Technologie · Sicherheit & Souveränität
Passkeys: Das langsame, sichere Ende des Passworts
Passkeys sind sicherer und bequemer als jedes Passwort – trotzdem nutzt sie kaum jemand konsequent. Wie die Technik funktioniert und der Umstieg gelingt.
Von Boaz Lichtenstein

Das Passwort ist eine Fehlkonstruktion, mit der wir uns seit Jahrzehnten arrangieren: Menschen wählen schwache, wiederverwenden gute und geben beide an Phishing-Seiten heraus. Passkeys lösen alle drei Probleme auf einmal – und trotzdem stockt der Umstieg. Zeit, das Thema praktisch zu machen.
Das Wichtigste in Kürze
- Ein Passkey ist ein kryptografisches Schlüsselpaar – es gibt kein Geheimnis mehr, das man abtippen, erraten oder auf einer gefälschten Seite eingeben könnte.
- Ein Passkey funktioniert nur auf der echten Domain: Phishing, der häufigste Angriffsvektor überhaupt, läuft strukturell ins Leere.
- Verloren geht bei Geräteverlust nichts – Passkeys synchronisieren verschlüsselt über Konto oder Passwortmanager, wiederherstellbar auf jedem neuen Gerät.
- Der Umstieg hakt an Fragmentierung zwischen Ökosystemen und daran, dass viele Dienste das Passwort weiterhin als Fallback offenhalten.
- Der pragmatische Weg: mit den wichtigsten Konten beginnen, Wiederherstellung vorher testen, den Rest opportunistisch mitnehmen.
Wie Passkeys funktionieren
Ein Passkey ist ein kryptografisches Schlüsselpaar: Der private Schlüssel bleibt auf deinem Gerät (bzw. verschlüsselt im Sync deines Anbieters), der öffentliche liegt beim Dienst. Beim Login beweist dein Gerät per Signatur, dass es den privaten Schlüssel besitzt – freigegeben durch Fingerabdruck, Gesicht oder Geräte-PIN. Es gibt kein Geheimnis, das man abtippen, erraten oder auf einer gefälschten Seite eingeben könnte: Ein Passkey funktioniert nur auf der echten Domain. Phishing, der größte Angriffsvektor überhaupt, läuft ins Leere, weil die kryptografische Signatur an die exakte Webadresse gebunden ist – eine perfekt nachgebaute Phishing-Seite mit anderer Domain kann den Login schlicht nicht anfordern.
Der Ablauf beim Login läuft dabei in wenigen, für dich unsichtbaren Schritten ab:
- Dienst schickt eine Anfrage an dein Gerät, verknüpft mit seiner exakten Domain.
- Dein Gerät prüft, ob es für genau diese Domain einen passenden Passkey besitzt – für jede andere Domain schlägt die Prüfung fehl.
- Du gibst frei, per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – nie per eingetipptem Geheimnis.
- Dein Gerät signiert die Anfrage mit dem privaten Schlüssel, der es nie verlässt.
- Der Dienst prüft die Signatur mit dem bei ihm hinterlegten öffentlichen Schlüssel und lässt dich hinein.
Diese Kette erklärt, warum selbst ein perfekt kopiertes Aussehen einer Phishing-Seite nutzlos bleibt: Schritt 2 scheitert automatisch, weil die Domain nicht übereinstimmt – unabhängig davon, wie überzeugend die Seite optisch wirkt.
Passkeys gegen Passwörter im direkten Vergleich
| Kriterium | Passwort | Passkey |
|---|---|---|
| Phishing-anfällig | Ja, wird oft eingegeben | Nein, an echte Domain gebunden |
| Merken nötig | Ja, oder Manager nötig | Nein, biometrisch freigegeben |
| Wiederverwendbar über Dienste | Ja (Risiko!) | Nein, pro Dienst einzigartig |
| Bei Datenleck betroffen | Ja, kann geleakt werden | Nein, kein Geheimnis überträgt sich |
| Geräteübergreifend nutzbar | Ja, überall eingebbar | Ja, über Sync oder QR-Code |
Warum es trotzdem hakt
Drei ehrliche Gründe: Fragmentierung – Apple, Google und Microsoft synchronisieren Passkeys jeweils in ihren Ökosystemen; wer Plattformen mischt, will einen übergreifenden Passwortmanager als Passkey-Speicher (siehe unseren Passwortmanager-Einstieg). Inkonsistente Umsetzung – manche Dienste nutzen Passkeys als vollwertigen Login, andere nur als Zweitfaktor, wieder andere verstecken die Option in Untermenüs, sodass Nutzer sie schlicht nicht finden. Das Fallback-Problem – solange parallel ein Passwort existiert, bleibt dessen Angriffsfläche bestehen; echte Sicherheit entsteht erst, wenn Dienste den passwortlosen Modus konsequent anbieten und das alte Passwort deaktivieren.
