Bild: Andreas Martini

Passkeys im Einsatz

Passkeys: So schützen Sie Ihre Accounts mit dem Passwort-Nachfolger

Mit Passkeys loggen Sie sich schnell und sicher bei Webdiensten ein – ohne nerviges Passwort, ohne spezielle Hardware und ohne Phishing-Gefahr. Hier erfahren Sie, wie der Passwort-Nachfolger von Apple, Google, Microsoft & Co. funktioniert und wo Sie ihn sofort mit Rechner, Smartphone und Tablet einsetzen können.

Von Ronald Eikenberg

Tagtäglich übernehmen Cyberschurken Millionen Accounts, meist über das Passwort. Analysen von Passwort-Leaks zeigen, dass viele Nutzer dazu tendieren, einfache Passwörter zu wählen und diese dann auch gleich bei mehreren Webdiensten einzusetzen. Die rettende, aber umständliche Zwei-Faktor-Authentifizierung wird aus Bequemlichkeit oft ignoriert.

Wenn man ehrlich ist, kann man das niemanden vorwerfen. Im Laufe der Zeit häufen sich mehr und mehr Accounts für Websites und Apps an, weil man sich heute fast überall registrieren soll. Wer dabei konsequent die Best Practices zur Absicherung befolgt, hat viel zu tun. Das schaffen vielleicht noch Sie und ich, aber erklären Sie das mal Ihren Schwiegereltern.

Passwörter sicher zu nutzen ist umständlich, weil das Konzept deutlich älter ist als das Internet und sogar älter als der erste Computer. Es war nie darauf ausgelegt, Hacker oder Phishing abzuwehren. Deshalb sind Hilfsmittel wie die Zwei-Faktor-Authentifizierung nötig, um das veraltete Verfahren in der heutigen Zeit noch einsetzen zu können.

Mit Passkeys bricht ein neues Zeitalter an – ohne Passwörter und ohne Phishing-Risiko. Die nötige Technik steckt schon jetzt in Ihrem Smartphone, Tablet und Rechner. Und viele Webdienste sind auch schon bereit, doch dazu gleich mehr. Anstelle eines Passworts bekommen Sie bei dem neuen Verfahren für jeden Account einen Passkey. Dieser Passkey wird auf Ihrem Smartphone, Rechner oder Tablet gespeichert.

Wenn Sie sich damit einloggen möchten, drücken Sie einfach den Passkey-Login-Knopf auf der jeweiligen Website und bestätigen die Nutzung des Passkeys mit einer kurzen PIN, die für alle Passkeys identisch ist. Noch schneller klappts per Fingerabdruck oder Gesichtsscan. Danach sind Sie sofort eingeloggt.

Ihre PIN oder Ihre biometrischen Merkmale werden dabei ausschließlich lokal verwendet, um den Zugriff auf den Passkey freizugeben, und zu keinem Zeitpunkt übertragen. Durch diese Freigabe ist Ihr Passkey automatisch durch einen zweiten Faktor geschützt, der erste ist der Besitz des Passkeys. Ganz ohne separate und lästige Zwei-Faktor-Authentifizierung.

Ein Passkey besteht im Wesentlichen aus einem kryptografischen Schlüsselpaar, das zum Beispiel ein Sicherheitschip Ihres Rechners oder Smartphones automatisch für Sie generiert. Die Zeiten, in denen Sie bei jeder Registrierung ein neues P@$$w0rT! erfinden mussten, das den individuellen Richtlinien der jeweiligen Website gerecht wird, könnten also bald vorbei sein.

Anders als bei Kennwörtern gibt es bei der Passkey-Authentifizierung kein gemeinsames Geheimnis (Shared Secret), das sowohl Sie als auch der Dienst kennen und das ein Angreifer abfangen könnte. Sie besitzen stattdessen für jeden Account einen privaten und einen öffentlichen Kryptoschlüssel. Den privaten Schlüssel, auf den es ankommt, haben nur Sie. Wenn Sie einen Passkey für einen Webdienst erstellen, erfährt der Dienst lediglich den öffentlichen Schlüssel und verknüpft ihn mit Ihrem Account.

Mit dem öffentlichen Schlüssel kann der Dienst fortan verifizieren, dass Sie den privaten besitzen, ohne dass der Dienst den privaten Schlüssel jemals gesehen hätte. Konkret funktioniert das wie folgt: Beim Einloggen per Passkey gibt der Webdienst zufällige Daten vor, die sogenannte Challenge, die Ihr Gerät mit Ihrem privaten Schlüssel signiert. Der Webdienst überprüft die digitale Signatur und kann zweifelsfrei feststellen, dass sie von Ihrem privaten Schlüssel stammt. Das Verfahren nennt sich Public-Key-Kryptografie, es ist seit Jahrzehnten bewährt und kommt zum Beispiel auch bei HTTPS und Mail-Verschlüsselung zum Einsatz.

Sicher einloggen ohne Nutzername und Passwort: Der Passkey-Knopf befördert Sie schnurstracks in Ihren Account.

Sie müssen nur noch per PIN, Fingerabdruck oder Gesichtsscan bestätigen.

Goodbye Phishing

Ein weiterer Vorteil ist, dass in die Authentifizierung automatisch die Domain der Website einfließt. Dadurch sind Passkeys Phishing-resistent. Wenn Sie etwa durch eine Phishing-Mail auf paypa1.com landen, wird es Ihnen nicht möglich sein, den für paypal.com erstellten Passkey einzusetzen. Stattdessen können Sie nur einen neuen Passkey für die abweichende Domain erstellen. Für Phisher ist der absolut nutzlos. Persönliche Daten sollten Sie der Phishingseite natürlich trotzdem nicht anvertrauen.

