FIDO2 Passkeys

Was ist ein Passkey?

Ein Passkey ist eine moderne, phishing-resistente Anmeldeinformation, die traditionelle Passwörter ersetzt. Passkeys basieren auf Public-Key-Kryptografie und können auf Geräten oder Sicherheitsschlüsseln gespeichert werden, wodurch Benutzer sicher und nahtlos über Anwendungen und Geräte hinweg authentifizieren können.

ADSelfService Plus unterstützt FIDO2-basierte Passkeys, die dem offenen Authentifizierungsstandard der FIDO Alliance folgen. Mit der WebAuthn-Integration ermöglicht ADSelfService Plus die passkey-basierte Authentifizierung für den sicheren Zugriff auf Netzwerkressourcen.

ADSelfService Plus bietet derzeit FIDO2-Passkey-Authentifizierung für Folgendes:

• Anmeldungen am ADSelfService Plus-Portal
• Anmeldungen bei Cloud-Anwendungen
• Maschinenanmeldungen (Windows, macOS und Linux)
• VPN- und RADIUS-MFA bei aktiviertem SecureLink E-Mail-Verfahren
• Outlook Web Access (OWA)
• Passwortzurücksetzungen oder Kontoentsperrungen über das ADSelfService Plus-Portal

Funktionsweise

FIDO2-Passkeys sind phishing-resistente Anmeldeinformationen, die auf Public-Key-Kryptografie basieren und über die WebAuthn-API in ADSelfService Plus integriert sind. Während der Registrierung melden sich Benutzer mit ihrem Passkey (Sicherheitsschlüssel oder Gerätepasskey) bei ADSelfService Plus an, indem sie eine Benutzerverifizierung (Biometrie, PIN oder physischer Tap) auf ihrem Authentifikator durchführen. Der Authentifikator erzeugt ein einzigartiges kryptografisches Schlüsselpaar: Der private Schlüssel bleibt sicher auf dem Gerät des Benutzers oder Sicherheitsschlüssel gespeichert und verlässt dieses niemals, während der öffentliche Schlüssel zusammen mit der Relying Party ID (RP ID) an ADSelfService Plus gesendet und registriert wird.

Bei der Authentifizierung verifizieren die Benutzer ihre Identität direkt auf dem Gerät oder Sicherheitsschlüssel mittels Biometrie, PIN oder physischem Tap. Der Authentifikator verwendet den privaten Schlüssel, um eine Herausforderung kryptografisch zu signieren und sendet die signierte Antwort an ADSelfService Plus. ADSelfService Plus validiert diese Antwort anhand des gespeicherten öffentlichen Schlüssels und gewährt nach erfolgreicher Verifizierung Zugriff. Dieser passwortlose Ansatz beseitigt Phishing-Risiken, da der private Schlüssel das Gerät des Benutzers niemals verlässt und die Authentifizierung an die spezifische Domain (RP ID) gebunden ist, wodurch die Nutzung der Anmeldeinformationen auf gefälschten Websites verhindert wird.

Einschränkungen

• Beschränkt auf Maschinenanmeldungen und browserbasierte Authentifizierung: FIDO2 Passkeys unterstützen derzeit keine Passwortzurücksetzungen und Kontoentsperrungen über die ADSelfService Plus-Mobile-App.
• Anforderungen an die Biometrie-Authentifizierungskompatibilität: Biometrische Authentifizierung über biometrische Sicherheitsschlüssel wie YubiKey Bio Series erfordert Browser- oder OS-Kompatibilität für die biometrische Authentifizierung. Wenn weder Browser noch OS biometrische Authentifizierung während MFA unterstützen, fällt das YubiKey Bio-Gerät automatisch auf PIN-basierte Authentifizierung zurück. Für Kompatibilitätsinformationen siehe die YubiKey-Dokumentation. Für Fehlerbehebungsschritte siehe die Fehlerbehebungsseite.

