Zwei Technologien bestimmen die moderne Kontosicherheit: Passkeys und Zwei-Faktor-Authentifizierung (2FA). Beide überwinden die Einschränkungen einer einzelnen Benutzername-Passwort-Kombination, tun dies jedoch auf etwas unterschiedliche Weise. Dieser Artikel erklärt, wie die beiden Ansätze funktionieren, wie sie in puncto Sicherheit abschneiden und wie sie sich reibungslos implementieren lassen, damit Benutzer entscheiden können, was am besten zu ihren privaten oder geschäftlichen Anforderungen passt.
Die Grundidee hinter Passkeys und 2FA
Wie funktionieren Passkeys?
Funktion | Passkey | 2FA |
Hauptziel | Das Passwort durch einen kryptografischen Austausch mit öffentlichen Schlüsseln ersetzen | Einem bestehenden Passwort einen zweiten Faktor hinzufügen |
Funktionsweise | Auf dem Gerät des Benutzers wird ein kryptografisches Schlüsselpaar (öffentlich und privat) generiert. Der öffentliche Schlüssel wird auf dem Server gespeichert, der private Schlüssel auf dem Gerät. Bei der Anmeldung stellt der Server dem Gerät des Benutzers eine Challenge, die das Gerät mit dem privaten Schlüssel signiert und die Signatur zurücksendet. | Nach erfolgreicher Passwortauthentifizierung fordert die Website oder App eine zweite Information an: einen Code aus einer Authenticator-App, eine SMS, eine E-Mail oder ein Hardware-Token. |
Was Benutzer sehen | „Mit Ihrem Gerät anmelden“ oder eine Aufforderung, einen Fingerabdruck zu verwenden oder ein Gesicht zu scannen. | Nach Eingabe des Passworts erscheint eine Aufforderung zur Eingabe eines Zahlencodes. |
Sowohl Passkeys als auch 2FA fügen eine zusätzliche Schutzebene hinzu, die es Angreifern erheblich erschwert, Zugriff zu erlangen. Dabei nutzen sie jedoch unterschiedliche Sicherheitsprinzipien.
Die Sicherheitsgrundlagen von Passkeys erklärt
Passkeys basieren auf einem ausgereiften, gut erforschten kryptografischen Grundverfahren: der Public-Key-Infrastruktur (PKI) und der Public-Key-Kryptografie, die Passwörter ersetzen sollen. Wenn ein Benutzer einen gerätegebundenen Passkey erstellt, verwendet das Gerät des Benutzers eine Secure Enclave oder Trusted Execution Environment (TEE), in der der private Schlüssel gespeichert wird.
Im Gegensatz zu Passwörtern verbleibt dieser private Schlüssel auf dem Gerät und ist durch eine biometrische Sperre oder PIN-Sperre geschützt. Jeder Onlinedienst, der Passkeys unterstützt, kennt nur den öffentlichen Schlüssel, mit dem sich der private Schlüssel nicht rekonstruieren lässt. Das stärkt die Online-Sicherheit. Die Methode mit öffentlichem und privatem Schlüsselpaar bietet mehr Sicherheit als jede andere derzeitige Authentifizierungsmethode. Passkeys helfen, Phishing-Angriffe auf Websites und Apps zu verhindern, indem sie ein anderes Verfahren als herkömmliche Passwörter verwenden.
Sobald ein Passkey erstellt wurde, läuft bei der Anmeldung folgender Prozess ab:
Server-Challenge: Der Server sendet eine zufällige Nonce (nur einmal verwendete Zahl) an das Gerät.
Signaturerzeugung: Bei biometrischer Authentifizierung signiert das Gerät des Benutzers die Nonce mit dem ECDSA- oder EdDSA-Algorithmus (übliche Optionen sind die Kurve secp256r1 für ECDSA und die Kurve ed25519 für EdDSA).
Signaturprüfung: Die Website oder App prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel. Wenn die Signatur übereinstimmt, ist der Benutzer authentifiziert.
Da der private Schlüssel das Gerät nie verlässt und niemals über das Netzwerk übertragen wird, kann ein Angreifer, der den Server kompromittiert, sich nicht als der Benutzer ausgeben, da er den Passkey eines Benutzers nicht authentifizieren kann.
Selbst wenn Angreifer den gespeicherten öffentlichen Schlüssel eines Kontos stehlen, können sie die erforderliche Signatur nicht fälschen. Das ist eine wesentlich stärkere Garantie als die Geheimhaltung eines Passworts, das gestohlen, erraten oder geknackt werden kann. Synchronisierte Passkeys bieten einen stärkeren Schutz vor Datenschutzverletzungen als herkömmliche Passwörter und tragen dazu bei, sensible Informationen zu schützen.
