Passkeys haben weiterhin Probleme

 (fy.blackhats.net.au)
7 Punkte von GN⁺ 2025-12-19 | 4 Kommentare | Auf WhatsApp teilen
  • Auch im Jahr 2025 haben Passkeys in der Debatte um Sicherheit und Komfort weiterhin Probleme bei der Nutzererfahrung und Vendor Lock-in
  • Die neu eingeführte FIDO Credential Exchange ermöglicht zwar die Migration zwischen Anbietern, doch Reibung zwischen Plattformen und Fragmentierung bleiben bestehen
  • Bei Plattformbetreibern wie Apple, Google, Microsoft bestehen weiterhin Risiken durch fehlende Backups und mögliche Aussperrung, zudem wird durch UI-Design die Wahlfreiheit der Nutzer eingeschränkt
  • Die schwer verständliche Passkey-Konzeption und missverständliche Kommunikation von Diensten schwächen das Vertrauen normaler Nutzer
  • Zum Schutz wichtiger Konten ist die Nutzung eines selbst kontrollierbaren Credential Managers und von Hardware-Schlüsseln wie Yubikey wichtig

TL;DR Zusammenfassung

  • Passkeys haben weiterhin Mängel, und Nutzer sollten sie verstehen und entsprechend ihrer eigenen Anforderungen einsetzen
    • Die ausschließliche Nutzung der Credential Manager von Plattformanbietern (Apple, Google, Microsoft) birgt das Risiko fehlender Backups und einer Aussperrung
    • Empfohlen wird die Nutzung backupfähiger Credential Manager wie Bitwarden, Vaultwarden
    • Über FIDO Credential Exchange ist eine regelmäßige Synchronisierung in einen externen Credential Manager erforderlich
    • Für wichtige Konten wie E-Mail sollte Yubikey als Passkey-Speicher genutzt werden, ergänzt durch starke Passwörter + TOTP als Backup-Methode
    • Falls der Zugriff auf den Credential Manager nicht möglich ist, sollten Wiederherstellungswege vorab geprüft werden

Veränderungen im letzten Jahr

  • Die wichtigste Veränderung ist die Einführung der FIDO Credential Exchange-Spezifikation
    • Dadurch wurde die Übertragung von Zugangsdaten zwischen Passkey-Anbietern möglich
  • Dennoch bestehen Reibungen zwischen Plattformen und Brüche im Ökosystem fort
    • Passkeys können zwischen unterschiedlichen Geräten fragmentiert werden, ohne dass Nutzer dies bemerken
    • Passkeys auf Apple-Geräten können nicht mit Nicht-Apple-Geräten synchronisiert werden, während dies bei Google und Microsoft teilweise möglich ist
    • Apple-Nutzer können dadurch eine stärkere Abhängigkeit empfinden

Die schwer verständliche Passkey-Idee

  • Passwörter lassen sich als „etwas, das ich weiß“ und SMS-2FA als „etwas, das ich empfangen kann“ intuitiv verstehen
  • Passkeys hingegen sind ein unsichtbarer Authentifizierungsfaktor, den Nutzer weder direkt prüfen noch ausdrucken können
  • Es ist eigentlich ein Vertrauensprozess gegenüber dem Credential Manager nötig, doch Passkeys überspringen diesen Vertrauensschritt
  • Selbst Sicherheitsexperten verwechseln teils die Funktionsweise von Passkeys, was zeigt, wie hoch die Verständnisbarriere ist

„Thought Leadership“ und Probleme bei der Nutzerbildung

  • Einige Stimmen aus der Branche behaupten, das Erlernen von Passwortverwaltung sei „ein Versagen der Industrie“,
    tatsächlich ist aber auch bei Passkeys das Verständnis eines Credential Managers unverzichtbar
  • Nutzer, die Passwörter und TOTP bevorzugen, tun dies womöglich nicht aus Arroganz, sondern wegen Nutzbarkeitsproblemen
  • Der Glaube, Passkeys funktionierten ohne Nutzeraufklärung, ist realitätsfern
  • Wenn sich Nutzer trotz ausreichendem Verständnis bewusst gegen Passkeys entscheiden, dann haben Passkeys für diese Nutzer versagt

