Es tut sich viel, um Anmeldungen an Betriebssystemen, Onlinediensten und Webseiten einfacher und sicherer zu machen. "Passwortlose Anmeldung" oder "Passwortloses Login", mit Hilfe von "Passkey" ist das eine mögliche Lösung.
Das bedeutet aber keinesfalls, dass nun der Zugriff ohne eine Absicherung erfolgt. Bei der Anmeldung mit Passkey wird anstelle des Passwortes ein Kryptoschlüssel zur Identifikation verwendet. Dieses Verfahren
ist deutlich sicherer als die herkömmliche Passwort-Anmeldung, da sie auch an das lokale Gerät gebunden ist. Hinweis zu Windows 11
Passkey nennt sich bei Windows "Windows Hello" und muss eingerichtet werden. Eine Beschreibung befindet sich weiter unten unter "Windows Hello".
Passkey - kurz erklärt
Beispiel Passkey:Amazon-Login am Windows-PC
Einrichtung "Amazon" [www.amazon.de] bietet die Anmeldung mit Passkey an.
Zur Einrichtung ist die Amazon-Webseite aufzurufen und das Anmeldefenster zu öffnen. Im Anmeldefenster klickt man auf "Melde dich mit einem Passkey an".
Auf dem lokalen Gerät (z.B. Windows PC) werden nun zwei Kryptoschlüssel generiert, ein privater Schlüssel und öffentlicher Schlüssel.
Der private Schlüssel verbleibt auf dem lokalen Gerät, der öffentliche Schlüssel wird dem Onlinedienst [Amazon] übergeben.
Anmeldung
Zur Anmeldung ist die Amazon-Webseite zu starten und das Anmeldefenster zu öffnen, der Kontoname ist einzutragen bzw. ist schon voreingetragen und zu bestätigen. Nun meldet sich die "Windows-Sicherheit" mit dem Hinweis :
Die Bestätigung erfolgt mit einer der vorher festgelegten Optionen :Fingerabdruck, PIN usw. Damit wird der öffentliche Schlüssel zur Übertragung und Anmeldung freigegeben. Nun erfolgt die Anmeldung bei Amazon.
Passkey - Die Schlüssel
Das Wort "Passkey" kann man mit "Hauptschlüssel" übersetzen. Passkeys sind Kryptoschlüssel, also lange, zufällig generierte Zeichenketten.
Ein Passkey besteht aus einem privatem und einem öffentlichen Schlüssel.
Privater Schlüssel
Der private Schlüssel ist geheim und verbleibt immer auf dem lokalen Gerät (Authenticator=Echtheitsbestätigung). Passkeys sind also gerätegebunden.
Öffentlicher Schlüssel Der öffentliche Schlüssel wird bei dem Onlinedienst, Webseitenbetreiber usw. gespeichert.
Der private und der öffentliche Schlüssel bilden die Grundlage für eine passwortlose Anmeldung.
Passkey - Authenticator
Der Authenticator erstellt ein kryptografisches Schlüsselpaar bestehend aus einem privatem und öffentlichem Schlüssel, leitet den
öffentlichen Schlüssel an den Server des Online-Dienstes weiter und speichert den privaten Teil je nach Authenticator-Variante auf dem Gerät. Hier gibt es je nach Hersteller Unterschiede:
Apple Apple nutzt für die Verwaltung der privaten Schlüssel die betriebssystemeigene Schlüsselverwaltung, d.h. der Passkey-Authenticator ist der bereits bekannte "iCloud-Schlüsselbund".
Die privaten Schlüssel werden in der Cloud von Apple gespeichert. Damit ist die Passkey-Verwaltung in der Regel nicht ganz so sicher, aberdie Passkeys sind automatisch auf allen Apple-Geräten verfügbar.
Neue Apple-Geräte können relativ einfach mit dem iCloud-Schlüsselbund synchronisiert werden, sodass auch das neue Apple-Gerät auf die dort gespeicherten Passkeys zugreifen kann.
Google Bei Android-Geräten und Rechnern mit ChromeOS werden die Passkeys in Googles betriebssystemeigenem Passwortmanager verwaltet.
Dabei werden die beiden kryptografischen Schlüsselpaare (privater und öffentlicher Schlüssel) auf dem Gerät generiert.
Der private Schlüssel wird dann in der Herstellercloud sicher Ende-zu-Ende verschlüsselt gespeichert und kann durch die Cloud-Lösung mit anderen Android-Geräten synchronisiert werden.
Damit stehen die im Google-Passwortmanager gespeicherten Passkeys allen Android-Geräten zur Verfügung, die den Google Passwortmanager verwenden. Dazu müssen Sie nur mit Ihrem entsprechenden Google-Konto angemeldet sein.
Microsoft Bei Microsoft kommt der Authentifizierungsdienst "Windows Hello" zum Einsatz.