Stärken von 2FA
Während Passkeys das Passwort für ein Konto vollständig ersetzen, fügt 2FA dem bestehenden Passwort einen zweiten Faktor hinzu. Deshalb ist 2FA für viele Menschen oft der erste Schritt zu mehr Sicherheit. Sie wird bereits auf nahezu jeder Plattform unterstützt und kann mit verschiedenen Methoden für den zweiten Faktor eingesetzt werden, darunter:
Authenticator-Apps: Bitwarden Authenticator, Google Authenticator, Microsoft Authenticator, Authy usw., die zeitbasierte Einmalpasswörter (TOTP) generieren.
SMS-Codes: Eindeutige Codes, die auf der Telefonnummer des Benutzers eingehen.
E-Mail-Codes: Codes, die an die registrierte E-Mail-Adresse des Benutzers gesendet werden.
Hardware-Token: YubiKey oder Hardware-Dongles von Duo Security, die einen physischen Challenge-Response-Mechanismus bereitstellen.
Jede Methode bietet ein anderes Verhältnis von Komfort und Sicherheit.
Codes per SMS sind bequem, können aber durch SIM-Swapping oder das Abhören von Netzwerken abgefangen werden. Daher werden sie in der Regel nur für Konten mit geringem Risiko empfohlen. Einige Dienste, wie viele Banken, bieten zur Benutzerverifizierung jedoch nur SMS- oder E-Mail-Codes an.
2FA bietet mehr Sicherheit als ein einfaches Passwort, lässt sich an das Komfortniveau der Benutzer anpassen und ist weit verbreitet. Als Zusatzfunktion macht 2FA Passwörter nicht überflüssig, verlangt von Angreifern jedoch, sowohl das richtige Passwort als auch den zweiten Faktor zu erlangen, um Zugriff auf ein Konto zu erhalten.
Passkeys und 2FA in der Praxis im Vergleich
Sicherheitsvergleich
Passkeys: Ein Challenge-Response-System mit öffentlichem und privatem Schlüssel, das mathematisch so konzipiert ist, dass es nicht gefälscht werden kann, solange der private Schlüssel das Gerät nie verlässt. Da der private Schlüssel nie offengelegt wird, kann selbst ein kompromittierter Server den Benutzer nicht imitieren, sodass ein Angreifer nicht auf ein Konto zugreifen kann.
Damit sind Passkeys die derzeit sicherste verfügbare Authentifizierungsmethode. Sie kombinieren kryptografischen Besitznachweis mit biometrischer oder PIN-Verifizierung in einem nahtlosen Erlebnis. Dank der zusätzlichen Ebene durch den Fingerabdrucksensor oder Gesichtsscanner des Geräts ergänzen Passkeys den Prozess um biometrische Authentifizierung und helfen so, Phishing-Angriffe und andere Sicherheitsverletzungen zu verhindern.
2FA: Das Hinzufügen eines zweiten Faktors erhöht die Hürde für Angreifer erheblich, da sie das Passwort erraten oder per Brute-Force ermitteln und den zweiten Faktor erlangen müssten, um auf ein Konto zuzugreifen.
Die stärksten 2FA-Methoden, etwa Hardware-Token oder TOTP, sind in vielen Szenarien, in denen eine Kontoanmeldung erforderlich ist, fast so sicher wie Passkeys.
TOTP-Codes können über eigenständige Apps wie Bitwarden Authenticator generiert werden, und einige Passwort-Manager bieten zudem integrierte 2FA-Unterstützung.
SMS-basierte 2FA ist weniger sicher, da sie von der Integrität des Mobilfunknetzes abhängt. Sie bietet jedoch weiterhin eine wichtige zusätzliche Schutzschicht gegen Credential-Stuffing und Brute-Force-Angriffe.
Bei der Wahl zwischen Passkeys und 2FA sollten Sie Sicherheit als abgestuftes System betrachten: Passkeys stehen ganz oben, während 2FA knapp darunter liegt, aber immer noch über dem grundlegenden Passwortschutz.
Implementierung und Benutzerfreundlichkeit
Passkeys
Die Funktionsweise von Passkeys kann etwas rätselhaft wirken. Das ist verständlich, denn sie sind noch relativ neu. Passkeys funktionieren dank biometrischer Sensoren und Gesichtserkennungs-APIs in modernen Smartphones, Laptops und Tablets. Diese biometrischen Funktionen aktivieren den Passkey während der Authentifizierung. Beim Erstellen eines Passkeys wird der öffentliche Schlüssel während der Einrichtung automatisch beim Server registriert. Danach ist die Anmeldung so einfach wie das Auflegen eines Fingers auf einen Sensor oder der Blick auf den Bildschirm. Für viele Benutzer fühlt sich der Vorgang fast unsichtbar an — keine langen Passwörter eingeben und keine 2FA-Codes merken.
