FAQ: Fragen und Antworten zu Passkeys

Der Passwort-Nachfolger Passkeys soll das Einloggen im Netz so einfach machen, wie nie – wir beantworten die häufigsten Leserfragen zum Thema.

In Pocket speichern vorlesen Druckansicht 53 Kommentare lesen
Digitale Identitäten auf einem Tablet, darüber ein Schloss in dem ein Gesicht steckt (Symbolbild)

(Bild: Jirsak/Shutterstock.com)

Lesezeit: 16 Min.
Von
  • Ronald Eikenberg
Inhaltsverzeichnis

Einfach ist das sichere Authentifizierungsverfahren über Passkeys nur auf den ersten Blick, hinter den Kulissen werkelt komplizierte Technik. Und dabei läuft nicht immer alles glatt.

Ich verwende Passkeys mit Firefox. Das klappt überall gut, nur auf amazon.de wird mir keine Passkey-Authentifizierung angeboten. Was kann ich tun?

Manche Webdienste, darunter auch Amazon, bieten das Einloggen per Passkey nur unter bestimmten Bedingungen an, etwa wenn man ausgewählte Betriebssysteme oder Browser verwendet. Das entscheiden sie anhand des User-Agent-Feldes, das der Browser bei jeder Anfrage mitsendet und über das er sich im Web zu erkennen gibt. Ein möglicher Grund ist, dass der Betreiber bisher nur bestimmte Konfigurationen getestet hat und die Passkey-Funktion nach und nach ausrollen möchte.

In den meisten Fällen funktioniert die Passkey-Authentifizierung trotzdem, wenn Sie diese Hürde überwunden haben. Sie können Ihren Firefox-Browser einfach anweisen, sich als Google Chrome auszugeben, indem Sie dessen User-Agent-String einstellen. Bei uns hat sich die Firefox-Erweiterung "User-Agent Switcher and Manager" bewährt.

Sie bietet einen White-List-Modus, der die veränderte User-Agent-Angabe gezielt für bestimmte Websites wie amazon.de verwendet. So ist gewährleistet, dass alle anderen Websites wie gewohnt funktionieren. Stellen Sie am besten die User-Agent-Kennung der aktuellen Chrome-Version ein, die Sie auf Websites wie WhatIsMyBrowser.com finden. Auf diese Weise konnten wir Passkeys bei Amazon auch mit Firefox problemlos verwenden.


Wie kann ich Passkeys löschen?

Wenn Sie einen Passkey nicht länger verwenden möchten oder können, sollten Sie ihn zunächst aus dem dazugehörigen Account beim Webdienst entfernen. Dann ist er sofort ungültig und kann nicht mehr zum Einloggen genutzt werden. Darüber hinaus können Sie in vielen Fällen auch die Passkey-Daten von Ihren Geräten löschen. Ob das klappt, hängt davon ab, wo der Passkey gespeichert ist.

Auf dem iPhone etwa verwalten und löschen Sie Passkeys unter "Einstellungen/Passwörter", bei Android-Smartphones wechseln Sie in den Google Password Manager, den Sie in den Einstellungen über eine Suche nach "Passwortmanager" finden. Ist der Passkey im Windows-TPM gespeichert (Windows Hello), löschen Sie ihn über die Systemeinstellungen, Konten, Hauptschlüsseleinstellungen. Verwenden Sie einen Passwortmanager wie Bitwarden oder KeePassXC, löschen Sie den Passkey über die jeweilige App.

Kniffliger wird es, wenn der Passkey auf einem FIDO2-Stick gespeichert ist. Nicht alle FIDO2-Sticks unterstützen die nötigen Verwaltungsfunktionen zum Auflisten und gezielten Löschen von Passkeys. Die besten Karten haben Sie mit einem modernen Stick, der den aktuellen FIDO2.1-Standard und damit auch die Managementfunktionen unterstützt. Mit manchen älteren FIDO2.0-Sticks klappt es aber auch. Schauen Sie zunächst, ob der Hersteller Ihres Sticks ein Verwaltungstool anbietet. Handelt es sich etwa um einen neueren YubiKey, können Sie zur App "Yubico Authenticator" greifen. Eine weitere Option ist das Windows-Tool "FIDO2.1 Manager" von Token2, das auch mit Sticks anderer Hersteller zusammenarbeitet.

