Sie sind wahrscheinlich hier, weil Sie genug von Passwörtern haben.
Vermutlich haben Sie schon von der FIDO-Authentifizierung gehört und davon, wie sie die Online-Sicherheit revolutioniert. Jetzt möchten Sie herausfinden, ob FIDO2 das richtige Werkzeug ist, um Sie oder Ihr Unternehmen zu schützen.
Nun... bei Hideez helfen wir Organisationen seit vielen Jahren bei der Umstellung auf passwortlose Technologien – wir kennen das System also bis ins Detail.
In diesem Leitfaden haben wir unser gesammeltes Wissen zusammengetragen, um zu erklären, wie FIDO2 funktioniert – und warum es (oder vielleicht auch nicht) die passende Lösung ist, um Ihre persönliche oder geschäftliche Sicherheit zu erhöhen.
Vorab ein paar wichtige Punkte:
Wenn Sie an passwortlose Logins für persönliche Konten denken: Viele bekannte Websites unterstützen bereits FIDO2. In den meisten Fällen benötigen Sie lediglich Ihr Mobiltelefon.
Bei FIDO wird das „Geheimnis“, das Ihre Identität bestätigt, direkt auf Ihrem Gerät gespeichert – und kann dieses physisch nicht verlassen. Das bedeutet: kein Geheimnis, das abgefangen werden kann, kein Passwort, das erraten werden muss, keine Chance für Hacker.
Nicht jede App oder jeder Dienst ist bereits auf FIDO-Technologie vorbereitet – besonders im B2B-Bereich mit seiner komplexen Softwarelandschaft. Aber es ist definitiv möglich, alte passwortbasierte Systeme mit neuen passwortlosen Methoden zu kombinieren.
Was ist FIDO2? Der neue Standard für passwortlose Sicherheit
FIDO steht für „Fast Identity Online“ – eine Initiative führender Technologieunternehmen wie PayPal und Lenovo mit einem ehrgeizigen Ziel: das Ende des Passworts einzuleiten. Sie wussten, dass es sicherere und benutzerfreundlichere Wege geben muss, unsere Identität online nachzuweisen.
FIDO2 ist der neueste und fortschrittlichste Standard der FIDO Alliance. Er ermöglicht moderne Passkeys und vereint im Grunde die besten Elemente früherer Entwicklungen:
U2F: Konzentriert sich auf physische Sicherheitsschlüssel als zweiten Faktor.
UAF: Setzt auf biometrische Verfahren (z. B. Fingerabdruck) auf dem Smartphone.
Die Kombination aus U2F, UAF und FIDO2 kann anfangs verwirrend sein – hier hilft eine einfache Übersichtstabelle:
Im Kern geht es bei FIDO2 darum, die Dinge abzuschaffen, die wir alle hassen: schwer merkbare Passwörter und nervige Multi-Faktor-Verfahren. Niemand will ständig SMS-Codes eingeben oder Push-Benachrichtigungen bestätigen.
Statt auf etwas, das Sie wissen (ein Passwort oder Einmalcode) zu setzen, nutzt FIDO eine Kombination aus etwas, das Sie besitzen (Ihr Smartphone oder Sicherheitsschlüssel) und etwas, das Sie sind (z. B. Ihren Fingerabdruck oder Ihr Gesicht). Diese Faktoren werden oft als sogenannte Passkeys bezeichnet.
Auch wenn das futuristisch klingt, haben Sie Passkeys vielleicht bereits für die Anmeldung bei Google oder Microsoft genutzt – ohne zu merken, dass es sich um FIDO-basierte Authentifizierung handelt. Heute wird FIDO von allen großen Betriebssystemen unterstützt, einschließlich Windows, Android, iOS und macOS.
Wie funktioniert das FIDO2-Protokoll?
Wie schafft es FIDO, Passwörter überflüssig zu machen? Das Geheimnis liegt in einem raffinierten Verfahren namens Public-Key-Kryptografie.
Anstatt eines Passworts, das gestohlen werden kann, erzeugt Ihr Gerät ein digitales Schlüsselpaar. Ein Schlüssel ist öffentlich (dem Webdienst bekannt), der andere bleibt privat (Ihr Geheimnis, das niemals Ihr Gerät verlässt). Wenn Sie nachweisen, dass Sie den privaten Schlüssel besitzen, beweisen Sie Ihre Identität – ganz ohne Passwortübertragung.
