Passkeys auf einem Rechner mit mehreren Betriebssystemen nutzen

  Lars Müller   Lesezeit: 3 Minuten  🗪 9 Kommentare Auf Mastodon ansehen

Welche Möglichkeiten habe ich einen Nitrokey für die Anmeldung bei Betriebsystemen zu nutzen? Ein kleiner Einblick gibts in diesem Artikel

passkeys auf einem rechner mit mehreren betriebssystemen nutzen

Hinweis der Redaktion: Diesen Beitrag habt ihr euch in den Artikelvorschlägen gewünscht.

Wenn auf deinem Rechner verschiedene Betriebssysteme parallel laufen – etwa Manjaro KDE, Debian Bookworm Cinnamon von Linux Mint (LMDE) und Windows 10 – stellt sich schnell die Frage: Wie kannst du den Zugang zu diesen Systemen sicher und bequem mit Passkeys absichern?

Hier erfährst du, welche Möglichkeiten du hast und wie ein Nitrokey-Stick dabei helfen kann.

Wie funktioniert ein Passkey?

Ein Passkey funktioniert wie ein digitales Schloss mit zwei Schlüsseln. Wenn du dich auf einer Webseite registrierst, werden zwei Dinge erstellt: ein öffentlicher Schlüssel (wie ein offenes Schloss) und ein privater Schlüssel (wie dein persönlicher Schlüssel dafür). Der öffentliche Schlüssel wird sicher bei der Webseite gespeichert. Dein privater Schlüssel bleibt auf deinem Gerät und verlässt es nie.

Wenn du dich später anmelden willst, schickt die Webseite eine Art geheime Frage an dein Gerät. Dein privater Schlüssel beantwortet diese Frage automatisch. Stimmt die Antwort, wirst du eingeloggt.

Das Beste: Du musst dir kein Passwort merken, und Betrüger können deine Zugangsdaten nicht stehlen, weil dein privater Schlüssel nie im Internet unterwegs ist.

Passkeys auf Linux- und Windows-Systemen einrichten

Passkeys sind grundsätzlich für die Anmeldung bei Online-Diensten gedacht, nicht direkt für die lokale Anmeldung an Betriebssystemen. Trotzdem gibt es Wege, wie du sie clever nutzen kannst:

  • Unter Windows 10 und 11 kannst du Passkeys mittlerweile direkt nutzen. Mit Windows Hello lässt sich der Zugang per Fingerabdruck, Gesichtserkennung oder PIN absichern. Wie du Passkeys bei Windows genau einrichtest, zeigt dieser Überblick.

  • Unter Linux wird es etwas komplexer: Viele Browser wie Chrome, Firefox oder Edge unterstützen bereits die Nutzung von Passkeys für Webseiten. Wer noch tiefer einsteigen möchte, kann auch Open-Source-Tools für Passkeys unter Linux verwenden. Die Speicherung läuft meist über den Browser oder über Passwortmanager wie Bitwarden.

Eine vollständige Systemanmeldung (also das Einloggen direkt beim Hochfahren) per Passkey ist auf Linux funktioniert laut Nitrokey mit Ubuntu. Ein Guide dazu findet sich unter dem Punkt „Anmeldung bei Linux und Windows-Systemen“. Wenn jemand ein Setup für Linux Mint oder anderen Systemen hat, kann dies gerne in die Kommentare schreiben.

Welche Rolle ein Nitrokey spielen könnte?

Hier kommt ein Hardware-Stick wie der Nitrokey ins Spiel. Der Nitrokey kann zwei Aufgaben übernehmen:

  • Anmeldung bei Linux und Windows-Systemen: Mit einem Nitrokey kannst du die Desktopanmeldung absichern.  Dafür wird der Stick als Sicherheits-Token genutzt – ohne ihn kannst du dich nicht am System anmelden. Wie genau das geht, erklärt dieser Guide von Nitrokey.

  • Mac OS: Anmeldung via Passkey oder Fido2 funktioniert meines Wissen nicht. Da ich aber keinen Mac habe, bin ich mit Infos dazu raus aus der Materie. Habe aber einen Guide bei Github gefunden, der eine Möglichkeit aufzeigt, wie man den Nitrokey mit dem Mac nutzt.

