Zum Inhalt springen
This page is also available in English.View in English

Technologie · Sicherheit & Souveränität

Passkeys: Das langsame, sichere Ende des Passworts

Passkeys sind sicherer und bequemer als jedes Passwort – trotzdem nutzt sie kaum jemand konsequent. Wie die Technik funktioniert und der Umstieg gelingt.

Von Boaz Lichtenstein

Beitragsbild: Passkeys: Das langsame, sichere Ende des Passworts

Das Passwort ist eine Fehlkonstruktion, mit der wir uns seit Jahrzehnten arrangieren: Menschen wählen schwache, wiederverwenden gute und geben beide an Phishing-Seiten heraus. Passkeys lösen alle drei Probleme auf einmal – und trotzdem stockt der Umstieg. Zeit, das Thema praktisch zu machen.

Das Wichtigste in Kürze

  • Ein Passkey ist ein kryptografisches Schlüsselpaar – es gibt kein Geheimnis mehr, das man abtippen, erraten oder auf einer gefälschten Seite eingeben könnte.
  • Ein Passkey funktioniert nur auf der echten Domain: Phishing, der häufigste Angriffsvektor überhaupt, läuft strukturell ins Leere.
  • Verloren geht bei Geräteverlust nichts – Passkeys synchronisieren verschlüsselt über Konto oder Passwortmanager, wiederherstellbar auf jedem neuen Gerät.
  • Der Umstieg hakt an Fragmentierung zwischen Ökosystemen und daran, dass viele Dienste das Passwort weiterhin als Fallback offenhalten.
  • Der pragmatische Weg: mit den wichtigsten Konten beginnen, Wiederherstellung vorher testen, den Rest opportunistisch mitnehmen.

Wie Passkeys funktionieren

Ein Passkey ist ein kryptografisches Schlüsselpaar: Der private Schlüssel bleibt auf deinem Gerät (bzw. verschlüsselt im Sync deines Anbieters), der öffentliche liegt beim Dienst. Beim Login beweist dein Gerät per Signatur, dass es den privaten Schlüssel besitzt – freigegeben durch Fingerabdruck, Gesicht oder Geräte-PIN. Es gibt kein Geheimnis, das man abtippen, erraten oder auf einer gefälschten Seite eingeben könnte: Ein Passkey funktioniert nur auf der echten Domain. Phishing, der größte Angriffsvektor überhaupt, läuft ins Leere, weil die kryptografische Signatur an die exakte Webadresse gebunden ist – eine perfekt nachgebaute Phishing-Seite mit anderer Domain kann den Login schlicht nicht anfordern.

Der Ablauf beim Login läuft dabei in wenigen, für dich unsichtbaren Schritten ab:

  1. Dienst schickt eine Anfrage an dein Gerät, verknüpft mit seiner exakten Domain.
  2. Dein Gerät prüft, ob es für genau diese Domain einen passenden Passkey besitzt – für jede andere Domain schlägt die Prüfung fehl.
  3. Du gibst frei, per Fingerabdruck, Gesichtserkennung oder Geräte-PIN – nie per eingetipptem Geheimnis.
  4. Dein Gerät signiert die Anfrage mit dem privaten Schlüssel, der es nie verlässt.
  5. Der Dienst prüft die Signatur mit dem bei ihm hinterlegten öffentlichen Schlüssel und lässt dich hinein.

Diese Kette erklärt, warum selbst ein perfekt kopiertes Aussehen einer Phishing-Seite nutzlos bleibt: Schritt 2 scheitert automatisch, weil die Domain nicht übereinstimmt – unabhängig davon, wie überzeugend die Seite optisch wirkt.

