Passkeys und Zwei-Faktor-Authentifizierung (2FA)

In diesem Beitrag zeige ich dir, warum einfache Passwörter nicht mehr ausreichen, wie Zwei-Faktor-Authentifizierung (2FA) funktioniert und warum sogenannte Passkeys als die Zukunft der sicheren Authentifizierung gelten. Klingt erstmal technisch? Keine Sorge, ich erkläre es dir so, dass du am Ende selbst entscheiden kannst, wie du dich (und dein Unternehmen) besser schützt – und das mit möglichst wenig Aufwand und maximalem Effekt.

Starke Passwörtern sind essenziell, das habe ich im Magazinbeitrag "Der richtige Umgang mit Passwörtern" bereits erläutert.

Passwörter sind wie die alten Haustürschlüssel: Wenn du einen verlierst – oder schlimmer, wenn jemand eine Kopie davon hat – war’s das mit der Sicherheit. Und genau das passiert im digitalen Raum täglich millionenfach. Warum? Weil wir Passwörter oft wiederverwenden, schlecht absichern oder auf Phishing hereinfallen.

Viele Menschen nutzen dieselben Passwörter für mehrere Konten – einfach, weil es bequemer ist. Aber genau das macht es Angreifern leicht: Sobald eine Plattform gehackt wurde und die Passwörter in einem Datenleck landen, können diese Zugangsdaten automatisiert auf anderen Seiten ausprobiert werden. Diese Methode nennt sich „Credential Stuffing“.

Brute-Force-Angriffe sind eine andere beliebte Methode: Hierbei wird automatisiert eine große Menge an möglichen Passwortkombinationen durchprobiert. Besonders gefährdet sind Konten mit einfachen oder kurzen Passwörtern – also genau die, die sich viele von uns leicht merken können. Und dann gibt es noch Phishing: Dabei wird man über gefälschte E-Mails oder Webseiten dazu verleitet, seine Zugangsdaten freiwillig preiszugeben – in der Annahme, man sei auf der echten Login-Seite gelandet.

Was bedeutet das für Unternehmen? Wenn Mitarbeitende schwache Passwörter nutzen oder Opfer eines Angriffs werden, sind nicht nur deren eigene Daten in Gefahr, sondern häufig auch Kundendaten, interne Systeme und ganze Geschäftsprozesse. Die Konsequenzen reichen von Reputationsverlust über rechtliche Probleme bis hin zu massiven finanziellen Schäden. Ein durchdachtes Authentifizierungsverfahren ist also kein Luxus, sondern eine absolute Notwendigkeit.

Hier kommt 2FA ins Spiel. Die Idee ist simpel und genial zugleich: Wer sich einloggen will, muss zwei Dinge vorweisen – etwas, das er weiß (z.B. ein Passwort) und etwas, das er hat (z.B. ein Smartphone oder Token) oder ist (z.B. ein Fingerabdruck).

Damit wird es für Angreifer deutlich schwieriger, ein Konto zu übernehmen – denn selbst wenn sie das Passwort kennen, fehlt ihnen der zweite Faktor. In der Praxis sieht das oft so aus: Du gibst dein Passwort ein und bekommst dann per App, SMS oder Hardware-Token einen Einmalcode, den du zusätzlich eingeben musst.

Historisch gesehen begann alles mit SMS-Codes. Diese sind heute jedoch umstritten, da sie vergleichsweise leicht abgefangen oder durch sogenannte SIM-Swapping-Angriffe kompromittiert werden können. Moderner sind Apps wie Google Authenticator oder Microsoft Authenticator, die zeitbasierte Einmalcodes (TOTP – Time-based One-Time Passwords) generieren. Diese Codes sind nur wenige Sekunden gültig und bieten damit ein gutes Maß an Sicherheit.

Es gibt auch Hardware-Token wie den YubiKey, der über USB oder NFC funktioniert und als besonders sicher gilt. Biometrische Methoden wie Fingerabdruck oder Gesichtserkennung zählen in bestimmten Szenarien ebenfalls als zweiter Faktor.

Doch auch 2FA ist nicht unfehlbar: Wenn Nutzernen den zweiten Faktor auf demselben Gerät empfangen, auf dem sie sich einloggen, kann ein kompromittiertes Gerät das gesamte Verfahren aushebeln. Außerdem empfinden manche Menschen den zusätzlichen Schritt als umständlich – und greifen dann doch lieber wieder auf das alte Passwort zurück.

Jetzt wird’s spannend: Passkeys sind eine vergleichsweise neue Technologie, die das Authentifizieren nicht nur sicherer, sondern auch einfacher machen soll. Sie basieren auf sogenannten Public-Key-Verfahren. Dabei werden zwei kryptografische Schlüssel erzeugt: ein öffentlicher Schlüssel und ein privater Schlüssel. Für jeden Dienst bei dem du dich anmelden/registrieren willst, wird ein eigenes Schlüsselpaar erstellt.