Voraussetzungen

Stellen Sie vor der Konfiguration von FIDO2 Passkeys sicher, dass folgende Anforderungen erfüllt sind:

• Administratorrechte: Die Konfiguration kann nur mit dem Standard-Admin-Konto von ADSelfService Plus oder einem Produktspezialistenkonto mit Super Admin-Rechten durchgeführt werden.
• WebAuthn-kompatible Geräte: Benutzer müssen über Geräte verfügen, die WebAuthn unterstützen, um FIDO2-Passkey-Authentifizierung zu nutzen.
• HTTPS-Konfiguration: ADSelfService Plus muss HTTPS mit einem gültigen SSL-Zertifikat aktiviert haben.
• Gültiger Domainname: Die Zugriffs-URL muss mit einem gültigen Domainnamen, nicht mit einer IP-Adresse, konfiguriert sein.
• Zertifikatanforderungen:
  • Ein gültiges Zertifikat muss in ADSelfService Plus bereitgestellt sein.
  • Der Common Name (CN) oder Subject Alternative Name (SAN) im Zertifikat muss mit dem Hostnamen übereinstimmen, der in der ADSelfService Plus Zugriffs-URL verwendet wird.
  • Wenn eine interne Zertifizierungsstelle (CA) verwendet wird, muss das CA-Zertifikat auf allen Benutzergeräten als vertrauenswürdig eingestuft sein. Erfahren Sie, wie Zertifikate auf Benutzergeräte verteilt werden.

Wichtig: Finalisieren Sie Ihre Zugriffs-URL und RP ID, bevor Sie FIDO2 Passkeys aktivieren. Wenn Ihre Organisation (oder plant, ) Load-Balanced-, hochverfügbare oder internetseitige Installationen von ADSelfService Plus verwendet, konfigurieren Sie eine stabile Zugriffs-URL. Die RP ID für FIDO2 Passkeys basiert auf denselben Serverinformationen wie die Zugriffs-URL. Eine spätere Änderung der Zugriffs-URL ändert auch die RP ID, was zum Verlust der Registrierungsdaten und zur Abmeldung aller Benutzer führt.

FIDO2 Passkeys konfigurieren

FIDO2 Passkeys ermöglichen Nutzern die Authentifizierung mit zwei Arten von Authentifikatoren:

• Sicherheitsschlüssel
• Gerätepasskeys

Sicherheitsschlüssel

Dazu gehören tragbare FIDO2-kompatible Hardware-Sicherheitsschlüssel wie YubiKey und Titan Security Key, die abnehmbar und mit mehreren Plattformen kompatibel sind. Diese Authentifikatoren können über USB, NFC oder Bluetooth für die sichere Authentifizierung mit einem Gerät verbunden werden.

Hinweis: Im Gegensatz zu Gerätepasskeys bleiben Anmeldeinformationen, die auf Hardware-Sicherheitsschlüsseln gespeichert sind, auf der Hardware und werden nicht über Geräte hinweg synchronisiert.

Gerätepasskeys

Diese Authentifikatoren sind in das Gerät des Benutzers integriert und werden vom Betriebssystem verwaltet. Sie verifizieren die Identität des Benutzers mittels biometrischer oder PIN-basierter Anmeldeinformationen, die sicher auf dem Gerät gespeichert sind. Beispiele hierfür sind Windows Hello, Android Biometrics und Apple Touch ID oder Face ID.

Gerätepasskeys können gerätegebunden oder über mehrere Geräte synchronisiert sein, abhängig von der Implementierung des Herstellers.

• Gerätegebundene Passkeys: Diese Passkeys werden nur auf dem Gerät gespeichert und nicht mit Cloud-Diensten synchronisiert. Das bedeutet, Benutzer müssen sich auf jedem Gerät separat registrieren, das sie verwenden möchten.
• Synchronisierte Passkeys: Diese Passkeys werden sicher in der Cloud gespeichert und über Cloud-Dienste wie iCloud Schlüsselbund oder Google Passwortmanager auf den Geräten eines Benutzers synchronisiert. Diese Synchronisierung ermöglicht nahtlosen Zugriff auf ADSelfService Plus, ohne dass jedes Gerät erneut registriert werden muss. Benutzerverifizierungsdaten wie PINs und Biometrie (einschließlich Face ID und Touch ID) bleiben jedoch gerätespezifisch und müssen auf jedem Gerät einzeln eingerichtet werden. Zum Beispiel muss John, der Touch ID auf seinem MacBook nutzt, nach dem Kauf eines neuen iPhones das iPhone nicht erneut bei ADSelfService Plus registrieren, aber Face ID auf dem iPhone zur Authentifizierung einrichten.

