Synchronisierte Passkeys vs. Hardware-Keys für deinen Identitäts-Tresor

Synchronisierte Passkeys und Hardware-Keys öffnen beide deinen CardanoWall-Identitäts-Tresor, aber sie sind auf unterschiedliche Dinge optimiert. Für den täglichen Gebrauch ist ein synchronisierter Passkey meist die bessere Wahl, denn er folgt dir auf ein neues Smartphone oder Notebook über deinen Passkey-Anbieter. Ein Hardware-Key ist meist besser für hochwertige Identitäten, weil er gerätegebunden ist und physisch unter Kontrolle bleibt.

Beide funktionieren als Faktor zum Öffnen des Tresors, sofern dein Browser, dein Betriebssystem und dein Authenticator die WebAuthn-PRF-Erweiterung unterstützen. Und in beiden Fällen ist der Öffnungsfaktor reine Bequemlichkeit, keine Verwahrung: deine echte Identität ist der Identity Seed.

Was ist ein synchronisierter Passkey?

Ein synchronisierter Passkey ist ein Passkey, den dein Anbieter auf all deinen Geräten verfügbar macht.

Dieser Anbieter kann in deinem Betriebssystem, deinem Browser, deinem Passwortmanager oder einem Plattformkonto stecken. Der Vorteil liegt auf der Hand: Du nimmst ein neues Gerät, meldest dich beim selben Anbieter an – und der Passkey ist schon da.

Für CardanoWall macht das den täglichen Gebrauch einfach. Du meldest dich an, bestätigst die Passkey-Abfrage, und der verschlüsselte Identitäts-Tresor öffnet sich – ohne dass du den Identity Seed tippen musst.

Der Haken: Du erbst das Sicherheits- und Wiederherstellungsmodell des Anbieters, der den Passkey synchronisiert. Dessen Kontoschutz, dessen Wiederherstellung über mehrere Geräte und dessen Schwachstellen werden zu deinen.

Was ist ein Hardware-Key?

Ein Hardware-Key ist ein physischer Authenticator – ein USB-, NFC- oder BLE-Sicherheitsschlüssel, den du in der Hand hältst.

Ein gerätegebundener Hardware-Key synchronisiert sich nicht von selbst auf neue Computer. Um damit zu öffnen, muss der physische Schlüssel vorhanden sein. Genau das ist der Punkt: Die Anmeldedaten können nicht heimlich irgendwo existieren, wo du sie nie hingelegt hast.

Hardware-Keys passen gut zu sensiblen Identitäten:

• Identitäten für Redaktionen oder Whistleblower-Annahmestellen;
• Identitäten für Recht und Beweismittel;
• hochwertige Unternehmensidentitäten;
• Identitäten für Produktions-API oder Gateway-Betrieb;
• jede Identität, die nicht von Consumer-Cloud-Sync abhängen sollte.

Der Haken ist operativer Natur. Verlierst du den Schlüssel, greifst du auf einen anderen registrierten Faktor oder auf den Identity Seed zurück.

Ein praktischer Vorbehalt: Die PRF-Unterstützung für Roaming-USB-/NFC-Keys ist weniger einheitlich als für Plattform-Passkeys. Stand Anfang 2026 reicht Safari unter macOS und iOS PRF-Daten nicht zuverlässig an Roaming-Authenticator weiter, sodass ein Hardware-Key auf Apple-Geräten unter Umständen nicht als Tresor-Faktor taugt, selbst wenn ein Plattform-Passkey es tut. Rechne damit, einen Hardware-Key zu testen, bevor du dich auf ihn verlässt, statt anzunehmen, dass er überall funktioniert.

Welcher ist sicherer?

Das hängt von deinem Bedrohungsmodell ab – einen klaren Sieger gibt es nicht.

Synchronisierte Passkeys wehren Phishing und Lecks aus Passwortdatenbanken hervorragend ab, und sie senken das Risiko, den Zugang zu verlieren, wenn ein Gerät ausfällt. Hardware-Keys geben dir stärkere Kontrolle darüber, wo die Anmeldedaten existieren dürfen – das passt zu Teams, die physische Verwahrung, Asset-Tracking, Schlüsselzeremonien oder eine klare Regel brauchen, wer eine geteilte Identität öffnen darf.