Hinter den Kulissen ist also einiges los, um die Sicherheit zu gewährleisten, aber Sie bekommen von alldem nichts mit. Für Sie ist das Einloggen per Passkey nicht mehr, als etwa ein Tippen auf den Fingerabdrucksensor des Smartphones. Dieser Komfortgewinn könnte dazu beitragen, das neue Login-Verfahren auch jenen schmackhaft zu machen, die sich nicht weiter für Sicherheit interessieren.

Der Weg zum Passkey

Die Passkey-Technik befindet sich seit rund zehn Jahren in der Entwicklung. Dahinter steckt die FIDO Alliance (siehe Interview auf S. 28), der unter anderem Apple, Google, Intel, Microsoft, PayPal und auch das BSI angehören. Die Allianz wurde 2012 gegründet, mit dem Ziel, ein modernes, passwortloses Authentifizierungsverfahren zu entwickeln. Im Laufe der Jahre sind daraus diverse Webstandards namens U2F, FIDO1 und 2, WebAuthn sowie CTAP1 und 2 entstanden.

Diese Verfahren sind zwar sehr sicher und wir haben schon ausführlich darüber berichtet [1], jedoch zu kompliziert für die breite Masse der Nutzer. Denn auch bei dem modernsten der Verfahren, FIDO2, ist jeder der privaten Kryptoschlüssel üblicherweise fest auf nur einem Gerät gespeichert. Die Folge: Wer sich mit Rechner, Smartphone und Tablet per FIDO2 einloggen wollte, musste bislang alle drei Geräte mit sämtlichen Webdiensten koppeln. Für besonders schützenswerte Konten, etwa den Zugang zu Bezahldiensten, mag man diesen Aufwand noch betreiben, doch für einen universellen, massentauglichen Passwortersatz ist er viel zu hoch. Der große Durchbruch, jenseits der Nutzer, die sich aktiv mit dem Thema IT-Sicherheit auseinandersetzen, blieb aus.

Passkeys fußen auf den Standards FIDO2, WebAuthn und CTAP2, weichen jedoch in einem entscheidenden Detail von den strengen Sicherheitsanforderungen ab: Die Kryptoschlüssel können jetzt synchronisiert werden. Erstellt man auf dem Smartphone einen Passkey, kann man sich im Idealfall auch auf dem Rechner und allen anderen Geräten sofort damit einloggen.

Die Synchronisation ist nicht unbedingt notwendig, da Sie die Passkeys auf Ihrem Smartphone leicht per QR-Code für andere Geräte freigeben können. In diesem Fall rückt Ihr Smartphone Ihre Passkeys nicht heraus, sondern wickelt die Authentifizierung für das andere Gerät über Bluetooth ab (siehe Kasten „Smartphone als Login-Helfer“).

Eine weitere Änderung ist, dass Passkeys die sogenannten Discoverable Credentials (auch Resident Keys genannt) von FIDO2 voraussetzen, die bisher optional waren. Das bedeutet, dass ein Webdienst die Schlüssel auf Ihrem Gerät speichern darf und später auch herausfinden kann, dass es sie gibt, wenn Sie sich einloggen wollen. Dadurch können Sie sich im besten Fall einloggen, ohne Benutzername oder Passwort eingeben zu müssen. Bei FIDO2 ist das nicht immer so, teilweise kommt es auch nur als zweiter Faktor zum Einsatz, zusätzlich zum Passwort.

Loslegen mit Passkeys

Um Passkeys auszuprobieren, brauchen Sie nicht viel: Die großen Hersteller haben schon alle nötigen Voraussetzungen geschaffen. Windows kann bereits Passkeys erstellen und speichern; Android, iOS, iPadOS und macOS können Passkeys darüber hinaus auch synchronisieren. Alle genannten Betriebssysteme können selbst als sogenannter Authenticator arbeiten und alle Passkey-Aufgaben übernehmen, einschließlich der Erstellung und Speicherung der Passkeys.

Alternativ kann auch eine Software, etwa ein Passwortmanager, als Authenticator dienen oder ein separates Smartphone per QR-Code. Zudem können Sie sogenannte FIDO2-Sticks [2] nutzen(auch Sicherheitsschlüssel genannt). Das sind spezielle USB-Sticks für die FIDO2-Authentifizierung. Sie sind ab 30 Euro im Handel erhältlich.

Die eingesetzten Standards sind offen, jeder kann eine kompatible Passkey-Anwendung entwickeln. Es wird langfristig möglich sein, Passkeys komplett mit Open-Source-Software zu verwalten, für maximale Unabhängigkeit. Daran arbeiten Entwickler des Passwortmanagers KeePassXC bereits, auch für Bitwarden wurde Passkey-Unterstützung angekündigt.

Ausblick auf die nahe Zukunft: Viele Passwortmanager wie 1Password können künftig Passkeys erstellen und plattformübergreifend synchronisieren.

Viele kommerzielle Passwortmanager wie Dashlane, Keeper und NordPass (von NordVPN) werden ebenfalls in der nächsten Zeit Passkeys unterstützen oder tun es bereits. Auf Desktop-Betriebssystemen klinken sie sich hierzu einfach als Erweiterung in den Browser ein. Damit Passwortmanager-Apps auch auf Smartphones und Tablets als Passkey-Authenticator arbeiten können, sind neue Schnittstellen nötig, die mit Android 14 und iOS/iPadOS 17 eingeführt werden.

Recht weit ist der Hersteller von 1Password: Mit der aktuellen Beta seiner Browser-Erweiterung kann man bereits Passkeys nutzen. Diese tauchen auch in der 1Password-App auf, aus der man sie sogar in eine Datei exportieren kann. Das ist wichtig, um mit den Passkeys umziehen zu können, etwa zu einem anderen Passwortmanager. Mit einer Exportfunktion können Apple, Google und Microsoft derzeit nicht punkten. Ein komfortabler Umzug in ein anderes Ökosystem ist dort noch nicht möglich.