Das Hardwaremodul des Rechners TPM (Trusted Plattform Modul) übernimmt die Funktion des Authenticators und speichert auch den Passkey.
Anders als bei Apple und Google werden die Passkeys lokal abgelegt, was zwar mehr Sicherheit aber auch weniger Komfort bietet.
Eine Synchronisation der Passkeys über mehrere Geräte hinweg ist nicht möglich. Die im Hardwaremodul gespeicherten Passkeys können nur am jeweiligen Rechner genutzt werden.
Verlieren Sie den Zugriff auf Ihre Passkeys, etwa wenn das Gerät gestohlen wird, besteht keine Möglichkeit zur Wiederherstellung. Eine Fallback-Lösung könnte das alte Passwort beim jeweiligen Webdienst sein.
Falls Sie mehr Flexibilität bei der Nutzung der im Windows Rechner gespeicherten Passkeys haben möchten, können Sie das Smartphone ähnlich
wie bei Apple und Google als externen Passkey-Authenticator nutzen, um sich per QR-Code-Scan an fremden Geräten anzumelden.
Ausblick
Microsoft plant offenbar, Passkeys künftig über den MS-Account zwischen Geräten zu synchronisieren.
Außerdem ist eine Drittanbieter API geplant, mit der in Windows Hello erstellte Passkeys auch in einem Passwortmanager gespeichert werden können. Damit würde Microsoft mit Apple und Google gleichziehen.
FIDO2-Sicherheitsschlüssel Der Klassiker unter den Passkey-Authenticatoren ist der FIDO2-Sicherheitsschlüssel (Hardware-Token).
Er sieht aus wie ein USB-Stick und lässt sich auch ähnlich nutzen. Der Stick kann per USB oder über Bluetooth verbunden werden. Die Passkeys werden sicher im Sicherheitschip des FIDO2-Sticks gespeichert.
Bei der Erstellung eines Passkeys sowie der spätere Anmeldung erfolgt die Freigabe per Druck auf den Knopf am FIDO2-Stick oder durch die Eingabe einer PIN.
FIDO2-Sicherheitsschlüssel können in der Regel bis zu 30 Passkeys speichern, bei mehr Passkeys benötigt man weitere Sticks.
Empfehlenswert ist es auch, zu jedem Stick einen zweiten als Backup zu haben, falls der erste verloren geht.
Weil jeder Stick ein Unikat ist und nicht kopiert werden kann, müssen Backup-Sticks bei jedem Online-Dienst als eigenes vertrauenswürdiges Gerät registriert werden.
Passwortmanager Passkeys können auch in einem Passwortmanager eines Drittanbieters verwaltet werden. Wie bei Apple und Google werden bei den meisten
Passwortmanagern von Drittanbietern die Passkeys verschlüsselt in der Cloud des Herstellers gespeichert.
Wer Passwortmanager für die Verwaltung seiner Passkeys nutzt, kann die dort gespeicherten Passkeys nahtlos auf mehreren Geräten einsetzen.
Dafür muss lediglich die jeweilige Passwortmanager-App auf dem entsprechenden Gerät installiert werden. Damit ist auch die Nutzung der Passkeys auf
betriebssystemfremden Geräten möglich, sofern das jeweilige Betriebssystem von der App unterstützt wird.
Passkey - Anmeldung / Login
Wenn Sie sich bei einem Online-Dienst mit einer Passkey-Identifizierung anmelden möchten, kommuniziert der Dienst mit dem lokalen Gerät.
Zunächst wird eine Aufgabe (Challenge) gesendet, sich zu identifizieren, ob Sie zur Anmeldung berechtigt sind. Hier kommen die festgelegten Optionen in Frage (Gesichtserkennung (Face ID) oder Fingerabdruck (Touch ID) oder PIN).
Bei einer Übereinstimmung sendet das lokale Gerät die digitale Signatur (öffentlicher Schlüssel) an die Webseite und bestätigt damit, dass es tatsächlich Sie sind, der sich einloggen möchte. [siehe oben:Passkey - kurz erklärt]
Über die Bestätigungs-Option "Verwenden eines anderen Geräts" kann man z.B. die Bestätigung durch ein Smartphone über einen QR-Code einholen.
Ein Passwort wird nicht mehr benötigt
Passkeys können nicht zu simpel oder zu kurz sein
Passkeys können nicht vergessen werden
unwahrscheinlich, dass Passkeys durch Phishing oder Datendiebstahl verloren gehen
Die Schlüssel funktionieren nur mit der lokalen Bestätigung
Jeder Passkey schützt immer genau einen Account
Die Bestätigung kann einfach per Fingerabdruck oder Gesichtserkennung erfolgen
Mit Passkey sind Anmeldungen an betrügerischen Seiten nicht möglich
Passkeys können nicht geteilt werden
Nutzen Sie zum Beispiel einen Netflix-Account mit jemandem gemeinsam, kann sich immer nur die Person, der das Gerät mit dem Passkey gehört, einloggen, da das Verfahren gerätegebunden ist.