Sowohl Bequemlichkeit als auch Kontrolle sind Sicherheitseigenschaften. Den Zugang zu verlieren, ist ebenfalls ein Sicherheitsversagen. Die beste Wahl ist die, die du unter Druck tatsächlich korrekt bedienen kannst.

Wie nutzt CardanoWall sie?

Als Faktoren zum Öffnen des Tresors – nie als die Identität selbst.

Deine CardanoWall-Identität ist der Identity Seed: ein einziges 32 Byte großes Geheimnis, aus dem jeder Schlüssel abgeleitet wird. Ein Passkey oder Hardware-Key ersetzt diesen Seed nicht. Er öffnet den verschlüsselten Tresor, der ihn für dein Konto verwahrt, damit du dich auf einem neuen Gerät anmelden kannst, ohne den Seed jedes Mal neu zu tippen.

Der Tresor ist ein einziger age-verschlüsselter Chiffretext, adressiert ausschließlich an deine WebAuthn-PRF-Faktoren – eine Stanza pro registriertem Passkey oder Hardware-Key. Es gibt keine passwortabgeleitete Stanza, die sich per Brute Force knacken ließe, und keine Public-Key-Stanza, die ein zukünftiger Quantenangriff ins Visier nehmen könnte; das relevante Risiko ist eine Suche im Grover-Stil gegen symmetrische 256-Bit-Schlüssel, die rund 128 Bit effektiven Sicherheitsabstand übrig lässt. Der Dienst hält den Chiffretext, kann ihn aber nicht entschlüsseln. Kann ein Faktor während der Browser-Zeremonie den geforderten PRF-Output erzeugen, öffnet er den Tresor; kann er es nicht, sollte CardanoWall ihn nicht registrieren. Mehr dazu, wovor dieses Design schützt, findest du unter wie Passkeys deinen Identitäts-Tresor schützen.

Genau deshalb ist die Fähigkeitserkennung wichtig, bevor du dich auf einen Faktor festlegst.

Warum ist PRF-Unterstützung wichtig?

Weil nicht jeder Passkey einen verschlüsselten Tresor öffnen kann.

Reines WebAuthn kann einer Website beweisen, wer du bist. Den Tresor zu öffnen braucht mehr: Der Authenticator muss dem Browser Schlüsselmaterial übergeben, um den lokalen Chiffretext zu entschlüsseln. Genau diese zusätzliche Fähigkeit ist die WebAuthn-PRF-Erweiterung, und ihre Unterstützung schwankt je nach Browser, Betriebssystem und Authenticator.

CardanoWall erkennt PRF per Feature-Detection, bevor es einen Faktor registriert, statt vom Browsernamen auf die Fähigkeit zu schließen, und es leitet dich auf den reinen Seed-Pfad, wenn dein Setup PRF nicht beherrscht. Dieser Pfad ist kein abgespeckter Modus – er ist das portable Fundament. Der Identity Seed funktioniert auf jedem Gerät, in jedem konformen Werkzeug, ohne Anbieter und ohne Dienst dazwischen.

Was sollten normale Nutzer wählen?

Meist einen synchronisierten Plattform-Passkey.

Für eine alltägliche persönliche Identität ist ein synchronisierter Passkey der beste Kompromiss: leicht zu nutzen, leicht über Geräte hinweg wiederherzustellen, und er bewahrt dich davor, ständig deinen Seed einzufügen. Ein sinnvolles Setup sieht so aus:

• speichere den Identity Seed in einem Passwortmanager oder an einem sicheren Offline-Ort;
• füge einen synchronisierten Plattform-Passkey hinzu;
• füge einen zweiten Faktor hinzu, wenn du mehrere Geräte nutzt;
• öffne hochwertige Identitäten nicht auf Rechnern, denen du nicht vertraust – wenn es sein muss, nutze einen Modus für öffentliche Computer, der nichts behält.

