Was ist ein Passkey?
Ein Passkey ist eine passwortlose Anmeldeberechtigung nach dem FIDO2/WebAuthn-Standard. Statt ein Passwort einzutippen, bestätigst du deine Identität über den biometrischen Sensor deines Geräts – Fingerabdruck oder Gesichtserkennung – oder per Geräte-PIN. Im Hintergrund setzt das Verfahren auf asymmetrische Kryptografie: Ein privater Schlüssel bleibt in der sicheren Hardware deines Geräts gesperrt, während ein öffentlicher Schlüssel beim Dienst registriert wird. Da der private Schlüssel das Gerät nie verlässt und kein gemeinsames Geheimnis über das Netz übertragen wird, sind Passkeys grundsätzlich resistent gegen Phishing, Credential Stuffing und Brute-Force-Angriffe.
Apple, Google und Microsoft haben sich gemeinsam zur Passkey-Unterstützung über ihre Plattformen hinweg verpflichtet, und die Zahl der Dienste, die Passkeys akzeptieren – darunter GitHub, Amazon und PayPal –, wächst rasch. Passkeys sind der bedeutendste Wandel in der Verbraucher-Authentifizierung seit Jahrzehnten.
Im Detail
Wie Passkeys im Hintergrund funktionieren
Bei der Registrierung eines Passkeys generiert dein Gerät ein kryptografisches Schlüsselpaar. Der private Schlüssel wird in einem manipulationssicheren Bereich gespeichert – etwa Apples Secure Enclave oder Googles Titan-M2-Chip –, aus dem er nicht extrahiert werden kann. Der öffentliche Schlüssel wird an den Server des Dienstes übertragen. Beim Anmelden sendet der Server eine zufällige Challenge; das Gerät signiert sie mit dem privaten Schlüssel, und der Server verifiziert die Signatur mit dem öffentlichen Schlüssel. Da dabei kein Passwort oder geheimes Token das Netz überquert, sind ganze Angriffskategorien ausgeschlossen.
Der Unterschied zwischen Passkeys und Passwörtern
Passwörter sind „gemeinsame Geheimnisse", die sowohl beim Nutzer als auch auf dem Server gespeichert sind. Bei einem Server-Einbruch sind alle Passwörter in der Datenbank gefährdet. Passkeys dagegen sind asymmetrisch: Der Server hält nur den öffentlichen Schlüssel, der für Angreifer wertlos ist. Passwort-Wiederverwendung, Phishing und Datenbankleaks werden damit zu nicht-Problemen. Ein Passwort-Manager erleichtert das Leben mit Passwörtern – ein Passkey macht das Passwort-Konzept vollständig überflüssig.
Passkeys synchronisieren und geräteübergreifend nutzen
Apples iCloud-Schlüsselbund, Google Password Manager und Microsoft-Konten bieten jeweils Passkey-Synchronisierung über alle Geräte im eigenen Ökosystem. Wer iPhone und Mac unter derselben Apple-ID nutzt, hat seine Passkeys automatisch auf beiden Geräten. Für plattformübergreifende Nutzung können Passwort-Manager von Drittanbietern wie 1Password oder Bitwarden Passkeys über Windows, macOS, Android und iOS hinweg speichern und synchronisieren. Alternativ lassen sich Passkeys auf einem Hardware-Sicherheitsschlüssel ablegen, der unabhängig von einem bestimmten Gerät oder Ökosystem funktioniert.
Passkeys in Unternehmensumgebungen
Passkeys sind nicht nur eine Komfortsache für Privatnutzer – Unternehmen setzen sie zunehmend ein, um Mitarbeiterkonten zu schützen. Passwort-Reset-Anfragen im Help-Desk und durch gestohlene Zugangsdaten verursachte Sicherheitsvorfälle verursachen erhebliche Kosten; Passkeys lösen beide Probleme. IT-Administratoren können Passkey-only-Authentifizierung für sensible interne Systeme vorschreiben und so das Risiko eliminieren, dass Mitarbeitende auf Phishing-E-Mails hereinfallen. Viele Identity-Provider und Single-Sign-on-Plattformen unterstützen Passkeys bereits nativ, was ein unternehmensweites Rollout einfach macht.
