phishing-resistenter FIDO2/WebAuthn-Credential — ein gerätegebundenes oder synchronisierbares asymmetrisches Schlüsselpaar, das Passwörter durch eine kryptografische Challenge-Response ersetzt.
Wie schützt man sich gegen Passkey?
Schutzmaßnahmen gegen Passkey kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Passkey?
Übliche alternative Bezeichnungen: FIDO-Passkey, Synchronisiertes Credential.