Passkey / FIDO2

Auch bekannt als: FIDO2, Passkeys, WebAuthn, passwortlose Anmeldung

Passkeys sind passwortlose Anmeldeverfahren nach dem FIDO2-Standard: Ein kryptografisches Schlüsselpaar ersetzt das Passwort, angemeldet wird per Fingerabdruck, Gesichtserkennung oder PIN. Weil der Schlüssel an die echte Domain gebunden ist, sind Passkeys phishing-resistent.

Wie funktionieren Passkeys technisch?

FIDO2 kombiniert die Web Authentication API (WebAuthn) mit dem Client to Authenticator Protocol (CTAP2). Bei der Einrichtung entsteht ein Schlüsselpaar: Der private Schlüssel bleibt auf dem Gerät - Smartphone, Laptop oder Hardware-Security-Key -, der öffentliche wird beim Dienst hinterlegt. Zur Anmeldung signiert das Gerät eine kryptografische Challenge; freigegeben wird die Signatur lokal per Biometrie oder PIN. Entscheidend: Es wird nie ein Geheimnis über das Netz übertragen, das man abfangen könnte.

Warum sind Passkeys phishing-resistent?

Der private Schlüssel ist kryptografisch an die Domain des echten Dienstes gebunden. Eine nachgebaute Login-Seite - und sei sie pixelgenau - hat die falsche Domain, und der Schlüssel funktioniert dort schlicht nicht. Damit laufen auch Adversary-in-the-Middle-Angriffe ins Leere, die klassische MFA-Codes in Echtzeit abfangen. Der Nutzer kann den Fehler „Passwort auf Phishing-Seite eingeben” gar nicht mehr machen, weil es kein Passwort gibt.

Wie führen KMU Passkeys ein?

Gestaffelt: zuerst Administrator-Konten, dann die Microsoft-365-Konten der Belegschaft, danach Remote-Zugänge und Finanzsysteme. Für privilegierte Konten empfehlen sich Hardware-Keys, für die Breite reichen Smartphone-Passkeys mit Biometrie. Die FIDO2-Unterstützung ist in gängigen Business-Plänen von Microsoft 365 bereits enthalten; auch das BSI empfiehlt passwortlose Verfahren als Stand der Technik. Den kompletten Einführungsfahrplan liefert der Beitrag Passkeys und FIDO2 für KMU.

Fragen zu Passkey / FIDO2 in Ihrem Unternehmen?

Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.

Zuletzt aktualisiert: 4. Juli 2026