Microsoft setzt mit Passkeys einen wichtigen Schritt in Richtung passwortlose Zukunft. Doch Passkey ist nicht gleich Passkey: Es gibt zwei unterschiedliche Varianten, die sich vor allem darin unterscheiden, wo der Schlüssel gespeichert ist und wie man darauf zugreift.
Egal ob lokal auf dem Gerät (device-bound) oder geräteübergreifend in der Cloud – beide Varianten haben ihre Stärken und spezifischen Anwendungsfälle.

In diesem FAQ erklären wir dir die beiden Microsoft-Passkey-Typen, ihre Unterschiede und wann welche Variante am besten geeignet ist.

• Der private Schlüssel (Private Key) ist fest an ein Gerät gebunden und wird nicht synchronisiert.
• Der Benutzer authentifiziert sich über biometrische Daten (Fingerabdruck) oder PIN auf diesem spezifischen Gerät.
• Das Gerät kommuniziert mit einem Identity Provider (z. B. Azure AD/Microsoft Entra), der den öffentlichen Schlüssel (Public Key) des Benutzers gespeichert hat.
• Sicherheit: Der Schlüssel kann nur auf diesem Gerät genutzt werden, was zusätzliche Sicherheit bietet, aber weniger Flexibilität.

• Der private Schlüssel wird über verschiedene Plattformen oder Passwort-Manager (z. B. iCloud, Google Password Manager, 1Password) synchronisiert.
• Der Benutzer kann den Passkey auf mehreren Geräten nutzen.
• Auch hier erfolgt die Authentifizierung mit biometrischen Daten oder PIN und WebAuthn, aber der Schlüssel ist portabler.
• Vorteil: Komfort, weil man nicht an ein einzelnes Gerät gebunden ist.

Beide Varianten nutzen Public-Private-Key-Kryptografie:

• Private Key bleibt beim Benutzer (auf Gerät oder verschlüsselt in der Cloud synchronisiert).
• Public Key wird beim Dienst/Identity Provider (z. B. Azure AD) gespeichert.
• Anmeldung erfolgt durch kryptografische Challenge-Response, nicht durch Passwörter.