Passwörter sind lästig. Zu kurz, zu leicht zu erraten, zu oft wiederverwendet – oder umgekehrt so komplex, dass man sie sofort vergisst. Passkeys wollen dieses Problem ein für alle Mal lösen. Doch was steckt wirklich dahinter, und lohnt sich der Umstieg?
Was sind Passkeys überhaupt?
Ein Passkey ist ein digitaler Schlüssel, der nach dem Prinzip der asymmetrischen Kryptografie funktioniert. Beim Einrichten eines Passkeys werden zwei kryptografische Schlüssel erzeugt: ein öffentlicher Schlüssel, der beim jeweiligen Dienst gespeichert wird, und ein privater Schlüssel, der ausschließlich auf dem eigenen Gerät verbleibt. Der private Schlüssel verlässt das Gerät niemals – er ist durch die Gerätesperre (Fingerabdruck, Gesichtserkennung oder PIN) geschützt.
Beim Anmelden sendet der Dienst eine sogenannte Challenge an das Gerät. Das Gerät löst diese Challenge mit dem privaten Schlüssel und schickt das Ergebnis zurück. Der Dienst verifiziert die Antwort mithilfe des öffentlichen Schlüssels – und der Zugang ist gewährt. Das alles passiert in Bruchteilen einer Sekunde, vollständig im Hintergrund.
Passkeys vs. Passwörter: Der entscheidende Unterschied
Das klassische Passwort hat ein grundlegendes Problem: Es muss übertragen und serverseitig gespeichert werden. Wird die Datenbank eines Dienstes gehackt, sind alle Passwörter potenziell kompromittiert – selbst wenn sie gehasht sind.
Passkeys lösen dieses Problem strukturell. Der private Schlüssel wird niemals übertragen, kann also auch nicht abgefangen oder gestohlen werden. Phishing-Angriffe, bei denen gefälschte Webseiten zur Eingabe von Passwörtern verleiten, funktionieren mit Passkeys schlicht nicht: Der Passkey ist an die exakte Domain gebunden, für die er erstellt wurde. Eine Fälschung wird sofort erkannt und abgelehnt.
Wer bisher auf starke Passwörter in Kombination mit einem Passwortmanager gesetzt hat – ein durchaus sinnvoller Ansatz –, wird feststellen, dass Passkeys noch einen Schritt weitergeht: Es gibt schlichtweg kein Passwort mehr, das kompromittiert werden könnte. Das ist besonders relevant, wenn man bedenkt, dass selbst etablierte Passwortmanager nicht vollständig immun gegen Sicherheitslücken sind, wie Forscher immer wieder zeigen.
Wo kann man Passkeys bereits nutzen?
Die Verbreitung von Passkeys schreitet rasant voran. Große Plattformen wie Google, Apple, Microsoft, PayPal, Amazon, eBay, GitHub und viele weitere unterstützen Passkeys bereits vollständig. Auch deutsche Banken und Behörden ziehen nach und nach nach.
Auf Android-Geräten sind Passkeys tief ins Betriebssystem integriert. Google bietet mit dem Google-Passwortmanager eine zentrale Verwaltungslösung, die Passkeys über alle Android-Geräte hinweg synchronisiert. Alternativ können Drittanbieter-Lösungen genutzt werden, sofern sie den FIDO2-Standard unterstützen.
Wie richtet man einen Passkey ein?
Das Einrichten eines Passkeys ist deutlich einfacher als das Erstellen eines sicheren Passworts. In der Regel läuft es so ab:
In den Kontoeinstellungen des gewünschten Dienstes nach der Option „Passkey“, „Anmeldemethoden“ oder „Sicherheit“ suchen.
Passkey erstellen auswählen – der Dienst führt automatisch durch den kurzen Prozess.
Identität bestätigen – entweder per Fingerabdruck, Gesichtsscan oder Geräte-PIN.
Fertig. Der Passkey ist gespeichert und kann ab sofort zur Anmeldung genutzt werden.
Bei der nächsten Anmeldung genügt ein Tipp auf „Mit Passkey anmelden“, gefolgt von der biometrischen Bestätigung. Kein Tippen, kein Merken, kein Eingeben.
Was passiert, wenn man das Gerät verliert oder wechselt?
Das ist die Frage, die viele beim Thema Passkeys beschäftigt. Die Antwort hängt von der gewählten Sync-Lösung ab.
Wer den Google-Passwortmanager nutzt, hat seine Passkeys automatisch in der Google-Cloud gesichert. Nach einem Gerätewechsel oder bei Verlust des Smartphones sind alle Passkeys nach dem erneuten Anmelden beim Google-Konto sofort wieder verfügbar.
Dasselbe gilt für Apples iCloud-Schlüsselbund auf Apple-Geräten oder für Drittanbieter wie 1Password und Bitwarden, die ebenfalls geräteübergreifende Passkey-Synchronisierung unterstützen.
Als Fallback empfiehlt es sich zudem, für wichtige Dienste eine zweite Authentifizierungsmethode (z. B. eine Backup-E-Mail oder eine zweite Passkey-Anmeldung auf einem weiteren Gerät) zu hinterlegen.
Passkeys auf dem Vormarsch: Die Zukunft der Authentifizierung
Der FIDO2-Standard, auf dem Passkeys basieren, wird von der FIDO Alliance und dem W3C-Konsortium entwickelt – und wird von allen großen Betriebssystemherstellern aktiv vorangetrieben. Android unterstützt Passkeys seit Version 9, mit besonders tiefer Integration ab Android 14. In der neuen Android-17-Entwicklungsreihe wird dieser Bereich weiter ausgebaut.