Der öffentliche Schlüssel ist dem Dienst bekannt. Wenn du dich anmeldest, dann stellt der Dienst eine kryptografische Anfrage an dein Gerät (oder deinen Passwortmanager). Das Gerät (oder der Passwortmanager) alleine kennt den privaten Schlüssel und generiert nun zur Anfrage eine Signatur. Der Onlinedienst prüft nun ob das übereinstimmt.

Es wird dabei niemals ein Passwort übermittelt oder gespeichert – und genau deshalb kann auch nichts abgefischt oder geleakt werden.

Passkeys gelten als "passwordless", also passwortfrei, weil du dir nichts mehr merken musst. Stattdessen identifizierst du dich über biometrische Daten (Face ID, Fingerabdruck) oder Geräte-PIN. Es fühlt sich an wie Magie – aber es ist einfach nur gute Kryptografie.

Für Nutzernen bedeutet das: Du brauchst dir keine Passwörter mehr zu merken oder aufzuschreiben. Phishing ist ausgeschlossen, weil du gar nichts eintippst. Der Login dauert nur Sekunden, und das mit einem Höchstmaß an Sicherheit. Die Technik übernimmt die ganze Arbeit im Hintergrund – du musst nur einmal zustimmen, dass du es bist.

Für Anbieternen ergibt sich eine echte Win-Win-Situation: Die Nutzererfahrung verbessert sich dramatisch. Supportanfragen wegen vergessener Passwörter entfallen. Die Sicherheit wird erhöht, ohne dass du dein System unnötig kompliziert machst. Und: Eine bessere UX kann direkt zu mehr Abschlüssen und Verkäufen führen – besonders in sensiblen Bereichen wie Online-Banking, E-Commerce oder Kundenportalen.

2FA-Verfahren

Die klassische Methode via TOTP-Apps funktioniert geräteunabhängig. Die Apps generieren fortlaufend neue Codes, die mit einem geheimen Startwert synchronisiert sind. Diese Methode gilt als relativ sicher und ist einfach zu implementieren.

SMS-Codes hingegen sind aus mehreren Gründen problematisch: Sie können abgefangen, umgeleitet oder über Social Engineering erschlichen werden. Deshalb sollten sie – wenn überhaupt – nur als Fallback dienen.

Hardware-Token wie der YubiKey oder SoloKey bieten höchste Sicherheit. Sie funktionieren nach dem Prinzip "Touch to Sign": Erst durch physischen Kontakt mit dem Gerät wird der Authentifizierungsvorgang abgeschlossen. Ideal für Admins oder besonders sensible Systeme.

Passkeys

Dank des WebAuthn-Standards (Teil von FIDO2) ist es heute möglich, Passkeys plattformübergreifend einzusetzen. Apple nutzt die iCloud Keychain, Google den Password Manager, Microsoft integriert die Technologie über Windows Hello.

Browserseitig sind Passkeys ebenfalls breit unterstützt: Chrome, Safari, Firefox und Edge können damit umgehen. In der Praxis bedeutet das: Nutzernen können sich auf Webseiten anmelden, ohne je ein Passwort eingeben zu müssen – und zwar geräteübergreifend.

Die gute Nachricht: Es war noch nie so einfach, sichere Authentifizierung in die eigene Webanwendung zu integrieren. Dienste wie Auth0, Okta, Firebase oder ForgeRock bieten schlüsselfertige Lösungen, die sich mit wenigen Zeilen Code in bestehende Systeme einfügen lassen.

Dabei solltest du stets den Nutzer im Blick behalten: Wie kommunizierst du den Wechsel zu neuen Login-Methoden? Gibt es ein klar verständliches Onboarding? Wie verhinderst du, dass Nutzernen abgeschreckt werden oder im alten System verharren?

Erkläre transparent, welche Vorteile Passkeys bieten – sowohl in puncto Sicherheit als auch bei der Bequemlichkeit. Und: Gib den Menschen Zeit, sich umzugewöhnen. Ein schrittweiser Rollout, begleitet von klaren Hilfestellungen, ist oft der beste Weg.

Nicht zuletzt: DSGVO und Datenschutz. Auch wenn Passkeys besonders datensparsam sind, musst du in deiner Datenschutzerklärung offenlegen, welche Authentifizierungsverfahren du einsetzt, auf welchen Systemen sie basieren und wie du die Sicherheit gewährleistest.

Die großen Tech-Konzerne haben ihre Marschrichtung längst vorgegeben: Weg mit Passwörtern! Apple, Google und Microsoft investieren massiv in passwortfreie Technologien – und arbeiten sogar gemeinsam an offenen Standards.

Biometrie, Hardwareintegration und sichere Chips auf modernen Geräten ermöglichen heute ein Authentifizierungsniveau, das noch vor wenigen Jahren undenkbar war. Die Entwicklung ist rasant – und sie ist unumkehrbar.

Für Unternehmen bedeutet das: Jetzt ist der richtige Zeitpunkt, sich mit modernen Verfahren auseinanderzusetzen. Wer jetzt investiert, spart morgen – an Supportkosten, Sicherheitsrisiken und verlorenen Kunden.