Passkey-Lösungen ersetzen zunehmend traditionelle Passwörter. Doch welche Plattform-Authentifizierer prägen die Zukunft der passwortlosen Anmeldung?
Plattform-Authentifizierer im Überblick: Apple, Microsoft und Google
Webseiten und Apps bieten immer häufiger die Möglichkeit, sich mithilfe von Passkeys, also ohne klassisches Passwort, anzumelden. Passkeys bauen auf der FIDO2-Spezifikation auf, die Authentisierung durch öffentliche und private Schlüssel ermöglicht. Authentifizierer übernehmen dabei eine zentrale Rolle, indem sie Passkeys erzeugen, verwalten und im Anmeldeprozess verwenden.
Laut WebAuthn-Standard gelten als Plattform-Authentifizierer diejenigen Komponenten, die fest im Endgerät integriert sind, beispielsweise die Secure Enclave in Apple-Geräten oder das Trusted Platform Module (TPM) unter Windows. Sie erledigen kryptografische Aufgaben direkt über die Hardware und bieten damit eine hohe Sicherheit bei der Passkey-Nutzung. Software-Lösungen wie Passwortmanager zählen hingegen meist zu den nicht-plattformbasierten Authentifizierern. Die Kosten für Plattform-Authentifizierer sind für Benutzer:innen in der Regel gleich null, da sie in das jeweilige Betriebssystem integriert sind.
Apple iCloud-Schlüsselbund als Plattform-Authentifizierer
Der iCloud-Schlüsselbund ist auf allen Apple-Systemen Bestandteil von iOS und macOS. Er speichert verschiedene Zugangsdaten – darunter auch Passkeys – verschlüsselt und synchronisiert diese per iCloud mit anderen Apple-Geräten. Bei der Registrierung eines Passkeys für eine Webseite fragt die Apple-Plattform zunächst, ob der iCloud-Schlüsselbund aktiviert werden soll. Ist das der Fall, agiert dieser als Plattform-Authentifizierer, indem der Passkey unter biometrischer Kontrolle – etwa über Touch ID – erstellt und im Schlüsselbund abgelegt wird.
Wichtig ist dabei: Nicht die Secure Enclave speichert den Passkey selbst, sondern bietet lediglich eine sichere Umgebung für die Erzeugung und Verschlüsselung. Die Passkeys werden softwareseitig generiert, verschlüsselt und im iCloud-Schlüsselbund gespeichert, welcher sie mit anderen Apple-Geräten synchronisiert. So können Benutzer:innen Passkeys für unterschiedliche Anbieter anlegen und diese auf verschiedenen Geräten nutzen, ohne sich um die Koordination mehrerer Anmeldedaten kümmern zu müssen. Apple bietet zusätzlich die Möglichkeit, bei Verlust eines Geräts den Zugriff auf den Schlüsselbund über die iCloud wiederherzustellen.
Anders als bei klassischen Gerätgebundenen Passkeys können synchronisierbare Passkeys auf allen eigenen Apple-Geräten verwendet werden, was eine reibungslose Nutzung im Apple-Ökosystem ermöglicht.
Microsofts Weg: Edge-Passwortmanager und Windows Hello
Im Microsoft-Universum fungiert der Edge-Passwortmanager als Plattform-Authentifizierer. Zusammen mit Windows Hello und dem Betriebssystem verwaltet er Passkeys. Bei der Registrierung eines Passkeys, etwa bei PayPal, kommt das Betriebssystem zum Zug: Windows 11 aktiviert den Windows-Sicherheitsprozess, der sich auf das TPM-Modul stützt, um den Passkey zu erzeugen und zu sichern. Anstelle einer biometrischen Verifikation kann auch eine PIN genutzt werden.
Bisher war es unter Microsoft nur eingeschränkt möglich, Passkeys über verschiedene Geräte zu synchronisieren. Seit November 2025 bietet Edge ab Version 142 jedoch die Option, Passkeys systemübergreifend zu synchronisieren – bislang vor allem auf Windows 10 und neuer. Eine Ausweitung auf iOS, Android und macOS ist geplant. Nutzer:innen haben die Wahl zwischen synchronisierbaren und rein lokale, gerätegebundene Passkeys. Die gerätegebundenen Passkeys basieren auf Schlüsselpaaren, die über TPM lokal verschlüsselt sind, während synchronisierbare Passkeys auf hardwaregestützten Sicherheitsmodulen im Microsoft-Cloud-Backend gespeichert und verschlüsselt werden.
Zusätzlich führt Microsoft einen Windows Password Management-Dienst ein, der neben Edge künftig auch nativen Apps und anderen Browsern, etwa Firefox, den Zugriff auf im System gespeicherte Passkeys erlaubt. Auch bei Google basiert die Passkey-Verwaltung auf der Verwendung von Chrome, der als Passwortmanager agiert und die Synchronisierung über verschiedene Systeme hinweg ermöglicht.
Fazit: Unterschiede im Detail
Apple, Microsoft und Google setzen auf unterschiedliche Herangehensweisen: Während Apple auf vollständige Integration und Synchronisierung innerhalb des Ökosystems setzt, bietet Microsoft künftig flexible Kombinationen aus synchronisierbaren und lokalen Passkeys. Google verfolgt mit Chrome einen plattformübergreifenden Ansatz, wobei Browser und Cloud zusammenarbeiten.