Unter Linux und macOS können Sie Passkeys auch über die Chrome-Einstellungen löschen (chrome://settings/securityKeys), Windows-Nutzer müssen Chrome hierzu als Administrator und mit dem Parameter --disable-features=WebAuthenticationUseNativeWinApi starten.

Um einen Passkey zu löschen, sollten Sie ihn zunächst beim Webdienst entfernen. Dadurch wird er ungültig. Optional können Sie ihn anschließend auch lokal löschen, um aufzuräumen.

Kann ich Backups von meinen Passkeys erstellen? Wenn ja, wie?

Das kommt darauf an, wo Sie Ihre Passkeys speichern. Wenn Sie einen FIDO2-Stick oder das Windows-TPM verwenden, können Sie die privaten Schlüssel Ihrer Passkeys aus Sicherheitsgründen nicht auslesen und sichern. Verwenden Sie hingegen die Passkey-Funktionen der Apple-Betriebssysteme oder von Android, gibt es immer ein verschlüsseltes Backup in der Cloud, weshalb Sie sich um nichts kümmern müssen.

Fällt Ihr Gerät aus oder wird geklaut, werden Ihre Passkeys automatisch aus der Cloud wiederhergestellt, wenn Sie ein Ersatzgerät einrichten. Das gilt auch für viele unabhängige Passwortmanager wie 1Password oder Bitwarden, die ebenfalls die Cloud verwenden. Bei manchen können Sie Ihre Passkeys auch manuell und lokal in eine Datei exportieren.

Unabhängig davon können Sie bei den meisten Webdiensten mehrere Passkeys pro Account erstellen. Sie können dort zum Beispiel jeweils einen Passkey fürs Smartphone und den FIDO2-Stick erstellen, die anschließend unabhängig voneinander nutzbar sind.


Was mache ich, wenn ich meine Passkeys verloren habe?

Das ist normalerweise kein Grund zur Panik: Die meisten Webdienste sind für diesen Fall gewappnet und bieten eine Recovery-Funktion analog zu "Passwort vergessen", über die Sie sich wieder Zugriff auf den Account verschaffen können. Achten Sie stets darauf, dass die im Account hinterlegten Daten wie Mailadresse und Handynummer auf dem aktuellen Stand sind, damit Sie die Rettungsfunktion im Fall der Fälle verwenden können.

Ihre Passkeys auf einem verlorenen Authenticator sind vor unbefugten Zugriffen geschützt, weil man ihn per PIN oder biometrischen Merkmalen (Fingerabdruck oder Gesichtsscan) entsperren muss, um ihn zu verwenden. Dies gilt nicht nur für FIDO2-Sticks, sondern auch für Smartphones, Tablets und Rechner. Sie sollten daher eine PIN setzen, die nicht leicht zu erraten ist.


Was sind Passkeys überhaupt?

Bei Passkeys handelt es sich um ein modernes Authentifizierungsverfahren, das ohne Passwort auskommt. Stattdessen verwenden Sie kryptografische Schlüssel und digitale Signaturen. Das hat gleich mehrere Vorteile: Beim Einloggen wird kein Geheimnis übertragen, das ein Angreifer abgreifen und selbst verwenden könnte. Da die Kryptoschlüssel automatisch generiert werden, passt ein Passkey stets nur für einen Account und das gefährliche Passwort-Recycling ist ausgeschlossen. Darüber hinaus sind Passkeys resistent gegen Phishing, einen der häufigsten Angriffswege im Netz.

Es gibt aber auch Nachteile: Während man sich Passwörter mitunter noch gut merken kann, sind für Passkeys zwangsläufig technische Hilfsmittel nötig, um die Kryptoschlüssel zu generieren und zu verwalten. Im einfachsten Fall verwenden Sie dafür das Passkey-Management Ihres Betriebssystems.

Passkeys sind keine komplett neue Erfindung, es handelt sich um das FIDO2-Verfahren, das von einem Konsortium zahlreicher wichtiger Konzerne wie Apple, Google und Microsoft entwickelt wird, der FIDO Alliance. Auch das deutsche BSI ist Mitglied dieser Allianz. Ein Passkey ersetzt nicht nur das Passwort, auch das Eingeben eines Benutzernamens ist optional. Hierfür müssen beim Nutzer Daten gespeichert werden, die man als Resident Keys oder auch Discoverable Credentials bezeichnet – discoverable, weil ein Webdienst abfragen kann, welche Credentials für ihn gespeichert sind.


