In diesem Beitrag tauchen wir ein in die Welt der Passkeys — diese scheinbar simplen, aber technisch robusten Verfahren, die den Unterschied zwischen einem sicheren Account und einem kompromittierten machen können. Was steckt dahinter, wie funktionieren sie, und wo liegen die Grenzen?
Passkeys und der Unterschied zu herkömmlichen Passwörtern
Ein Passkey ist kein Passwort im klassischen Sinn. Statt eines selbstgewählten Strings arbeitet er mit einem asymmetrischen Schlüsselpaar — bestehend aus einem öffentlichen und einem privaten Schlüssel.
Öffentlicher Schlüssel
Der öffentliche Schlüssel wird frei verfügbar gemacht. Er verschlüsselt Daten, die nur mit dem zugehörigen privaten Schlüssel wieder lesbar sind. Auf den Servern oder Geräten, die Zugang gewähren, liegt ausschliesslich dieser öffentliche Schlüssel.
Privater Schlüssel
Der private Schlüssel bleibt geheim — er verlässt dein Gerät nicht. Dort wird er sicher gespeichert und entschlüsselt, was der öffentliche Schlüssel verschlüsselt hat. Weil er nie über ein Netzwerk übertragen wird, ist er für Angreifer von aussen schlicht nicht greifbar.
Bieten Passkeys wirklich erhöhte Sicherheit?
Public-Key-Kryptografie beseitigt einige der grössten Schwachstellen klassischer Passwörter: keine Wiederverwendung, kein Phishing über gestohlene Login-Formulare, kein Passwort-Leak auf Serverseite.
Kennt ein Angreifer den öffentlichen Schlüssel — macht nichts. Ohne den privaten Schlüssel kommt er nicht rein. Und der liegt auf deinem Gerät, nicht auf einem Server, der gehackt werden kann.
Das ist kein Marketing-Versprechen, sondern das Grundprinzip der Asymmetrie: Was du verschlüsselst, kann nur der entschlüsseln, der den passenden privaten Schlüssel hält.
Kann jeder Passkeys verwenden? Was brauche ich dafür?
Für Passkeys brauchst du eine Infrastruktur und Geräte, die Public-Key-Kryptografie unterstützen. Was konkret nötig ist:
Gerät mit Kryptografie-Unterstützung
Computer, Smartphones oder Tablets — die meisten modernen Betriebssysteme bringen bereits eine integrierte Unterstützung für Public-Key-Kryptografie mit. Für den Alltag reicht das, was du wahrscheinlich schon hast.
Kryptografische Software
Du brauchst Software, die Public-Key-Verfahren wie RSA oder ECC (Elliptic Curve Cryptography) unterstützt. Sie generiert und verwaltet deine Schlüsselpaare und übernimmt Ver- und Entschlüsselung im Hintergrund.
Schlüsselverwaltung und sichere Speicherung
Der private Schlüssel braucht einen sicheren Ort. Das kann ein Hardware Security Module (HSM) sein, ein dedizierter Sicherheitschip im Gerät oder eine verschlüsselte Software-Lösung.
Verschiedene Geräte bieten verschiedene Ansätze — von Secure Enclaves auf Mobilgeräten bis zu TPM-Chips in Laptops. Welche Methode passt, hängt von deinem Einsatzszenario ab.
Zuverlässiges Netzwerk und Cloud-Zugang
Public-Key-Kryptografie läuft oft über Netzwerkkommunikation — eine stabile Verbindung ist Voraussetzung.
Ob du Cloud-Zugang brauchst, kommt auf den Anwendungsfall an. Bei verschlüsselter Dateispeicherung oder sicherer E-Mail liegen öffentliche Schlüssel häufig in der Cloud, damit mehrere Parteien miteinander kommunizieren können. Nutzt du Passkeys auf mehreren Geräten, sorgt ein Cloud-Dienst für die Synchronisierung der Schlüsselpaare.
Die Sicherheit von Passkeys steht und fällt mit der angemessenen Nutzung
Gute Ausrüstung allein reicht nicht. Passkeys sind so sicher wie die Sicherheitspraktiken drumherum.
Dazu gehören: Schlüssel regelmässig aktualisieren, starke Passphrasen für den privaten Schlüssel wählen, Schlüsselmaterial sorgfältig handhaben.
Wer Cloud-Dienste für die Schlüsselspeicherung nutzt, sollte prüfen, ob der Anbieter Verschlüsselung, Zugriffskontrollen und regelmässige Sicherheitsaudits implementiert hat — nicht jeder Dienst macht das gleich gewissenhaft.
Für produktive Umgebungen lohnt sich eine Evaluation der spezifischen Anforderungen und, wo nötig, der Beizug eines Sicherheitsexperten.