2FA
Diese Einrichtung umfasst in der Regel das Verknüpfen einer Authenticator-App oder das Konfigurieren eines Hardware-Tokens, etwa von Hardware-Schlüsseln, die den Standards der FIDO Alliance entsprechen. Nach der Konfiguration ist der Ablauf unkompliziert: Benutzername und Passwort eingeben und anschließend den Code eintippen, der in der Authenticator-App angezeigt wird, oder den Code eingeben, der per SMS eingegangen ist. Da es 2FA schon seit langer Zeit gibt, stehen zahlreiche Tutorials, Hilfeartikel und Supportressourcen zur Verfügung, und nahezu alle Websites und Dienste unterstützen diese zusätzliche Schutzebene inzwischen.
Vergleich
Beide Methoden erfordern eine geringe anfängliche Konfiguration, aber die zusätzliche Sicherheit und der verbesserte Datenschutz sind den Einrichtungsaufwand wert. Das Erstellen eines Passkeys verringert Reibungsverluste, da dank der zwei kryptografischen Schlüssel keine Codes eingegeben werden müssen, während 2FA Benutzern ein greifbares Gefühl zusätzlichen Schutzes vermittelt. Die Stärkung der Authentifizierungspraktiken durch eine der beiden Methoden sorgt für mehr Sicherheit und hilft zu verhindern, dass Daten im Dark Web landen.
Kosten und Infrastruktur
Passkeys
Wenn bereits ein biometriefähiges Gerät wie ein Telefon verwendet wird, ist keine zusätzliche Hardware erforderlich. Die einzigen Kosten entstehen auf Unternehmensseite durch den Entwicklungsaufwand, der nötig ist, um den öffentlichen Schlüssel dem Server bereitzustellen. Für Dienstanbieter handelt es sich dabei um einmalige Integrationskosten pro Plattform.
2FA
Wenn eine Authenticator-App auf einem Gerät gewählt wird, entstehen praktisch keine Kosten. Hardware-Token verursachen geringe einmalige Anschaffungskosten; ein YubiKey kostet beispielsweise für ein Basismodell etwa 50 US-Dollar. Für Unternehmen können Lizenz- oder Abonnementgebühren für 2FA-Lösungen auf Enterprise-Niveau wie Duo oder Okta anfallen.
Phishing-resistent vs. phishing-sicher
Was ist der Unterschied zwischen phishing-resistent und phishing-sicher? Der Begriff „Phishing-Resistenz“ wird von vielen Organisationen verwendet, darunter NIST, CISA, Microsoft und die FIDO Alliance. Darüber hinaus NIST SP 800-63-4 (2025) definiert Phishing-Resistenz und schreibt sie für AAL3 vor.
Phishing-resistente Systeme umfassen im Allgemeinen die folgenden Sicherheitsmaßnahmen:
Multi-Faktor-Authentifizierung (MFA): Erfordert, dass Benutzer eine zusätzliche Verifizierung durchführen, z. B. mit einem an ihr Telefon gesendeten Code oder einem biometrischen Scan.
Phishing-resistente Authentifizierungsprotokolle: Erfordern die Verwendung von Protokollen wie WebAuthn oder FIDO2, um eine sicherere Methode zur Authentifizierung von Benutzern bereitzustellen.
Schulung zum Sicherheitsbewusstsein: Benutzer müssen darin geschult werden, Phishing-Versuche zu erkennen und zu vermeiden.
Erweiterte Bedrohungserkennung: KI-gestützte Bedrohungserkennung kann eingesetzt werden, um verdächtige E-Mails oder Nachrichten zu identifizieren und zu blockieren.
Auch CISA empfiehlt Organisationen wiederholt, phishing-resistente Multi-Faktor-Authentifizierung wie FIDO-Sicherheitsschlüssel oder Smartcards zu implementieren. Stand 2025 hat Microsoft seine Empfehlungen an Zero Trust ausgerichtet und fordert phishing-resistente MFA sowie die Einführung passwortloser Verfahren. Schließlich positioniert die FIDO Alliance Passkeys/FIDO2/WebAuthn als phishing-resistent und als Ersatz für herkömmliche MFA (Passwort + SMS).
