Die digitale Welt wird immer komplexer, und mit ihr die Notwendigkeit robuster Sicherheitslösungen. Passkeys sind der jüngste und wohl vielversprechendste Schritt in Richtung einer passwortlosen Zukunft. Doch während die Technologie das Leben erleichtern soll, gibt es manchmal kleine Hürden. Eine davon ist die Art und Weise, wie Windows 10 (und auch Windows 11) versucht, Passkeys zu verwalten, insbesondere wenn Sie Ihren bewährten FIDO2-Sicherheitsschlüssel (oft auch als Hardware-Sicherheitstoken bezeichnet) nutzen möchten. Dieser Artikel führt Sie auf dem direkten Weg dorthin und zeigt Ihnen, wie Sie Passkeys auf Ihrem FIDO2 Stick einrichten, ohne dass Windows Hello Ihnen dabei „dazwischenfunkt”.
Passkeys, FIDO2 und die Windows-Herausforderung: Eine Einführung
Bevor wir ins Detail gehen, klären wir kurz die grundlegenden Begriffe. Passkeys sind ein neuer Standard für die Authentifizierung, der das Konzept der Passwörter ersetzen soll. Sie basieren auf der FIDO-Allianz-Spezifikation und nutzen asymmetrische Kryptografie. Anstatt sich ein komplexes Passwort zu merken, authentifizieren Sie sich mit einer kryptografischen Schlüsselpaardatei – einem Passkey. Dieser Schlüssel kann auf Ihrem Gerät (Smartphone, PC) gespeichert sein oder eben auf einem dedizierten FIDO2-Sicherheitsschlüssel.
Ein FIDO2-Stick ist ein physisches Gerät, das nach dem FIDO2-Standard arbeitet. Es bietet eine extrem hohe Sicherheit, da der private Schlüssel niemals das Gerät verlässt. Für viele ist er die bevorzugte Methode für eine starke, zweite (oder sogar erste) Authentifizierungsstufe.
Das „Problem” auf Windows-Systemen entsteht, weil Microsoft bestrebt ist, eine nahtlose und integrierte Benutzererfahrung zu bieten. Wenn Sie einen FIDO2-Stick verwenden und diesen möglicherweise bereits für die Anmeldung an Windows Hello (die biometrische Authentifizierung oder PIN-basierte Anmeldung von Windows) konfiguriert haben, neigt Windows dazu, Ihre Passkey-Verwaltung über sein eigenes System abzuwickeln. Das bedeutet, dass Passkeys, die Sie eigentlich auf Ihrem FIDO2-Stick speichern möchten, stattdessen oft als „Windows Hello Passkey” registriert werden. Das kann die Portabilität und die Kontrolle über Ihre Schlüssel einschränken.
Warum den „Direkten Weg” gehen und Windows Hello umgehen?
Es gibt mehrere gute Gründe, warum Sie Passkeys lieber direkt auf Ihrem FIDO2-Stick verwalten möchten, anstatt sie von Windows Hello verwalten zu lassen:
- Maximale Kontrolle: Wenn der Passkey direkt auf Ihrem Hardware-Token liegt, haben Sie die volle Kontrolle darüber. Sie können den Stick an jedem kompatiblen Gerät verwenden, unabhängig vom Betriebssystem.
- Echte Geräteunabhängigkeit: Ein Passkey, der von Windows Hello verwaltet wird, ist an Ihr spezifisches Windows-Profil gebunden. Möchten Sie diesen Passkey auf einem anderen PC, einem Mac oder Linux-System nutzen, wird es kompliziert. Der FIDO2-Stick ist von Natur aus plattformübergreifend.
- Verhinderung von Vendor Lock-in: Durch die direkte Nutzung des Sticks vermeiden Sie eine stärkere Bindung an das Microsoft-Ökosystem für Ihre primäre Authentifizierung.
- Sicherheitsphilosophie: Für viele Sicherheitsexperten ist die direkte Speicherung auf einem physischen, manipulationssicheren Gerät die sicherste Methode. Der private Schlüssel verlässt niemals den Stick und ist dort durch einen PIN oder biometrische Daten (falls vom Stick unterstützt) geschützt.
- Transparenz: Es ist klarer, wo Ihre Authentifizierungsdaten liegen und wie sie geschützt sind.
Vorbereitung ist alles: Was Sie benötigen
Bevor wir starten, stellen Sie sicher, dass Sie Folgendes zur Hand haben:
- Einen FIDO2-Sicherheitsschlüssel (z.B. YubiKey 5 Series, SoloKeys, Titan Security Key). Stellen Sie sicher, dass er den FIDO2-Standard unterstützt.