Anhand unserer eigenen Plattform zeigen wir Ihnen den Ablauf:
Besuchen Sie eine Website, die passwortlose Anmeldung unterstützt. Dort finden Sie eine Option wie „Anmeldeoptionen“, um einen FIDO-Authenticator zu verwenden statt Benutzername und Passwort einzugeben.
Nach der Auswahl erscheint ein Systemfenster, das Sie auffordert, Ihr Authentifizierungsgerät auszuwählen – etwa Ihren Computer, Ihr Smartphone oder einen angeschlossenen physischen Sicherheitsschlüssel.
Beim ersten Mal durchlaufen Sie eine kurze Registrierung. Dabei generiert Ihr Gerät das Schlüsselpaar – der private Schlüssel bleibt sicher auf dem Gerät, der öffentliche wird an die Website übermittelt. Meist erfolgt die Bestätigung per Fingerabdruck, Gesichtserkennung oder PIN.
Bei jeder späteren Anmeldung sendet der Dienst eine kryptografische Herausforderung an Ihr Gerät. Dieses signiert die Herausforderung mit dem privaten Schlüssel – der Schlüssel selbst bleibt dabei stets geheim.
Zum Schluss überprüft der Server die Signatur mithilfe des gespeicherten öffentlichen Schlüssels. Wenn alles passt – sind Sie drin!
Welche Vorteile bietet FIDO2?
Der Clou: FIDO schützt Sie umfassend vor allen gängigen Angriffen:
Starke Sicherheit. FIDO verhindert Angriffe auf Zugangsdaten wie Phishing. Der private Schlüssel bleibt stets auf Ihrem Gerät – er kann nicht geteilt oder gestohlen werden. Selbst bei Datenpannen bleiben Ihre Anmeldedaten sicher: Hacker finden maximal Ihren öffentlichen Schlüssel, der allein nutzlos ist.
Komfort für Nutzer. FIDO macht Schluss mit dem mühsamen Eintippen von Passwörtern oder Einmalcodes – die Anmeldung wird schneller, einfacher und sicherer. Und weil FIDO von Natur aus Phishing-resistent ist, entfallen viele zusätzliche Sicherheitsmechanismen.
Compliance. FIDO erfüllt moderne Sicherheitsanforderungen nach Standards wie GDPR, HIPAA, PSD2 und NIS2 – ohne auf gemeinsam genutzte Geheimnisse zu setzen. Es unterstützt phishing-resistente Multi-Faktor-Authentifizierung wie von NIST SP 800-63 und der CISA empfohlen. Große Unternehmen und Regierungen – einschließlich US-Behörden unter Executive Order 14028 – setzen zunehmend auf FIDO-Technologie im Rahmen ihrer Zero-Trust-Strategien.
Wo können Sie FIDO & Passkeys tatsächlich verwenden?
Das Beste an der passwortlosen Bewegung ist, dass Sie die passwortlose Anmeldung bereits bei vielen Apps und Websites aktivieren können, die Sie täglich nutzen.
Schauen wir uns an, wo genau das möglich ist.
Für Ihre persönlichen Konten
Zuerst zu Ihren privaten Konten. Die großen Drei – Apple, Google und Microsoft – setzen vollständig auf Passkeys. Das heißt, Sie können sich bei iCloud, Google und Microsoft ohne Passwort anmelden. Darüber hinaus unterstützen zahlreiche weitere Dienste – von sozialen Netzwerken bis hin zu Banken – mittlerweile ebenfalls Passkeys oder physische Sicherheitsschlüssel zur Anmeldung.
Sobald Sie bestätigt haben, dass Ihr Dienst FIDO unterstützt, ist die Einrichtung in weniger als einer Minute erledigt. Gehen Sie einfach in die Sicherheitseinstellungen Ihres Kontos und wählen Sie die Option, einen neuen Passkey hinzuzufügen.
Unser wichtigster Tipp: Beschränken Sie sich nicht auf ein einziges Gerät. Wir empfehlen ausdrücklich, gleich mehrere Passkeys zu registrieren – zum Beispiel für Ihr Smartphone und Ihren Laptop.
