Passkeys: die passwortlose Alternative verstehen und einsetzen

Passkeys ersetzen das Passwort durch einen kryptografischen Schlüssel, der an Ihr Gerät gebunden ist. Kein Merken, Eintippen oder Zurücksetzen mehr. Hier erfahren Sie, wie das funktioniert, was sich konkret ändert und was Sie vor der Einführung wissen sollten.

Was ist eine Passkey und wie funktioniert sie?

Eine Passkey besteht aus einem kryptografischen Schlüsselpaar – ein privater Schlüssel, der auf Ihrem Gerät gespeichert ist, und ein öffentlicher Schlüssel, der beim Online-Dienst hinterlegt ist. Bei der Anmeldung weist Ihr Gerät nach, dass es den privaten Schlüssel besitzt, ohne ihn dabei jemals zu übertragen.

Konkret läuft es so ab: Bei jeder Anmeldung sendet der Server eine einmalige Aufgabe (eine zufällige Challenge). Ihr Gerät signiert diese mit dem privaten Schlüssel, und der Server überprüft die Signatur mit dem öffentlichen Schlüssel. Selbst wenn jemand diese signierte Antwort abfängt, ist sie wertlos – sie gilt nur für genau diese eine Challenge, die bereits verbraucht ist. Das ist grundlegend anders als ein Passwort, das immer gleich und beliebig wiederholbar ist.

Die Authentifizierung wird durch eine einfache Geste ausgelöst: Touch ID, Face ID, Fingerabdruck oder die PIN des Geräts.

Sind Passkeys wirklich sicherer als ein Passwort?

Ja, und das deutlich. Passkeys basieren auf elliptischer Kurven-Kryptografie (P-256 / ECDSA), was eine effektive Sicherheitsstärke von etwa 128 Bit ergibt. Um ein gleichwertiges Niveau mit einem Passwort zu erreichen, wären etwa 20 vollständig zufällige Zeichen aus den 95 druckbaren ASCII-Zeichen nötig – etwas, das kein Mensch spontan erzeugt oder sich merkt.

Über die reine Robustheit hinaus beseitigen Passkeys eine ganze Kategorie von Risiken:

  • Kein schwaches oder seitenübergreifend wiederverwendetes Passwort
  • Keine Passwortdatenbank, die gestohlen werden kann (der Server speichert nur den öffentlichen Schlüssel, der ohne den privaten nutzlos ist)
  • Kein Credential Stuffing (das massenhafte Testen von Anmeldedaten aus Datenlecks)
  • Keine erzwungene Passwortänderung alle 90 Tage
  • Keine absurden Passwortregeln (Großbuchstabe Pflicht, Sonderzeichen, maximal 16 Zeichen …)

Warum sind Passkeys phishing-resistent?

Eine Passkey ist kryptografisch an die genaue Domain gebunden, für die sie erstellt wurde. Auf einer gefälschten Website – selbst wenn sie optisch identisch aussieht – wird die Passkey schlicht nicht aktiviert. Es gibt nichts abzufangen und nichts wiederzuverwenden.

Das ist ein struktureller Unterschied zum Passwort. Eine gefälschte Website kann ein zum Original identisches Anmeldeformular anzeigen und Ihre Zugangsdaten abgreifen. Mit einer Passkey schlägt die Authentifizierung technisch still fehl, selbst wenn der Nutzer den Betrug nicht bemerkt. Dem betrügerischen Dienst werden keinerlei verwertbare Informationen übermittelt.

Dieser Schutz gilt auch gegen Echtzeit-AiTM-Angriffe (Adversary-in-the-Middle), die selbst klassische 2FA nicht blockiert.

Kann mein Fingerabdruck wie ein Passwort gestohlen werden?

Nein. Der Fingerabdruck (oder Face ID) verlässt Ihr Gerät nie. Er wird nicht über das Netzwerk übertragen und nicht auf dem Server des Dienstes gespeichert. Er dient ausschließlich dazu, lokal den kryptografischen Schlüssel freizugeben, der dann die eigentliche Authentifizierung durchführt.

Die Website sieht Ihren Fingerabdruck nie, empfängt ihn nie und kann ihn daher auch nicht verlieren. Das ist grundlegend anders als bei einem Passwort, das bei jeder Anmeldung an den Server übermittelt wird und kompromittiert werden kann, wenn die Datenbank gehackt wird.

Falls Touch ID oder Face ID nicht verfügbar ist (verletzter Finger, defekter Sensor), übernimmt die Geräte-PIN. Biometrie ist ein Komfortmerkmal, keine Abhängigkeit.

Was passiert, wenn ich mein Smartphone oder meinen Computer verliere?

Die Antwort hängt davon ab, wo Ihre Passkeys gespeichert sind. Sind sie über iCloud Keychain (Apple) oder Google Password Manager synchronisiert, stehen sie automatisch auf Ihren anderen Geräten desselben Ökosystems zur Verfügung. Ein neues iPhone oder ein neuer PC mit demselben Google-Konto zu nutzen, ist nahtlos möglich.