Mobilbasierte synchronisierte Passkeys unterstützen auch Cross-Device Authentication (CDA), wodurch Benutzer ihre Identität auf einem Gerät verifizieren können, während sie auf Ressourcen eines anderen zugreifen. Beispielsweise können Benutzer die integrierten Authentifikatoren ihres Smartphones wie Android biometrics oder Apple Face ID verwenden, um sich über das Scannen eines QR-Codes und Aufbau einer Bluetooth-Verbindung im ADSelfService Plus auf ihrem Laptop anzumelden.

Konfigurationsschritte

1. Melden Sie sich im ADSelfService Plus Admin-Portal an und navigieren Sie zu Konfiguration > Self-Service > Multi-Faktor-Authentifizierung > FIDO2 Passkeys.



2. Die Relying Party ID sollte entweder der Domainname oder der effektive Domainname (Servername oder die übergeordnete Domain des Servernamens) sein, der in der Zugriffs-URL verwendet wird.

Beispielsweise, wenn die Zugriffs-URL https://selfservice.example.comlautet, sind nur folgende RP IDs gültig:

• selfservice.example.com
• example.com

Sicherheitshinweis: Die Angabe einer übergeordneten Domain in der RP ID ermöglicht die Verwendung von FIDO2 Passkeys auch über die Subdomain-Websites dieser Domain. Wenn z. B. example.com als RP ID gewählt wird, können FIDO2 Passkeys, die auf site1.example.com registriert sind, auch auf site2.example.com oder site3.example.comverwendet werden. Um zu gewährleisten, dass FIDO2 Passkeys, die mit ADSelfService Plus registriert wurden, nur mit dem Produkt authentifizieren, können Sie den Authentifizierungsbereich definieren, indem Sie die Zugriffs-URL, die in ADSelfService Plus verwendet wird, als RP ID angeben.

3. A Benutzername-Muster hilft, Mehrdeutigkeiten zu vermeiden, indem es das Benutzerkonto mit eindeutigen Attributwerten in AD verknüpft. Es ist ein leicht einprägsamer und eindeutiger Benutzername, der in diesem Muster für das Benutzerkonto erstellt wird, das mit dem FIDO2-Passkey registriert wird.
4. Öffnen Sie Erweiterte Einstellungen und verwenden Sie die Dropdown-Liste „Erlaubte Passkey-Typen“, um die Arten von FIDO2 Passkeys zu konfigurieren, die Ihre Benutzer registrieren können.
• Wählen Sie Sicherheitsschlüssel , um Benutzern in Ihrer Organisation zu erlauben, Passkeys wie YubiKeys oder Google Titan Keys zu registrieren.
• Wählen Sie Gerätepasskeys , um Benutzern in Ihrer Organisation zu erlauben, gerätebasierte Passkeys zu registrieren, die die integrierten Authentifizierungsmethoden des Computers oder Telefons verwenden, wie z. B. biometrische Daten wie Fingerabdruck oder Gesichtserkennung.
5. Aktivieren Sie das Kontrollkästchen Synchronisierbare Passkeys ablehnen , um sicherzustellen, dass Passkeys an bestimmte organisatorische Geräte gebunden sind und nicht über Cloud-Dienste zwischen mehreren Geräten synchronisiert werden. Dies ist ideal für Organisationen mit Sicherheitsanforderungen, die nur gerätegebundene Passkeys zulassen.

Hinweis: Das Aktivieren des Synchronisierbare Passkeys ablehnen Kontrollkästchens verhindert, dass Benutzer Passkeys registrieren, die auf Cloud-Synchronisierung angewiesen sind, wie z. B. Apple-Geräte mit iCloud-Konten.

6. Wählen Sie im Dropdown-Menü aus, ob die Benutzerverifizierung für Sicherheitsschlüssel Erforderlich, Bevorzugtoder Entmutigt ist. Die Benutzerverifizierung, wie PIN oder zusätzliche biometrische Merkmale, bietet eine zusätzliche Sicherheitsebene, die sicherstellt, dass sich der Sicherheitsschlüssel im Besitz autorisierter Personen befindet. Dies ist wichtig, weil verlorene Schlüssel von unbefugten Nutzern missbraucht werden könnten.

Erforderlich: Der Benutzer muss sich nach dem Einstecken des Sicherheitsschlüssels immer mit dem integrierten Verifizierungsmechanismus verifizieren.

