Was ist ein Passkey? Passwörter waren gestern

Ein Passkey ist eine neue Technologie, die klassische Passwörter komplett ersetzt – und zwar durch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung. Statt "Passwort123!" einzutippen, entsperrst du dein Smartphone und bist automatisch angemeldet. Klingt nach Zukunftsmusik? Ist aber längst Realität: Apple, Google, Microsoft und unzählige Websites setzen bereits auf Passkeys. In diesem Artikel erfährst du, was ein Passkey genau bedeutet, wie die Technik funktioniert und warum Experten sie für die größte Sicherheitsrevolution seit Jahren halten.

Was bedeutet Passkey – die Grundlagen

Ein Passkey ist ein digitaler Authentifizierungsschlüssel, der auf deinem Gerät gespeichert wird und ohne Passwort-Eingabe funktioniert. Das Prinzip: Statt ein Geheimnis (das Passwort) zu kennen, beweist du deine Identität durch etwas, das du besitzt (dein Smartphone) und etwas, das du bist (dein Fingerabdruck oder Gesicht).

Die Technik basiert auf kryptografischen Schlüsselpaaren – ähnlich wie beim Online-Banking mit TAN-Verfahren, nur eleganter. Dein Gerät erstellt zwei Schlüssel: Einen privaten, der nie dein Smartphone verlässt, und einen öffentlichen, der beim Dienst (z.B. Google, Amazon) gespeichert wird. Beim Login fragt der Dienst: "Beweise mir, dass du den privaten Schlüssel hast" – und dein Smartphone antwortet verschlüsselt, ohne den Schlüssel preiszugeben.

Der entscheidende Vorteil: Selbst wenn Hacker die Datenbank von Google knacken, finden sie nur öffentliche Schlüssel – damit können sie nichts anfangen. Bei klassischen Passwörtern hingegen reicht ein Datenleck, und Millionen Accounts sind kompromittiert.

Passkeys funktionieren mit dem FIDO2-Standard, den die FIDO Alliance (Fast Identity Online) entwickelt hat. Zu den Gründungsmitgliedern gehören Tech-Giganten wie Apple, Google, Microsoft, Samsung und PayPal – ein Zeichen dafür, dass die Industrie geschlossen hinter der Technologie steht.

Wie funktioniert ein Passkey technisch?

Stell dir Passkeys wie ein digitales Türschloss-System vor: Du hast einen Haustürschlüssel (privater Schlüssel), den niemand kopieren kann. Das Schloss an der Tür (öffentlicher Schlüssel) passt nur zu deinem Schlüssel. Selbst wenn jemand das Schloss abmontiert und untersucht, kann er damit keine Tür öffnen.

Der Ablauf beim Einrichten eines Passkeys

1. Registrierung: Du besuchst eine Website (z.B. PayPal) und wählst "Mit Passkey anmelden".
2. Schlüsselgenerierung: Dein Smartphone oder Computer erstellt automatisch ein Schlüsselpaar – in Millisekunden.
3. Biometrische Bestätigung: Du entsperrst mit Fingerabdruck, Face ID oder PIN.
4. Öffentlicher Schlüssel wird übertragen: Nur der öffentliche Teil wandert zu PayPal, der private bleibt auf deinem Gerät.
5. Fertig: Ab jetzt loggst du dich nur noch per Biometrie ein – kein Passwort nötig.

Der Login-Prozess mit Passkey

1. Du öffnest PayPal.com
2. Die Website fragt: "Beweise deine Identität"
3. Dein Smartphone zeigt eine Benachrichtigung
4. Du entsperrst mit Fingerabdruck
5. Dein Gerät schickt eine verschlüsselte Signatur zurück
6. PayPal prüft die Signatur mit dem öffentlichen Schlüssel – passt? Du bist drin!

Das Ganze dauert etwa 2 Sekunden – deutlich schneller als Passwort eintippen und eventuell noch eine SMS-TAN abwarten.

