Passkey / FIDO2
Auch bekannt als: FIDO2, Passkeys, WebAuthn, passwortlose Anmeldung
Passkeys sind passwortlose Anmeldeverfahren nach dem FIDO2-Standard: Ein kryptografisches Schlüsselpaar ersetzt das Passwort, angemeldet wird per Fingerabdruck, Gesichtserkennung oder PIN. Weil der Schlüssel an die echte Domain gebunden ist, sind Passkeys phishing-resistent.
Wie funktionieren Passkeys technisch?
FIDO2 kombiniert die Web Authentication API (WebAuthn) mit dem Client to Authenticator Protocol (CTAP2). Bei der Einrichtung entsteht ein Schlüsselpaar: Der private Schlüssel bleibt auf dem Gerät - Smartphone, Laptop oder Hardware-Security-Key -, der öffentliche wird beim Dienst hinterlegt. Zur Anmeldung signiert das Gerät eine kryptografische Challenge; freigegeben wird die Signatur lokal per Biometrie oder PIN. Entscheidend: Es wird nie ein Geheimnis über das Netz übertragen, das man abfangen könnte.
Warum sind Passkeys phishing-resistent?
Der private Schlüssel ist kryptografisch an die Domain des echten Dienstes gebunden. Eine nachgebaute Login-Seite - und sei sie pixelgenau - hat die falsche Domain, und der Schlüssel funktioniert dort schlicht nicht. Damit laufen auch Adversary-in-the-Middle-Angriffe ins Leere, die klassische MFA-Codes in Echtzeit abfangen. Der Nutzer kann den Fehler „Passwort auf Phishing-Seite eingeben” gar nicht mehr machen, weil es kein Passwort gibt.
Wie führen KMU Passkeys ein?
Gestaffelt: zuerst Administrator-Konten, dann die Microsoft-365-Konten der Belegschaft, danach Remote-Zugänge und Finanzsysteme. Für privilegierte Konten empfehlen sich Hardware-Keys, für die Breite reichen Smartphone-Passkeys mit Biometrie. Die FIDO2-Unterstützung ist in gängigen Business-Plänen von Microsoft 365 bereits enthalten; auch das BSI empfiehlt passwortlose Verfahren als Stand der Technik. Den kompletten Einführungsfahrplan liefert der Beitrag Passkeys und FIDO2 für KMU.
Verwandte Begriffe
Fragen zu Passkey / FIDO2 in Ihrem Unternehmen?
Ich unterstütze kleine und mittlere Unternehmen pragmatisch bei IT-Consulting, Administration und Security – herstellerneutral und ohne Vertriebsdruck.
Zuletzt aktualisiert: 4. Juli 2026