Was sind Passkeys – und warum lösen sie Passwörter ab?
Passwörter begleiten uns seit den Anfängen des Internets. Und seit den Anfängen des Internets sind sie ein Problem. Sie werden gestohlen, erraten, wiederverwendet und in riesigen Datenbanken geleakt. Trotz Passwort-Managern, Zwei-Faktor-Authentifizierung und immer komplexeren Richtlinien bleibt das Grundproblem bestehen: Ein Passwort ist ein geteiltes Geheimnis, das sowohl der Nutzer als auch der Dienst kennen muss. Wird es auf einer der beiden Seiten kompromittiert, ist der Zugang offen. Genau hier setzen Passkeys an – eine Technologie, die das Konzept des Passworts grundlegend ersetzt. Doch wie sicher ist diese neue Login-Methode wirklich? Und was bedeutet das für die Authentifizierung im Jahr 2026?
Passkeys sind eine passwortlose Authentifizierungsmethode, die auf dem FIDO2- und WebAuthn-Standard basiert. Statt eines Passworts, das auf einem Server gespeichert wird, nutzen Passkeys ein kryptografisches Schlüsselpaar. Ein privater Schlüssel bleibt ausschließlich auf dem Gerät des Nutzers gespeichert. Ein öffentlicher Schlüssel wird beim jeweiligen Dienst hinterlegt. Beim Login weist das Gerät kryptografisch nach, dass es den privaten Schlüssel besitzt – ohne ihn jemals preiszugeben. Das klingt abstrakt, funktioniert in der Praxis aber erstaunlich einfach: Der Nutzer entsperrt den Passkey mit einem Fingerabdruck, einer Gesichtserkennung oder einer Geräte-PIN. Kein Passwort eintippen, kein Code aus einer SMS abwarten, kein Risiko, das Passwort auf einer falschen Seite einzugeben.
So funktionieren Passkeys technisch
Wenn du dich bei einem Dienst registrierst, der Passkeys unterstützt, erzeugt dein Gerät ein asymmetrisches Schlüsselpaar. Der private Schlüssel wird sicher im geschützten Bereich deines Geräts gespeichert – etwa im Secure Enclave eines iPhones, im Titan M-Chip eines Pixel-Smartphones oder im TPM-Modul eines Windows-Rechners. Der öffentliche Schlüssel wird an den Server des Dienstes übermittelt und dort gespeichert. Beim nächsten Login sendet der Server eine zufällig generierte Challenge – eine einmalige, nicht vorhersagbare Zeichenkette – an dein Gerät. Dein Gerät signiert diese Challenge mit dem privaten Schlüssel und schickt die Signatur zurück. Der Server prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel. Stimmt sie überein, bist du authentifiziert. Der gesamte Vorgang dauert wenige Sekunden und läuft für den Nutzer nahezu unsichtbar im Hintergrund ab.
Ein entscheidender Punkt dabei: Der private Schlüssel verlässt niemals dein Gerät. Der Server erhält weder den Schlüssel selbst noch deine biometrischen Daten. Er sieht lediglich die signierte Antwort auf seine Challenge. Selbst wenn ein Angreifer den Server kompromittiert und die gesamte Datenbank kopiert, erhält er nur öffentliche Schlüssel – die sind ohne den zugehörigen privaten Schlüssel vollkommen nutzlos. Außerdem ist jeder Passkey an eine bestimmte Domain gebunden. Ein Passkey, der für example.com erstellt wurde, funktioniert nicht auf examp1e.com oder irgendeiner anderen Domain. Dein Gerät prüft die Domain automatisch und bietet den Passkey ausschließlich auf der korrekten Seite an. Phishing-Seiten werden damit technisch wirkungslos – unabhängig davon, wie überzeugend sie gestaltet sind.
