Seite 1 von 1

Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 00:29
von ErfahrenerUser
Kapitalisierung statt Harmonisierung und so kocht jeder sein eigenes Süppchen. Von wegen Barrierefreiheit ...
Da sich eine Entwicklung Richtung Authentifizierung per Passkey abzeichnet, will ich darauf vorbereitet sein.
Mittlerwiele werden sichere SMS- oder Bild-TANverfahren wieder mal infrage gestellt und durch weißichwasauchimmer
neue Hürden abgelöst. Es geht mir nicht darum, mich mit einem Passkey in Windows einzuloggen,
sondern um zukünftig geforderte Logins in Benutzerkonten von z.B. Krankenkasse oder Behörde.per Passkey.
Die Barmer stellt die Loginverfahren per SMS ab November 2026 ein und setzt einen Passkey voraus.
Quelle: https://www.barmer.de/unsere-leistungen ... utzerkonto

Unter der Frage: "Können Sie sich auch ohne Passkey anmelden?" erscheint:
"Ja, die bisherige Anmeldung in Meine Barmer per Web über die Eingabe von E-Mail-Adresse, Passwort und SMS-TAN bleibt vorerst bestehen. Wichtig: Ab November 2026 ist die Anmeldemethode mit Passwort und SMS-TAN nicht mehr möglich. Wir empfehlen Ihnen, direkt bei Ihrem nächsten Web-Login in Meine Barmer einen Passkey einzurichten."

Nun habe ich das Netz bereits durchforstet aber einfach scheint es nicht zu werden.
Wie also kann ich einen Passkey einrichten, ohne eine Cloud nutzen zu müssen?
Soweit mir bekannt ist eine Einrichtung über das boardeigene TPM möglich.
Windows "Hello" will ich dafür aber nicht nutzen. Geht das auch ohne?

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 02:38
von Nanobot
Wobei SMS-Tan ja gerade keine sichere Methode für eine 2FA sind weshalb sie bei Geldinstituten mehr oder weniger abgeschafft worden sind.

Im Gegensatz dazu sind Passkeys eine sehr sichere Methode welche unter Windows praktisch automatisch erstellt werden. Allerdings muß hierzu Windows Hello aktiviert und eine PIN eingerichtet sein. Das Problem ist allerdings das Passkeys unter Windows ( laut google ) im TPM gespeichert werden und man sie nicht lokal exportieren kann, sondern nur in der M$ Cloud, was ich nicht gut heißen kann. Die Alternative um sich gegen den Verlust eines Passkeys abzusichern besteht darin, daß man auf zwei unabhängigen Geräten einen Passkey einrichten lässt. Geht eines der Geräte verloren oder ist defekt, kann man sich auf dem zweiten Gerät immer noch einloggen und dann einen neuen Passkey für das Ersatzgerät erzeugen lassen. Das ist so ähnlich wie bei Fido2, auch dort sollte man immer mindestens zwei Keys haben, falls einer verloren geht.

Selber durchgespielt habe ich dies allerdings noch nicht, da kann eventuell jemand anderes was zu sagen.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 10:56
von Gast
Von Passkeys direkt unter Windows würde ich die Finger lassen. Die funktionieren zwar (vermutlich) auch ohne Probleme, aber wie schon geschrieben, die sind nicht exportierbar oder auf andere Geräte kopierbar. Und im Gegensatz zu BitLocker gibt es auch keinen "Passkey Recovery Key" falls es mal TPM-Ärger gibt.