Weiterhin bestehender Vendor Lock-in

  • Auch wenn FIDO Credential Exchange existiert, erhöhen in der Praxis Reibung im Ablauf und lenkende UI-Gestaltung die Wechselkosten
  • Das Passkey-Erstellungsmodal von Apple lenkt standardmäßig zur Nutzung von Apple Keychain,
    andere Optionen (Sicherheitsschlüssel, Android usw.) sind unter „Other Options“ versteckt
  • Die Auswahl des Nutzers wird nicht gespeichert und fällt jedes Mal auf die Voreinstellung zurück
  • Google Chrome hat eine ähnliche Struktur und lenkt Nutzer ebenfalls im Plattform-Ökosystem zu bleiben
  • Es geht also nicht nur um den Speicherort, sondern um eine Abhängigkeit über die gesamte Nutzererfahrung hinweg

Datenverlust bei Cloud-Keychains

  • Fälle, in denen Passkeys aus der Apple Keychain verschwinden oder auf Android-Geräten nicht erstellt bzw. genutzt werden können, treten weiterhin auf
  • In manchen Fällen war selbst nach einem Zurücksetzen des Geräts keine Wiederherstellung möglich, sodass der Zugang zum Nutzerkonto vollständig blockiert war
  • Solche Probleme führen zu einem Vertrauensverlust in Passkeys

Kontosperrung durch Anbieter

  • In Fällen von Apple-Kontosperrungen gingen alle Passkeys in einen nicht wiederherstellbaren Zustand über
  • Ähnliche Fälle gibt es auch bei Google und Microsoft
  • Eine einzelne Kontomaßnahme kann das Risiko bergen, alle Zugangsdaten zu zerstören

Irreführende Kommunikation von Authentifizierungsdiensten

  • Einige Dienste erklären, dass „Passkeys Gesichts- oder Fingerabdruckdaten übertragen“
  • Tatsächlich verlassen biometrische Daten das Gerät nicht,
    doch normale Nutzer missverstehen dies leicht als „Mein Gesicht/Fingerabdruck wird über das Internet übertragen“
  • Solche Erklärungen erzeugen Misstrauen und Ablehnung gegenüber Passkeys
  • Auch die UI der Plattformanbieter räumt diese Missverständnisse nicht aus

Authentifizierungsdienste, die die Nutzerwahl einschränken

  • Einige Websites erlauben weiterhin nur einen einzigen Passkey oder erzwingen über die Option authenticatorAttachment nur plattformgebundene Passkeys
  • Dadurch werden Sicherheitsschlüssel oder nicht plattformgebundene Credential Manager blockiert
  • Manche Websites versuchen beim Login sogar automatisch und ohne vorherige Zustimmung Passkeys zu registrieren – ein unethisches Verhalten

Fazit und Empfehlungen

  • Die meisten Probleme entstehen aus einer plattformzentrierten Struktur des Passkey-Managements
  • Nutzer sollten über einen selbst kontrollierbaren Credential Manager
    das Risiko von Kontosperrungen und Datenverlust senken und regelmäßige Backups durchführen
  • Yubikey (Firmware 5.7 oder höher) kann bis zu 150 Passkeys speichern
    • Für einige Konten kann dies einen softwarebasierten Credential Manager ersetzen
  • E-Mail-Konten sind der Schlüssel für Wiederherstellungswege,
    daher sollten Hardware-Schlüssel + starkes Passwort + TOTP kombiniert und Offline-Backups vorgehalten werden
  • Plattformen wie Apple und Google sollten sich die Nutzerwahl merken und
    Sicherheitsschlüssel sowie andere Anbieter in der UI gleichwertig anbieten
  • Entwickler sollten Vorfilterung in der WebAuthn API vermeiden und
    die Passkey-Registrierung erst nach klarer Information der Nutzer durchführen
  • Das Kernprinzip ist die Sicherung von Nutzerkontrolle und Einwilligung (consent)

Verwandte Beiträge

4 Kommentare

 
roxie 2025-12-19

Ich mag Passkeys,,
 
yeobi222 2025-12-19

Wenn Nutzer die Struktur des Sicherheitssystems nicht verstehen, wächst nur das Misstrauen.
Und von wirklich guter Usability kann man auch nicht gerade sprechen.
 
koxel 2025-12-19

Nachdem ich den Google-Passwortmanager einmal gelöscht hatte und dadurch alles weg war, habe ich die Zugangsdaten neu ausstellen lassen und bin danach zu Bitwarden gewechselt..
 