Auch in puncto Synchronisation sind unabhängige Passwortmanager überlegen, weil sie auf allen wichtigen Betriebssystemen gleichermaßen zu Hause sind und die gespeicherten Daten plattformübergreifend synchronisieren können. Apple-Geräte gleichen Passkeys aktuell nur untereinander ab, Android-Geräte nur mit anderen Androiden und Windows überhaupt nicht. Falls Sie Ihr Smartphone als zentralen Passkey-Authenticator für andere nutzen, spielt das aber kaum eine Rolle, weil die Passkeys dann nicht synchronisiert werden müssen, um sie überall zu nutzen.

Falls Sie sich für eine Passkey-Lösung mit geräteübergreifender Synchronisation entscheiden, etwa von Apple oder Google, werden Ihre Passkeys in einer Cloud gespeichert. Damit das nicht in einem Security-GAU endet, werden die Daten vor dem Hochladen sicher verschlüsselt. So ist gewährleistet, dass nur Sie Ihre Passkeys entschlüsseln und nutzen können. Nicht nur Angreifer, sondern auch Apple, Google & Co. sind außen vor.

Passkeys bei Webdiensten einrichten
Webdienst	Einstellungsseite
Adobe	account.adobe.com/security > Hauptschlüssel > Hinzufügen
Apple	automatisch (Login bei Apple-Diensten erst ab iOS 17 und iPadOS 17 möglich)
Google	myaccount.google.com/security > Passkey erstelllen
GitHub	github.com/settings/security (derzeit müssen Passkeys zuvor durch einen Klick auf das Profilbild oben rechts und „Feature preview/Passkeys“ aktiviert werden)
Microsoft	account.microsoft.com/security > Erweiterte Sicherheitsoptionen > Neue Möglichkeit zur Anmeldung oder Verifizierung hinzufügen > Sicherheitsschlüssel verwenden
Nvidia	profile.nvgs.nvidia.com/security > Hardware-Sicherheitsgerät > Neues Sicherheitsgerät hinzufügen
Synology	account.synology.com/security > Sicherheitsschlüssel > Methode wechseln

Zu Diensten

Bevor es an die Praxis geht, noch ein Wort zum Elefanten im Raum, der Frage, welche Webdienste aktuell das Einloggen per Passkey anbieten. Das klappt derzeit schon bei einigen großen Firmen wie Adobe, Apple, Google, Microsoft, Nvidia, Shopify, Synology und Tailscale. Die Tabelle „Passkeys bei Webdiensten einrichten“ navigiert Sie bei einigen wichtigen Diensten direkt zur jeweils passenden Unterseite, auf der Sie einen Passkey erstellen können.

Wenn man Android mit seinem Google-Account einrichtet oder Windows mit seinem Microsoft-Account, wird vom System automatisch ein Passkey für den jeweiligen Account erzeugt. Weitere kann man online in den Account-Einstellungen hinzufügen. Bei Apple gibt es ab iOS 17 und iPadOS 17 einen Passkey für den Apple-Account, der ebenfalls automatisch erzeugt wird. In den verfügbaren Betas kann man das bereits testen. Dies ist derzeit der einzige Weg, einen Passkey für die Apple-Dienste zu bekommen. Herstellerfremde Geräte können daher nicht als Passkey-Authenticator für den Apple-Account arbeiten. Es ist aber möglich, den Apple-Passkey per QR-Code freizugeben und sich damit unter Windows & Co. einzuloggen.

Passkeys für Webdienste erstellen Sie direkt in den dortigen Account-Einstellungen.

Ganz neu dabei ist GitHub: Seit Mitte Juli kann man dort eine Vorabversion der Passkey-Authentifizierung einschalten. Hierzu ist nach dem Einloggen ein Klick auf das Profilbild oben rechts und auf „Feature Preview“ nötig. Anschließend kann man die Passkeys-Funktion dort aktivieren und in den Account-Einstellungen unter „Password and authentication“ einen Passkey erstellen.

PayPal führt Passkeys ein

PayPal bietet das Einloggen per Passkey bereits seinen US-Kunden an und arbeitet aktuell daran, das sichere Authentifizierungsverfahren auch hierzulande zur Verfügung zu stellen. Das ist höchste Zeit, denn PayPal-Konten sind bei Onlineganoven besonders beliebt. Gegenüber c’t erklärte das Unternehmen: „Passkeys werden in den kommenden Wochen schrittweise in Deutschland eingeführt. Die Einführung hat am 27. Juni 2023 begonnen.“ Passkeys werden bei PayPal zunächst für das Einloggen auf der Website angeboten, „zeitnah“ aber auch für die PayPal-App.

Auch TikTok hat sich jüngst zu Passkeys bekannt und will sie zunächst iOS-Nutzern in Asien, Afrika, Australien und Südamerika anbieten. Weitere Betriebssysteme und Regionen sollen im Laufe der Zeit folgen. Das ist durchaus ein bedeutsamer Schritt für den Erfolg des Passwort-Nachfolgers, denn TikTok hat Berichten zufolge rund eine Milliarde aktive Nutzer, die sich in Zukunft komfortabel und sicher per Passkey einloggen können. TikTok hat sich darüber hinaus auch der FIDO Alliance (siehe „Der Weg zum Passkey“) angeschlossen, wenn auch nur als Sponsor.

Eine umfangreiche Liste von Webdiensten, die schon „passkey-ready“ sind, finden Sie unter passkeys.directory. Dort haben Sie auch die Möglichkeit, Websites zu nennen, bei denen Sie sich zukünftig gerne per Passkey einloggen möchten. Andere Nutzer können sich Ihnen dann anschließen und ihre Stimme hinterlassen. Das kann Website-Betreibern helfen, den Bedarf zu erkennen.