Meine Passwörter kann ich bei Bedarf einfach an Familie und Freunde weitergeben, um gemeinsam auf Accounts zuzugreifen. Geht das auch mit Passkeys?

Passkeys bestehen im Wesentlichen aus Kryptoschlüsseln, also langen, zufälligen Zeichenfolgen, die Sie theoretisch auch weitergeben können. Ob das auch praktisch möglich ist, hängt davon ab, wie Sie Ihre Passkeys erstellen und speichern. FIDO2-Sticks und das Windows-TPM (Windows Hello) etwa erlauben es aus Sicherheitsgründen nicht, die damit generierten Kryptoschlüssel auszulesen.

Mit einem Passwortmanager könnten Sie hingegen Glück haben: Beispielsweise bietet KeePassXC eine Exportfunktion, mit der Sie gezielt einzelne Passkeys als Datei exportieren können. Diese Datei können andere Nutzer anschließend importieren, sofern sie dieselbe Software verwenden. Andere Passwortmanager wie Bitwarden können Sie sogar im Team nutzen und so Passkeys per Mausklick für andere Personen in Ihrem Team freigeben. Apple-Nutzer können Passkeys per AirDrop mit anderen Apple-Nutzern teilen.

Beachten Sie, dass die Weitergabe von Passkeys genauso sicher oder unsicher ist wie das Teilen von Passwörtern: Die andere Person erhält im Zweifel vollen Zugriff auf Ihren Account und kann diesen unter Umständen auch komplett übernehmen. Erstellen Sie nach Möglichkeit eigene Passkeys für die anderen Personen. Dann können Sie den Zugriff später gezielt wieder entziehen, indem Sie deren Passkeys aus den geteilten Accounts löschen.

Passkeys können Sie grundsätzlich auch mit anderen Personen teilen, zum Beispiel, wenn Sie KeePassXC verwenden.

Schützen Passkeys absolut sicher vor Hackern?

Nein, so etwas wie absolute Sicherheit existiert nicht, auch nicht mit Passkeys. Je nachdem, wo Sie Ihre Passkeys speichern, besteht die Gefahr, dass auch Angreifer darauf zugreifen können. So bietet ein unabhängiger Passwortmanager meist keine Hardwarebindung der privaten Schlüssel, was ihn weniger sicher als einen FIDO2-Stick macht. Gelingt es einem Angreifer, sich Zugriff auf den Passwortmanager zu verschaffen, kann er auch die darin gespeicherten Passkeys verwenden.

Die größte Gefahr geht jedoch von Session-Cookies aus, und daran ändern auch Passkeys nichts. Nachdem Sie sich erfolgreich bei einem Webdienst eingeloggt haben, speichert er ein solches Session-Cookie auf Ihrem Rechner, damit Sie eingeloggt bleiben. Würde ein Schädling auf Ihrem Rechner lauern, könnte er die Session-Cookies abgreifen und an einen Angreifer übertragen. Der Angreifer könnte mit den Cookies fortan ganz ohne Passkey oder Passwort auf Ihre Accounts zugreifen.

Dies ist jedoch keine Schwäche des Passkey-Verfahrens, sondern dem Umstand geschuldet, dass Cookies normalerweise nicht an ein System gebunden sind. Abhilfe soll künftig ein Verfahren namens "Device Bound Session Credentials" schaffen, dessen Entwicklung Google angestoßen hat. Anstelle von Cookies kommt hierbei Public-Key-Kryptografie zum Einsatz, ähnlich wie bei Passkeys.


Ersetzen Passkeys die Zwei-Faktor-Authentifizierung?

Passkeys machen einen zweiten Faktor nicht automatisch obsolet. Bei vielen Webdiensten gibt es weiterhin ein Passwort, mit dem man sich einloggen kann. Auch Angreifern kann dieses Passwort in die Hände fallen, deshalb ist es nach wie vor wichtig, dass Sie Ihre Accounts durch einen zweiten Faktor schützen. Im Alltag stört die Zwei-Faktor-Authentifizierung kaum, da es üblicherweise ausreicht, den zweiten Faktor beim ersten Einloggen mit einem Gerät einzugeben.