  • Verwaltung von Passkeys: Viele Nitrokey-Modelle unterstützen FIDO2 – das Protokoll, auf dem Passkeys basieren. Damit kannst du dich bei Webseiten und Online-Diensten sicher anmelden, egal auf welchem Betriebssystem.

Ein großer Vorteil dabei: Der private Schlüssel bleibt immer auf deinem Stick. Selbst wenn dein Rechner kompromittiert wäre, wären deine Anmeldedaten weiterhin geschützt.

Passkeys machen den Alltag deutlich einfacher und sicherer – gerade auf Rechnern mit mehreren Betriebssystemen. Mit der richtigen Kombination aus Passwortmanager, Systemunterstützung und eventuell einem Hardware-Token wie dem Nitrokey oder einer Alternative wie dem YubiKey lässt sich der eigene Zugang optimal absichern. Wichtig ist nur, sich einmal bewusst mit den Möglichkeiten auseinanderzusetzen und die passende Lösung für das eigene Setup zu wählen. So bleibt der Zugriff auf wichtige Daten komfortabel, ohne bei der Sicherheit Kompromisse einzugehen.

Ich selbst nutze bisher Passkeys nur via Bitwarden, um Webseiten abzusichern, beispielsweise meinen Github Account, meine Nextcloud, sowie den Google Account oder andere wichtige Accounts. Ralf hat dazu einen Artikel geschrieben, wie man Nextcloud absichern kann mit einem Passkey.

Titelbild: ChatGPT generiert

Quellen: im Text

Tags

Passkey, Nitrokey, Linux, IT Sicherheit

Community

MitredenMitschreibenSpenden

Mitreden, Mitschreiben, Spenden

Alex
Geschrieben von Alex am 2. Mai 2025 um 12:43

Ich teile weder den Tenor des Artikels noch die Darstellung zu Passkeys. Daher möchte ich im Folgenden kurz eine andere Sichtweise aufzeigen.

Zunächst einmal ist die Absicherung von irgendetwas auf Computern über biometrische Merkmale (Fingerabdruck, Gesichtserkennung etc.) eine maximal schlechte Idee. Wann immer so etwas auch nur erwähnt wird, sollte man darauf auch hinweisen. Biometrische Merkmale kann man nicht zurückziehen, wenn sie kompromittiert wurden und sie bieten ein gewaltiges Missbrauchspotential.

Zu dem Thema Passkeys möchte ich für die anderen Leser einfach mal auf zwei andere Beiträge im Netz verweisen:

Und dann haben wir noch das Thema "Nitrokey". Solche Schlüssel-Hardware finde sich schon deswegen umständlich, weil man mindestens zwei benötigt und die auch noch synchronisieren müsste. Es gibt da aber auch durchaus Sicherheitsprobleme. Einfach mal nach "Nitrokey CVE" suchen.

Nett war in diesem Zusammenhang auch die Reaktion des Yubikey-Herstellers im letzten Jahr. Die älteren Keys sind Hardware-Schrott; die Schwachstelle wird nicht behoben und Ersatz gibt auf Basis von Einzelfallentscheidungen (vgl. https://www.heise.de/news/Yubikey-Cloning-Angriff-Offenbar-moeglich-aber-nicht-trivial-9856972.html und - der bessere Artikel IMHO - https://arstechnica.com/security/2024/09/yubikeys-are-vulnerable-to-cloning-attacks-thanks-to-newly-discovered-side-channel/)

Antworten
Klaus
Geschrieben von Klaus am 2. Mai 2025 um 13:31

Ich bin auch deiner Ansicht, dass Passkeys nicht die Lösung sind, die deren Hersteller vorgeben zu sein. Der australische Artikel hat letztes Jahr meine Sichtweise stark verändert. Die seitdem bekanntgewordenen Schwachstellen und die Reaktionen der Hersteller haben meine Zweifel nur verstärkt.

Antworten
Lars Müller
Geschrieben von Lars Müller am 2. Mai 2025 um 14:17

Hallo Alex,

Danke für deinen hilfreichen Kommentar.