Selbst auf Websites, die Passkeys noch nicht explizit unterstützen, können Sie Ihre Accounts schon jetzt zusätzlich absichern: Viele Dienste bieten die Option, einen FIDO2-Sicherheitsschlüssel als sicheren zweiten Faktor einzustellen. Passkeys basieren auf FIDO2 und sind grundsätzlich abwärtskompatibel. Wenn Sie etwa bei Facebook oder Twitter einen Sicherheitsschlüssel einrichten, springt deshalb Ihr Passkey-Authenticator an und Sie können ihn als zweiten Faktor verwenden. Passwortfrei sind Sie damit aber nicht, da Sie in diesem Fall zum Einloggen nicht nur den Passkey, sondern weiterhin auch das Passwort benötigen.

Perspektivisch ist damit zu rechnen, dass viele weitere Dienste Passkey-Authentifizierung anbieten werden, da auch die Betreiber davon profitieren: Weniger Phishing bedeutet weniger kompromittierte Accounts und damit auch geringere Kosten durch Betrugsfälle.

Den größten Hebel haben Sie bei Webanwendungen, die Sie selbst betreuen: Hier Passkey-Authentifizierung nachzurüsten ist kein Hexenwerk. Bei Web-Apps wie Nextcloud oder WordPress sind dafür nur wenige Klicks nötig. Für Eigenentwicklungen gibt es zahlreiche Bibliotheken und Helferlein, um Passkeys mit überschaubarem Aufwand zu integrieren. Wie das konkret funktioniert, zeigt der auf Seite 24 folgende Artikel.

Mein erster Passkey

Nachdem Sie nun die wichtigsten Grundlagen kennen, geht es an die Praxis. Sie erfahren im Folgenden, wie Sie Passkeys mit den Bordmitteln von Windows, Android und Apple-Betriebssystemen nutzen. Zudem gibt es einen Abschnitt über Passkeys unter Linux. Wie Sie Ihr Smartphone per QR-Code als Passkey-Authenticator mit anderen Geräten nutzen, erfahren Sie im Kasten „Smartphone als Login-Helfer“ auf Seite 21.

Da sich die Schritte zum Erstellen eines Passkeys nicht nur von Plattform zu Plattform, sondern auch von Website zu Website ein wenig unterscheiden, zeigen wir anhand der Demo-Website passkey.org von YubiKey-Hersteller Yubico, wie Passkeys grundsätzlich funktionieren. Sie lernen so die wichtigsten Schritte, die Sie dann leicht auf die von Ihnen genutzten Webdienste übertragen können. Hilfe leistet Ihnen hierbei die Tabelle „Passkeys bei Webdiensten einrichten“ auf Seite 17.

Smartphone als Login-Helfer

Der einfachste Weg, Passkeys im Alltag zu nutzen, ist, sie auf dem Smartphone zu speichern. Denn alle Passkeys auf Ihrem Smartphone können Sie auch auf Ihrem Rechner, Tablet & Co. verwenden, um sich sicher ohne Passwort einzuloggen. Sie müssen dazu nur einen QR-Code scannen.

Das hat gleich mehrere Vorteile: Auf dem Smartphone sind Passkeys in jedem Fall sicher gespeichert, außerdem können Sie sich die Synchronisierung sparen. Das Smartphone haben Sie ohnehin immer dabei und so können Sie sich auch auf Ihrem Büro-PC oder bei Freunden mal spontan mit einem Passkey einloggen. Dabei wird der Passkey dem Rechner nicht preisgegeben, stattdessen übernimmt das Smartphone die Authentifizierung. Um Backups müssen Sie sich nicht kümmern, da Smartphones ein Ende-zu-Ende-verschlüsseltes Backup Ihrer Passkeys in der Cloud speichern.

Video-Kurzanleitung: Passkeys mit PC und Smartphone nutzen

Die Voraussetzungen sind überschaubar: Auf Ihrem Smartphone muss mindestens Android 9 oder iOS 16 laufen, Tablets sind ebenso geeignet. Auf dem Rechner ist ein aktueller Browser mit Passkey-Unterstützung gefragt, zum Beispiel Google Chrome oder Safari. Außerdem muss Ihr Rechner mit einem Bluetooth-5-Chip ausgestattet sein.

Zum Ausprobieren können Sie zum Beispiel die Demo-Website passkey.org auf dem Rechner öffnen. Tippen Sie oben einen Nutzernamen ein und anschließend auf den Knopf „Sign up“ und „Save a passkey“. Unterstützt Ihr Browser Passkeys, fragt er Sie anschließend, welches Gerät Sie nutzen möchten. Wählen Sie die QR-Code-Option, die etwa bei Chrome „Anderes Smartphone oder Tablet verwenden“ heißt. Safari nennt sie „iPhone, iPad oder Android-Gerät“.

Wenn Sie einen speziellen QR-Code scannen, gibt Ihr Smartphone Ihre Passkeys auch für den Rechner frei.

Anschließend zeigt Ihnen der Browser einen QR-Code an, den Sie mit der Kamera-App Ihres Smartphones scannen und öffnen. Falls Ihre Kamera-App Probleme mit dem Code hat, können Sie auch eine handelsübliche QR-Scanner-App nutzen. Der QR-Code ruft den Passkey-Authenticator Ihres Smartphones auf den Plan. Dieser fragt Sie anschließend, ob Sie einen Passkey für die Website speichern möchten, was Sie bestätigen.

Danach müssen Sie den Vorgang nur noch per PIN, Fingerabdruck oder Gesichtsscan bestätigen, um den Passkey zu speichern. Die Website loggt Sie automatisch ein, nachdem Sie den Passkey erstellt haben. Um einen Login-Vorgang auszuprobieren, klicken Sie auf passkey.org einfach auf „Sign Out“ und „Sign in with a passkey“. Wählen Sie wieder die QR-Option, scannen Sie den QR-Code mit dem Smartphone und bestätigen Sie dort den Vorgang.

