Passkeys: Die Zukunft der sicheren Authentifizierung oder nur ein Hype?

Passkeys gelten als zukunftsweisende Lösung in der digitalen Authentifizierung: sicher, komfortabel und zunehmend von Tech-Giganten wie Apple, Google und Microsoft unterstützt. Doch trotz wachsender Verbreitung bleiben viele Unternehmen skeptisch. Sind Passkeys wirklich sicher genug? Erfüllen sie regulatorische Anforderungen wie die starke Kundenauthentifizierung (SCA)? Und ist die Technologie tatsächlich praxisreif?

In diesem Beitrag räumen wir mit vier häufigen Mythen rund um Passkeys auf. Wir zeigen, was Unternehmen bei der Einführung beachten sollten – und warum es sich lohnt, das Potenzial dieser neuen Authentifizierungsmethode realistisch zu bewerten.

Mythos 1: «Synced Passkeys sind unsicher.» 

Die Fakten: Nicht alle Passkeys sind gleich. Es gibt zwei grundlegende Varianten mit unterschiedlichen Sicherheits- und Usability-Eigenschaften: device-bound und synced Passkeys. Die Unterscheidung der Varianten ist wichtig, um ihre Eignung für verschiedene Einsatzbereiche bewerten zu können:

• Synced Passkeys werden über Plattformdienste wie iCloud, Google oder Passwortmanager synchronisiert. Sie bieten hohen Nutzungskomfort, Phishing-Schutz und eine gute Recovery-Funktion. Ihre Sicherheit hängt allerdings stark von den Sicherheitsrichtlinien und der Cloud-Synchronisation des jeweiligen Plattformanbieters ab – ein Aspekt, den Unternehmen meist nicht selbst kontrollieren können.
• Device-bound Passkeys sind an Hardware gebunden (z. B. TPM, Secure Enclave) und bieten maximale Sicherheit, unabhängig vom Cloud-Anbieter. Sie eignen sich besonders für stark regulierte Umgebungen, setzen aber mehr Aufwand bei der Geräteverwaltung und im Recoveryprozess voraus.

Fazit: Synced Passkeys pauschal als «unsicher» zu bezeichnen, greift zu kurz. Beide Varianten basieren auf dem FIDO2-Standard und können bei korrekter Implementierung ein sehr hohes Sicherheitsniveau erreichen. Entscheidend ist, sie im Kontext der eigenen Risikotoleranz, regulatorischen Anforderungen, technischen Architektur und Nutzererwartungen zu bewerten. Es geht darum, Sicherheit, Usability und Betriebskosten bewusst abzuwägen – und sich der jeweiligen Kompromisse bewusst zu sein.

Mythos 2: «Passkeys bieten keine starke Kundenauthentifizierung (SCA)» 

Die Fakten: Die PSD2-Richtlinie definiert starke Kundenauthentifizierung (SCA bzw. Strong Customer Authentication) als Kombination aus zwei von drei Faktoren: Wissen (z. B. Passwort), Besitz (z. B. Gerät) und Inhärenz (z. B. Fingerabdruck).

Bewertung typischer Methoden:

Warum ist die SCA-Konformität bei Synced Passkeys umstritten? 

Bei Synced Passkeys fehlt der eindeutige Nachweis des Besitzfaktors, da der Schlüssel nicht hardwaregebunden ist. Dennoch: Sie bieten hohen Schutz vor Phishing, gute UX und lösen Recovery-Probleme. Ob SCA-Konformität erreicht wird, hängt schliesslich von der Cloud-Sync-Sicherheit ab, welche wiederum schwierig zu verifizieren ist.

Fazit: Device-bound Passkeys erfüllen die Anforderungen an SCA eindeutig. Bei Synced Passkeys hängt die Bewertung von der Qualität des Cloud-Syncs ab. Ohne zusätzliche Massnahmen zur Device-Bindung halten sie den PSD2-Anforderungen nicht stand.

Mythos 3: «Banken können keine Passkeys einsetzen.» 

Die Fakten: Viele Banken zögern bei der Einführung von Passkeys. Häufig genannte Gründe sind:

1. Zweifel an der Sicherheit – stimmt für synced Passkeys je nach Use Case, device-bound Passkeys sind aber SCA-konform.
2. Fehlender zweiter Kanal – SCA ist nicht zwingend zwei Kanäle, sondern zwei Faktoren.
3. Bereits implementierte SCA-Lösungen – aber oft mit schlechter UX oder hohen Kosten.
4. Fehlende Transaktionsfreigabe – technisch möglich mit Passkeys, wenn auch nicht vollständig WYSIWYS-konform.
5. Unklare Compliance-Situation – ein aktuelles Hindernis, da die regulatorische Lage bei synced Passkeys noch nicht abschliessend geklärt ist. Sie wird mit PSD3/PSR hoffentlich klarer.

Fazit: Banken können sehr wohl Passkeys nutzen – vor allem als erste Authentisierungsstufe oder zur Abschaffung von Passwörtern. Passkeys lösen akute Phishing-Probleme, die für Banken erhebliche finanzielle Risiken bedeuten. Wichtig ist eine kontinuierliche Beobachtung der regulatorischen Entwicklung und ein durchdachter Migrationspfad.

Mythos 4: «Passkeys benötigen zwingend einen alternativen Authentisierungsfaktor.» 

Die Fakten: Es gibt Situationen, in denen ein Benutzer keinen Zugriff auf seine Passkeys hat – beispielsweise auf einem fremden Gerät oder bei technischem Ausfall.

• Die «Cross-device» Fähigkeit von Passkeys – also die Nutzung des persönlichen Smartphones in Kombination mit einem Browser auf einem unpersönlichen Gerät – können hier helfen, setzen aber entsprechende Geräteunterstützung voraus (Bluetooth ist auf beiden Geräten zwingend erforderlich).
• In bestimmten Szenarien bleibt ein alternativer Authentisierungsfaktor bzw. eine Backup-Lösung unverzichtbar.

Wenn ein System wirklich immer und überall zugänglich sein muss, ist ein zusätzlicher Faktor notwendig – das gilt jedoch auch für viele andere Authentisierungsfaktoren.

Fazit: Kein Mythos, sondern eine realistische Designentscheidung. Wichtig ist, ob diese Szenarien für das Geschäftsmodell relevant sind. Meist ist dies nicht der Fall.

Differenzieren statt pauschalisieren 

Passkeys sind keine Allzwecklösung – aber sie bieten überzeugende Vorteile bei Sicherheit, Benutzerfreundlichkeit und Betriebskosten, wenn sie richtig eingesetzt werden. Unternehmen sollten sich folgende Fragen stellen:

• Passen Passkeys zu den eigenen Use Cases?
• Ist die Compliance-Situation (z. B. SCA) geklärt?
• Sind Synced oder Device-bound Passkeys geeigneter?
• Ist eine Passkey-fähige CIAM-Lösung vorhanden?
• Wie wird der Migrationsprozess gestaltet?
• Wird ein alternativer Faktor benötigt?

Bereit für den Einstieg in die passwortlose Zukunft? 

Airlock IAM unterstützt Unternehmen dabei, Passkeys nutzerzentriert und sicher zu integrieren. Kontaktieren Sie uns für eine Beratung oder besuchen Sie uns beim nächsten Event vor Ort.

Quelle: Airlock-Blog

Airlock auf Linkedin folgen.

---

Bild/Quelle: https://depositphotos.com/de/home.html