Passkeys gegen Passwörter im direkten Vergleich

Kriterium Passwort Passkey
Phishing-anfällig Ja, wird oft eingegeben Nein, an echte Domain gebunden
Merken nötig Ja, oder Manager nötig Nein, biometrisch freigegeben
Wiederverwendbar über Dienste Ja (Risiko!) Nein, pro Dienst einzigartig
Bei Datenleck betroffen Ja, kann geleakt werden Nein, kein Geheimnis überträgt sich
Geräteübergreifend nutzbar Ja, überall eingebbar Ja, über Sync oder QR-Code

Warum es trotzdem hakt

Drei ehrliche Gründe: Fragmentierung – Apple, Google und Microsoft synchronisieren Passkeys jeweils in ihren Ökosystemen; wer Plattformen mischt, will einen übergreifenden Passwortmanager als Passkey-Speicher (siehe unseren Passwortmanager-Einstieg). Inkonsistente Umsetzung – manche Dienste nutzen Passkeys als vollwertigen Login, andere nur als Zweitfaktor, wieder andere verstecken die Option in Untermenüs, sodass Nutzer sie schlicht nicht finden. Das Fallback-Problem – solange parallel ein Passwort existiert, bleibt dessen Angriffsfläche bestehen; echte Sicherheit entsteht erst, wenn Dienste den passwortlosen Modus konsequent anbieten und das alte Passwort deaktivieren.

Passkeys oder physischer Sicherheitsschlüssel?

Neben Passkeys auf dem Smartphone oder im Passwortmanager gibt es eine dritte Variante: ein physischer Sicherheitsschlüssel (etwa ein USB-/NFC-Stick), der Passkeys hardwaregebunden speichert. Für die meisten Menschen ist der Smartphone- oder Manager-Passkey die richtige Wahl – bequem, ohne Zusatzgerät, ausreichend sicher für Alltagskonten. Ein physischer Schlüssel lohnt sich zusätzlich für besonders exponierte Zielgruppen (Admins, Journalisten, Personen mit hohem Risikoprofil) oder als Backup-Faktor für die eigenen Kronjuwelen-Konten – er lässt sich, anders als ein Smartphone, nicht per Fernzugriff kompromittieren, muss dafür aber physisch sicher verwahrt werden.

Wo Passkeys heute schon funktionieren

Die Unterstützung wächst kontinuierlich, konzentriert sich aber noch auf bestimmte Kategorien: große E-Mail- und Cloud-Anbieter, die meisten Betriebssystem-Konten (Apple-ID, Google-Konto, Microsoft-Konto), viele Zahlungsdienste und zunehmend auch Online-Banking-Apps sowie größere Social-Media- und Entwickler-Plattformen. Kleinere Anbieter und viele Behörden-/Firmenportale ziehen langsamer nach. Die praktische Konsequenz: Der Umstieg passiert nicht an einem Tag, sondern schleichend über Jahre – wer bei jedem Login kurz in die Sicherheitseinstellungen schaut, verpasst kaum einen relevanten Dienst, sobald er die Option anbietet.

Der pragmatische Umstieg in vier Schritten

  1. Speicherort entscheiden: Plattform-Sync (bequem, wenn du in einem Ökosystem lebst) oder Passwortmanager mit Passkey-Unterstützung (flexibel über Plattformen hinweg, siehe oben verlinkter Artikel).
  2. Kronjuwelen zuerst: E-Mail-Konto, Google/Apple-ID, Banking, Passwortmanager – die Konten, über die sich alles andere zurücksetzen lässt.
  3. Wiederherstellung testen, bevor es ernst wird: Zweites Gerät einrichten, Recovery-Codes ausdrucken und physisch ablegen – nach demselben Prinzip wie eine Offsite-Kopie in unserem 3-2-1-Backup-Artikel.
  4. Dann opportunistisch: Bietet ein Dienst beim Login den Passkey-Umstieg an – mitnehmen. Der Wechsel ist kein Projekt, sondern eine Gewohnheit, die sich über Monate von selbst aufbaut.

