Blog - DEEKEN.GROUP

Passkey-Authentifizierung: Ein Einblick in die Funktionsweise des Logins ohne Passwort

Geschrieben von Tobias Müller | 28.05.2024 12:23:15

Tauchen Sie ein in die Ära der modernen Identitätsüberprüfung mit Passkeys: Sehen Sie, wie Passkeys die Online-Welt revolutionieren können und erkunden Sie die technischen Hintergründe jener innovativen Sicherheitsmethode. Tschüss Passwörter, tschüss Phishing. Hallo neuer und origineller Login via Passkey! Einfach, schnell sowie sicher.

In 2012 wurde die FIDO-Alliance gegründet. Ihr Ziel: Einen lizenzfreien modernen Standard für die Identitätsüberprüfung im Web entwerfen (FIDO = Fast IDentity Online). Der US-amerikanischen Organisation gehören etliche „Big Player“ der Tech-Industrie an, zum Beispiel Google, Microsoft, Apple, Samsung, Alibaba und Amazon. Die Einrichtung hat eine neue Technologie entwickelt, welche wir in diesem Artikel genauer unter die Lupe nehmen wollen: Authentifizierung mittels Passkeys. Das Ziel der FIDO: Rasche Online-Ausweisung. Passwörter sollten abgeschafft plus Logins zwar bequemer, aber gleichzeitig auch safer gemacht werden. Aber wie soll das bloß funktionieren?!

Die Bedeutung von Passkeys

In einer gegenwärtigen Analyse von 1Password gab jeglicher (!) Befragte an, bereits einmal direkt oder indirekt mit Phishing in Berührung gelangt zu sein. Insofern verwundert es nicht, dass der Großteil der Befragten eine sichere Login-Methode für deren Online-Accounts für sehr wichtig hält. Die Zwei-Faktor-Authentifizierung (2FA) erscheint da zwar in der Theorie nach einer guten Option, hat jedoch einen größeren Nachteil: Man kann sich unglaublich leicht selbst heraussperren aus den eigenen Konten. Von dem zeitlichen Aufwand mal ganz abzusehen. Simpel sowie „smooth“ ist der 2FA-Login mitnichten. Darüber hinaus werden natürlich auch Hacker immerzu klüger: Cyber-Kriminelle haben in den zurückliegenden Jahren schon Methoden gefunden, SMS abzufangen und auf diese Weise an den zweiten Faktor für die Authentifizierung zu kommen. Wirklich geschützt wäre ein Login also nur, wenn es überhaupt keine Zugangsdaten gäbe, welche man ausspionieren kann. Und genau an dieser Stelle kommen Passkeys auf den Radar!

Passkeys, ebenso bekannt als Sicherheitsschlüssel oder auch Authentifizierungsschlüssel, werden immer mehr zu einem wesentlichen Glied moderner Sicherheitsinfrastrukturen. Im Gegensatz zu herkömmlichen Passwörtern bieten diese eine erweiterte Sicherheitsebene, indem sie eine physische Einzelheit in die Authentifizierung integrieren. Diese Eingebung hinter Passkeys ist, dass der Nutzer Zugang zu all den eigenen Online-Konten im Internet hat, ohne dass man sich jedes Mal mit Benutzernamen sowie Kennwort einloggt. Erklärtes Ziel der sogenannten Passkey-Technologie ist es, frei von Zugangsdaten auszukommen, die ausspioniert werden könnten. Selbige wurden entwickelt, um eine passwortlose Registrierung bei Websites und Apps zu gewähren sowie das Benutzererlebnis einfacher wie auch phishing-sicher zu formen. 

Doch wie gelingt das? Also, bei der Erstellung eines Accounts bei einem Online-Dienst, der Passkeys unterstützt, werden zwei Schlüssel erstellt, die miteinander mathematisch verknüpft sind: 

1.    Ein öffentlicher Schlüssel – dieser wird mit dem Service, sagen wir mal einer Internetseite oder einer Applikation geteilt und fungiert dazu, Infos zu verschlüsseln, die lediglich der private Schlüssel entschlüsseln kann. 
2.    Einen privaten, asymmetrischen Krypto-Schlüssel – dies ist eine äußerst lange, total beliebig generierte Abfolge von Kennzeichen. Jener private Schlüssel ist ausschließlich auf dem Gerät des Anwenders gespeichert. Auf allen verknüpften Geräten, zum Beispiel dem Laptop oder Smartphone, ist somit via Passkey-Login kein Benutzername und auch kein Passwort mehr notwendig. 

Um Passkeys verwenden zu können, sind zwei Dinge technisch erforderlich: Das Gerät muss das „Client to Authenticator Protocol“ (CTAP2) fördern, um geschützt mit dem Browser kommunizieren zu können. Der Online-Dienst, bei dem man sich anmelden will, muss hierüber hinaus die „WebAuthentication standard API“ fördern (WebAuthn). Das ist eine Verbindung, welche unabdingbar ist, um sich mit dem Schlüsselprinzip, dessen sich Passkeys bedienen, authentifizieren zu können. 

Da Passkeys demzufolge auf den entsprechenden Endgeräten gespeichert werden, drängt sich selbstverständlich sofort eine wesentliche Frage auf: Wie lassen sich die Geräte vor unbekannten Zugriffen schützen? Denn in jenem Fall stünden einem Hacker Tür und Tor offen, in dem Moment wo er ein fremdes Gerät in die Finger bekommt. Aber zum Glück gibt es dafür bereits Lösungen: Denn die neumodernen Modelle von Endgeräten – ob Laptop, Smartphone oder auch Smart-TV – bieten Geräte- sowie auch App-Entsperrung durch biometrische Scans an. Die bekanntesten sind Fingerabdruckscan und Face ID. Auf diese Weise entsteht durch die Mischung aus Passkey und biometrischen Daten eine extrem sichere Form der Identitätsüberprüfung.


Die Anwendung von Passkeys offeriert eine ganze Reihe von Vorzügen für Nutzer und Firmen. Dazu zählen eine erhöhte Sicherheit durch eine physische Authentifizierungskomponente, eine optimierte User Experience durch nahtlose Anmeldung und eine Verkleinerung des Risikos von Phishing-Attacken sowie Passwortdiebstahl. Einige Technologiereisen haben aus diesem Grund ebenfalls bereits Passkeys implementiert – zuletzt mit viel Furore der Online-Marktplatz Amazon. Und das wird voraussichtlich erst der Anfang sein – Experten gehen hiervon aus, dass Passkeys sich zunehmend am Markt ausbreiten und als Norm etablieren werden.

Was meinen Sie: Ist die Zukunft der Authentifizierung passwortlos und physisch? 

Bei Anliegen zum Thema 2FA sowie Passkeys schreiben Sie uns gerne an. 
Wir informieren und unterstützen Sie auf Ihrem Weg hin zu einem sicheren Unternehmen!