Wichtig: Die Biometrie (Fingerabdruck, Gesicht) verlässt nie dein Gerät. Apple, Google oder die Website sehen sie nicht. Sie dient nur dazu, den privaten Schlüssel auf deinem Smartphone freizuschalten.

Warum Passkeys sicherer sind als Passwörter

Klassische Passwörter haben ein fundamentales Problem: Sie sind Geheimnisse, die beide Seiten kennen müssen. Du gibst "MeinPasswort123" ein, die Website vergleicht es mit ihrer Datenbank. Wenn Hacker diese Datenbank stehlen (wie bei den Yahoo-, LinkedIn- oder Adobe-Lecks mit Milliarden betroffener Accounts), haben sie dein Passwort.

Die 5 größten Sicherheitsvorteile von Passkeys

1. Phishing wird unmöglich: Selbst wenn du auf eine gefälschte Google-Seite gehst, kann der Angreifer nichts stehlen. Dein Passkey funktioniert nur mit der echten Domain google.com – der Browser prüft das automatisch. Bei Passwörtern gibst du das Geheimnis einfach dem Betrüger.

2. Keine Datenleck-Katastrophen: Wenn die Datenbank eines Dienstes gehackt wird, finden Angreifer nur öffentliche Schlüssel – die sind nutzlos ohne den privaten Schlüssel auf deinem Gerät.

3. Kein Passwort-Recycling: 65% aller Nutzer verwenden dasselbe Passwort für mehrere Dienste (laut Google-Studie 2022). Ein Leak bei einem unsicheren Forum gefährdet dann auch dein Banking. Passkeys sind für jeden Dienst automatisch einzigartig.

4. Brute-Force-Attacken verpuffen: Während Hacker bei Passwörtern Millionen Kombinationen ausprobieren können, ist das bei Passkeys technisch unmöglich – die Mathematik dahinter würde Jahrmillionen Rechenzeit erfordern.

5. Keine schwachen Passwörter: Schluss mit "123456" oder "passwort" – bei Passkeys generiert dein Gerät kryptografisch sichere Schlüssel automatisch.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) empfiehlt Passkeys ausdrücklich als Stand der Technik für sichere Authentifizierung.

Wo kannst du Passkeys heute schon nutzen?

Die Passkey-Revolution ist längst in vollem Gang. Hier eine Übersicht der wichtigsten Dienste, die bereits Passkeys unterstützen (Stand Mai 2026):

Tech-Konzerne & Betriebssysteme

• Apple: iCloud, Apple ID – nahtlose Integration in iOS, iPadOS und macOS
• Google: Google-Konto, YouTube, Gmail – funktioniert auf Android, Chrome und iOS
• Microsoft: Microsoft-Konto, Office 365, Azure – mit Windows Hello verknüpft

Soziale Netzwerke & Kommunikation

• WhatsApp: Passkey-Login seit 2024
• TikTok: Passkey-Unterstützung weltweit
• X (Twitter): Optional für Premium-Accounts
• LinkedIn: Rollout seit Anfang 2025

Shopping & Bezahldienste

• PayPal: Einer der ersten großen Dienste mit Passkey-Support
• Amazon: Passkeys für deutsche Accounts seit Herbst 2024
• eBay: Passkey-Option in den Sicherheitseinstellungen
• Shopify-Shops: Viele Online-Händler bieten Passkey-Checkout

Weitere Dienste

• GitHub: Für Entwickler seit 2023
• Dropbox: Cloud-Speicher mit Passkey-Login
• Nintendo: Nintendo-Account unterstützt Passkeys
• 1Password, Bitwarden: Passwort-Manager mit Passkey-Verwaltung

Die Liste wächst wöchentlich. Auf der Website passkeys.directory findest du eine aktuelle Übersicht aller unterstützten Dienste.