Was gibt es beim Kauf eines FIDO2-Sticks zu beachten?

Wenn Sie sich einen neuen FIDO2-Stick für die Nutzung von Passkeys anschaffen möchten, sollten Sie auf die Speicherkapazität achten. Die Kryptoschlüssel belegen zwar nur wenige Byte, die Sticks sind jedoch mit speziell geschützten Chips bestückt, die nur wenig geeigneten Speicher mitbringen. Bei älteren FIDO2-Sticks kann daher schon nach 25 Passkeys Schluss sein. Wie viele Passkeys ein FIDO2-Stick speichern kann, erfahren Sie entweder im Datenblatt oder durch eine Anfrage beim Hersteller.

Aktuelle Sticks mit viel Speicher bieten zum Beispiel die Hersteller Token2 (300 Passkeys), Google (250 Passkeys) und Yubico (100 Passkeys) an. Achten Sie darauf, die aktuelle Revision zu kaufen: YubiKeys der 5er-Reihe etwa bieten die hohe Speicherkapazität nur, wenn sie frisch hergestellt wurden (Firmware 5.7 oder neuer). Auf älteren Exemplaren derselben Modelle können Sie hingegen nur 25 Schlüssel speichern und ein Firmware-Update ist nicht möglich.

Darüber hinaus ist es ratsam, zu einem Stick zu greifen, der schon die aktuelle Version 2.1 des CTAP-Standards (Client to Authenticator Protocol) unterstützt. Diese spezifiziert insbesondere für Passkeys wichtige Verwaltungsfunktionen, mit denen Sie Passkeys auch einzeln wieder löschen können. Die Google-Titan-Sticks bieten zwar viel Speicher, unterstützen aber nur CTAP 2.0 – die bis zu 250 Passkeys können Sie deshalb nur löschen, indem Sie den gesamten Stick auf Werkseinstellungen zurücksetzen. Dann sind allerdings alle Passkeys weg.

Wenn Sie bereits ältere FIDO2-Sticks besitzen, müssen Sie die jedoch nicht entsorgen: Auch wenn darauf nur wenige Dutzend Passkeys passen, kommen Sie damit noch eine ganze Weile aus. Denn derzeit können Sie ohnehin nicht für alle Online-Accounts Passkeys erstellen. Ältere Sticks eignen sich auch gut als Backup für die wichtigsten Accounts sowie für die Zwei-Faktor-Authentifizierung, die keinen Speicher beansprucht.


Kann ich meine gesamten Passwörter durch Passkeys ersetzen?

Nein, das wird noch lange Zeit dauern. Damit Sie Passkeys verwenden können, muss der jeweilige Website-Betreiber die neue Authentifizierungsmethode implementieren. Bei älteren Websites, die nicht mehr oder nur noch rudimentär gepflegt werden, wird dies wahrscheinlich eher nicht mehr passieren. Eine gut gepflegte Übersicht der Webdienste mit Passkey-Unterstützung finden Sie unter passkeys.directory.

Ganz ohne Passwörter werden Sie also auf absehbare Zeit nicht auskommen. Sorgen Sie auch in solchen Fällen für so viel Sicherheit wie möglich: Nutzen Sie am besten einen Passwortmanager, um zufällige, individuelle Passwörter zu generieren. Aktivieren Sie eine Zwei-Faktor-Authentifizierung, wo möglich.


Ich habe gehört, dass ich mich bei Passkeys mit Fingerabdruck oder Gesichtsscan einloggen kann. Kann ein Hacker meine biometrischen Daten abgreifen?

Nein, denn Ihre biometrischen Merkmale werden in einem Sicherheitschip auf Ihrem Gerät verwahrt und nicht für die eigentliche Authentifizierung mit den Webdiensten verwendet. Die Webdienste haben keinen Zugriff darauf und ein Angreifer, der den Dienst kompromittiert, kann Ihre biometrischen Daten daher dort auch nicht abgreifen. Die Biometrie dient lediglich lokal dazu, den Authenticator schnell und komfortabel zu entsperren. Das gilt auch für Ihre PIN: Auch sie wird nur lokal gespeichert und überprüft.


Ich habe die PIN meines FIDO2-Sticks vergessen. Wie komme ich an die Passkeys?