Bevorzugt: Wenn eine Benutzerverifizierung, wie PIN oder Biometrie, auf dem Sicherheitsschlüssel konfiguriert ist, wird der Benutzer bei Einstecken des Authentifikators aufgefordert, sich zu verifizieren. Wenn keine Verifizierungsmethode eingestellt ist, wird keine Identifikation verlangt.

Entmutigt: Wenn Ihre Organisation U2F-basierte Sicherheitsschlüssel (Universal 2nd Factor Sicherheitsschlüssel, die keine Benutzerverifizierung unterstützen) verwendet, können Administratoren die Entmutigt Option auswählen. Benutzer müssen bei Einstecken ihres FIDO2 Passkeys keine Verifizierung durchführen. Einige Sicherheitsschlüssel erfordern jedoch auf unterstützten Geräten trotzdem eine Verifizierung, auch wenn Entmutigtdies deaktiviert ist. Bitte beachten Sie die mit Ihrem Sicherheitsschlüssel erhaltene Dokumentation.

7. Geben Sie im Feld Anzahl der erlaubten Passkeys pro Benutzer die maximale Anzahl an Passkeys an, die jeder Benutzer hinzufügen kann. Benutzer können bis zu fünf FIDO2 Passkeys registrieren.
8. Klicken Sie auf Speichern.

Unterstützte Geräte

Betriebssysteme und Browser, die jede der folgenden Passkey-Typen unterstützen, sind wie folgt:

Hinweis: Bitte stellen Sie sicher, dass Sie die neuesten Versionen der Browser verwenden. Bei veralteten Browsern ist es möglicherweise nicht möglich, Passkeys im Inkognito- oder privaten Modus in großen Browsern und Betriebssystemen zu erstellen oder zu verwenden.

Sicherheitsschlüssel

Sicherheitsschlüssel können auf einer Vielzahl von Betriebssystemen und Browsern verwendet werden, sofern sowohl Betriebssystem als auch Browser die erforderlichen Anforderungen für WebAuthn erfüllen.

	Windows	macOS	Linux	Android	iOS
Google Chrome (Version 67+)	Ja	Ja	Ja	Ja	Ja
Edge (Version 67+)	Ja	Ja	Ja	Ja	Ja
Safari (Version 13+)	N/V	Ja	N/V	N/V	Ja
Firefox (60+)	Ja	Ja	Ja	Ja	Ja

*Die Zahlen in Klammern geben die minimal unterstützte Browserversion an.

Gerätepasskeys

Gerätepasskeys werden von einer Vielzahl von Browsern und Betriebssystemen unterstützt, wobei die Kompatibilität davon abhängt, wie die Passkeys verwendet werden:

1. Gerätegebundene Passkeys:

	Windows 10+ (Windows Hello)	macOS 11+ (Touch ID)	Android 7+ (Android biometrics)	iOS 14.5+ (Face ID)
Google Chrome	Ja (73+)	Ja (70+)	Ja (95+)	Ja (95+)
Edge	Ja (79+)	Ja	Ja	Ja (95+)
Safari	N/V	Ja (14+)	N/V	Ja (14.5+)
Firefox	Ja (66+)	Ja	Ja (68+)	Ja (38+)

*Die Zahlen in Klammern geben die minimal unterstützte Browserversion an.

2. Synchronisierte Passkeys

	Windows 10+ (Windows Hello)	macOS 13+ (Touch ID)	Android 9+ (Android biometrics)	iOS 16.5+ (Face ID)
Google Chrome	Nein	Ja (70+)	Ja	Ja
Edge	Nein	Nein	Ja	Ja
Safari	N/V	Ja (14+)	N/V	Ja
Firefox	Nein	Ja	Ja	Ja

*Die Zahlen in Klammern geben die minimal unterstützte Browserversion an.

3. Geräteübergreifende Authentifizierung

CDA-Client: Der CDA-Client in einem Geräteübergreifenden Authentifizierungsablauf ist das Gerät, auf dem ADSelfService Plus verwendet wird.

CDA-Authenticator: Der CDA-Authenticator in einem geräteübergreifenden Authentifizierungsablauf ist das Gerät, das zur Verifizierung der Identität genutzt wird.

Zum Beispiel können Sie Ihr Telefon als geräteübergreifenden Authenticator verwenden, um sich von Ihrem Laptop aus bei ADSelfService Plus anzumelden. In diesem Fall ist der Laptop der CDA-Client und das Telefon fungiert als CDA-Authenticator.