| Kriterium | Passwort | Passkey |
|---|---|---|
| Phishing-Schutz | Keiner – Nutzer muss selbst erkennen | Vollständig – kryptografische Domain-Bindung |
| Auswirkung bei Datenleck | Hoch – Passwort-Hashes können geknackt werden | Gering – öffentliche Schlüssel sind nutzlos |
| Nutzeraufwand beim Login | Passwort eingeben, ggf. zweiten Faktor | Biometrie oder Geräte-PIN |
| Wiederverwendung möglich | Ja – häufiges Sicherheitsproblem | Nein – jeder Passkey ist einzigartig pro Dienst |
| Wiederherstellung | E-Mail-Reset, Sicherheitsfragen | Cloud-Synchronisation oder Backup-Gerät |
| Brute-Force-Anfälligkeit | Abhängig von Passwortlänge | Praktisch ausgeschlossen |
Sicherheitsvorteile von Passkeys im Detail
Der größte Sicherheitsgewinn von Passkeys liegt in der vollständigen Phishing-Resistenz. Bei klassischen Passwörtern reicht eine täuschend echte Login-Seite aus, um Zugangsdaten abzugreifen. Das ist heute die mit Abstand häufigste Angriffsmethode auf private und geschäftliche Konten. Passkeys verhindern das grundsätzlich, weil die Authentifizierung kryptografisch an die echte Domain gebunden ist. Dein Gerät erkennt automatisch, ob die aufgerufene Website die richtige ist. Auf einer gefälschten Seite wird der Passkey schlicht nicht angeboten – es gibt keinen Dialog, keine Eingabemöglichkeit, keine Chance für den Angreifer. Das ist ein fundamentaler Unterschied zu Passwörtern, bei denen der Nutzer selbst entscheiden muss, ob eine Seite vertrauenswürdig ist – eine Entscheidung, die selbst erfahrene Nutzer regelmäßig falsch treffen.
- Phishing-Schutz: Passkeys funktionieren nur auf der korrekten Domain – gefälschte Seiten werden automatisch erkannt
- Keine Wiederverwendung: Jeder Passkey ist einzigartig für einen Dienst, Angriffe über gestohlene Zugangsdaten anderer Plattformen sind ausgeschlossen
- Kein serverseitiges Geheimnis: Auf dem Server liegen nur öffentliche Schlüssel, die für Angreifer wertlos sind
- Brute-Force-resistent: Kryptografische Schlüssel lassen sich nicht durch systematisches Raten knacken
- Schutz vor Credential Stuffing: Da es keine Passwörter gibt, können keine Passwort-Listen automatisiert durchprobiert werden
- Kein Abfangen möglich: Der private Schlüssel wird nie übertragen – auch nicht verschlüsselt
Passkeys eliminieren damit gleich mehrere der häufigsten Angriffsvektoren auf einmal. Credential Stuffing – das automatisierte Durchprobieren gestohlener Passwort-Einträge auf anderen Diensten – wird wirkungslos, weil es schlicht keine Passwörter mehr zum Stehlen und Wiederverwenden gibt. Brute-Force-Angriffe sind ausgeschlossen, weil kryptografische Schlüssel aus langen, zufälligen Zeichenfolgen bestehen, die nicht erraten werden können. Und der Server wird als Angriffsziel deutlich unattraktiver, weil dort keine verwertbaren Zugangsdaten mehr gespeichert sind. Natürlich bleiben andere Angriffsformen wie Malware auf dem Endgerät, Session Hijacking oder gezieltes Social Engineering weiterhin möglich. Passkeys sind kein Allheilmittel gegen jede Bedrohung. Aber sie beseitigen die häufigsten und in der Praxis wirksamsten Angriffsformen auf Login-Daten zuverlässig.
Aktuelle Verbreitung und Unterstützung
Die Unterstützung für Passkeys ist in den letzten zwei Jahren deutlich gewachsen. Apple hat Passkeys seit iOS 16 und macOS Ventura in den iCloud-Schlüsselbund integriert und synchronisiert sie automatisch über alle Apple-Geräte eines Nutzers. Google bietet Passkey-Synchronisation über den Google Passwort-Manager auf Android und Chrome an. Microsoft unterstützt Passkeys über Windows Hello und hat die Integration in den Microsoft-Account ausgebaut. Auf der Seite der Dienste und Websites sieht es ebenfalls zunehmend gut aus. Zahlreiche große Plattformen haben Passkeys als Login-Option eingeführt, und die Liste wächst stetig. Allerdings bieten die meisten Dienste Passkeys bisher nur als zusätzliche Option neben dem Passwort an – nicht als alleinige Login-Methode. Das Passwort bleibt in der Regel als Fallback erhalten.