Die meisten Passkeys werden automatisch über Ihre Plattform synchronisiert, z. B. über Ihr Google-Konto oder iCloud. Das ist besonders hilfreich: Wenn Sie Ihr Smartphone verlieren, sind Sie nicht automatisch ausgesperrt. Sie können einfach Ihren Laptop verwenden, sich mit Fingerabdruck oder PIN anmelden und weitermachen.
Am Arbeitsplatz (auch für Apps, die es scheinbar nicht unterstützen)
Jetzt wird es richtig interessant: Auch wenn einige Ihrer Arbeitsanwendungen FIDO-Authentifizierung nicht direkt unterstützen, können Sie sie dennoch passwortlos nutzen – über Single Sign-On (SSO) in Kombination mit einem FIDO-zertifizierten Identity Provider (IdP), wie z. B. Hideez.
Stellen Sie sich das wie eine digitale Sicherheitszentrale vor: Wenn Sie eine App öffnen, werden Sie zuerst dorthin geleitet. Dort authentifizieren Sie sich sicher per FIDO – und erhalten ein geprüftes Zugangs-Ticket, das alle verknüpften Anwendungen automatisch akzeptieren.
Bei Hideez unterstützen wir mehrere sichere Anmeldemethoden.
Unser Hauptansatz basiert auf dem neuen Standard für passwortlose Sicherheit: Passkeys. Das bedeutet, Sie können die integrierten Funktionen Ihrer Geräte nutzen – wie Face ID oder den Fingerabdrucksensor auf Smartphone und Laptop. Zusätzlich unterstützen wir vollständig FIDO-zertifizierte Hardware-Sicherheitsschlüssel für alle, die ein separates Authentifizierungsgerät bevorzugen.
Als zusätzliche Option bieten wir auch einen mobilen Authenticator, der mit dynamischen QR-Codes arbeitet. Für die Anmeldung am Computer öffnen Sie einfach unsere App auf dem Smartphone und scannen den QR-Code auf dem Bildschirm. Eine schnelle und sichere Möglichkeit, sich über Ihr vertrauenswürdiges Gerät zu identifizieren.
Was sind die Hauptnachteile bei der Implementierung von FIDO2?
Okay, wir haben die Vorteile von FIDO2 besprochen – aber werfen wir jetzt einen realistischen Blick auf die Herausforderungen. Abseits von Marketingversprechen gibt es einige Punkte, die Sie vor einer vollständigen Umstellung kennen sollten.
1. Das „Legacy-Tech“-Problem
Das größte Hindernis ist, dass nicht jede Anwendung FIDO unterstützt. Sie werden zwangsläufig auf ältere Systeme stoßen – z. B. lokal installierte Software, alte VPN-Clients oder spezielle RDP-Gateways – die weder FIDO noch modernes SSO ermöglichen. Für diese Systeme bleibt das Passwort vorerst notwendig, und Sie benötigen eine Lösung, die beide Anmeldearten verwalten kann.
Unsere Hardware-Schlüssel wurden genau für diesen Anwendungsfall entwickelt. Sie erfüllen eine Doppelfunktion: Für moderne Dienste agieren sie als FIDO2-Schlüssel, die kryptografische Herausforderungen lösen. Für ältere Anwendungen fungieren sie gleichzeitig als verschlüsselter Passwortmanager. Jeder Schlüssel kann über 1000 Benutzernamen und Passwörter sicher speichern und sie bei Bedarf automatisch (mit oder ohne PIN) ausfüllen – ein einziger sicherer Zugang zu allem.
2. Das Passwort verschwindet nicht immer ganz
Eine ärgerliche Realität der heutigen Passkey-Lösungen: Bei den meisten Diensten verschwindet das alte Passwort nicht vollständig. Es bleibt oft als „Notfalloption“ erhalten – falls Sie Ihr Passkey-Gerät verlieren.
Das klingt zwar hilfreich, bedeutet aber, dass das schwächste Glied – das Passwort – weiterhin aktiv ist. Damit bleibt eine Angriffsmöglichkeit bestehen, die Passkeys eigentlich verhindern sollen. Auch wenn der Trend dahin geht, das Passwort komplett zu entfernen, ist diese „Hintertür“ aktuell noch Realität für viele Konten.