- Einen modernen Webbrowser (Google Chrome, Microsoft Edge, Mozilla Firefox) in der aktuellsten Version.
- Ein Windows 10 (oder 11) Gerät.
- Zugang zu einem Online-Dienst, der Passkeys unterstützt (z.B. Google, Microsoft-Konto, GitHub, PayPal, Amazon).
- Gegebenenfalls die Verwaltungssoftware für Ihren FIDO2-Stick (z.B. YubiKey Manager).
Das Kernproblem: Windows Hello und die Passkey-Verwaltung
Um den direkten Weg zu verstehen, müssen wir das Verhalten von Windows Hello genauer betrachten. Wenn Sie Ihren FIDO2-Stick an Windows anschließen und ihn beispielsweise für die Windows-Anmeldung einrichten, integriert Windows diesen Stick tief in sein Authentifizierungssystem. Wenn Sie nun versuchen, einen Passkey bei einem Online-Dienst einzurichten, wird der Browser oft die „native” Windows-Passkey-Schnittstelle aufrufen, die dann wiederum Windows Hello priorisiert. Anstatt den Passkey direkt auf Ihrem physischen FIDO2-Stick zu erstellen, wird Windows Hello versuchen, einen Passkey zu erstellen, der in seinem eigenen System verwaltet wird (oft im Trusted Platform Module, TPM, Ihres PCs oder an die Windows-Anmeldung gebunden). Dies ist zwar bequem für reine Windows-Nutzer, aber kontraproduktiv für Nutzer, die ihren FIDO2-Stick als primäres, plattformunabhängiges Sicherheitstoken nutzen möchten.
Der direkte Weg: Passkey-Einrichtung auf Ihrem FIDO2 Stick
Schritt 1: Bereiten Sie Ihren FIDO2-Stick vor
Dieser Schritt ist entscheidend. Wenn Ihr FIDO2-Stick bereits mit Windows Hello für die Anmeldung an Ihrem PC konfiguriert ist, müssen Sie ihn möglicherweise zurücksetzen oder eine spezielle Vorgehensweise anwenden. Ideal ist es, wenn Sie einen neuen, „unberührten” Stick verwenden, der noch nicht für Windows Hello eingerichtet wurde.
- Neuer FIDO2-Stick: Wenn Sie einen neuen Stick verwenden, der noch nicht mit Windows Hello für die PC-Anmeldung verbunden wurde, können Sie diesen Schritt überspringen.
- Bereits verwendeter FIDO2-Stick (Windows Hello für PC-Anmeldung aktiv):
Um sicherzustellen, dass Windows Hello nicht die Kontrolle über die Passkey-Erstellung übernimmt, müssen Sie den Stick möglicherweise zurücksetzen. Beachten Sie, dass dabei alle vorhandenen Passkeys und FIDO2-Anmeldedaten auf diesem Stick gelöscht werden! Gehen Sie dabei wie folgt vor:
- Laden Sie die Verwaltungssoftware für Ihren Stick herunter (z.B. YubiKey Manager für YubiKeys).
- Schließen Sie Ihren FIDO2-Stick an.
- Öffnen Sie die Verwaltungssoftware und suchen Sie die Option zum Zurücksetzen oder „Resetten” des FIDO2-Teils des Sticks. Bei YubiKeys finden Sie dies typischerweise unter „Applications” -> „FIDO2” -> „Reset FIDO”.
- Bestätigen Sie den Reset-Vorgang. Ihr Stick ist nun wieder im Werkszustand, was die FIDO2-Anmeldedaten betrifft.
- Falls Sie den Stick für die Windows-Anmeldung genutzt haben, entfernen Sie ihn auch aus den Windows-Anmeldeoptionen (Einstellungen -> Konten -> Anmeldeoptionen -> Sicherheitsschlüssel).
Schritt 2: Passkey-Erstellung im Browser initiieren
Öffnen Sie Ihren bevorzugten Webbrowser (Chrome, Edge, Firefox) und navigieren Sie zum Online-Dienst, bei dem Sie einen Passkey einrichten möchten. Typischerweise finden Sie die Option unter den Sicherheitseinstellungen Ihres Kontos:
- Google: Google-Konto -> Sicherheit -> Wie Sie sich bei Google anmelden -> Passkeys.
- Microsoft-Konto: account.microsoft.com -> Sicherheit -> Erweiterte Sicherheitsoptionen -> Passkeys.
- GitHub: Settings -> Password and authentication -> Passkeys.
- Andere Dienste folgen einem ähnlichen Muster.
Wählen Sie die Option zur Erstellung eines neuen Passkeys.