Während Passkeys auf AAL2 als phishing-resistent anerkannt sind, legt NIST SP 800-63-4 fest, dass nur gerätegebundene Passkeys mit nicht exportierbaren privaten Schlüsseln die AAL3-Anforderungen erfüllen. Synchronisierbare (Multi-Geräte-)Passkeys, die eine Synchronisation über Geräte hinweg über Cloud-Dienste ermöglichen, sind für AAL3 nicht zulässig, da der private Schlüssel für die Synchronisation exportierbar sein muss. Organisationen, die AAL3-Sicherheit benötigen, sollten Hardware-Sicherheitsschlüssel, Smartcards oder gerätegebundene Passkeys statt synchronisierbarer Passkeys einsetzen.
Ein phishing-sicheres System ist theoretisch vollständig gegen Phishing-Angriffe resistent. Das bedeutet, es ist so sicher, dass es unmöglich ist, Benutzer mit Phishing-Techniken zur Preisgabe sensibler Informationen zu verleiten. In der Realität ist es jedoch nahezu unmöglich, ein solches System zu entwickeln, da selbst bei den fortschrittlichsten Sicherheitsmaßnahmen immer das Risiko menschlicher Fehler besteht. Solche Systeme würden Folgendes erfordern:
Unknackbare Authentifizierungsprotokolle: Ein phishing-sicheres System würde Protokolle erfordern, die theoretisch nicht zu knacken sind, etwa quantenresistente Kryptografie.
Perfektes Sicherheitsbewusstsein: Alle Benutzer müssten vollständig immun gegen Social-Engineering-Taktiken sein.
Intrusionssicheres Design: Das System müsste sicherheitsorientiert konzipiert sein und Techniken wie sichere Programmierpraktiken und Bedrohungsmodellierung nutzen.
Phishing-resistente Systeme sind darauf ausgelegt, hochsicher zu sein, und lassen sich einfach und erfolgreich implementieren. Prüfen Sie sorgfältig jeden Dienst, der vollständig phishing-sichere Systeme anbietet, bevor Sie fortfahren.
So wählen Sie die richtige Methode
Die Wahl der richtigen Methode hängt von mehreren Faktoren ab. Der erste Faktor ist die Einfachheit der Einrichtung. 2FA lässt sich anfangs einfacher einrichten, Passkeys bieten jedoch ein höheres Sicherheitsniveau. Beachten Sie bei der Auswahl diese Tipps:
Konten mit hohem Schutzbedarf (Banking, Unternehmensadministration): Verwenden Sie ein Hardware-Token für 2FA oder wechseln Sie zu Passkeys, sofern unterstützt.
Alltägliche private Konten (soziale Medien, E-Mail): 2FA mit einer TOTP-Authenticator-App bietet starken Schutz und wird breit unterstützt.
Konten mit geringem Risiko: SMS- oder E-Mail-2FA kann akzeptabel sein, aber ziehen Sie ein Upgrade auf eine stärkere Methode in Betracht, wenn das Konto sensible Daten enthält.
Fazit
Beim Vergleich von Passkeys und 2FA hängt die Antwort von den Prioritäten ab:
Wenn maximale Sicherheit oberste Priorität hat und ein Telefon mit Fingerabdruck- und/oder Gesichtserkennung verfügbar ist, sind Passkeys die bessere Wahl.
Wenn das Ziel eine schnelle, schrittweise Verbesserung gegenüber der standardmäßigen Authentifizierung mit Benutzername und Passwort ist, die auf vielen Plattformen funktioniert, ist 2FA – insbesondere mit Hardware-Token oder TOTP-Apps – der nächstbeste Schritt.
In jedem Fall werden so die Schwachstellen einer reinen Passwort-Authentifizierung vermieden und sinnvolle Schritte hin zu stärkerem Schutz unternommen.
Verwalten Sie Passkeys und Zwei-Faktor-Authentifizierung mit Bitwarden
Passkeys stellen einen bedeutenden Fortschritt für eine sichere, benutzerfreundliche Anmeldung dar, während 2FA weiterhin eine starke und weit verbreitete Schutzmaßnahme ist, die an die Bedürfnisse der Benutzer angepasst werden kann. Wenn Sie die Wahl zwischen Passkey und 2FA bewerten, berücksichtigen Sie die Kompromisse bei Sicherheit, Komfort und den für die Implementierung erforderlichen Ressourcen. Welcher Weg auch gewählt wird: Sie machen einen sinnvollen Schritt hin zu stärkerer digitaler Sicherheit.
Für alle, die bereits den Bitwarden-Passwort-Manager, oder dessen Einführung erwägen, können Passkeys und 2FA auf Apple- und Android-Geräten sowie auf allen wichtigen Betriebssystemen verwaltet werden, sodass die Sicherheit in einem einzigen Tool gebündelt wird.