Einschränkungen und aktuelle Herausforderungen
Trotz ihrer Vorteile haben Passkeys noch Wachstumsschmerzen. Nicht alle Webseiten und Apps unterstützen sie schon, sodass Passwörter an vielen Stellen als Fallback notwendig bleiben. Die plattformübergreifende Portabilität verbessert sich, ist aber noch nicht perfekt: Passkeys von einem Ökosystem in ein anderes zu verschieben – etwa von Apple zu Android – erfordert einen kompatiblen Passwort-Manager oder eine manuelle Neuregistrierung. Wer das Konzept nicht kennt, empfindet die Einrichtung anfangs möglicherweise als verwirrend. Mit wachsender Verbreitung und besseren Benutzeroberflächen dürften diese Reibungspunkte in den kommenden Jahren abnehmen.
So wählst du richtig
1. Bei den Diensten starten, die du bereits nutzt
Google, Apple, Microsoft, GitHub, Amazon und PayPal unterstützen Passkeys bereits heute. Fang damit an, Passkeys für deine wichtigsten Konten zu aktivieren. Die Passwort-Anmeldung bleibt währenddessen als Fallback erhalten, sodass kein Aussperrungsrisiko besteht.
2. Das Synchronisierungs-Ökosystem verstehen
iCloud-Schlüsselbund-Passkeys werden nur zwischen Apple-Geräten synchronisiert. Google Password Manager deckt Android und Chrome ab. Wer auf mehreren Plattformen arbeitet, fährt mit einem plattformübergreifenden Passwort-Manager mit Passkey-Unterstützung – etwa 1Password oder Bitwarden – am besten.
3. Wiederherstellungsoptionen vorbereiten
Wer alle Geräte mit gespeicherten Passkeys verliert, ist ausgesperrt. Das Risiko lässt sich mindern, indem Passkeys auf mehreren Geräten registriert und ein Backup-Hardware-Sicherheitsschlüssel an einem sicheren Ort aufbewahrt wird. Manche Dienste bieten auch Einmalwiederherstellungscodes an, die ausgedruckt und sicher verwahrt werden sollten.
Passkeys und Barrierefreiheit
Passkeys verbessern die Zugänglichkeit für Personen, die bei der Passwortverwaltung Schwierigkeiten haben – sei es durch Gedächtniseinschränkungen, motorische Beeinträchtigungen, die das Tippen komplexer Passwörter erschweren, oder Sehbehinderungen, die das Lösen von CAPTCHAs problematisch machen. Da Passkey-Authentifizierung auf Biometrie (ein Tipp oder ein Blick) oder einer einfachen Geräte-PIN basiert, senkt sie die Hürde zu starker Sicherheit für einen breiteren Nutzerkreis.
Passkeys neben bestehenden Sicherheitsmethoden nutzen
Die Einführung von Passkeys erfordert keine sofortige Abkehr vom bisherigen Sicherheitssetup. Die meisten Dienste erlauben das gleichzeitige Bestehen von Passkeys und Passwörtern, sodass der Passkey aktiviert werden kann, während Passwort und Zwei-Faktor-Authentifizierung als Fallback erhalten bleiben. Mit wachsendem Vertrauen in den Passkey-Workflow und zunehmender Unterstützung durch Dienste lassen sich Passwörter nach und nach vollständig abschaffen – im eigenen Tempo.
Fazit
Passkeys sind der überzeugendste Passwortersatz, den die Branche je hervorgebracht hat. Sie verbinden starken Phishing-Schutz mit einer Nutzererfahrung, die einfacher ist als das Eintippen eines Passworts – ein Fingerabdruck oder Gesichtsscan genügt. Während die Unterstützung auf großen Plattformen und Diensten wächst, lohnt es sich, Passkeys wo immer möglich schon jetzt zu aktivieren: Synchronisierung über alle Geräte einrichten, Backup-Wiederherstellungsmethode bereithalten – und der passwortfreien Zukunft ist man ein gutes Stück näher.