Schritt 3: Die entscheidende Wahl – Den FIDO2-Stick auswählen
Dies ist der kritische Moment, in dem Sie Windows Hello umgehen. Nachdem Sie die Erstellung eines Passkeys gestartet haben, wird Ihr Browser ein Dialogfenster öffnen. Hier müssen Sie genau aufpassen:
- Das Dialogfenster wird Ihnen möglicherweise mehrere Optionen anbieten, z.B. „Windows Hello”, „Ein anderes Gerät”, „USB-Sicherheitsschlüssel”, „PIN oder biometrische Daten”.
- Wählen Sie NICHT „Windows Hello” (oder eine ähnliche Option, die auf die Windows-Systemintegration abzielt).
- Wählen Sie stattdessen explizit „USB-Sicherheitsschlüssel”, „Ein anderes Gerät” oder eine Option, die klar darauf hinweist, dass Sie ein externes Hardware-Gerät verwenden möchten. Die genaue Formulierung kann je nach Browser und Betriebssystem variieren. Manchmal müssen Sie zuerst „Anderes Gerät” wählen, um dann die Option „Sicherheitsschlüssel” oder „USB-Schlüssel” zu sehen.
Sobald Sie die Option für den externen FIDO2-Sicherheitsschlüssel ausgewählt haben, werden Sie aufgefordert, den Stick einzustecken oder anzutippen (bei NFC-fähigen Sticks). Der Browser kommuniziert nun direkt mit dem Stick, um den Passkey dort zu erstellen.
Schritt 4: Authentifizierung und Abschluss
Je nach Konfiguration Ihres FIDO2-Sticks müssen Sie eventuell eine PIN eingeben oder Ihren Fingerabdruck scannen (falls der Stick über einen Sensor verfügt). Dies ist der Mechanismus, der den privaten Schlüssel auf Ihrem Stick schützt und sicherstellt, dass nur Sie ihn verwenden können.
Nach erfolgreicher Authentifizierung wird der Passkey sicher auf Ihrem FIDO2-Stick erstellt und beim Online-Dienst registriert. Sie erhalten in der Regel eine Bestätigung im Browser.
Best Practices und Fehlerbehebung
- PIN des Sticks: Stellen Sie sicher, dass Sie die PIN Ihres FIDO2-Sticks kennen. Viele Sticks benötigen eine PIN, bevor sie zum ersten Mal verwendet werden können oder wenn Sie Passkeys darauf speichern. Diese PIN ist nicht mit Ihrer Windows-PIN identisch.
- Browser-Einstellungen: Vergewissern Sie sich, dass Ihr Browser die Verwendung von Sicherheitsschlüsseln erlaubt. In den Datenschutzeinstellungen oder Sicherheitseinstellungen finden Sie oft Optionen dazu.
- Treiber: In der Regel sind für FIDO2-Sticks keine speziellen Treiber erforderlich, da sie dem Universal-Standard HID (Human Interface Device) folgen. Sollten dennoch Probleme auftreten, prüfen Sie die Website des Herstellers.
- Mehrere Sticks: Wenn Sie mehrere FIDO2-Sticks besitzen, kann es hilfreich sein, nur den einen anzuschließen, den Sie konfigurieren möchten, um Verwechslungen zu vermeiden.
- Testen: Nachdem Sie den Passkey eingerichtet haben, testen Sie ihn sofort. Melden Sie sich vom Dienst ab und versuchen Sie, sich mit Ihrem neuen Passkey und dem FIDO2-Stick wieder anzumelden.
- Backup-Optionen: Denken Sie immer an Backup-Optionen. Wenn Ihr FIDO2-Stick verloren geht oder beschädigt wird, müssen Sie sich noch anmelden können. Viele Dienste bieten die Möglichkeit, mehrere Passkeys oder andere Authentifizierungsmethoden (z.B. SMS-Codes, Authenticator-Apps) zu registrieren.
Fazit: Maximale Sicherheit und Kontrolle durch den direkten Weg
Die Einrichtung von Passkeys ist ein großer Fortschritt in der Online-Sicherheit. Indem Sie den direkten Weg wählen und Passkeys explizit auf Ihrem FIDO2-Sicherheitsschlüssel speichern, anstatt die Windows Hello-Integration zu nutzen, gewinnen Sie ein Höchstmaß an Kontrolle, Portabilität und Sicherheit. Ihr FIDO2-Stick wird so zum zentralen, plattformunabhängigen Schlüssel für Ihre digitale Identität, der Sie elegant und sicher durch die Online-Welt navigieren lässt, frei von unnötiger Betriebssystem-Bindung. Nehmen Sie die Kontrolle über Ihre Authentifizierung selbst in die Hand und genießen Sie die Freiheit und Sicherheit, die Passkeys auf Ihrem physischen Token bieten.