Passkeys oder physischer Sicherheitsschlüssel?
Neben Passkeys auf dem Smartphone oder im Passwortmanager gibt es eine dritte Variante: ein physischer Sicherheitsschlüssel (etwa ein USB-/NFC-Stick), der Passkeys hardwaregebunden speichert. Für die meisten Menschen ist der Smartphone- oder Manager-Passkey die richtige Wahl – bequem, ohne Zusatzgerät, ausreichend sicher für Alltagskonten. Ein physischer Schlüssel lohnt sich zusätzlich für besonders exponierte Zielgruppen (Admins, Journalisten, Personen mit hohem Risikoprofil) oder als Backup-Faktor für die eigenen Kronjuwelen-Konten – er lässt sich, anders als ein Smartphone, nicht per Fernzugriff kompromittieren, muss dafür aber physisch sicher verwahrt werden.
Wo Passkeys heute schon funktionieren
Die Unterstützung wächst kontinuierlich, konzentriert sich aber noch auf bestimmte Kategorien: große E-Mail- und Cloud-Anbieter, die meisten Betriebssystem-Konten (Apple-ID, Google-Konto, Microsoft-Konto), viele Zahlungsdienste und zunehmend auch Online-Banking-Apps sowie größere Social-Media- und Entwickler-Plattformen. Kleinere Anbieter und viele Behörden-/Firmenportale ziehen langsamer nach. Die praktische Konsequenz: Der Umstieg passiert nicht an einem Tag, sondern schleichend über Jahre – wer bei jedem Login kurz in die Sicherheitseinstellungen schaut, verpasst kaum einen relevanten Dienst, sobald er die Option anbietet.
Der pragmatische Umstieg in vier Schritten
- Speicherort entscheiden: Plattform-Sync (bequem, wenn du in einem Ökosystem lebst) oder Passwortmanager mit Passkey-Unterstützung (flexibel über Plattformen hinweg, siehe oben verlinkter Artikel).
- Kronjuwelen zuerst: E-Mail-Konto, Google/Apple-ID, Banking, Passwortmanager – die Konten, über die sich alles andere zurücksetzen lässt.
- Wiederherstellung testen, bevor es ernst wird: Zweites Gerät einrichten, Recovery-Codes ausdrucken und physisch ablegen – nach demselben Prinzip wie eine Offsite-Kopie in unserem 3-2-1-Backup-Artikel.
- Dann opportunistisch: Bietet ein Dienst beim Login den Passkey-Umstieg an – mitnehmen. Der Wechsel ist kein Projekt, sondern eine Gewohnheit, die sich über Monate von selbst aufbaut.
Die häufigsten Fehler beim Umstieg
- Nur auf einer Plattform einrichten und andere Geräte vergessen. Korrektur: vor dem Umstieg klären, auf welchen Geräten der Zugriff nötig ist, und den Speicherort danach wählen.
- Recovery-Codes nie ausdrucken. Korrektur: Notfall-Kit sofort bei der Ersteinrichtung anlegen, nicht erst wenn der Zugriff fehlt.
- Das alte Passwort nach Passkey-Einrichtung unverändert lassen. Korrektur: wo möglich, das Passwort durch ein neues, starkes ersetzen oder den Dienst bitten, es zu deaktivieren.
- Mit einem selten genutzten Konto anfangen. Korrektur: mit den Konten mit dem größten Schadenspotenzial starten – E-Mail und Identitätsanbieter zuerst.
- Sync-Konto selbst nicht zusätzlich absichern. Korrektur: Das Konto, das die Passkeys verwaltet, verdient einen zweiten Faktor – es ist jetzt der zentrale Schlüsselbund.
Unterm Strich
Passkeys sind der seltene Fall, in dem die sicherere Lösung auch die bequemere ist. Die Übergangsphase ist unordentlich, weil Plattformen und Dienste unterschiedlich schnell mitziehen – aber wer heute mit den wichtigsten Konten umsteigt und die Wiederherstellung vorher testet, hat das Phishing-Problem für seine sensibelsten Zugänge strukturell gelöst, nicht nur verkleinert. Der Zeitaufwand für den kompletten Umstieg ist geringer, als er sich anfühlt: Die vier Kronjuwelen-Konten lassen sich an einem Abend umstellen, alles Weitere passiert von selbst, sobald Dienste die Option anbieten. Der nächste sinnvolle Schritt ist nicht die vollständige Passwort-Ablösung an einem Wochenende, sondern der erste Login-Bildschirm, der die Option von selbst anbietet.