Was sind Passkeys?
Passkeys sind der moderne Ersatz für Passwörter. Entwickelt von der FIDO Alliance und W3C (WebAuthn Standard), nutzen sie Public-Key-Kryptographie:
- Privater Schlüssel: Bleibt auf Ihrem Gerät (niemals übertragen)
- Öffentlicher Schlüssel: Beim Dienst registriert
- Authentifizierung: Biometrie (Fingerabdruck, Gesicht) oder PIN entsperrt den privaten Schlüssel
Vorteile gegenüber Passwörtern
| Merkmal | Passwort | Passkey |
|---|---|---|
| Phishing-resistent | Nein | Ja |
| Datenbankdiebstahl | Kritisch | Harmlos (nur öffentlicher Schlüssel) |
| Benutzerkomfort | Gering | Sehr hoch |
| Brute-Force | Möglich | Unmöglich |
| Wiederverwendung | Häufiges Problem | Nicht möglich |
FIDO2 vs. Passkeys
- FIDO2/WebAuthn: Der zugrundeliegende Standard (2018)
- Hardware-Token (FIDO2-Key): Physischer Sicherheitsschlüssel (YubiKey, etc.)
- Passkeys: Passkeys sind FIDO2-Credentials die auf Gerät oder Cloud (iCloud Keychain, Google Password Manager) gespeichert werden
Passkeys in Microsoft 365 / Entra ID einrichten
Schritt 1: FIDO2-Sicherheitsschlüssel in Entra ID aktivieren
Entra-Admin-Center → Sicherheit → Authentifizierungsmethoden:
- FIDO2-Sicherheitsschlüssel: Status auf Aktiviert
- Ziel: Alle Benutzer oder ausgewählte Gruppen
- Speichern
Schritt 2: Passkeys (gerätegebunden) aktivieren
Entra ID → Sicherheit → Authentifizierungsmethoden → Passkey (FIDO2):
- Enable: ✓
- Allow self-service setup: ✓
- Enforce attestation: Optional (empfohlen für Enterprise)
- AAGUID: Bestimmte Schlüsselmodelle erzwingen (Enterprise)
Schritt 3: Benutzer registriert Passkey
Benutzer öffnet: myaccount.microsoft.com → Sicherheitsinformationen:
- Anmeldemethode hinzufügen → Passkey (FIDO2)
- Beschreibung: z. B. "YubiKey 5C" oder "Windows Hello Laptop"
- Browser fragt nach Biometrie/PIN oder Sicherheitsschlüssel
- Passkey wird registriert
Passkey-Anmeldung nutzen
Login bei microsoft.com, outlook.com, Entra-Apps:
- "Andere Anmeldemethode" → "Passkey (FIDO2)"
- Windows Hello (Fingerabdruck/Gesicht) oder YubiKey berühren
- Anmeldung ohne Passwort!
Windows Hello for Business einrichten
Windows Hello ist Microsofts Passkey-Implementierung für Windows:
Über Intune/GPO ausrollen
Gruppenrichtlinien: Computer Configuration → Administrative Templates → Windows Components → Windows Hello for Business
- Use Windows Hello for Business: Enabled
- Use a hardware security device: Enabled (für TPM 2.0-Geräte)
- Use certificate for on-premises authentication: Je nach Setup
Intune: Device Configuration → Templates → Identity Protection → Windows Hello for Business
Manuell auf Einzelgerät aktivieren
Windows 11: Einstellungen → Konten → Anmeldeoptionen:
- Gesichtserkennung (Windows Hello): Kamera erforderlich
- Fingerabdruckerkennung: Fingerabdruckleser erforderlich
- PIN: Fallback-Methode
FIDO2-Hardware-Keys (YubiKey)
YubiKey 5-Serie von Yubico ist der bekannteste FIDO2-Hardware-Token:
Modelle im Überblick
| Modell | Anschlüsse | Preis |
|---|---|---|
| YubiKey 5 NFC | USB-A, NFC | ~55 € |
| YubiKey 5C NFC | USB-C, NFC | ~60 € |
| YubiKey 5Ci | USB-C, Lightning | ~75 € |
| Security Key NFC | USB-A, NFC | ~30 € (FIDO2 only) |
YubiKey als Passkey registrieren
- YubiKey in USB stecken
- Bei Microsoft-Login: "Passkey (FIDO2)" auswählen
- Browser: "USB-Sicherheitsschlüssel" auswählen
- YubiKey berühren (goldfarbener Bereich blinkt)
- PIN eingeben (wird beim ersten Nutzen gesetzt)
- Fertig – YubiKey ist als Passkey registriert
YubiKey Manager
YubiKey Manager (yubico.com/support) zum Verwalten des Keys:
- PIN ändern
- Fingerabdrücke registrieren (YubiKey Bio)
- Konfiguration zurücksetzen
Passkeys in Google Chrome / Edge
Passkeys werden von allen modernen Browsern unterstützt:
- Chrome 108+: Passkeys gespeichert in Google Password Manager oder Windows Hello
- Edge 108+: Windows Hello oder externer FIDO2-Key
- Safari 16+: iCloud Keychain Passkeys
- Firefox 122+: FIDO2-Hardware-Keys (keine Sync-Passkeys)
Passwortlose Anmeldung für On-Premises-Ressourcen
Windows Hello for Business kann auch für On-Premises-Domänen genutzt werden:
Voraussetzungen:
- Windows Server 2016+ Domain Controller
- PKI-Infrastruktur (ADCS) vorhanden
- Hybrides Azure AD Join oder Azure AD Join
Konfiguration über Gruppenrichtlinien oder Intune → Scoped zu Domain-Computern.
FAQ
Sind Passkeys wirklich sicherer als MFA mit Authenticator-App?
Ja. Passkeys sind phishing-resistent: Der Browser prüft automatisch die Domain und gibt den Passkey nur an die registrierte Website. Ein Phishing-Login funktioniert nicht.
Was passiert wenn ich mein Gerät verliere?
Wenn Passkeys in der Cloud synchronisiert werden (iCloud/Google): Auf neuem Gerät sofort verfügbar. Hardware-Token (YubiKey): Backup-Key oder alternativer Anmeldeweg erforderlich. Microsoft empfiehlt: immer 2 registrierte Passkeys.
Unterstützen alle Websites Passkeys?
Wachsende Liste: Microsoft, Google, Apple, GitHub, PayPal, eBay, Amazon (teilweise). passkeys.directory zeigt kompatible Dienste.
Fazit
Passkeys und FIDO2 sind die Zukunft der Authentifizierung. Sie machen Phishing-Angriffe wirkungslos und verbessern gleichzeitig den Benutzerkomfort. Unternehmen die auf Passkeys umstellen, reduzieren Account-Übernahmen auf nahe null.
Als IT-Sicherheitsexperten in Heidelberg implementieren wir passwortlose Authentifizierung für KMU in Mannheim, Ludwigshafen und der Rhein-Neckar-Region. Jetzt Sicherheitsberatung anfragen.