Die häufigsten Fehler beim Umstieg

  1. Nur auf einer Plattform einrichten und andere Geräte vergessen. Korrektur: vor dem Umstieg klären, auf welchen Geräten der Zugriff nötig ist, und den Speicherort danach wählen.
  2. Recovery-Codes nie ausdrucken. Korrektur: Notfall-Kit sofort bei der Ersteinrichtung anlegen, nicht erst wenn der Zugriff fehlt.
  3. Das alte Passwort nach Passkey-Einrichtung unverändert lassen. Korrektur: wo möglich, das Passwort durch ein neues, starkes ersetzen oder den Dienst bitten, es zu deaktivieren.
  4. Mit einem selten genutzten Konto anfangen. Korrektur: mit den Konten mit dem größten Schadenspotenzial starten – E-Mail und Identitätsanbieter zuerst.
  5. Sync-Konto selbst nicht zusätzlich absichern. Korrektur: Das Konto, das die Passkeys verwaltet, verdient einen zweiten Faktor – es ist jetzt der zentrale Schlüsselbund.

Unterm Strich

Passkeys sind der seltene Fall, in dem die sicherere Lösung auch die bequemere ist. Die Übergangsphase ist unordentlich, weil Plattformen und Dienste unterschiedlich schnell mitziehen – aber wer heute mit den wichtigsten Konten umsteigt und die Wiederherstellung vorher testet, hat das Phishing-Problem für seine sensibelsten Zugänge strukturell gelöst, nicht nur verkleinert. Der Zeitaufwand für den kompletten Umstieg ist geringer, als er sich anfühlt: Die vier Kronjuwelen-Konten lassen sich an einem Abend umstellen, alles Weitere passiert von selbst, sobald Dienste die Option anbieten. Der nächste sinnvolle Schritt ist nicht die vollständige Passwort-Ablösung an einem Wochenende, sondern der erste Login-Bildschirm, der die Option von selbst anbietet.

FAQ

Häufige Fragen

Was passiert, wenn ich mein Gerät mit den Passkeys verliere?

Passkeys werden bei Apple, Google und in Passwortmanagern verschlüsselt synchronisiert – ein neues Gerät stellt sie aus dem Konto wieder her. Kritisch ist also nicht das Gerät, sondern der Zugang zum Sync-Konto: Der verdient die stärkste Absicherung (zweiter Faktor, Wiederherstellungscodes an sicherem Ort).

Soll ich alle Passwörter sofort ersetzen?

Pragmatisch vorgehen: Zuerst die Konten mit dem größten Schadenspotenzial – E-Mail, Apple/Google-Konto, Banking, Passwortmanager selbst. Dort, wo Dienste Passkeys anbieten, zusätzlich zum Passwort einrichten; das Passwort bleibt als Fallback, bis der Dienst den kompletten Verzicht erlaubt.

Funktionieren Passkeys auch geräteübergreifend, etwa zwischen iPhone und Windows-PC?

Ja, über zwei Wege: Ein QR-Code-Login lässt das Smartphone als Sicherheitsschlüssel für ein fremdes Gerät fungieren, oder ein plattformübergreifender Passwortmanager speichert den Passkey direkt und macht ihn auf allen Geräten verfügbar. Reiner Plattform-Sync (nur Apple oder nur Google) bleibt dagegen meist auf das jeweilige Ökosystem beschränkt.

Kann ein Passkey gestohlen oder kopiert werden wie ein Passwort?

Praktisch nicht auf dieselbe Weise: Der private Schlüssel verlässt nie unverschlüsselt das Gerät oder den Sync-Verbund, es gibt kein Geheimnis, das sich abtippen oder aus einer Datenbank leaken lässt. Angreifbar bleibt höchstens das Gerät selbst oder das Sync-Konto – deshalb zählen Gerätesperre und Kontoabsicherung beim Umstieg auf Passkeys doppelt.

Was, wenn ein Dienst noch gar keine Passkeys anbietet?

Dann bleibt vorerst nur ein starkes, einzigartiges Passwort aus dem Passwortmanager plus Zwei-Faktor-Authentifizierung – die zweitbeste Kombination. Die Umstellung auf Passkeys ist ein Prozess, der sich über Jahre über alle Dienste zieht; es lohnt sich, bei jedem Login-Bildschirm kurz zu prüfen, ob die Option inzwischen aufgetaucht ist, statt aktiv jeden Dienst einzeln zu recherchieren.