- Google: Passkeys als bevorzugte Anmeldeoption für Google-Konten seit 2023
- Apple: Vollständige Integration in Safari, iOS, iPadOS und macOS mit iCloud-Synchronisation
- Microsoft: Passkey-Unterstützung für Microsoft-Konten und Windows-Anmeldung
- PayPal: Passkey-Login für Nutzerkonten in unterstützten Regionen
- GitHub: Passkeys als Alternative zu Passwort und Zwei-Faktor-Authentifizierung
- Amazon, eBay, LinkedIn, WhatsApp: wachsende Unterstützung mit teils regionalen Unterschieden
Trotz der wachsenden technischen Unterstützung bleibt die tatsächliche Nutzung durch Endanwender bisher hinter den Erwartungen zurück. Viele Menschen wissen nicht, was Passkeys sind, oder verwechseln sie mit bestehenden Funktionen wie dem automatischen Ausfüllen gespeicherter Passwörter im Browser. Die Umstellung erfordert einen bewussten Schritt: Man muss sich bei jedem Dienst einzeln in die Sicherheitseinstellungen begeben und dort einen Passkey einrichten. Eine automatische Migration aller bestehenden Konten gibt es nicht. Hinzu kommt, dass ältere Geräte ohne biometrische Sensoren oder ohne aktuelle Betriebssysteme Passkeys teilweise gar nicht unterstützen. Wer noch ein Smartphone von 2018 nutzt, bleibt außen vor.
Herausforderungen und offene Fragen
Passkeys lösen viele Probleme, bringen aber auch neue Fragen mit sich. Die wichtigste betrifft die Abhängigkeit vom Gerät. Wer sein Smartphone verliert, es beschädigt oder schlicht keinen Zugriff auf seinen Rechner hat, steht vor der Frage, wie der Zugang zu den eigenen Konten wiederhergestellt werden kann. Die großen Plattformen lösen dieses Problem über Cloud-Synchronisation: Apple synchronisiert Passkeys über den iCloud-Schlüsselbund, Google über den Google Passwort-Manager. Damit ist der Passkey nicht an ein einzelnes physisches Gerät gebunden, sondern an das Ökosystem des Anbieters. Doch genau hier entsteht ein neues Problem: Diese Synchronisation bindet Nutzer an ein bestimmtes Ökosystem. Wer von Android zu iOS wechselt – oder umgekehrt – steht vor einer deutlich komplexeren Migrationssituation.
- Geräteverlust: Ohne Cloud-Sync oder Backup-Gerät kann der Zugang verloren gehen
- Ökosystem-Bindung: Passkeys lassen sich bisher kaum plattformübergreifend exportieren
- Standardisierter Export: Die FIDO Alliance arbeitet an einem Austauschformat, das aber noch nicht breit verfügbar ist
- Unternehmensumgebungen: Zentrale Verwaltung, Provisionierung und Widerruf sind komplexer als bei Passwörtern
- Altgeräte und Legacy-Systeme: Nicht alle Geräte und Betriebssysteme unterstützen Passkeys
- Nutzerakzeptanz: Viele Anwender scheuen die Umstellung auf eine unbekannte Technologie
Ein weiterer offener Punkt betrifft Unternehmensumgebungen. In Firmen mit verwalteten Geräten, Compliance-Anforderungen und zentraler Benutzerverwaltung ist die Einführung von Passkeys komplexer als für Privatnutzer. IT-Abteilungen müssen entscheiden, wie Passkeys provisioniert, widerrufen und im Zusammenspiel mit bestehenden Identity-Providern wie Azure AD oder Okta verwaltet werden. Lösungen wie Conditional Access Policies in Kombination mit Passkeys sind technisch möglich, erfordern aber sorgfältige Planung und Tests. Viele Unternehmen werden deshalb erst schrittweise umstellen und klassische Authentifizierungsmethoden noch einige Zeit als Fallback beibehalten. Die Technologie ist bereit – die organisatorischen Strukturen oft noch nicht.