Wenn Sie auf dem Rechner Google Chrome nutzen und ein Android-Gerät, ist das Scannen des QR-Codes nur einmal nötig. Rechner und Smartphone gehen eine dauerhafte Bindung ein, wenn das Häkchen „Diesen Rechner merken“ auf dem Smartphone gesetzt ist, nachdem Sie den ersten Code gescannt haben. Künftig brauchen Sie nur noch eine Benachrichtigung auf dem Smartphone zu bestätigen, wenn Sie einen Passkey verwenden möchten. Auch in diesem Fall rückt das Android-Gerät keine Passkeys heraus, sondern übernimmt die Authentifizierung für den Rechner.

Die Website passkeys.directory listet bereits viele Websites, auf denen Sie sich ohne Passwort einloggen können.

Passkeys unter Windows

Unter Windows 10 und 11 kümmert sich der eingebaute Authentfizierungsdienst Windows Hello um Passkeys. Wenn Sie Ihr Windows per PIN, Fingerabdruck oder Kamera entsperren, nutzen Sie Hello bereits. Falls nicht, können Sie es schnell und einfach aktivieren, indem Sie über eine Suche im Startmenü die „Anmeldeoptionen“ öffnen und eine der dort angebotenen Möglichkeiten zur Anmeldung einrichten. In jedem Fall angeboten wird Ihnen die Option „PIN (Windows Hello)“. Grundsätzlich ist ein Zahlencode in diesem Einsatzszenario ausreichend sicher, weil Windows nur eine sehr geringe Anzahl an Eingabeversuchen zulässt, ehe es eine Zwangspause verordnet. Falls Ihr Rechner mit einem Fingerabdruckleser oder einer Hello-kompatiblen Webcam ausgestattet ist, können Sie auch Biometrie verwenden.

Video-Kurzanleitung: Passkeys unter Windows nutzen

Bei den Browsern haben Sie im Prinzip die Qual der Wahl, es gibt aktuell jedoch Unterschiede bei der Passkey-Unterstützung. Bei allen gängigen Browsern können Sie unter Windows sowohl den internen Authenticator des Betriebssystems als auch FIDO2-Sticks für Passkeys nutzen. Neu ist bei Passkeys die Möglichkeit, ein Smartphone oder Tablet per QR-Code als Authenticator einzuspannen (siehe Kasten „Smartphone als Login-Helfer“).

Mit Google Chrome können Sie schon jetzt Ihr Smartphone mit dem Rechner verknüpfen.

Windows Hello beherrscht die QR-Funktion erst mit einem zukünftigen Windows-11-Update, das man bereits im Rahmen der Insider Preview testen kann. Einige Chromium-basierte Browser wie Google Chrome, Microsoft Edge und Opera One nehmen das Ruder schon mal selbst in die Hand und fragen nach, ob Sie lieber „Windows Hello oder externer Sicherheitsschlüssel“ oder „Smartphone oder Tablet verwenden“ möchten.

Um Ihren ersten Passkey mit Windows zu erstellen, rufen Sie die Demo-Website passkey.org im Browser auf und geben einen Benutzernamen nach Wahl ein. Anschließend klicken Sie auf „Sign up“ und „Continue“. Jetzt meldet sich entweder direkt Windows Hello („Windows-Sicherheit“) oder zunächst der Browser, um Ihnen die QR-Code-Funktion anzubieten. In letzterem Fall klicken Sie auf „Windows Hello oder externer Sicherheitsschlüssel“, um den Windows-Authenticator auf den Plan zu rufen.

Geben Sie anschließend Ihre PIN ein oder nutzen Sie die Optionen „Fingerabdruck“ oder „Gesicht“, sofern Sie diese eingerichtet haben. Windows Hello überprüft die PIN schon während der Eingabe und nachdem Sie die letzte Ziffer korrekt eingetippt haben, geht alles ganz schnell: Das Hello-Fenster verschwindet und die Website meldet euphorisch: „You have successfully signed in with your passkey!“ Sie haben gerade Ihren ersten Passkey erstellt und sich auch schon damit eingeloggt. Herzlichen Glückwunsch!

Da Sie den Windows-eigenen Authenticator genutzt haben, erscheint auf der Demo-Website nach dem Einloggen der Hinweis „You have only one passkey, which won't be backed up.“ Das hat seine Richtigkeit, denn Windows speichert Passkeys nur auf dem gerade genutzten Rechner. Eine Sync- oder Backupfunktion gibt es derzeit nicht. Würde der Rechner ausfallen, wären sämtliche Passkeys verloren. Bei den meisten Diensten könnten Sie sich dann zwar weiterhin mit Ihren Passwörtern einloggen, Sie sollten aber lieber vorsorgen und noch eine der anderen Passkey-Varianten nutzen, um einen weiteren Passkey zu erstellen: das Smartphone als Passkey-Authenticator (siehe Kasten „Smartphone als Login-Helfer), einen FIDO2-Stick (siehe „Rettungsplan“) oder einen Passwortmanager.

Sie können sich jetzt mit dem „Sign out“-Knopf von der Demo-Website abmelden. Der spannendste Augenblick folgt jetzt erst noch: das Einloggen mit einem bereits vorhandenen Passkey. Das werden Sie im Alltag häufiger tun, als neue Passkeys zu erstellen. Klicken Sie auf der Website einfach auf „Sign in with passkey“, woraufhin sich wieder Windows Hello meldet. Den Rest kennen Sie schon: Tippen Sie Ihre PIN ein, alternativ können Sie Fingerabdruck oder Gesicht nutzen. Danach sind Sie auch schon eingeloggt. Ähnlich einfach können Sie nun auch bei anderen Webdiensten Passkeys erstellen und sich einloggen (siehe „Zu Diensten“).