Die unterstützten CDA-Clients und Authentifikatoren sind wie folgt:

*Die Zahlen in Klammern geben die minimal unterstützte Browserversion an.

Unterstützte FIDO2-Passkeys für maschinenbasierte Anmeldeszenarien

Endpoint-MFA erhöht die Sicherheit der Anmeldung an Benutzerendpunkten durch aktivierbare Phishing-resistente FIDO2-Passkeys. Bevor Sie FIDO2-basierte Maschinenanmeldungen erzwingen, beachten Sie die folgende Tabelle, um zu verstehen, welche Passkey-Methoden auf verschiedenen Betriebssystemen und bei maschinenbasierten Anmeldeszenarien unterstützt werden. Für weitere Details zu MFA für Endpunkte, klicken Sie hier.

Für Anmelde-, Entsperr- und UAC-Szenarien können Benutzer einen Sicherheitsschlüssel oder ihr Mobiltelefon verwenden. Mobiltelefone ermöglichen es Benutzern, einen QR-Code zu scannen, um einen sicheren Link auf ihrem Gerät zu öffnen und sich mithilfe integrierter Passkeys oder Sicherheitsschlüssel zu authentifizieren – eine direkte Verbindung von Gerät zu Gerät (wie CDA) ist nicht erforderlich. Beachten Sie, dass Mobiltelefone nicht für Offline-MFA verwendet werden können.

Bei RDP-Sitzungen kann die FIDO2-Authentifizierung auf unterstützten Windows-Clients und Servern durch die native WebAuthn-Weiterleitung von Windows aktiviert werden. Auf Systemen, die diese Funktion nicht unterstützen – wie Windows-Versionen älter als 10 Version 1809 – müssen Drittanbieter-USB-over-IP-Tools wie IncentivesPro USB Redirector RDP Edition oder Eltima USB Network Gate verwendet werden.

Unterstützte Client- und Server-Versionen für Windows Hello:

• Client-OS: Windows 10 Version 1809 oder höher, oder Windows 11
• Server-OS: Windows Server Version 1809, 2019, 2022, 2025 und höher

Registrierung von FIDO2-Passkeys

Während der Registrierung können Benutzer ihren bevorzugten Passkey-Typ anhand der bereitgestellten Optionen auswählen, wie z. B. Sicherheitsschlüssel oder Gerätepasskeys.

Sicherheitsschlüssel: Der Benutzer muss sich durch den eingebauten Mechanismus des Sicherheitsschlüssels authentifizieren. Bei Verwendung eines YubiKey könnte das z. B. das Eingeben einer PIN oder das Scannen des Fingerabdrucks über den Sensor sein. Sicherheitsschlüssel können über das ADSelfService Plus-Webportal von einem Gerät aus registriert werden, das USB-, Near-Field-Communication- (NFC-) oder Bluetooth-Low-Energy- (BLE-) Verbindungen unterstützt. Ein einzelner Sicherheitsschlüssel kann als Passkey für mehrere Benutzer eingetragen werden, und mehrere Sicherheitsschlüssel können für ein einzelnes Benutzerkonto registriert werden.

Gerätepasskeys: Der Benutzer vervollständigt die Registrierung, indem er seine Identität mit dem integrierten Authentifikator seines Geräts verifiziert, z. B. Face ID, Touch ID oder PIN.

• Gerätegebundene Passkeys: Ein gerätegebundener Passkey wird nur auf dem Gerät gespeichert, auf dem er erstellt wurde. Wenn Benutzer den Passkey auf zusätzlichen Geräten verwenden möchten, sollten sie auf jedem Gerät, das gerätegebundene Passkeys unterstützt, einen neuen Passkey registrieren.
• Synchronisierte Passkeys: Ein synchronisierter Passkey wird in der Cloud gespeichert und automatisch über die Geräte des Benutzers synchronisiert, die mit demselben Konto verknüpft sind – beispielsweise über iCloud-Schlüsselbund oder Google Password Manager. Sobald synchronisiert, müssen Benutzer den Passkey auf anderen Geräten, die synchronisierte Passkeys unterstützen, nicht erneut registrieren.