Passkeys einrichten: So gelingt der Umstieg
Der Umstieg auf Passkeys ist in der Praxis unkomplizierter, als viele erwarten. Die meisten Dienste, die Passkeys unterstützen, bieten die Einrichtung in den Sicherheitseinstellungen des Nutzerkontos an. Üblicherweise findest du dort eine Option wie Passkey hinzufügen oder Sicherheitsschlüssel einrichten. Nach dem Klick wirst du aufgefordert, dich mit deinem Fingerabdruck, deiner Gesichtserkennung oder deiner Geräte-PIN zu verifizieren. Dein Gerät erzeugt dann automatisch das Schlüsselpaar und speichert den privaten Schlüssel sicher ab. Beim nächsten Login auf diesem Dienst wirst du nicht mehr nach einem Passwort gefragt – stattdessen erscheint die biometrische Abfrage, und der Login erfolgt in Sekundenbruchteilen. Es empfiehlt sich, mit den wichtigsten Konten zu beginnen: E-Mail, Cloud-Speicher, Online-Banking, soziale Netzwerke. Diese Konten sind die häufigsten Ziele von Angriffen und profitieren am meisten von der zusätzlichen Sicherheit. Und ein wichtiger Hinweis: Solange ein Dienst noch ein Passwort als Fallback verlangt, solltest du dieses weiterhin stark und einzigartig wählen – idealerweise generiert über einen Passwort-Manager.
Richte Passkeys nach Möglichkeit auf mindestens zwei Geräten ein oder aktiviere die Cloud-Synchronisation deines Betriebssystems. So verhinderst du, dass ein einzelner Geräteverlust den Zugang zu deinen Konten blockiert. Prüfe außerdem, ob dein Dienst alternative Wiederherstellungsmethoden wie Recovery-Codes anbietet, und bewahre diese sicher auf.
Ausblick: Login im Jahr 2026 und darüber hinaus
Bis 2026 werden Passkeys voraussichtlich bei den meisten großen Online-Diensten als Standard-Login-Methode angeboten. Google hat bereits angekündigt, Passkeys zur bevorzugten Anmeldeoption zu machen, und drängt Nutzer aktiv zur Einrichtung. Apple und Microsoft ziehen mit vergleichbaren Initiativen nach. Banken, Behörden und E-Commerce-Plattformen werden folgen, getrieben durch regulatorische Anforderungen an starke Kundenauthentifizierung – etwa durch die europäische PSD2-Richtlinie – und den wirtschaftlichen Druck, Phishing-Schäden und Support-Kosten für vergessene Passwörter zu reduzieren. Gleichzeitig werden Passwörter nicht von heute auf morgen verschwinden. Viele kleinere Dienste, ältere Systeme und spezialisierte Anwendungen werden noch Jahre auf passwortbasierte Authentifizierung setzen. Die Übergangsphase wird sich vermutlich bis Ende des Jahrzehnts hinziehen. Entscheidend für die breite Akzeptanz wird sein, wie gut die plattformübergreifende Synchronisation und der standardisierte Export von Passkeys umgesetzt werden. Solange Nutzer befürchten müssen, bei einem Ökosystem-Wechsel den Zugang zu ihren Konten zu verkomplizieren, bleibt eine gewisse Zurückhaltung verständlich.
Passkeys sind keine Zukunftsmusik, sondern eine heute verfügbare, funktionierende Technologie, die reale Sicherheitsprobleme löst. Sie beseitigen die größten Schwachstellen der passwortbasierten Authentifizierung – Phishing, Credential Stuffing, schwache Passwörter und serverseitige Datenlecks – auf eine technisch elegante und für Nutzer bequeme Weise. Wer sich heute mit Passkeys beschäftigt und sie für die wichtigsten Konten einrichtet, ist nicht nur technisch auf dem aktuellen Stand, sondern konkret besser geschützt als mit jedem noch so langen Passwort. Die verbleibenden Herausforderungen rund um Geräteabhängigkeit, Ökosystem-Bindung und Nutzerakzeptanz sind real, werden aber von den großen Plattformen aktiv adressiert. Login 2026 wird nicht perfekt sein – aber es wird deutlich sicherer sein als alles, was wir bisher kannten.
