Passkeys sind eine phishingresistente Methode der Multifaktor-Authentifizierung (MFA), die als eigenständiger Authentifizierungsfaktor oder zusammen mit Passwörtern in hybriden Bereitstellungen verwendet werden kann. Wenn ein Passkey verwendet wird, ist die Authentifizierung an die legitime Website gebunden und basiert auf kryptografischem Nachweis statt auf einmaligen Verifizierungscodes, die manuell eingegeben oder bestätigt werden müssen. Diese FAQ erklärt, warum und wie Passkeys sicherer sind als SMS-Codes, Authenticator-Apps und Push-Benachrichtigungen.
Können Passkeys ohne Passwörter funktionieren?
Ja. Passkeys können in passwortlosen Bereitstellungen als vollständige Authentifizierungslösung dienen, da sie von Natur aus multifaktoriell sind. Sie erfordern den Besitz eines Geräts sowie eine biometrische oder PIN-Verifizierung. Organisationen können Passkeys auch als zusätzlichen Authentifizierungsfaktor neben Passwörtern verwenden und Teams so die Flexibilität geben, den Ansatz zu wählen, der zu ihren Sicherheitsrichtlinien und Benutzerabläufen passt.
Was macht Passkeys zu einer „phishingresistenten“ Multifaktor-Authentifizierung?
Passkeys sind kryptografisch sicher und nutzen moderne Verschlüsselung und mathematische Funktionen, sodass sie nicht erraten und kaum gephisht werden können. Damit sind sie eine Form der phishingresistenten Multifaktor-Authentifizierung. Drei Eigenschaften definieren diese Klasse von MFA.
Origin-Bindung Der Authenticator überprüft die Website oder App, die die Anmeldung anfordert, und reagiert nur, wenn die Domain legitim ist (siehe So funktionieren Passkeys). Dadurch wird verhindert, dass täuschend ähnliche Websites eine gültige Anmeldung auslösen.
Challenge-Response Bei jeder Anmeldung wird eine eindeutige, kurzlebige Challenge verwendet, die vom Dienst generiert wird. Der Authenticator signiert diese Challenge mit einem privaten Schlüssel. Es gibt keine wiederverwendbaren Informationen, die ein Angreifer abfangen und an die echte Website weiterleiten (Relay-Angriff) oder speichern könnte, um es später erneut zu versuchen (Replay-Angriff).
Keine gemeinsamen Geheimnisse Der private Schlüssel bleibt auf dem Gerät des Benutzers und wird während der Authentifizierung niemals übertragen. Der Dienst bzw. die Website speichert nur einen öffentlichen Schlüssel, der nicht verwendet werden kann, um gültige Zugangsdaten zu erzeugen oder sich als Benutzer auszugeben.
Weitere Hintergrundinformationen dazu, wie sich die Authentifizierung in Unternehmen verändert, finden Sie unter Einführung passwortloser Authentifizierung.
Warum andere Methoden weniger sicher sind
Passkeys erfüllen alle drei Anforderungen an phishingresistente MFA. Sie binden die Authentifizierung an die echte Domain, reagieren nur auf vom Server generierte Challenges und legen niemals ein gemeinsames Geheimnis offen.
Im Vergleich dazu können gängige Methoden der Multifaktor-Authentifizierung abgefangen oder weitergeleitet werden:
SMS-Codes können durch Malware, SIM-Swapping oder Echtzeit-Relay-Kits gestohlen werden.
TOTPs aus Authenticator-Apps sind temporär, können aber dennoch für kurze Zeit wiederverwendet und über gefälschte Websites abgegriffen werden.
Push-Bestätigungen sind anfällig für Angriffe mit wiederholten Aufforderungen (auch als 2FA-Bombing bekannt), bei denen Benutzer eine Anfrage aus Verwirrung oder Ermüdung bestätigen.
Passkeys erfüllen die Kriterien für phishingresistente MFA von NIST, Microsoft und anderen großen Anbietern.
Beispiele für phishingresistente MFA
Echtzeit-Relay-Kits für Multifaktor-Authentifizierung Relay-Kits erstellen einen Proxy zwischen Benutzern und gefälschten Anmeldeseiten, erfassen Passwörter und Einmalcodes und leiten sie an die echte Website weiter. Passkeys verhindern diesen Angriff, da kein wiederverwendbarer Code existiert und die signierte Challenge nicht wiederverwendet werden kann.
Fallen mit täuschend ähnlichen Domains Angreifer registrieren Domains, die legitimen Websites stark ähneln, und verleiten Opfer dazu, Zugangsdaten einzugeben. Ein aktuelles Beispiel war „rnicrosoft.com vs. microsoft.com“ – beachten Sie, dass r und n einem m ähneln. Passkeys reagieren nicht auf nicht übereinstimmende Origins, sodass die betrügerische Domain keine gültige Authentifizierungsaufforderung erzeugen kann.
Ermüdung durch Multifaktor-Authentifizierung und Push-Bombing Push-basierte MFA ist auf menschliche Bestätigung angewiesen. Angreifer überfluten Benutzer mit wiederholten Aufforderungen, bis sie eine davon versehentlich akzeptieren. Passkeys beseitigen diesen Angriffsvektor vollständig, da der Authentifizierungsablauf keine Aktionen wie „Genehmigen“ oder „Ablehnen“ enthält.
Wenn Sie erfahren möchten, wie Sie die Transparenz der Authentifizierung in Ihrer Organisation verbessern können, lesen Sie die Übersicht zu Bitwarden Access Intelligence.
Wenn Sie Optionen für die geräteübergreifende Anmeldung prüfen, lesen Sie „So melden Sie sich mit einem anderen Gerät an“.
Wenn Sie Optionen für die geräteübergreifende Anmeldung prüfen, lesen Sie So melden Sie sich mit einem anderen Gerät an.