Wenn ein Benutzer ein anderes Smartphone oder Tablet registrieren möchte, kann er den auf dem Bildschirm angezeigten QR-Code scannen, um den Authentifizierungsprozess über Bluetooth zu starten. Administratoren sollten sicherstellen, dass die Geräte der Benutzer CDA unterstützen, um einen reibungslosen Registrierungsprozess zu gewährleisten. Eine Liste unterstützter Geräte ist hier.

Den schrittweisen Registrierungsprozess für Benutzer finden Sie hier.

Verifizierung mit FIDO2-Passkeys

Nach der Registrierung verifizieren Benutzer ihre Identität beim Anmelden mit ihren Passkeys.

Sicherheitsschlüssel: Benutzer sollten den Sicherheitsschlüssel auf ihrem Gerät verifizieren, indem sie eine Verbindung über USB, NFC oder BLE herstellen. Nach der Verifizierung kann der Schlüssel auf anderen Geräten verwendet werden, indem der Vorgang wiederholt wird. Dies gewährleistet sicheren und konsistenten Zugriff auf allen Geräten.

Gerätepasskeys: Die integrierten Authentifikatoren des Geräts können zur Verifizierung auf dem registrierten Gerät verwendet werden. Wenn der Passkey über mehrere Geräte synchronisiert ist, kann er auch auf diesen Geräten verwendet werden.

• Gerätegebundene Passkeys: Benutzer sollten ihre Identität auf demselben Gerät verifizieren, auf dem der Passkey registriert wurde. Dies kann das Eingeben einer PIN oder die biometrische Authentifizierung umfassen. Bei erfolgreicher Verifizierung erkennt das System den Passkey und ermöglicht die Anmeldung.
• Synchronisierte Passkeys: Wenn der Passkey über mehrere Geräte synchronisiert ist, die mit demselben Konto verknüpft sind, können Benutzer ihn für MFA auf jedem dieser Geräte verwenden. Der Benutzer kann seine Identität mit einem integrierten Authentifikator bestätigen, und die Authentifizierung wird mithilfe des synchronisierten Passkeys abgeschlossen, was ein nahtloses Anmeldungserlebnis ermöglicht.

Hinweis: Der FIDO2-Passkey-Bericht zeigt nur die Registrierung auf dem spezifischen Gerät an, auf dem der Passkey registriert wurde, nicht jedoch auf den synchronisierten Geräten.

Wenn ein Benutzer sich mit einem anderen Smartphone oder Tablet authentifizieren muss, kann er den auf dem Bildschirm angezeigten QR-Code scannen, um die Verifizierung via Bluetooth abzuschließen.

Die detaillierten Verifizierungsschritte finden Sie hier.

Tipps

1. Konfigurieren Sie vor der Bereitstellung final: Bestimmen Sie Ihre Zugriffs-URL und RP-ID, bevor Sie FIDO2-Passkeys aktivieren, insbesondere bei Lastenausgleich oder hochverfügbaren Bereitstellungen. Eine Änderung der Zugriffs-URL nach der Registrierung der Benutzer ändert die RP-ID, was zum vollständigen Verlust aller Registrierungsdaten führt und eine organisationsweite Neuregistrierung erzwingt.
2. Wählen Sie den richtigen RP-ID-Bereich: Verwenden Sie die vollständige Zugriffs-URL (z. B. selfservice.example.com) als RP-ID, um Passkeys ausschließlich für ADSelfService Plus zu beschränken. Verwenden Sie nur die übergeordnete Domain (z. B. example.com), wenn Passkeys absichtlich über mehrere Subdomains hinweg funktionieren sollen, wobei zu beachten ist, dass dieser größere Bereich Sicherheitsimplikationen schafft, da Passkeys, die auf einer Subdomain registriert wurden, sich auch bei anderen authentifizieren können.
3. Konfigurieren Sie Fallback-Mechanismen für biometrische Sicherheitsschlüssel: Für biometrische Sicherheitsschlüssel wie die YubiKey Bio-Serie sollten Benutzer die PIN-basierte Authentifizierung als Backup konfigurieren. Biometrische Authentifizierung erfordert Browser- oder Betriebssystemunterstützung; bei Zugriff auf Systeme von älteren Browsern oder inkompatiblen Geräten fällt der YubiKey Bio automatisch auf PIN-Authentifizierung zurück, um Sperrungen zu verhindern und gleichzeitig die Sicherheit zu gewährleisten.