Angesichts wachsender Bedrohungen durch Quantencomputing-gestützte Angriffsmethoden, die langfristig auch klassische Kryptografie unter Druck setzen könnten, setzt die FIDO Alliance bereits auf zukunftssichere Algorithmen. Die Grundstruktur der Passkey-Technologie ist darauf ausgelegt, auch gegen diese neuen Bedrohungsszenarien gewappnet zu sein.
Jetzt ist der richtige Zeitpunkt zum Umstieg
Passkeys sind keine ferne Zukunftstechnologie – sie sind heute verfügbar, funktionieren zuverlässig und sind sicherer als jedes Passwort. Wer seine Online-Konten wirklich schützen möchte, sollte bei den wichtigsten Diensten sofort auf Passkeys umstellen. Der Aufwand ist minimal, der Sicherheitsgewinn enorm.
Passwörter hatten ihre Zeit. Passkeys sind die Zukunft – und diese Zukunft beginnt jetzt.
FAQ
Kann jemand meinen Passkey stehlen oder kopieren?
Nein. Der private Schlüssel verlässt das Gerät technisch bedingt niemals. Selbst wenn ein Angreifer Zugriff auf den Server eines Dienstes erlangt, findet er dort nur den öffentlichen Schlüssel – der allein ist wertlos. Ein Klonen des Passkeys ist ohne physischen Zugriff auf das entsperrte Gerät nicht möglich.
Was passiert, wenn ich mein Smartphone verliere und kein Backup habe?
Das hängt von der genutzten Sync-Lösung ab. Wer Passkeys über den Google-Passwortmanager, iCloud-Schlüsselbund oder einen Drittanbieter wie 1Password synchronisiert, kann nach dem Anmelden auf einem neuen Gerät sofort auf alle Passkeys zugreifen. Wer keine Synchronisierung genutzt hat, muss sich bei den betroffenen Diensten über alternative Methoden (z. B. E-Mail-Bestätigung oder Backup-Codes) wieder einloggen und neue Passkeys einrichten. Genau deshalb empfiehlt es sich, von Anfang an eine Sync-Lösung zu aktivieren.
Funktionieren Passkeys auch ohne Internetverbindung?
Die eigentliche Authentifizierung – also das kryptografische Lösen der Challenge – findet lokal auf dem Gerät statt und benötigt keine Internetverbindung. Allerdings muss der Dienst selbst erreichbar sein, um die Anmeldung zu verarbeiten. Rein offline ist Passkey-Authentifizierung daher nur in speziellen lokalen Anwendungsszenarien sinnvoll.
Kann ich mehrere Passkeys für dasselbe Konto erstellen?
Ja, und das wird sogar empfohlen. Es ist möglich, für ein Konto mehrere Passkeys auf unterschiedlichen Geräten oder in verschiedenen Passwortmanagern zu hinterlegen. Das dient als Absicherung: Fällt ein Gerät aus, steht ein weiterer Passkey als Backup bereit.
Sind Passkeys auch für ältere Personen oder Technik-Einsteiger geeignet?
Tatsächlich sind Passkeys in der täglichen Nutzung einfacher als Passwörter – kein Tippen, kein Merken. Die initiale Einrichtung kann jedoch etwas Unterstützung erfordern. Sobald ein Passkey eingerichtet ist, reduziert sich die Anmeldung auf einen Fingerabdruck oder einen Blick in die Kamera.
Sicherheitsvergleich: Passkeys vs. 2FA vs. Passwort + Passwort Manager
Die ehrliche Seite: Aktuelle Schwächen von Passkeys
Passkeys sind ein großer Fortschritt – aber noch kein perfektes System. Wer fundiert entscheiden möchte, sollte auch die aktuellen Einschränkungen kennen:
Ökosystem-Abhängigkeit
Wer ausschließlich den iCloud-Schlüsselbund nutzt, hat auf Android-Geräten keinen einfachen Zugriff auf seine Passkeys – und umgekehrt. Diese Einschränkung lässt sich durch plattformübergreifende Passwortmanager wie 1Password oder Bitwarden umgehen, erfordert aber ein bewusstes Setup.
Fehlende Unterstützung älterer Geräte
Passkeys benötigen eine sichere Hardware-Enklave im Gerät (Secure Enclave bei Apple, Trusted Platform Module bei Windows, Titan-Chip bei Google). Sehr alte Smartphones oder günstige Einsteiger-Geräte ohne entsprechende Hardware können Passkeys nicht vollständig nutzen.
Noch keine universelle Verbreitung
Viele kleinere Webseiten, lokale Dienste und ältere Unternehmenssoftware unterstützen Passkeys noch nicht. Passwörter bleiben deshalb noch für eine Übergangszeit notwendig – ein Grund mehr, sie in einem guten Passwortmanager zu verwalten.
Benutzerführung ist noch nicht einheitlich
Je nach Dienst versteckt sich die Passkey-Option an unterschiedlichen Stellen in den Einstellungen. Eine einheitliche Benutzerführung gibt es noch nicht, was für weniger technikaffine Nutzer verwirrend sein kann.
Abhängigkeit vom Gerätehersteller
Wer seine Passkeys im Google-Passwortmanager speichert, vertraut darauf, dass Google diesen Dienst langfristig betreibt und sicher hält. Wer das vermeiden möchte, sollte einen herstellerunabhängigen Passwortmanager als primäre Speicherlösung wählen.
Video
Sie sehen gerade einen Platzhalterinhalt von YouTube. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
AI Smartphone mit Galaxy AI, Ohne Vertrag, Handy mit Android, 12 GB RAM, 256 GB Speicher, AP Prozessor, 50 MP, Black, 3 Jahre Herstellergarantie [Exklusiv auf Amazon]
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