Die PIN Ihres FIDO2-Sticks ist vergleichbar sicher wie die PIN Ihrer Bankkarte. Die PIN wird von einem Chip überprüft, der daraufhin die Nutzung des Authenticators freigibt oder nicht. Sie können die PIN nicht auslesen oder umgehen. Nach einer begrenzten Anzahl Fehlerversuche, üblicherweise maximal 10, riegelt der FIDO2-Stick ab und muss zurückgesetzt werden. Dabei werden sämtliche Passkeys gelöscht. So ist sichergestellt, dass eine unbefugte Person, der Ihr Stick in die Hände fällt, nicht einfach sämtliche möglichen PINs durchprobiert, um sich Zugriff auf Ihre Passkeys zu verschaffen.

Wenn Sie diesem Fall vorbeugen und auf Nummer sicher gehen möchten, sollten Sie die PIN auf einen Zettel notieren und diesen an einem sicheren Ort verwahren. Alternativ können Sie zu einem FIDO2-Stick wie dem YubiKey Bio greifen, den Sie per Fingerabdruck entsperren.


Warum schützen Passkeys vor Phishing?

Beim Phishing lockt Sie der Angreifer zum Beispiel auf eine Login-Seite, die einer legitimen Website nachempfunden ist, bei der Sie tatsächlich einen Account besitzen. Er spekuliert darauf, dass Sie den Schwindel nicht bemerken und Ihre Zugangsdaten eingeben. Mit Passkeys sind Sie in so einem Fall fein raus: Sie können Ihren echten Passkey nicht auf der Fake-Seite verwenden, weil Ihr Browser die Domain der Website an den Authenticator weitergibt. Dieser sucht anschließend nach dazu passenden Passkeys und wird nicht fündig, weil die Phishing- Domain von der Originaldomain abweicht. Sie könnten lediglich einen neuen Passkey für die Fake-Seite erstellen, dieser ist für den Angreifer jedoch wertlos.


Ich verwalte den Rechner meiner Großeltern. Wie kann ich Passkeys möglichst einfach für sie einrichten, um die Gefahren von Phishing & Co. zu eliminieren?

Damit die Authentifizierung ohne Passwort möglichst barrierefrei und gleichzeitig sicher ist, können Sie die eingebauten Passkey-Authenticator der Betriebssysteme (Windows, Android, Apple-Betriebssysteme) einrichten. Dann ist nur die Eingabe einer PIN nötig, um sich sicher bei Websites einzuloggen. Darüber hinaus können Sie die biometrische Authentifizierung (Fingerabdruck oder Gesichtsscan) einschalten, um die Verwendung noch weiter zu vereinfachen.

Stellen Sie sicher, dass auch Sie Zugriff auf die Konten haben, um im Fall der Fälle Hilfe leisten zu können. Zu diesem Zweck können Sie sich eigene Passkeys für die Konten erstellen, zum Beispiel auf einem FIDO2-Stick, den Sie nach der Einrichtung mitnehmen. Achten Sie darauf, auch Accounts auf Websites, die keine Passkey-Authentifizierung anbieten, bestmöglich abzusichern. Oft können Sie zumindest eine Zwei-Faktor-Authentifizierung einschalten.

Zum Generieren von Einmalpasswörtern (TOTP-Codes) können Sie Ihren Großeltern zum Beispiel einen separaten Codegenerator wie den Reiner SCT Authenticator besorgen. Dabei handelt es sich um ein separates Gerät mit Display, das ähnlich wie ein TAN-Generator fürs Onlinebanking funktioniert. Das erspart Ihren Großeltern das Hantieren mit Authenticator-Apps.

Damit die Zwei-Faktor-Authentifizierung per TOTP möglichst einfach und barrierefrei ist, können Sie einen separaten Codegenerator anschaffen.
c’t – Europas größtes IT- und Tech-Magazin

Alle 14 Tage präsentiert Ihnen Deutschlands größte IT-Redaktion aktuelle Tipps, kritische Berichte, aufwendige Tests und tiefgehende Reportagen zu IT-Sicherheit & Datenschutz, Hardware, Software- und App-Entwicklungen, Smart Home und vielem mehr. Unabhängiger Journalismus ist bei c't das A und O.

(rei)