GN⁺ 2025-12-19
Hacker-News-Kommentare

  • Der Autor missversteht Passkeys immer noch. Viele glauben, dass ein verlorener Passkey nicht wiederhergestellt werden kann, aber in der Praxis ist das ähnlich wie bei einem verlorenen Passwort. Bei den meisten Diensten kann man das Passwort zurücksetzen – per E-Mail oder SMS. Konten wie Apple, Google oder Facebook haben allerdings kompliziertere Wiederherstellungsverfahren, daher sollte man Backup-Codes ausdrucken und sicher aufbewahren. Außerdem braucht man unbedingt ein letztes Passwort zum Einloggen in den Passwortmanager oder ein externes Mittel wie einen YubiKey

    • Ich frage mich, ob es schon vor der Einführung von Passkeys bei Apple- und Google-Konten Aussperrungsprobleme gab. Derzeit können Nutzer Passkeys weder selbst sichern noch exportieren, und weil sich Sicherheitsingenieure nur auf die Verhinderung von Schlüsseldubletten konzentriert haben, sind Milliarden Menschen dem Risiko einer Aussperrung ausgesetzt. Dieser Ansatz könnte regulatorische Risiken verursachen
    • Ob sich ein Passkey zurücksetzen lässt, hängt von der Implementierung des Diensteanbieters ab. Es gab auch Beschwerden, dass eine Wiederherstellung mancherorts nur telefonisch möglich sei
    • Apple- und Google-Konten speichern die meisten anderen Passwörter und Passkeys, daher ist ihr Verlust ein deutlich gravierenderes Problem
    • Passkeys existieren unabhängig auf jedem Gerät, und man muss sie nicht auf allen Geräten einrichten. Auf anderen Geräten kann man sich einfach mit dem Passwort anmelden

  • Bei Passkeys sollten aus meiner Sicht zwei Dinge verbessert werden.

    1. Selbst wenn nur ein einziges registriertes Gerät vorhanden ist, zeigt die UI unnötige Auswahlmöglichkeiten an
    2. Es wäre besser gewesen, wenn sie von Anfang an Portabilität und Flexibilität wie SSH-Schlüssel gehabt hätten. Im Moment ist die Herstellerabhängigkeit viel zu stark
    • Auf dem Mac kann man zuerst auf die Schaltfläche für Sicherheitsschlüssel klicken und so den Auswahlschritt überspringen
    • Die Optionen sollten nicht versteckt, sondern ausgegraut mit dem Hinweis „Keine registrierten Schlüssel“ angezeigt werden. So können Nutzer die Ursache des Problems verstehen
    • Das Passkey-System wurde mit dem Ziel entworfen, phishing-resistent zu sein, deshalb sollen Nutzer ihre Zugangsdaten nicht selbst exportieren können. Am Ende führt das zu einer Struktur mit Vendor Lock-in. Wer zum Beispiel Passkeys in Safari nutzen will, braucht zwingend iCloud Keychain, sodass eine rein lokale Nutzung nicht möglich ist
    • Für technisch weniger versierte Nutzer könnten Passkeys eine gute Wahl sein. Allerdings sollte man ihnen helfen, Wiederherstellungscodes auf Papier zu notieren und sicher aufzubewahren

  • Wenn man sich die KeePass-bezogenen Themen ansieht, wächst in der Branche der Druck, den Export privater Schlüssel zu verhindern. Diese Entwicklung ist besorgniserregend
    Zugehöriges GitHub-Issue

    • Ich bin der Verfasser eines Kommentars in diesem Issue. Standardmäßig ein verschlüsseltes Backup zu verlangen, verhindert den Export nicht, sondern gibt den Nutzern im Gegenteil direkte Kontrolle über ihre Schlüssel

  • Solange Diensteanbieter erzwingen können, wie Passkeys gespeichert werden (Hardware/Software), oder MFA wie Touch ID erzwingen, bevorzuge ich weiterhin die Kombination Passwort + TOTP

    • (1) ist bereits nicht möglich. Ein Dienst kann nicht erzwingen, wie ein Passkey gespeichert wird
    • (2) ist keine MFA, sondern eher eine biometrische Verifikation (Liveness Check). Es ist einfach ein Verfahren, das nachweist, dass gerade ein Mensch die Anmeldung durchführt
    • Für Notfälle braucht es eine manuell eingebbare Sicherungsmethode. Am Ende landet man wieder bei etwas, das einem Passwort ähnelt