Erst nach einem kommenden Update erlaubt Windows dem Nutzer, die gespeicherten Passkeys zu sehen und bei Bedarf zu löschen, sowie die Nutzung von Smartphone und Tablet per QR-Code. Mithilfe von Google Chrome klappt das alles schon jetzt.

Windows ist derzeit nicht dazu in der Lage, Passkeys aufzulisten und eine Löschfunktion gibt es auch nicht. Das klappt erst mit dem kommenden Update. Geplant ist eine Einstellungsseite für Passkeys, die voraussichtlich in den Windows-Einstellungen unter „Konten“ zu finden sein wird.

Mit Chrome können Sie unter Windows jedoch schon jetzt ihren neuen Passkey in Augenschein nehmen. Klicken Sie in den Chrome-Einstellungen auf „Autofill und Passwörter/Passwortmanager/Passkeys verwalten“, um die vorhandenen Passkeys auflisten zu lassen. Der Menüpunkt „Passkeys verwalten“ erscheint nur, wenn Sie mindestens einen Passkey erstellt haben. Falls Sie Windows mit einem Microsoft-Account eingerichtet haben, sollte es hier auch einen Passkey für login.microsoft.com geben, den Microsoft automatisch für Sie erstellt hat.

Android

Smartphones und Tablets mit Android eignen sich bestens für die Nutzung von Passkeys. Google hat sämtlichen Android-Versionen ab Android 9 nachträglich einen Passkey-Authenticator spendiert. Die Passkey-Funktion steckt im Google Password Manager, der Bestandteil der Google-Play-Dienste ist. Diese werden wie gewöhnliche Apps über Google Play aktualisiert.

Um den Passkey-Authenticator von Google zu nutzen, müssen Sie einen Google-Account eingerichtet und eine PIN beziehungsweise einen Passcode als Displaysperre eingerichtet haben, was üblicherweise der Fall ist. Wenn Ihr Gerät mit einem Fingerabdrucksensor ausgestattet ist, sollten Sie diesen ebenfalls einrichten. Denn damit können Sie nicht nur Android entsperren, Sie können ihn auch für Passkeys verwenden. Dabei werden Ihre biometrischen Merkmale ausschließlich lokal verarbeitet und nicht an Google übertragen.

Unter Android kümmert sich der Google Password Manager auch um Passkeys. Er synchronisiert sie verschlüsselt über die Cloud mit anderen Android-Geräten.

Um Ihren ersten Passkey zu erstellen, rufen Sie die bereits erwähnte Testseite passkey.org mit Google Chrome auf und wählen einen beliebigen Nutzernamen. Anschließend drücken Sie auf „Sign up“ und „Continue“, worauf Ihnen Googles Passkey-Authenticator anbietet, einen Passkey zu erstellen. Klicken Sie auf „Weiter“ und bestätigen Sie per PIN oder Fingerabdruck, um den Vorgang abzuschließen.

Sie besitzen jetzt einen Passkey für die Testseite und sind eingeloggt. Drücken Sie auf „Sign out“, um sich auszuloggen. Jetzt können Sie sich mit „Sign in with passkey“ wieder per Passkey einloggen. Um den gespeicherten Passkey in Augenschein zu nehmen und bei Bedarf zu löschen, suchen Sie in den Android-Einstellungen nach dem „Passwortmanager“. Je nach Android-Version und Gerät können Sie ihn zum Beispiel auch über „Passwörter und Konten/Google“ erreichen.

Video-Kurzanleitung: Passkeys unter Android nutzen

Unten im Passwortmanager finden Sie eine Liste mit Websites, für die Zugangsdaten gespeichert sind. Wenn Sie eine davon auswählen, finden Sie alle für die Website gespeicherten Passwörter und Passkeys. Um den Google Password Manager künftig schneller zu erreichen, können Sie auf seiner Hauptansicht oben rechts auf das Zahnradsymbol klicken und anschließend eine „Verknüpfung zum Startbildschirm hinzufügen“.

Sie können die Passkey-Funktion nicht nur mit dem Chrome-Browser nutzen, sondern auch mit anderen Browser-Apps für Android, sofern diese von Google dafür freigegeben wurden. Grundsätzlich sind das derzeit neben Chrome auch Chromium, Microsoft Edge, Brave, Vivaldi und Vanadium (von GrapheneOS). Die Mozilla-Browser Firefox, Firefox Lite und Klar wurden ebenfalls freigegeben, allerdings hat Mozilla die Passkey-Unterstützung noch nicht fertiggestellt.

Der Google Password Manager speichert Ihre Passkeys Ende-zu-Ende-verschlüsselt in der Google-Cloud. So steht im Falle eines Gerätedefekts immer ein aktuelles Backup in der Cloud bereit. Nutzen Sie parallel mehrere Android-Geräte mit demselben Google-Account, bleiben Ihre Passkeys automatisch auf diesen Geräten synchron. Um die auf dem Android-Gerät gespeicherten Passkeys mit anderen Plattformen zu verwenden, etwa Windows, Linux oder macOS, können Sie die Nutzung einfach durch per QR-Code freigeben (siehe „Smartphone als Login-Helfer“).

Eine wichtige Änderung steht noch mit der kommenden Android-Version 14 an: Dann können Sie eine geeignete App Ihrer Wahl als Passkey-Authenticator einstellen, zum Beispiel einen Passwortmanager wie 1Password. Der kümmert sich dann auch um die Synchronisation mit anderen Geräten, unabhängig von Google-Cloud und Betriebssystem.