Wurde die Passkey jedoch nur lokal auf einem einzigen Gerät erstellt, bedeutet dessen Verlust auch den Verlust des Zugangs. Deshalb behalten die meisten Dienste das Passwort während der Übergangsphase als alternative Anmeldemethode bei. Ein Passwort-Manager, der Passkeys geräte- und browserübergreifend synchronisiert, reduziert dieses Risiko erheblich.

Wo werden meine Passkeys gespeichert und wer hat Zugriff?

Passkeys werden von dem Anbieter gespeichert, den Sie bei der Erstellung wählen (oder der sich automatisch anbietet). Die wichtigsten sind iCloud Keychain (Apple), Google Password Manager (Chrome) und Drittanbieter-Passwort-Manager.

Jeder Anbieter hat seinen eigenen Synchronisierungsbereich:

  • iCloud Keychain synchronisiert zwischen allen Apple-Geräten, aber nicht darüber hinaus
  • Google Password Manager synchronisiert in allen Chrome-Browsern unabhängig vom Betriebssystem, jedoch nicht in Safari
  • Ein Drittanbieter-Passwort-Manager kann auf allen Geräten und Browsern funktionieren

Die häufige Falle: Beim Erstellen einer Passkey können sich mehrere Anbieter gleichzeitig anbieten – die Erweiterung des Passwort-Managers, der Browser und das Betriebssystem. Touch ID beispielsweise erweckt den Eindruck, „der Mac kümmert sich darum", obwohl dahinter entweder Chrome oder macOS die Passkey speichert. Wer beim ersten Schritt nicht aufpasst, findet seine Passkey auf einem anderen Gerät möglicherweise nicht wieder.

Wie verwaltet man Passkeys im Alltag?

Der schwierigste Punkt ist heute die Verwaltung. Es gibt keinen zentralen Ort, an dem alle Passkeys eingesehen werden können. Sie sind je nach dem bei der Erstellung gewählten Anbieter auf verschiedene Oberflächen verteilt.

So finden oder löschen Sie eine Passkey je nach Speicherort:

  • In Chrome: in den Passwort-Einstellungen des Browsers
  • Unter macOS: Systemeinstellungen, Abschnitt Passwörter
  • In einem Drittanbieter-Manager: im Tresor, im dedizierten Bereich für Passkeys

Es ist möglich, unbeabsichtigt mehrere Passkeys für dasselbe Konto bei verschiedenen Anbietern zu erstellen. Um Verwechslungen zu vermeiden, empfiehlt es sich, einen einzigen Anbieter zu wählen und dabei zu bleiben. Auf Dienstseite zeigen seriöse Websites die Liste der registrierten Passkeys für Ihr Konto mit einer Widerrufsoption an.

Werden Passkeys Passwörter ersetzen?

Nicht sofort, aber der Trend ist eindeutig. Noch nicht alle Websites unterstützen Passkeys, und Nutzer müssen während der Übergangsphase mit beiden Systemen umgehen. Das Passwort bleibt ein notwendiges Sicherheitsnetz für Dienste, die noch keine Passkeys anbieten, oder als Fallback-Methode.

Die Verbreitung schreitet schnell voran: Die großen Anbieter (Google, Apple, Microsoft) integrieren Passkeys nativ in ihre Systeme. Langfristig dürfte das Passwort zur Ausnahme statt zur Regel werden. In der Zwischenzeit bietet ein Passwort-Manager, der sowohl klassische Passwörter als auch Passkeys verwalten kann, die beste Übergangserfahrung.

Das Wichtigste in Kürze

  • Eine Passkey ist ein kryptografischer Schlüssel, der an Ihr Gerät gebunden ist – robuster und einfacher als ein Passwort
  • Passkeys sind strukturell phishing-resistent: Sie funktionieren nur auf der genauen Domain, für die sie erstellt wurden
  • Ihr Fingerabdruck verlässt Ihr Gerät nie und kann nicht über eine Website gestohlen werden
  • Wählen Sie einen einzigen Anbieter für die Speicherung Ihrer Passkeys, um Verwechslungen zwischen Geräten zu vermeiden
  • Das Passwort bleibt während der Übergangsphase weiterhin notwendig
  • Ein Passwort-Manager mit Passkey-Unterstützung vereinfacht die geräteübergreifende Verwaltung

Passkeys mit Octopussian ausprobieren – passwortlose Anmeldung, maximale Sicherheit →

Kostenlos registrieren

Keine Kreditkarte erforderlich. Registrierung in 1 Minute

Steigern Sie Ihre Effizienz ab heute. Registrieren Sie sich für eine kostenlose Testversion.

Wir verwenden Ihre E-Mail-Adresse und Ihren Namen,
um Ihren Octopussian-Arbeitsbereich zu erstellen.

oder
@ Mit meiner E-Mail-Adresse fortfahren

Wir respektieren Ihre Privatsphäre. Ihre Daten werden nicht für andere Zwecke verwendet.
Mit der Registrierung stimmen Sie unseren Nutzungsbedingungen und unserer Datenschutzrichtlinie zu.