Passkeys gelten als die Zukunft der Authentifizierung. Sie sollen Phishing beenden, Passwort-Wiederverwendung eliminieren und Logins nahtlos machen. Technisch funktioniert das beeindruckend gut. Doch die entscheidende Frage lautet nicht, ob Passkeys sicher sind — sondern wer sie kontrolliert.
Seit den Enthüllungen von Edward Snowden wissen wir: Nicht nur Inhalte sind wertvoll, sondern vor allem Metadaten. Genau hier liegt das oft übersehene Risiko moderner Passkey-Systeme — insbesondere, wenn sie in Cloud-Ökosystemen betrieben werden.
Das eigentliche Problem: Zentralisierung
Sobald Passkeys über Dienste wie Apple, Google oder Microsoft synchronisiert werden, sind sie nicht mehr „gerätegebunden“, sondern ökosystemgebunden. Das bedeutet:
- Wiederherstellung läuft über Anbieter
- Zugriff kann indirekt erzwungen werden
- Metadaten entstehen bei jeder Nutzung
Auch wenn die Schlüssel selbst verschlüsselt sind, verraten Nutzungsdaten erstaunlich viel:
- wann du dich einloggst
- wo du bist
- welche Dienste du nutzt
Das ist Verhaltensprofiling auf einem sehr intimen Niveau.
Mehr als nur Hacker: Wer Zugriff haben könnte
- Plattformanbieter können Identitäten und Nutzungsmuster korrelieren
- Staaten können Zugriff rechtlich erzwingen
- Software-Updates können stillschweigend Verhalten verändern
Kurz gesagt: Die Infrastruktur rund um Passkeys ist kontrollierbar — auch ohne die Kryptografie zu brechen.
Self-Hosting als Gegenmodell
Eine Alternative ist Self-Hosting mit Lösungen wie Vaultwarden.
Vorteile:
- keine zentrale Datensammlung
- keine Abhängigkeit von Konzernen
- volle Kontrolle über die eigene Infrastruktur
Nachteile:
- mehr Eigenverantwortung
- mögliche Fehlkonfigurationen
„Ich bin kein Ziel“ – und genau deshalb lohnt es sich
Viele sagen: „Ich bin nicht interessant genug für Angriffe.“ In der Cloud stimmt das nicht — dort bist du Teil einer riesigen Datenmenge.
- kein zentraler Angriffspunkt
- keine skalierbare Auswertung
- kein wirtschaftlicher Anreiz für Angreifer
Ein sauber konfigurierter Homeserver (Linux, Firewall, HTTPS, Docker) reicht in der Praxis oft aus, um aus der Masse der lohnenden Ziele herauszufallen. Nicht weil er perfekt ist — sondern weil er nicht effizient angreifbar ist.
Fazit
Passkeys lösen viele Probleme — schaffen aber neue Abhängigkeiten.
Cloud-basierte Lösungen bieten Komfort und Skalensicherheit, Self-Hosting bietet Kontrolle und Privatsphäre.
Willst du deine digitale Identität besitzen — oder mieten?
In einer Welt nach Edward Snowden ist das keine theoretische Frage mehr.