FAQ
Was passiert, wenn ich mein Gerät verliere – sind meine Passkeys dann weg?
Nicht unbedingt. Wenn du die Cloud-Synchronisation deines Betriebssystems nutzt – etwa den iCloud-Schlüsselbund bei Apple oder den Google Passwort-Manager bei Android – werden deine Passkeys automatisch auf allen verbundenen Geräten verfügbar gemacht. Geht ein einzelnes Gerät verloren, kannst du dich über ein anderes synchronisiertes Gerät weiterhin anmelden. Falls du kein zweites Gerät hast, bieten viele Dienste Recovery-Codes oder alternative Wiederherstellungsmethoden an. Es ist deshalb empfehlenswert, Passkeys auf mindestens zwei Geräten einzurichten oder Recovery-Codes sicher aufzubewahren.
Sind Passkeys sicherer als Passwörter mit Zwei-Faktor-Authentifizierung?
In den meisten Szenarien ja. Klassische Zwei-Faktor-Authentifizierung über SMS-Codes ist anfällig für SIM-Swapping und Phishing – ein Angreifer kann sowohl das Passwort als auch den SMS-Code auf einer gefälschten Seite abfangen. Auch TOTP-Apps wie Google Authenticator schützen nicht vollständig vor Phishing, da der Nutzer den Code manuell eingeben muss. Passkeys hingegen sind kryptografisch an die richtige Domain gebunden und können auf einer gefälschten Seite schlicht nicht verwendet werden. Damit bieten sie einen stärkeren Schutz als die meisten gängigen Zwei-Faktor-Methoden.
Kann ich Passkeys auf verschiedenen Betriebssystemen nutzen?
Grundsätzlich ja, aber mit Einschränkungen. Passkeys, die im Apple-Ökosystem erstellt werden, synchronisieren sich über den iCloud-Schlüsselbund – sind aber nicht direkt auf Android-Geräten verfügbar. Umgekehrt gilt dasselbe für Passkeys im Google-Ökosystem. Für den Login auf einem fremden Gerät gibt es allerdings die Möglichkeit der Cross-Device-Authentifizierung: Du scannst einen QR-Code mit deinem Smartphone und bestätigst den Login per Biometrie. Die FIDO Alliance arbeitet zudem an einem standardisierten Exportformat, das den plattformübergreifenden Transfer von Passkeys in Zukunft vereinfachen soll.
Brauche ich noch einen Passwort-Manager, wenn ich Passkeys nutze?
Vorerst ja. Da noch nicht alle Dienste Passkeys unterstützen, wirst du für viele Konten weiterhin Passwörter benötigen. Ein Passwort-Manager bleibt deshalb sinnvoll – sowohl für die verbleibenden passwortgeschützten Konten als auch als möglicher Speicherort für Passkeys. Einige Passwort-Manager wie 1Password oder Bitwarden unterstützen inzwischen die Verwaltung von Passkeys und können damit als zentrale Lösung für beide Authentifizierungsmethoden dienen.
Funktionieren Passkeys auch ohne Internetverbindung?
Der Login-Vorgang selbst erfordert eine Verbindung zum Server des Dienstes, bei dem du dich anmeldest – das ist bei Passwörtern genauso. Die kryptografische Signatur wird jedoch lokal auf deinem Gerät erstellt und benötigt kein Internet. Der private Schlüssel ist offline auf deinem Gerät gespeichert. Die Synchronisation von Passkeys über Cloud-Dienste setzt allerdings eine Internetverbindung voraus. Passkeys, die bereits auf einem Gerät gespeichert sind, stehen dort aber auch offline zur Verfügung und werden genutzt, sobald die Verbindung zum Dienst hergestellt wird.
Kommentare 0