FIDO2 / Passkeys

FIDO2 ist ein offener Authentifizierungsstandard der FIDO Alliance (Fast Identity Online), der die Anmeldung ohne Passwort ermöglicht. Der Standard besteht aus zwei Komponenten: WebAuthn (W3C-Spezifikation für die Browser- und Anwendungs-API) und CTAP2 (Client to Authenticator Protocol für die Kommunikation mit Hardware-Tokens oder Plattform-Authentifikatoren). Passkeys sind der verbraucherfreundliche Begriff für FIDO2-Anmeldedaten — technisch handelt es sich um dieselbe kryptografische Grundlage, verpackt in eine Nutzererfahrung, die Passwörter vollständig ersetzt.

Funktionsprinzip

Bei der Registrierung erzeugt der Authentifikator ein asymmetrisches Schlüsselpaar. Der private Schlüssel verbleibt auf dem Gerät oder im Hardware-Token und verlässt dieses nie. Der öffentliche Schlüssel wird beim Dienst hinterlegt. Bei der Anmeldung signiert der Authentifikator eine vom Server generierte Challenge mit dem privaten Schlüssel — der Server verifiziert die Signatur mit dem gespeicherten öffentlichen Schlüssel. Es gibt kein geteiltes Geheimnis, das abgefangen, erraten oder in einer Datenbank gestohlen werden könnte.

Entscheidend ist die kryptografische Bindung an die Origin-Domain: Der Authentifikator signiert nur Challenges, die von der Domain stammen, bei der der Schlüssel registriert wurde. Eine gefälschte Login-Seite unter einer anderen Domain kann die Challenge nicht weiterleiten — Phishing wird damit auf Protokollebene verhindert, nicht nur durch Nutzerschulung.

Authenticator-Typen

FIDO2-Authentifikatoren lassen sich in zwei Kategorien unterteilen. Roaming-Authentifikatoren sind externe Hardware-Sicherheitsschlüssel wie YubiKey, SoloKeys oder Feitian-Token, die über USB, NFC oder Bluetooth mit dem Gerät kommunizieren. Sie sind geräteunabhängig und gelten im Unternehmensumfeld als Gold-Standard, da der private Schlüssel in einem dedizierten Sicherheitschip gespeichert ist und nicht extrahiert werden kann.

Plattform-Authentifikatoren sind in das Betriebssystem integriert: Windows Hello (TPM-gestützt), Apple Face ID und Touch ID sowie Android Biometrie. Sie nutzen die vorhandene Hardware des Geräts und bieten den niedrigsten Einstiegswiderstand für Endnutzer.

Synced vs. Device-bound Passkeys

Seit 2022 unterstützen Apple, Google und Microsoft sogenannte Synced Passkeys — dabei wird der private Schlüssel verschlüsselt über den jeweiligen Cloud-Dienst (iCloud Keychain, Google Password Manager, Microsoft-Konto) auf mehrere Geräte des Nutzers synchronisiert. Das löst das Wiederherstellungsproblem bei Geräteverlust, bedeutet aber, dass der Schlüssel das ursprüngliche Gerät verlässt.

Device-bound Passkeys hingegen sind an ein einzelnes Gerät oder einen Hardware-Token gebunden und können nicht synchronisiert werden. Für Unternehmensumgebungen mit hohen Sicherheitsanforderungen — etwa Zugriff auf Tier-0-Ressourcen — sind device-bound Passkeys auf Hardware-Sicherheitsschlüsseln die empfohlene Variante, da sie physischen Besitz als Faktor garantieren.

FIDO2 in Microsoft Entra ID

Microsoft Entra ID unterstützt FIDO2-Sicherheitsschlüssel als Authentifizierungsmethode nativ. Administratoren können über Conditional-Access-Richtlinien erzwingen, dass bestimmte Nutzergruppen oder Zugriffe auf kritische Anwendungen ausschließlich phishing-resistente Methoden verwenden. In Kombination mit dem Authentifizierungsstärke-Feature (Authentication Strengths) lässt sich differenziert steuern, welche MFA-Methoden für welche Risikostufen zulässig sind — von Authenticator-App bis hin zur ausschließlichen Nutzung von FIDO2-Hardware-Token.

Warum Passwörter das Problem sind

FIDO2 adressiert die grundlegende Schwäche passwortbasierter Authentifizierung: Passwörter sind ein geteiltes Geheimnis. Sie können durch Credential Stuffing (Wiederverwendung geleakter Passwörter), Brute-Force-Angriffe, Phishing und Datenbankdiebstahl kompromittiert werden. Auch klassische MFA-Methoden wie TOTP-Codes oder Push-Benachrichtigungen sind nicht vollständig phishing-resistent — Echtzeit-Phishing-Proxys können diese Faktoren in Echtzeit weiterleiten. NIST und CISA empfehlen daher explizit phishing-resistente MFA auf Basis von FIDO2 als höchste Stufe der Authentifizierungssicherheit.

Relevanz für KMUs

In der Praxis sehen wir, dass viele Unternehmen zwar MFA aktiviert haben, aber auf Methoden setzen, die durch moderne Angriffstechniken umgangen werden können. Der Umstieg auf FIDO2 muss nicht auf einen Schlag erfolgen. Ein pragmatischer Einstieg beginnt mit der Ausstattung privilegierter Konten (Administratoren, Finanzabteilung) mit Hardware-Sicherheitsschlüsseln und der Konfiguration von Conditional-Access-Richtlinien, die für den Zugriff auf kritische Anwendungen phishing-resistente Authentifizierung erzwingen. Für die breitere Belegschaft bieten Synced Passkeys über Windows Hello oder mobile Geräte einen niederschwelligen Einstieg in passwortlose Authentifizierung. Entscheidend ist, den Übergang zu planen — ein strukturiertes IAM-Assessment identifiziert, welche Konten und Anwendungen zuerst migriert werden sollten, und liefert einen realistischen Rollout-Plan.