Passkeys einrichten – so geht's in der Praxis

Die Einrichtung unterscheidet sich je nach Gerät und Dienst leicht, folgt aber immer demselben Grundprinzip. Hier eine Schritt-für-Schritt-Anleitung für die häufigsten Szenarien:

Passkey auf dem iPhone einrichten (Beispiel: Google-Konto)

1. Öffne myaccount.google.com in Safari oder der Google-App
2. Gehe zu Sicherheit → Passkeys und Sicherheitsschlüssel
3. Tippe auf Passkey erstellen
4. Bestätige mit Face ID oder Touch ID
5. Der Passkey wird automatisch in deiner iCloud-Schlüsselbund gespeichert
6. Fertig – du kannst dich jetzt auf allen Apple-Geräten ohne Passwort anmelden

Passkey auf Android einrichten

1. Öffne die Google-App oder Chrome
2. Rufe die Sicherheitseinstellungen deines Kontos auf
3. Wähle Passkeys → Passkey hinzufügen
4. Entsperre mit Fingerabdruck oder Gesichtserkennung
5. Der Passkey wird im Google-Passwort-Manager gespeichert
6. Synchronisiert sich automatisch auf alle Android-Geräte mit deinem Google-Konto

Passkey auf Windows mit Windows Hello

1. Öffne die Website in Microsoft Edge oder Chrome
2. Wähle beim Login Mit Passkey anmelden
3. Windows fragt nach Windows Hello (Fingerabdruck, Gesicht oder PIN)
4. Bestätige – der Passkey wird lokal auf deinem PC gespeichert

Profi-Tipp: Wenn du mehrere Geräte nutzt, speichere Passkeys in einem Ökosystem (iCloud für Apple, Google-Konto für Android). So synchronisieren sich deine Passkeys automatisch und du musst sie nicht auf jedem Gerät einzeln einrichten.

Was passiert, wenn du dein Smartphone verlierst?

Die häufigste Sorge bei Passkeys: "Wenn mein Handy weg ist, komme ich nie wieder in meine Accounts!" Die gute Nachricht: Die Hersteller haben Backup-Mechanismen eingebaut.

Backup-Strategien der großen Anbieter

Apple: Passkeys werden verschlüsselt in der iCloud gespeichert. Wenn du ein neues iPhone einrichtest und dich mit deiner Apple ID anmeldest, sind alle Passkeys sofort wieder da. Selbst wenn du dein Handy verlierst, kannst du dich auf einem neuen Gerät anmelden und weitermachen.

Google: Ähnliches System – Passkeys liegen verschlüsselt im Google-Konto. Neues Android-Handy? Einmal mit Google-Konto anmelden, alle Passkeys sind synchronisiert.

Microsoft: Windows Hello speichert Passkeys lokal, aber du kannst sie mit deinem Microsoft-Konto synchronisieren (muss aktiviert werden).

Recovery-Optionen bei den Diensten selbst

Die meisten Websites bieten zusätzliche Wiederherstellungsmethoden:

• Backup-Passkeys: Du kannst mehrere Passkeys für denselben Account erstellen (z.B. einen auf dem iPhone, einen auf dem iPad)
• Wiederherstellungscodes: Beim Einrichten bekommst du oft Notfall-Codes zum Ausdrucken
• Alternative Methoden: E-Mail-Verifizierung oder SMS als Fallback (weniger sicher, aber besser als gar kein Zugang)

Best Practice: Richte Passkeys auf mindestens zwei Geräten ein – zum Beispiel Smartphone und Tablet. So hast du immer einen Backup-Zugang.

Passkeys vs. Passwort-Manager – was ist besser?

Viele technikaffine Nutzer schwören auf Passwort-Manager wie 1Password, Bitwarden oder den iCloud-Schlüsselbund. Wie passen Passkeys ins Bild?

Die kurze Antwort: Passkeys sind die bessere Langzeit-Lösung, aber Passwort-Manager bleiben vorerst nützliche Begleiter.