Das absichern mit Biometrie kann man so, oder so sehen. Ich nutze selber nur Biometrie am Smartphone. Da aber gibt es noch einen zusätzlichen PIN den man eingeben kann. Auf meinem Linux Laptop schwöre ich auf das gute alte Passwort, aber egal welche Anmeldemöglichkeit, es birgt immer eine Gefahr kompromittiert zu werden.

Zum Thema Passkeys, diese wurden ja dafür entwickelt, um die zwei Faktor auf der Verifizierung zu vereinfachen. Die sind natürlich abhängig von den jeweiligen Passwortmanagern, oder Keys wie dem Nitrokey, Yubikey.

Für die Praxis reicht ein Key, nur sollte man einen zweiten haben als Fallback, was ist die erste defekt sein sollte. So meintest du das bestimmt bezüglich des Keys.

Grüße

Lars

Antworten
elfchen
Geschrieben von elfchen am 2. Mai 2025 um 19:35

Die Hardware Token/Nitrokey sollte und kann man nicht synchronisieren. Stattdessen kann man für jedes Konto zwei Schlüssel eintragen, also einen pro Nitrokey. Wenn jetzt der eine verloren geht, hat man immer noch den zweiten Schlüssel.

Antworten
Klaus
Geschrieben von Klaus am 2. Mai 2025 um 13:42

Schön finde ich auch immer die Empfehlung, dass man besser immer 2 der Dinger kaufen soll. Die kommen dan ja wohl aus der selben Charge. Unter Redundanzaspekten ist das dann doch nur Brimborium. Eigentlich sollte das Backup-Teil von einem anderen Hersteller sei. Das scheint aber meines Wissens nicht möglich zu sein.

Antworten
Sigesmund
Geschrieben von Sigesmund am 2. Mai 2025 um 15:06

Ich finde Passkeys als 2. Faktor zu nutzen gut. Für den alleinigen Zugang zu Daten oder Systemen finde ich ihn schlecht, da er immer mal verloren gehen kann. Wenn ich z.B. im Urlaub bin würde ich meinen 2. Key nicht mitnehmen. Viel zu unsicher, dass beide verloren gehen oder geklaut werden. Wenn ich diesen aber verliere und dann noch 2 Wochen im Urlaub bin stehen 2 Wochen lang dem Finder/Dieb meine Zugänge offen.

Biometrie halte ich auch nicht für Sinnvoll. Wenn ich z.B. gefangen werde (Beispielsweise weil die USA Paranoid ist) kann ich meine biometrischen Daten nicht verweigern, da sie ja an mir dran sind. Passwörter sind nur im Gehirn gespeichert. Ich trage auch nicht überall Handschuhe. Auch kann ich nicht ausschließen Fotografiert zu werden.

Antworten
Lars Müller
Geschrieben von Lars Müller am 3. Mai 2025 um 16:02

Hi,

deine Meinung teile ich uneingeschränkt. Als zweiten Faktor ja, als alleinigen Nein. Hardware kann kaputt gehen oder aus einem anderen Grund nicht nutzbar sein,

Antworten
Rupert
Geschrieben von Rupert am 2. Mai 2025 um 17:01

Eine Anleitung, wie man FIDO2-Keys zur Anmeldung an Linux nutzen kann, findet sich auch in einem Wiki bei Linux-Bibel Österreich: https://linux-bibel.at/index.php/2023/10/20/touch-in-passwortlose-anmeldung-am-linux-desktop-mit-fido2-key/

Antworten
Grothesk
Geschrieben von Grothesk am 2. Mai 2025 um 19:43

Mit Nitrokey hab ich allerdings alles andere als gute Erfahrungen. Hatte zwei von den Dingern im Einsatz, beide haben nach wenigen Tagen angefangen herumzuspinnen, wurden nicht mehr im USB-Port erkannt. Ich habe mir daher einen Yubikey zugelegt, der funktioniert ohne Mucken. Dabei war mir Nitrokey eigentlich viel sympatischer (Sitz in Deutschland; Produktion wohl auch in Deutschland; vollkommen OpenSource und es gab mal ein Sponsoring von Arch Linux). Nutzt aber alles nix, wenn die Hardware nicht zuverlässig arbeitet.

Antworten