Was sind Passkeys eigentlich?
Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare. Statt sich ein Passwort zu merken, entsperrt man den Zugang per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Der private Schlüssel verlässt nie das eigene Gerät — Phishing wird damit praktisch unmöglich.
Klingt zu gut? Ist aber so. Die Technologie basiert auf dem FIDO2-Standard, den die FIDO Alliance zusammen mit dem W3C entwickelt hat. Apple, Google und Microsoft unterstützen Passkeys seit 2022 nativ in ihren Betriebssystemen. Seit 2024 akzeptieren auch immer mehr Websites Passkeys als Login-Methode. [Quelle: FIDO Alliance, 2024]
Warum sind Passwörter so ein Problem?
Weil Menschen schlecht darin sind, sich starke, einzigartige Passwörter für 80+ Online-Konten zu merken. Das Ergebnis: „123456“ war 2025 zum fünften Mal in Folge das beliebteste Passwort weltweit. Und ja, das ist deprimierend.
Laut dem Verizon Data Breach Investigations Report sind über 80% aller Datenlecks auf gestohlene oder schwache Zugangsdaten zurückzuführen. Phishing, Credential Stuffing, Brute Force — alles Angriffsvektoren, die nur funktionieren, weil Passwörter existieren. [Quelle: Verizon DBIR, 2025]
Passwort-Manager helfen. Definitiv. Aber sie lösen das Grundproblem nicht: Ein Passwort ist ein geteiltes Geheimnis. Es existiert sowohl auf deinem Gerät als auch auf dem Server. Wird der Server gehackt — und das passiert regelmäßig — liegt dein Passwort offen. Selbst gehasht und gesalzen ist das ein Risiko.
Wie funktioniert die Technik hinter Passkeys?
Beim Erstellen eines Passkeys generiert dein Gerät ein asymmetrisches Schlüsselpaar. Der öffentliche Schlüssel geht an die Website, der private bleibt auf deinem Gerät. Beim Login beweist dein Gerät per kryptografischer Signatur, dass es den privaten Schlüssel besitzt — ohne ihn jemals preiszugeben.
Das ist im Grunde dieselbe Technologie, die auch bei HTTPS und SSH zum Einsatz kommt. Nur eben angepasst für den Login-Prozess. Moment, da fällt mir was ein: Der private Schlüssel ist nicht an ein einzelnes Gerät gebunden. Apple synchronisiert ihn über den iCloud Schlüsselbund, Google über den Google Passwort-Manager. Also kein Problem beim Gerätewechsel.
Der Ablauf im Detail:
- Du registrierst dich bei einer Website und dein Gerät erstellt ein Schlüsselpaar
- Die Website speichert nur den öffentlichen Schlüssel
- Beim nächsten Login schickt die Website eine zufällige Challenge
- Dein Gerät signiert diese Challenge mit dem privaten Schlüssel
- Die Website prüft die Signatur mit dem öffentlichen Schlüssel
- Stimmt alles? Du bist drin. Kein Passwort nötig.
Welche Dienste unterstützen Passkeys schon?
Stand März 2026 akzeptieren über 200 große Dienste Passkeys. Darunter Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp und X (ehemals Twitter). Die Liste wächst monatlich.
Die Passkeys-Directory auf passkeys.directory listet alle kompatiblen Dienste auf. Überraschend: Einige Banken sind schneller als erwartet. Die ING und die DKB bieten Passkeys bereits an. Die Sparkassen? Warte, waren das 3 oder 5 Sparkassen, die Passkeys unterstützen? Stand jetzt sind es 4 — und das ist für eine Institution, die normalerweise 10 Jahre braucht, um neue Technologie einzuführen, geradezu rasant.
Gibt es auch Nachteile bei Passkeys?
Ja, ein paar. Der größte: Die Abhängigkeit von einem Ökosystem. Wer alles bei Apple hat und zu Android wechselt, muss seine Passkeys manuell übertragen — das ist aktuell noch umständlich.
Weitere Schwachpunkte:
- Geteilte Accounts: Ein Netflix-Zugang für die ganze Familie? Mit Passwort einfach, mit Passkeys kompliziert.
- Geräteverlust: Ohne Backup-Gerät oder Recovery-Codes wird es schwierig. Die meisten Anbieter bieten Fallback-Methoden an, aber die muss man vorher einrichten.
- Unternehmensumgebungen: IT-Admins brauchen neue Konzepte für Gerätemanagement und Zugriffsrechte.
- Altgeräte: Wer ein Smartphone von 2019 nutzt, hat möglicherweise keinen Passkey-Support.
Die FIDO Alliance arbeitet an einem Standard für plattformübergreifenden Passkey-Transfer. Bis der fertig ist, bleibt der Ökosystem-Lock-in das größte Ärgernis. [Quelle: FIDO Alliance Credential Exchange Protocol, 2025]
Wie richte ich Passkeys für meine Konten ein?
In der Regel über die Sicherheitseinstellungen des jeweiligen Dienstes. Dort findest du eine Option wie „Passkey hinzufügen“ oder „Passwordless Login“. Ein Klick, Fingerabdruck oder Face ID bestätigen — fertig.
Am Beispiel Google:
- Gehe zu myaccount.google.com/security
- Scrolle zu „Passkeys und Sicherheitsschlüssel“
- Klicke „Passkey erstellen“
- Bestätige mit deinem Geräte-Biometrie
- Fertig. Beim nächsten Google-Login wirst du nach dem Passkey gefragt.
Tipp: Lösche dein Passwort nicht sofort. Behalte es als Fallback, bis du sicher bist, dass Passkeys auf all deinen Geräten funktionieren. Paranoia ist in der IT-Sicherheit eine Tugend.
Häufig gestellte Fragen
Sind Passkeys sicherer als ein guter Passwort-Manager?
Ja, weil Passkeys Phishing-resistent sind. Ein Passwort-Manager schützt vor schwachen Passwörtern, aber ein perfekt gefälschte Login-Seite kann trotzdem Credentials abgreifen. Bei Passkeys geht das technisch nicht — der private Schlüssel wird nur für die echte Domain freigegeben.
Was passiert, wenn mein Handy gestohlen wird?
Der Dieb bräuchte zusätzlich deine Biometrie oder Geräte-PIN, um den Passkey zu nutzen. Ohne das ist der Schlüssel unbrauchbar. Außerdem kannst du gestohlene Geräte remote sperren und Passkeys in deinem Konto widerrufen.
Funktionieren Passkeys auch am Arbeits-PC?
Ja, über Cross-Device-Authentication. Du scannst einen QR-Code am PC mit deinem Smartphone und bestätigst per Biometrie. Das funktioniert browserübergreifend in Chrome, Safari, Edge und Firefox.
Können Passkeys gehackt werden?
Theoretisch wäre ein Angriff auf den Secure Enclave Chip des Geräts denkbar. Praktisch ist das extrem aufwändig und bisher in freier Wildbahn nicht dokumentiert. Passkeys sind nicht unknackbar, aber sie erhöhen die Hürde enorm.
Wann werden Passwörter komplett verschwinden?
Nicht vor 2030, vermutlich eher 2035. Zu viele Systeme, zu viele Legacy-Anwendungen. Aber der Trend ist eindeutig: Jedes große Tech-Unternehmen arbeitet aktiv daran, Passwörter abzulösen. Die Frage ist nicht ob, sondern wann.