Apple-Geräte

Auch die Geräte von Apple sind gut für Passkeys gerüstet. Die einzige Voraussetzung ist ein aktuelles Betriebssystem: iOS und iPadOS unterstützen seit Version 16 das neue Anmeldeverfahren und macOS seit Ventura. Apple lässt hier auch etwas ältere Geräte nicht im Stich und bietet selbst für Modelle aus dem Jahr 2017 noch ein Betriebssystem-Update an.

Positiv hervorzuheben ist, dass sowohl auf Macs als auf iPhones und iPads alle Passkey-Spielarten zur Verfügung stehen. So haben Sie zum Beispiel die Möglichkeit, Passkeys Ende-zu-Ende-verschlüsselt in der iCloud zu speichern und sie so auf allen Apple-Geräten synchron zu halten. Hierzu müssen Sie den iCloud-Schlüsselbund in den Einstellungen unter „Apple ID/iCloud/Passwörter und Schlüsselbund“ aktivieren. Zudem muss unter iOS und iPadOS ein Entsperrcode gesetzt sein. Ratsam ist außerdem, Touch ID oder Face ID einzurichten, da Sie damit das Gerät und die Passkey-Funktion schnell und sicher entsperren können.

Die zweite Option ist „iPhone, iPad oder Android-Gerät“. Dann erscheint ein QR-Code auf dem Bildschirm, den Sie mit einem Smartphone scannen, um es als Authenticator zu nutzen (siehe Kasten „Smartphone als Login-Helfer“). Last, but not least bieten Apple-Geräte noch die Möglichkeit, einen FIDO2-Stick („Sicherheitsschlüssel“) für Passkeys zu verwenden. Eine Option, Passkeys ausschließlich lokal auf dem Gerät zu speichern, gibt es hingegen nicht – ist der iCloud-Schlüsselbund nicht aktiv, können Sie nur andere Geräte als Authenticator nutzen.

Video-Kurzanleitung: Passkeys mit iOS und macOS nutzen

Eine Besonderheit der Apple-Geräte ist, dass Sie Ihre Passkeys einzeln via AirDrop mit anderen Personen in Ihrer Nähe teilen können, zum Beispiel, wenn Sie einen Zugang zu einem Webdienst mit Familie oder Kollegen teilen möchten. Allerdings können Sie den Zugriff nachträglich nicht wieder entziehen, geteilt ist geteilt. Falls Sie es sich anders überlegen, müssen Sie beim jeweiligen Webdienst einen neuen Passkey erstellen und den alten aus Ihrem Account entfernen.

Nutzen Sie am besten Safari als Browser, da Sie damit in jedem Fall auf den Passkey-Authenticator des Betriebssystems zugreifen können. Alternativen Browsern gelingt das derzeit nur unter iOS und iPadOS. Unter macOS können Sie mit Alternativbrowsern wie Chrome oder Firefox nur die vom Browserhersteller bereitgestellten Passkey-Funktionen nutzen. Meist klappt so zumindest der Einsatz eines FIDO2-Sticks, bei aktuellen Chromium-basierten Browsern ist auch der Einsatz eines Smartphones per QR-Code möglich.

Mit Macs, iPhones und iPads können Sie Passkeys komfortabel nutzen. Die Bedienung ist auf allen Apple-Geräten weitgehend identisch.

Die Nutzung der Passkeys ist denkbar einfach. Zum Ausprobieren bietet sich auch bei den Apple-Geräten die Testseite passkey.org an. Rufen Sie die Website auf, geben Sie einen Nutzernamen ein und wählen Sie „Sign up“ und „Continue“. Falls Sie gefragt werden, welches Gerät Sie verwenden möchten, wählen Sie „Passkey in iCloud-Schlüsselbund“. Und die Frage, ob Sie einen Passkey speichern möchten, beantworten Sie mit„Fortfahren“. Jetzt bestätigen Sie noch mit Face ID, Touch ID oder Passcode, und Ihr Passkey wird sofort erstellt. Danach sind Sie eingeloggt.

Wählen Sie „Sign Out“ und unternehmen Sie daraufhin mit „Sign in with passkey“ Ihren ersten eigenen Login-Versuch. Nachdem Sie das noch mal per Passcode oder Biometrie bestätigt haben, sind Sie erneut eingeloggt. Ihre gespeicherten Passkeys können Sie unter „Einstellungen/ Passwörter“ inspizieren und auch wieder löschen.

Mit den voraussichtlich im Herbst erscheinenden Updates auf iOS und iPad OS 17 sowie macOS Sonoma baut Apple die Passkey-Funktionen nochmals aus. Dann sollen die Browser-Alternativen auch unter macOS auf die Passkeys im iCloud-Schlüsselbund zugreifen können. Darüber hinaus wird es Passwortmanager-Apps auf den Apple-Betriebssystemen möglich sein, Passkeys zu speichern und zu verwenden. Dann können Sie unter Windows, Android und Linux denselben Passwortmanager nutzen und Ihre Passkeys damit synchronisieren.

Linux

Auf Desktoprechnern hat Linux eine kleine, aber feine Fangemeinde. Klein und fein fällt auch die Beschreibung der Passkey-Funktionen für Linux-Systeme aus: Es gibt keinen zentralen Betriebssystem-Authenticator ähnlich Windows Hello oder der iCloud-Keychain, den Browser nutzen könnten. Deshalb sind Sie darauf angewiesen, was Ihr Browser aus eigener Kraft leistet.

Die besten Karten haben Sie mit Google Chrome, hier können Sie sowohl ein Smartphone oder Tablet (siehe Kasten „Smartphone als Login-Helfer“) als auch einen FIDO2-Stick für Passkeys nutzen. Andere Browser wie Firefox sind noch nicht so weit, dort können Sie nur FIDO2-Sticks verwenden. Mozilla hat Passkey-Unterstützung für die Version 120 auf der Roadmap, die gegen Jahresende erscheint.