  • Ich werde Passkeys nie verwenden, weil ein Anbieter Nutzer aussperren kann. Besonders problematisch ist, dass Erben nach dem Tod eines Nutzers unter Umständen keinen Zugriff erhalten

    • Dazu gibt es reale Fälle: Fehlgeschlagene Apple-ID-Wiederherstellung, HN-Diskussion
    • Einige Passwortmanager bieten eine Offline-Root-of-Trust-Struktur. Das Emergency Kit von 1Password etwa ermöglicht Erben oder Familienmitgliedern über gedruckte Wiederherstellungscodes den Zugriff
    • Ob Passwort oder Passkey: Wenn die Richtlinien des Anbieters identisch sind, ist auch die Zugangsbeschränkung dieselbe
    • Es wäre gut, wenn sich solche Vereinbarungen in eine rechtliche Treuhandstruktur (trust) überführen ließen, aber Unternehmen würden das wohl nicht mögen
    • Die Dark-Pattern-UI, die zur Passkey-Registrierung drängt, ist extrem nervig. Obwohl ich das nur mit meinem Firmenkonto nutze, werde ich ständig zur Registrierung aufgefordert. Wir haben bereits SSO und 2FA – warum also noch Passkeys?

  • Die UX von Passkeys ist miserabel. Man weiß nicht einmal, wie viele aktiviert sind, und manchmal vergisst eine Authenticator-App den Passkey. Es ist einfach verwirrend

  • Die Kombination Passwort + TOTP ist weiterhin am praktikabelsten. Für den Gerätewechsel muss man sich nur bei Bitwarden anmelden. Bei Passkeys ist dagegen das Wiederherstellungsverfahren bei Geräteverlust unklar. Es ist nicht einmal eindeutig, warum ein auf dem iPhone eingerichteter Passkey auch auf einem Linux-Desktop funktioniert. Vorteile hat das eigentlich nur für Nutzer einer einzigen Plattform

    • Wenn mehrere Geräte registriert wurden oder synchronisiert sind, ist eine Wiederherstellung möglich, andernfalls bleibt nur das Kontowiederherstellungsverfahren. Am Ende ist das nicht besser als ein Passwort

  • Letztlich sind Passkeys ein übermäßig komplexes Design. Wenn man den Lock-in akzeptiert, werden einige Probleme kleiner, aber neue Einschränkungen entstehen. TOTP ist eine realistische Alternative

    • TOTP ist lästig, aber man hat Kontrolle als Nutzer. Deshalb habe ich die eigene LazyOTP-Chrome-Erweiterung gebaut, damit sich das wie ein einzelner Faktor nutzen lässt

  • Für die meisten gewöhnlichen Nutzer sind Passkeys eine hervorragende Lösung. Sie beseitigen komplexe Passwortverwaltung und Wiederverwendungsprobleme, und der Login ist einfacher.
    Selbst aus technischer Sicht fühlt sich die schnelle und reibungslose Anmeldeerfahrung deutlich besser an

    • Aber wenn man ein Gerät verliert oder es kaputtgeht, kann der Zugriff auf alle Konten blockiert sein. Ein Passwort auf Papier hat dieses Problem nicht
    • Der größte Vorteil von Passkeys ist ihre Abwehr von Phishing. Man kann Anmeldedaten nicht an eine falsche Domain übermitteln
    • Unklar bleibt allerdings der Prozess der Synchronisierung geheimer Schlüssel zwischen PC und Smartphone. Am Ende wirkt es so, als wäre man vollständig an das Apple-Ökosystem gebunden
    • Eine Implementierung, die in der Praxis über mehrere Plattformen hinweg vollkommen nahtlos funktioniert, habe ich bisher noch nicht gesehen

  • Ich habe mir im Voraus ein Passwortmanager- und 2FA-System aufgebaut, und jetzt fühlt es sich so an, als würde diese ganze Mühe durch den Trend zur Umstellung auf Passkeys entwertet. Ich mag keine Technologieumgebung, in der gerade diejenigen benachteiligt werden, die frühzeitig vorsorgen