Stattdessen solltest du Passkeys in einem Passwortmanager speichern (z.B. KeePass o.ä.). Das kostet nur einmalig 5 Minuten zusätzliche Einrichtungszeit, deren Passwortdatenbanken kannst du aber beliebig sichern und auch je nach deinen Bedürfnissen auf 5 oder 10 weitere Geräte synchronisieren, selbst wenn der Server vielleicht nur die Einrichtung von 1 oder 2 Passkeys pro Account erlaubt. Das ist zwar vielleicht etwas unsicherer als ein echtes Hardware-Passkey-Token, aber auch deutlich komfortabler und auf jeden Fall sicherer als SMS.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 12:13
von ErfahrenerUser
Allerdings muß hierzu Windows Hello aktiviert und eine PIN eingerichtet sein.
Das genau wollte ich vermeiden. Ich habe einen vertrauenserweckenden Tokenmanager gefunden,
welcher die Passkeys zumindest verwalten kann;
https://www.token2.com/site/page/fido2- ... manage-exe

Demnach brauche ich mir nur einen Hardwarekey (z.B. Ubykey) besorgen und kann damit
ohne Windows Hello einen Passkey einrichten?

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 20:26
von Nanobot
Ich kenne dieses spezielle Programm nicht. Offenbar möchtest oder mußt du zukünftig einen Passkey nutzen um dich im Browser auf der Webseite der Barmer einloggen zu können. Dann ist wichtig daß das genutzte Programm und der Browser eine gemeinsame Schnittstelle haben. Dies wird meistens durch ein Browser AddOn realisiert. Das oben genannte Programm scheint mir aber nicht das richtige, denn es ist für FIDO2 Keys, und die Barmer Websseite möchte einen "softwarebasierenden" Passkey erstellen.

Wenn eine Webseite von einem Passkey redet meint sie damit fast immer einen kryptograischen Schlüssel, der auf dem Endgerät selbst gespeichert wird. Dies kann entweder ohne separate Software direkt durch Windows passieren, wozu ein TPM vorhanden sein muß und Windows Hello aktiv sein muß. Der Vorteil einer externen Software liegt zunächst darin, daß sie auch ohne TPM und vor allem unabhängig von Windows Hello arbeitet. Zudem kann man mit einem separaten Programm auch ein lokales Backup des Passwortsafes erstellen. Windows selbst kann afaik solche Backups nur in der MS-Cloud erstellen, wozu man ein MS-Konto brauchen würde. Als separates Programm kommt nach meinen Recherchen am ehesten KeyPassXC zusammen mit dem passenden Browser AddOn in Frage. Will irgendeine Internetseite einen Passkey auf deinem Endgerät, hier also Windows PC, ablegen, dann fängt das Browser AddOn diese Daten ab, so daß sie nicht bei Windows, sondern bei KeyPassXC landen. Davon merkt die Gegenseite aber nichts.

FIDO2 arbeitet zwar auch mit einem krytografischen Schlüssel, welcher aber in dem USB-Stick, also extern gespeichert ist. Deshalb kann eine Seite die von Passkeys redet erstmal keinen FIDO2-Stick nutzen. Nur wenn explizit (auch) von FIDO2 geredet wird, kann man anstelle des Endgerätes einen FIDO2 kompatiblem Stick zum Login nutzen. Ob es AddOns gibt welche einen eigentlich softwarebasierenden Passkey zwecks Speicherung auf dem FIDO2 Stick "umformen" kann weiß ich nicht.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 28.06.2026, 22:42
von ErfahrenerUser
Danke @Nanobot, das war wirklich eine sehr gute Aufklärung und große Hilfe.
Vielen Dank auch für den Programmhinweis. :dankeschoen:
Ich habe mir KeyPassXC erstmal heruntergeladen und in Firefox das Addon installiert.
Morgen werde ich mal ein wenig herumtesten und später dann berichten. ;)