3. Nicht alle Passkeys sind gleich (Synchronisiert vs. Gerätegebunden)
Ein wichtiger Punkt für Unternehmen: Es gibt zwei Hauptarten von Passkeys – und sie bieten jeweils Vor- und Nachteile in Bezug auf Komfort und Kontrolle:
Synchronisierte Passkeys: Diese erhalten Sie z. B. über Ihr Google- oder Apple-Konto. Für Nutzer sind sie besonders bequem, da sie automatisch über iCloud oder den Google Password Manager auf allen Geräten synchronisiert werden. Für Unternehmen mit hohen Sicherheitsanforderungen kann das jedoch zum Nachteil werden – denn die Kontrolle darüber, auf welchem Gerät die Anmeldung erfolgt, geht teilweise verloren.
Gerätegebundene Passkeys: Diese sind fest an ein einzelnes Gerät gebunden, z. B. einen physischen Sicherheitsschlüssel oder eine mobile Authenticator-App, die den Schlüssel lokal speichert. Diese Variante bietet deutlich mehr Kontrolle, da sichergestellt ist, dass Anmeldedaten nicht über ein nicht genehmigtes privates Gerät verwendet werden können. Für sicherheitskritische Umgebungen ist der Einsatz gerätegebundener Passkeys in der Regel die bessere Wahl.
Wie kann man FIDO2-Authentifizierung mit Hideez aktivieren?
Sie fühlen sich von der Einführung passwortloser Authentifizierung etwas überfordert? Kein Problem – wir haben es so einfach wie möglich gemacht, damit Sie sofort loslegen können.
Als zertifizierte Mitglieder der FIDO Alliance haben wir unsere Plattform Hideez Cloud Identity entwickelt – inklusive kostenloser Einstiegsversion, mit der Sie passwortloses Single Sign-On (SSO) für bis zu 20 Benutzer einrichten können.
Ihr Team kann sich auf zwei einfache Arten anmelden: entweder mit den bereits vorhandenen, synchronisierten Passkeys auf ihren persönlichen Geräten (von Google oder Apple) oder mit unserer Hideez Authenticator-App. Diese nutzt sichere QR-Codes, um die Anmeldung eindeutig an das jeweilige Smartphone zu binden – eine zusätzliche Sicherheitsebene.
Für Unternehmen mit komplexeren Anforderungen – wie z. B. der Einbindung älterer Anwendungen, dem Schutz von RDP-Sitzungen oder sogar physischem Zutrittsmanagement – bieten wir unsere Enterprise Identity-Lösung an. Diese wurde entwickelt, um moderne Cloud-Anwendungen und ältere IT-Infrastrukturen miteinander zu verbinden.
Der einfachste Weg zur passenden Lösung? Lassen Sie uns darüber sprechen. Buchen Sie ein Demogespräch mit uns – wir beraten Sie individuell und helfen Ihnen, die ideale passwortlose Strategie für Ihr Unternehmen zu finden.
FAQ
1. Was ist ein FIDO-Authenticator?
Ein FIDO2-Authenticator ist ein Gerät oder eine Software, die den FIDO2-Standard für passwortlose Anmeldung unterstützt. Diese Tools erzeugen und speichern kryptografische Schlüssel, sodass Sie sich ohne Passwort anmelden können. Sie existieren in mehreren Formen und lassen sich grob in folgende Kategorien einteilen:
Biometrische Authentifizierung: Nutzer melden sich per Fingerabdruck oder Gesichtserkennung an. Eine schnelle, sichere und komfortable Option, die auf den meisten Smartphones und vielen modernen Laptops unterstützt wird.
Bildschirmsperre: Fehlen biometrische Sensoren, können Nutzer sich mit einer gerätespezifischen PIN oder Bildschirmsperre authentifizieren. Besonders geeignet für Desktop-Rechner oder ältere Geräte ohne Biometrie – bietet dennoch sicheren Zugang.