Möchten Sie nicht von Smartphone oder FIDO2-Stick abhängig sein, kann Ihnen künftig ein Passwortmanager helfen. Viele davon werden in nächster Zeit Passkeys unterstützen. Mit der Beta von 1Password etwa können Sie bereits problemlos Passkeys unter Linux erstellen und mit anderen Betriebssystemen synchronisieren.

Rettungsplan

Das Passkey-Verfahren ist auf technische Hilfsmittel angewiesen. Man ist daher in einer ungünstigen Lage, wenn diese Hilfsmittel plötzlich ausfallen oder geklaut werden. Setzt man ausschließlich auf den Windows-eigenen Authenticator, dann sind aktuell alle Passkeys fest an den Windows-Rechner gebunden – anders gesagt: Ist der Rechner futsch, dann sind es auch die darauf gespeicherten Passkeys.

Mit einem FIDO2-Stick am Schlüsselbund können Sie Ihre Passkeys auch dann noch nutzen, wenn Smartphone und Notebook im Urlaub geklaut wurden.

Nutzen Sie stattdessen ein Apple- oder Android-Gerät, können Sie im Fall der Fälle Ruhe bewahren, da es ein verschlüsseltes Backup in der Cloud gibt. Wenn es eilt, kaufen Sie einfach das nächstbeste Ersatzgerät und richten dort Ihren Account ein. Anschließend werden die Passkeys automatisch aus der Cloud auf das neue Gerät synchronisiert.

Ein Retter in der Not sind auch die seit Längerem erhältlichen FIDO2-Sticks, die es schon in der Größe eines Fingernagels gibt. Wer auf Nummer sicher gehen möchte, kann bei den wichtigsten Diensten jeweils einen zusätzlichen Passkey für den FIDO2-Stick erstellen. Den Stick befestigt man einfach am Schlüsselbund und hat ihn fortan immer dabei, um ihn an jedem Rechner weltweit sicher einsetzen zu können. Um einen Passkey auf einem solchen Stick zu speichern, wählen Sie im Browser einfach „Sicherheitsschlüssel“ oder „USB-Sicherheitsschlüssel“. Auf einem Stick ist üblicherweise Platz für 25 Passkeys.

Eine weitere Rettungsmöglichkeit ist fast immer das zuvor genutzte Anmeldeverfahren, etwa Passwort plus Zwei-Faktor-Authentifizierung. Denn wenn Sie einen Passkey bei einem Webdienst erstellen, bleibt das Passwort meist bestehen und funktioniert weiter. Nur in sehr wenigen Fällen, etwa bei Microsoft, kann man das Passwort bereits aus dem Account entfernen, um komplett „passwortlos“ zu sein. Das ist ratsam, denn ansonsten ist es Onlineschurken weiterhin möglich, sich mit Ihrem Passwort einzuloggen. Der NAS-Hersteller Synology lässt seinen Kunden keine Wahl: Erstellt man einen Passkey für den Synology-Account, wird das Passwort nach einer Vorwarnung gelöscht. Das ist streng, sorgt aber dafür, dass Nutzer ihre Accounts bestmöglich absichern.

Bei den meisten Diensten gibt es eine Recovery-Funktion, für den Fall, dass alle eingerichteten Authentifizierungsverfahren nicht mehr greifen. Das läuft etwa über einen Passwort-zurücksetzen-Link, der an die hinterlegte Mail-Adresse geschickt wird oder über einen Bestätigungscode per SMS oder Mail. Achten Sie daher darauf, dass in Ihren wichtigen Accounts Ihre aktuelle Mail-Adresse und Handynummer eingestellt sind, da die Rettungsmechanismen ansonsten nicht greifen – ganz gleich, ob Sie Passkeys verwenden möchten oder nicht. Veraltete Kontaktinformationen müssen Sie zeitnah entfernen, da ansonsten der neue Eigentümer Ihrer verwaisten Mail-Adresse oder Handynummer Zugriff auf Ihre Accounts bekommen kann.

Fazit

Passkeys sind gekommen, um zu bleiben. Die neue Authentifizierungsmethode ist nicht nur komfortabler als Passwörter, sondern auch viel sicherer. Ganz verschwinden werden Passwörter auf absehbare Zeit nicht, aber die Chancen stehen gut, dass Passkeys vermehrt als Alternative angeboten werden. Das ist auch im Interesse der Website-Betreiber, denn Passkeys lösen eines der derzeit größten Sicherheitsprobleme: Phishing.

Die ersten Passkeys können Sie schon jetzt erstellen und nutzen, weitere folgen nach und nach, wenn mehr Websites auf den Passkey-Zug aufspringen. Je nachdem, womit Sie Ihre Passkeys nutzen, müssen Sie derzeit noch Einschränkungen in Kauf nehmen. So ist es noch nicht möglich, Passkeys von einem Ökosystem zu einem anderen umzuziehen, etwa von Apple zu Google, da eine herstellerübergreifende Exportfunktion fehlt. Windows-Nutzer könnte darüber hinaus stören, dass Windows Hello keine Sync-Funktion bietet. Doch Abhilfe naht: In Kürze erscheinen diverse Passwortmanager mit Passkey-Funktion, die einen flexiblen Einsatz ermöglichen.

Im folgenden Artikel (S. 24) erfahren Sie, wie Sie Passkeys in eigene Web-Apps wie Nextcloud oder WordPress integrieren, damit Sie sich auch dort komfortabel und sicher einloggen können. Auf Seite 28 finden Sie unser Interview mit Andrew Shikiar, Executive Director der FIDO Alliance. Wir haben ihn zu Chancen, Risiken und Perspektiven der Passkeys befragt. (rei@ct.de)

Passkeys einrichten und testen:ct.de/y5ht