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 29.06.2026, 00:54
von ErfahrenerUser
So da bin ich schon wieder ... und na klar ... funktioniert es nicht.
Im Anmeldefenster der Barmer ist tatsächlich das grüne Schlüsselzeichen zu sehen.
barmer01.jpg
Fahre ich über das Schlüsselicon wird das angezeigt:
barmer02.jpg
Klicke ich darauf kommt die Fehlermeldung:
barmer03.jpg
Logge ich mich im selben Fenster mit E-Mail, Kennwort und SMS-TAN ein,
wird mir im nächsten Fenster das Einloggen per Passkey angeboten.
Klicke ich darauf erscheint folgendes:
Meldung.jpg
KeePassXC läuft im Hintergrund, der KeePassXC Browser (Addon) ist verbunden und konfiguriert.
Die Passwortdatenbank ist geöffnet.
barmer04.jpg
Im KeePassXC wird mir nach dem Öffnen der Datenbank per Passwort nur ein Root Verzeichnis angezeigt.
(KeePassXC verbietet Screenshots) ...
Klicke ich darauf kann ich dem Root Einträge hinzufügen.
Titel, Benutzername, Passwort, Url, Ablaufdatum und Notizen.

Neuen Eintrag mit den Logindaten (E-Mail und Passwort) erstellt und die in der Fehlermeldung angezeigte URL eingetragen. Der somit erstellte Schlüssel wird erkannt und von KeePassXC und dem Browseraddon ordentlich verwendet. Doch egal was ich auf der Barmer Loginseite versuche. Es erscheint immer wieder die Windowsmeldung (vorletztes Bild.). Offensichtlich ist der Schlüssel der Windows Api nicht bekannt. Doch unter Startmenü Einstellungen Konten Hauptschlüssel wird kein Schlüssel angezeigt.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 29.06.2026, 12:52
von DK2000
Du hast du dir jetzt aber auch einen kompatiblen FIDO2-Sicherheitsschlüssel (Stick) gekauft. Steht jetzt auf der Seite da nichts, dass es auch ohne geht. Entweder das verwenden, was Windows unterstützt (Hello, TPM, PIN usw.) oder, falls das nicht geht, einen FIDO2-kompatiblem Hardwarekey. Daher kommt auch da oben sie Aufforderung, dass Du den Key in den USB-Anschluss einstecken sollst. Allerdings für letzteres finde ich da auf der Seite keine Anleitung.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 29.06.2026, 23:46
von ErfahrenerUser
Nein, ich habe mir keinen Fido2 Stick gekauft, denn das geht auch ohne. (Siehe Anleitung ).
Wie beschrieben scheint Windows den Schlüssel nicht zu erkennen weil darauf kein Hello installiert ist.
Das liegt daran, daß ich keinen Zugriff auf die Anmeldeoptionen habe.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 29.06.2026, 23:53
von DK2000
Ja, aber unterstützt das auch die Seite? Weil wie gesagt, auf deren Seite steht nichts von einer reinen Softwarelösung. Die Seite fordert den Sicherheitsschlüssel an, welchen Du in den USB-Port stecken musst. Was anderes sehe ich da nicht, außer die alte Methode Passwort/TAN, welche wohl noch geht. Oder halt über Hello.

Re: Fido2 Passkey unter Windows 11 einrichten - Wer hat Erfahrungen?

Verfasst: 30.06.2026, 05:32
von Nanobot
Da weiß ich dann auf die Schnelle auch nicht weiter. Vielleicht wäre die Barmer besser beraten gewesen die gleiche Lösung wie bei Elster online zu wählen: Dort braucht man zusätzlich Username und Passwort auch einen zweiten Faktor in Form einer Zertifikatsdatei. Und sicher zu stellen daß nur der Berechtigte diese Datei erhalten kann, wird der Zugangscode zum Herunterladen dieser Datei per Post zugesandt. Zumindestens im Steuerrecht wird diese Variante wohl als ausreichend sicher angesehen, weshalb sie eigentlich auch im Sozialrecht reichen sollte. Der Vorteil dabei ist, daß man von dieser Zertifikatsdatei ohne jede Einschränkung ein oder auch mehrere Backups machen kann. Und da man zusätzlich zu der Datei auch Username und Passwort kennen muß ist es eine echte 2FA. Der Passkey mag zwar bequemer sein, weil man dort afaik nicht zusätzlich Username und Passwort braucht, aber man eben ohne Umwege kein lokales Backup erzeugen.