Vergleich: Passkeys vs. Passwort-Manager

Kriterium	Passkeys	Passwort-Manager
Sicherheit	Höher – Phishing unmöglich, kein Passwort-Leak-Risiko	Gut – aber Master-Passwort ist Single Point of Failure
Komfort	Maximal – ein Fingertipp genügt	Gut – aber Master-Passwort nötig
Verbreitung	Noch im Wachstum (aber rasant)	Funktioniert überall
Geräte-Wechsel	Automatisch per iCloud/Google-Sync	Manueller Export/Import oft nötig
Kosten	Kostenlos in Betriebssystemen integriert	Premium-Features oft kostenpflichtig

Die Realität 2026: Die meisten Nutzer werden eine Mischform nutzen. Für Dienste mit Passkey-Support: Passkeys. Für ältere Websites ohne Passkey: Passwort-Manager. Die gute Nachricht: Moderne Passwort-Manager wie 1Password und Bitwarden unterstützen mittlerweile auch Passkey-Verwaltung – du kannst also alles an einem Ort haben.

[INTERN: passwort-manager-vergleich]

Kritik und Grenzen von Passkeys

So revolutionär Passkeys auch sind – die Technologie ist nicht ohne Herausforderungen. Hier die ehrliche Einordnung:

1. Abhängigkeit von Tech-Konzernen

Deine Passkeys liegen in der iCloud (Apple) oder bei Google. Wenn dein Account gesperrt wird oder du den Zugang verlierst, sind auch die Passkeys weg. Datenschutzkritiker sehen hier eine neue Form der Abhängigkeit.

Gegenargument: Du kannst Passkeys auch lokal auf Hardware-Sicherheitsschlüsseln (z.B. YubiKey) speichern – ohne Cloud-Anbindung.

2. Nicht alle Websites machen mit

Kleine Foren, regionale Online-Shops, ältere Websites – viele Dienste werden Jahre brauchen, um Passkeys zu implementieren. In der Übergangsphase brauchst du also weiterhin Passwörter oder einen Passwort-Manager.

3. Shared Accounts problematisch

Teilst du deinen Netflix-Account mit der Familie? Bei Passkeys wird das komplizierter. Jedes Familienmitglied bräuchte Zugriff auf deinen Passkey – was dem Sicherheitskonzept widerspricht. Dienste arbeiten an Lösungen (Account-Sharing mit mehreren Passkeys), aber das dauert noch.

4. Ältere Geräte ausgeschlossen

Passkeys benötigen moderne Betriebssysteme: iOS 16+, Android 9+, Windows 10/11, macOS Ventura+. Ältere Smartphones und Computer bleiben außen vor.

Fazit zur Kritik: Die Einwände sind berechtigt, aber keine Show-Stopper. Die Industrie arbeitet aktiv an Lösungen, und die Vorteile überwiegen die Nachteile deutlich.

Häufig gestellte Fragen zu Passkeys

Kann jemand meinen Passkey stehlen, wenn er mein Smartphone hat?

Nein, nicht ohne deine Biometrie oder PIN. Der Passkey ist auf deinem Gerät verschlüsselt gespeichert und wird nur freigeschaltet, wenn du dich mit Fingerabdruck, Gesichtserkennung oder Geräte-PIN authentifizierst. Selbst bei einem gestohlenen Smartphone bleibt der Passkey nutzlos für den Dieb – vorausgesetzt, du hast eine sichere Gerätesperre aktiviert (was du ohnehin immer tun solltest).

Funktionieren Passkeys auch ohne Internet?

Teilweise. Die Authentifizierung selbst benötigt eine Internetverbindung, weil dein Gerät mit dem Server des Dienstes kommunizieren muss. Allerdings ist der Passkey selbst lokal auf deinem Gerät gespeichert – du brauchst also keine Cloud-Verbindung, um ihn zu nutzen. Wenn du offline bist, kannst du dich natürlich nicht auf Websites einloggen, aber der Passkey selbst ist verfügbar, sobald du wieder online bist.