Der Passkey ist Bequemlichkeit. Der Seed ist Wiederherstellung und Portabilität. Speichere den Seed unabhängig davon, welchen Öffnungsfaktor du wählst.

Was sollten Teams wählen?

Hardware-Keys plus dokumentierte Seed-Verwahrung.

Teams kümmern sich meist weniger um beiläufige Bequemlichkeit und mehr um Kontrolle. Eine Team-Identität darf absichtlich geteilt sein, aber absichtlich geteilt ist nicht dasselbe wie leicht heimlich kopierbar. Ein vernünftiges Team-Setup:

• zwei Hardware-Keys, gehalten von verschiedenen verantwortlichen Personen;
• ein ausgedruckter Identity Seed in einem Safe;
• eine schriftliche Zugriffsrichtlinie;
• ein Rotationsverfahren für den Fall, dass sich die Verwahrung ändert;
• eine eigene Identität pro großem Arbeitsablauf;
• Deaktivierung von Identitäten, die nicht mehr signieren sollen.

Eine ehrliche Grenze geteilter Identitäten: Wer den Seed hält, kann als diese Identität signieren und entschlüsseln. Hardware-Keys schützen den Tresor-Zugang auf einem bestimmten Gerät; sie machen einen geteilten Seed nicht teilweise oder widerrufbar. Ist der Seed selbst herumgereicht worden, ist die Kontrolle darüber weg – das ist eine Eigenschaft des Seeds, nicht des Öffnungsfaktors.

Was passiert, wenn du einen verlierst?

Nutze einen anderen Faktor oder greife auf den Seed zurück.

Verlierst du ein synchronisiertes Gerät, hast aber den Passkey-Anbieter noch auf einem anderen Gerät, kannst du meist einfach weitermachen. Verlierst du einen Hardware-Key, entferne diesen Faktor: Der Tresor wird neu an deine verbleibenden Faktoren verschlüsselt, und der alte Chiffretext wird hart gelöscht. Sind alle Faktoren weg, ist der Identity Seed der Wiederherstellungspfad. Und sind auch die alle weg, ist die künftige Nutzung dieser Identität ebenfalls weg – aber alles, was sie bereits veröffentlicht hat, lässt sich für immer allein aus öffentlichen Daten verifizieren.

Das Entfernen ist ein echter Widerruf für den aktuellen Tresor, aber er wirkt nicht rückwirkend – es ist Kontrolle auf Dienstebene, keine Zeitmaschine. Könnte ein Faktor gestohlen und benutzt worden sein, bevor du ihn entfernt hast, behandle die Lage als möglichen Seed-Kompromiss: Das Entfernen des Faktors hindert ihn daran, den neu verschlüsselten Tresor zu öffnen, aber es kann keine frühere Nutzung rückgängig machen. Die richtige Reaktion auf einen vermuteten Seed-Kompromiss ist eine neue Identität plus Deaktivierung der alten, kein Reset. Der Lebenszyklus dazu – aktiv, deaktiviert, gelöscht – ist ein eigenes Thema.

Die Kurzfassung

Synchronisierte Passkeys sind bequem und wandern über alle Geräte. Hardware-Keys sind stärker kontrolliert und bleiben dort, wo du sie hinlegst. CardanoWall kann beide als Faktor zum Öffnen des Tresors nutzen, sofern WebAuthn PRF verfügbar ist.

Für den alltäglichen persönlichen Gebrauch ist ein synchronisierter Passkey meist richtig. Für hochwertige oder Team-Identitäten können Hardware-Keys die zusätzliche Zeremonie wert sein – dort, wo PRF mit ihnen funktioniert. In jedem Fall: Speichere den Identity Seed. Der Passkey öffnet den Tresor, aber der Seed ist die Identität.

Weiterführende Lektüre

• FIDO Alliance – Passkeys-Überblick: https://fidoalliance.org/passkeys/
• W3C – Web Authentication (WebAuthn) Level 3: https://www.w3.org/TR/webauthn-3/
• Yubico – A Developer's Guide to Deriving Keys with WebAuthn PRF: https://developers.yubico.com/WebAuthn/Concepts/PRF_Extension/Developers_Guide_to_PRF.html