Physische Sicherheitsschlüssel: Auch bekannt als Hardware-Token oder FIDO2-Schlüssel. Diese externen Geräte ermöglichen passwortlose Anmeldungen über USB, NFC oder Bluetooth. Beliebte Beispiele: YubiKeys, Hideez Keys u. a. Nutzer authentifizieren sich durch Einstecken oder Antippen des Schlüssels – häufig in Kombination mit einer PIN. Manche Schlüssel enthalten sogar biometrische Sensoren und vereinen so Hardwaresicherheit mit Biometriekomfort.
2. Typen und Beispiele für FIDO-Authentifikatoren
Plattform-Authentifikatoren sind fest in ein Gerät integriert und lassen sich nicht entfernen. Sie sind besonders praktisch, da der gesamte Anmeldevorgang auf demselben Gerät abläuft.
Beispiel: Der integrierte Fingerabdrucksensor Ihres Laptops. Kein externes Gerät erforderlich – ein schneller Touch genügt.
Beispiel für Plattform-Authentifizierung
Cross-Plattform-Authentifikatoren – auch als roaming Authenticators bekannt – sind externe Geräte, die über mehrere Endgeräte hinweg funktionieren. Etwa Ihr Smartphone oder ein physischer Sicherheitsschlüssel wie der Hideez Key, mit dem Sie sich an einer Desktop-Anwendung anmelden.
Beispiel: Physische Sicherheitsschlüssel sind immer als Cross-Plattform klassifiziert, während Smartphones – je nach Nutzung – sowohl intern (plattformgebunden) als auch extern (cross-platform) agieren können.
3. Welche Plattformen und Browser unterstützen FIDO2?
Denken Sie daran: Ihr Gerät und Browser müssen FIDO2-kompatibel sein. Stand 2025 unterstützen alle modernen Betriebssysteme (Windows, macOS, iOS, Android) sowie Browser wie Chrome, Safari, Edge und Firefox den Standard. Die Benutzeroberfläche kann je nach Gerät leicht variieren, aber die Sicherheitsbasis ist identisch.
Der folgende Screenshot gibt Ihnen einen Überblick über die aktuellen Kompatibilitäten:
4. FIDO2 vs. U2F – Was ist der Unterschied?
Der Hauptunterschied zwischen FIDO2 und FIDO U2F liegt im Einsatzzweck. FIDO2 wurde entwickelt, um Passwörter vollständig zu ersetzen. U2F hingegen diente ursprünglich als zweiter Faktor, um bestehende Passwort-Logins abzusichern (FIDO 2FA).
Mit der Einführung von FIDO2 wurde U2F unter dem Namen CTAP1 (Client to Authenticator Protocol 1) in das neue Framework integriert. So können bestehende U2F-Geräte weiterhin als zweiter Faktor in FIDO2-Systemen genutzt werden – inklusive Rückwärtskompatibilität.
Zusätzlich brachte FIDO2 die Komponenten CTAP2 und WebAuthn mit sich. CTAP2 ermöglicht fortschrittliche passwortlose Funktionen. Geräte mit CTAP2-Unterstützung gelten als FIDO2-Authentifikatoren – und bei zusätzlicher CTAP1-Unterstützung auch als U2F-kompatibel.
5. FIDO2 vs. WebAuthn
FIDO2 und WebAuthn sind eng miteinander verbunden, erfüllen jedoch unterschiedliche Aufgaben. FIDO2 ist der übergeordnete Standard, der sowohl WebAuthn (von der W3C) als auch CTAP2 (von der FIDO Alliance) umfasst. WebAuthn ist die Web-API, die die Kommunikation zwischen Browser und FIDO2-Authentifikator ermöglicht – und somit passwortlose Anmeldungen erlaubt.
WebAuthn übernimmt die Kommunikationsschnittstelle für Websites und Apps, während CTAP2 regelt, wie Authentifikatoren mit Endgeräten interagieren.
6. FIDO2 vs. FIDO
FIDO (Fast Identity Online) ist das übergreifende Framework, das alle Standards vereint – einschließlich FIDO U2F, FIDO2 und deren Protokolle. FIDO2 ist eine Weiterentwicklung des ursprünglichen FIDO-Standards, mit dem Ziel, vollständige passwortlose Anmeldung zu ermöglichen – basierend auf WebAuthn und CTAP2. Im Gegensatz dazu fokussierte sich FIDO U2F ausschließlich auf die sichere Zwei-Faktor-Authentifizierung.