Sind Passkeys mit allen Browsern kompatibel?

Die meisten modernen Browser unterstützen Passkeys: Safari (iOS/macOS), Google Chrome (alle Plattformen), Microsoft Edge, Firefox (seit Version 122) und Samsung Internet. Ältere Browser-Versionen oder exotische Browser könnten Probleme haben. Grundsätzlich gilt: Wenn du deinen Browser regelmäßig aktualisierst, solltest du keine Kompatibilitätsprobleme haben. Die Passkey-Unterstützung basiert auf dem WebAuthn-Standard, den alle großen Browser-Hersteller implementiert haben.

Was ist der Unterschied zwischen Passkeys und Zwei-Faktor-Authentifizierung?

Passkeys ersetzen das Passwort komplett – sie sind gleichzeitig Beweis für "etwas, das du weißt" (kryptografischer Schlüssel) und "etwas, das du hast" (dein Gerät). Bei klassischer Zwei-Faktor-Authentifizierung (2FA) gibst du erst ein Passwort ein (erster Faktor) und dann einen Code aus einer App oder per SMS (zweiter Faktor). Passkeys kombinieren beide Faktoren in einem Schritt: Dein Gerät (haben) + Biometrie/PIN (sein/wissen). Das macht sie bequemer als 2FA und gleichzeitig sicherer als Passwort+2FA, weil Phishing ausgeschlossen ist.

[INTERN: zwei-faktor-authentifizierung-erklaert]

Kann ich Passkeys auf mehreren Geräten gleichzeitig nutzen?

Ja, und das ist sogar empfohlen. Wenn du zum Beispiel das Apple-Ökosystem nutzt, synchronisiert iCloud deine Passkeys automatisch auf iPhone, iPad und Mac. Bei Google funktioniert es genauso über dein Google-Konto. Du kannst dich also auf deinem Smartphone bei Amazon anmelden und später am Laptop – der Passkey steht auf beiden Geräten zur Verfügung. Alternativ kannst du für einen Account auch mehrere separate Passkeys erstellen (z.B. einen auf dem Arbeits-Laptop, einen auf dem privaten Handy) – die meisten Dienste erlauben das.

Was passiert mit meinen alten Passwörtern, wenn ich zu Passkeys wechsle?

Du kannst (und solltest) sie behalten, bis du sicher bist, dass Passkeys für alle deine wichtigen Dienste funktionieren. Die meisten Websites bieten eine Übergangsphase: Du kannst Passkeys aktivieren, aber auch weiterhin mit Passwort einloggen. Wenn du feststellst, dass Passkeys stabil laufen, kannst du in den Sicherheitseinstellungen der jeweiligen Website das alte Passwort deaktivieren oder löschen. Für Dienste, die noch keine Passkeys unterstützen, brauchst du ohnehin weiterhin Passwörter – also keine Eile beim Aufräumen.

Fazit: Passkeys sind die Zukunft – und sie ist schon da. Die Technologie löst die fundamentalen Probleme klassischer Passwörter: Sie ist sicherer gegen Phishing, Datenlecks und Brute-Force-Attacken, gleichzeitig bequemer und schneller im Alltag. Ja, nicht alle Websites unterstützen Passkeys schon, und es gibt legitime Fragen zu Cloud-Abhängigkeit und Shared Accounts. Aber der Trend ist eindeutig: Apple, Google, Microsoft und tausende Dienste setzen auf die Technologie. Wenn du die Möglichkeit hast, einen Passkey einzurichten – tu es. Deine Accounts werden sicherer, und du sparst dir das nervige Passwort-Gedöns. Die passwortlose Zukunft hat begonnen, und sie fühlt sich verdammt gut an.