Jeder Account benötigt einen eigenen Passkey [ kann auch ein Vorteil sein ]
Passkeys sind gerätegebunden [ Bei Geräteverlust kann der Zugang verloren gehen ]
Stand:April 2025 (unvollständig)
1Password Adobe Amazon Apple Bitwarden (Passwörter) Dashlane (Passwörter) Ebay GitHub (Software) Google Kayak (Reisen) Keepass XC (Passwörter) Keeper (Passwörter) Linkedin Microsoft Mozilla (Firefox) Nintendo Nvidia PayPal Shopify (E-Commerce) Sony Playstation Synology Telekom Tiktok Uber (u.a. Taxi) Whatsapp X (Twitter) Yahoo Zoho (u.a. Office)
Wenn eine Webseite Passkey anbietet, sollte man intensiv darüber nachdenken und das Angebot annehmen.
Für den PC lohnt sich die Anschaffung eines Fingerscanners, falls auf eine Webcam verzichtet wird
Unter Windows Hello sollten nur Passkeys eingerichtet werden, wenn der "normale" Passwortzugang zur Anmeldung noch möglich ist
Bei Gerätewechsel (PC / Smartphone) sind auch die Passkeys zu berücksichtigen
„Windows Hello“
Windows Hello muss vor der Benutzung konfiguriert werden.
Nach der Konfiguration erfolgt dann die Anmeldung am Microsoft-Konto per Passkey. Das Anmeldung ist dann natürlich nicht mehr lokal! Wenn Windows Hello aktiviert ist, können Sie sich standardmäßig nicht mit einem Kennwort anmelden.
"Windows Hello" Konfiguration
Der Benutzer muss angeben, wie er sich bei den Verwendung von Passkeys identifizieren möchte.
Dafür stehen ihm folgende Optionen zur Auswahl:
Gesichtserkennung [Windows Hello Face]
Fingerabdruck []
lokale PIN
Sicherheitsschlüssel
Klick auf den Start-Button
Klick auf PC-Einstellungen oder
Klick auf Konten
Klick auf Anmeldeoptionen unter "Kontoeinstellungen" [ Alle Hello-Anmeldemöglichkeiten sind entsprechend gekennzeichnet
(Gesichtserkennung / Fingerabdruckerkennung / PIN)
Durch Öffnen der ausgewählten Option erfolgt die Einrichtung. Folgen Sie den Anweisungen. Bei der Einrichtung der biometrischen Erkennung wird auch die PIN aktiviert.
Das geschieht für den Fall, dass die Kamera oder der Fingerscanner nicht zur Verfügung stehen.
"Einstellungen" beenden
"Windows Hello" Installierte Passkeys
So lassen sich alle unter Windows Hello installierten Passkeys anzeigen:
Klick auf den Start-Button
Klick auf PC-Einstellungen oder
Klick auf Konten
Klick auf Passkeys unter "Kontoeinstellungen" Alle installierten Passkeys von Apps und Webseiten werden angezeigt.
"Windows Hello" Passkeys löschen
Löschen installierter Passkeys. Die Anmeldung mit Passkey muss auch auf der betroffenen Webseite gelöscht werden !
Klick auf den Start-Button
Klick auf PC-Einstellungen oder
Klick auf Konten
Klick auf Passkeys unter "Kontoeinstellungen" Alle installierten Passkeys von Apps und Webseiten werden angezeigt.
Klick in des Zeile des zu löschenden Passkeys auf "..." [ Das Feld "Hauptschlüssel löschen" wird angezeigt ]
"Eingeloggt bleiben“
Immer mehr Softwareanbieter bieten die Möglichkeit "Eingeloggt bleiben" oder "Angemeldet bleiben" an. Was bedeutet das?
Nach der Aktivierung dieser Funktion ist ein Benutzer nach einer erneuten Anmeldung an einem System sofort "angemeldet", ohne sich erneut anmelden zu müssen.
Das spart viele Male die Eingabe von Kennung/Passwort, ist aber auch als ein Sicherheitsrisiko zu bewerten. Oftmals findet sich in der Anmeldemaske ein Feld zum Anhaken mit einem Text wie "angemeldet bleiben" oder so ähnlich.
In diesen Fällen wird dann oft ein Cookie mit den Anmeldedaten gesetzt, das z.B. die Login-Daten für eine bestimmte Dauer speichert. Ob das notwendig ist, muss jeder für sich entscheiden.
Mit den oben dargestellten Möglichkeiten einer schnellen und sicheren Passkey-Anmeldung halte ich das "Angemeldet bleiben" für nicht erforderlich.
Bei der Nutzung eines öffentlichen Computers oder eines Rechners, der von mehreren Personen verwendet wird, sollte man diese Funktion aus
Sicherheitsgründen nicht verwenden. Zumindest sollte man den Internetbrowser und die Benutzeranmeldung sauber beenden.
