Ein Passkey ist eine moderne Anmeldemethode, die klassische Passwörter durch biometrische Verfahren wie Fingerabdruck oder Gesichtserkennung ersetzt. Statt dir "Sommer2026!" zu merken, entsperrst du dein Konto einfach mit deinem Gesicht oder Finger – sicherer und bequemer. Die Technologie basiert auf kryptografischen Schlüsseln und macht Phishing-Angriffe praktisch unmöglich. Seit 2022 treiben Apple, Google und Microsoft die Einführung gemeinsam voran, mittlerweile unterstützen tausende Websites und Apps Passkeys. In diesem Artikel erfährst du, wie Passkeys funktionieren, wo du sie bereits nutzen kannst und warum sie deine Konten deutlich sicherer machen als jedes Passwort.
Wie funktioniert ein Passkey technisch?
Die Technologie hinter Passkeys heißt FIDO2 und wurde von der FIDO Alliance entwickelt – einem Zusammenschluss von Tech-Giganten wie Apple, Google, Microsoft und vielen anderen. Das Prinzip basiert auf asymmetrischer Verschlüsselung mit zwei Schlüsseln:
- Privater Schlüssel: Bleibt auf deinem Gerät (iPhone, Android-Smartphone, PC) und verlässt es niemals
- Öffentlicher Schlüssel: Wird beim Anbieter (z.B. Amazon, PayPal) gespeichert
- Biometrische Freigabe: Du bestätigst den Login mit Fingerabdruck, Face ID oder PIN – nur lokal auf deinem Gerät
- Kryptografischer Handschlag: Dein Gerät beweist dem Server, dass du es bist – ohne dass ein Passwort übertragen wird
Das ist der Grund: Selbst wenn Hacker den Server des Anbieters knacken, finden sie dort nur den öffentlichen Schlüssel. Ohne deinen privaten Schlüssel – der sicher auf deinem Gerät liegt – können sie nichts damit anfangen. Kein Passwort-Leak, keine Datenpanne mit verwertbaren Login-Daten.
Aber Vorsicht: Passkeys funktionieren nur, wenn der Anbieter sie unterstützt. Die gute Nachricht: Immer mehr Dienste steigen um.
Warum sind Passkeys sicherer als Passwörter?
Klassische Passwörter haben ein fundamentales Problem: Sie existieren als Text, der übertragen, abgefangen oder erraten werden kann. Passkeys lösen dieses Problem grundlegend anders:
Schutz vor den häufigsten Angriffen
| Angriffsart | Passwort | Passkey |
|---|---|---|
| Phishing (gefälschte Websites) | ❌ Anfällig – Nutzer gibt Passwort auf Fake-Seite ein | ✅ Immun – Passkey funktioniert nur auf echter Domain |
| Datenleck beim Anbieter | ❌ Kritisch – Hacker erhalten Passwort-Hash | ✅ Unkritisch – nur nutzloser öffentlicher Schlüssel |
| Brute-Force (Raten) | ❌ Möglich bei schwachen Passwörtern | ✅ Unmöglich – kryptografische Schlüssel nicht ratbar |
| Social Engineering | ❌ Anfällig – Support-Mitarbeiter fragt nach Passwort | ✅ Geschützt – Passkey kann nicht weitergegeben werden |
Hier der Trick: Passkeys sind an die jeweilige Website gebunden. Wenn du auf paypal-login.phishing-seite.com landest, funktioniert dein Passkey einfach nicht – weil er nur für paypal.com gilt. Bei Passwörtern tippst du es einfach ein und merkst den Betrug oft zu spät.
Echtes Beispiel aus der Praxis
Google hat 2023 berichtet, dass seit Einführung von Passkeys für Google-Konten null erfolgreiche Phishing-Angriffe bei Passkey-Nutzern registriert wurden – bei Millionen Accounts. Zum Vergleich: Bei passwortbasierten Konten gibt es täglich tausende erfolgreiche Übernahmen.
Wo kannst du Passkeys bereits nutzen?
Die Unterstützung wächst rasant. Stand April 2026 bieten diese großen Dienste Passkeys an:
Wichtige Dienste mit Passkey-Support
- Google: Alle Google-Dienste (Gmail, YouTube, Drive) seit 2022
- Apple: Apple ID seit iOS 16 / macOS Ventura
- Microsoft: Microsoft-Konto seit Windows 11 22H2
- PayPal: Volle Unterstützung seit 2023
- Amazon: Schrittweise Einführung seit 2025
- WhatsApp: Passkey-Login seit 2024
- GitHub: Für Entwickler seit 2022 verfügbar
- Shopify: Für Shop-Betreiber seit 2025
- 1Password, Dashlane: Passkey-Verwaltung integriert
Das Wichtigste: Die Einrichtung dauert meist unter einer Minute. Du gehst in die Sicherheitseinstellungen des jeweiligen Dienstes, wählst "Passkey hinzufügen" und bestätigst mit deinem Fingerabdruck oder Face ID. Fertig.
Banking und sensible Bereiche
Deutsche Banken testen Passkeys derzeit intensiv. Die Sparkassen-Finanzgruppe und einige Direktbanken wie comdirect haben 2026 erste Pilotprojekte gestartet. Hier der Grund für die Verzögerung: Banken müssen Passkeys mit der Zwei-Faktor-Authentifizierung (2FA) nach PSD2-Richtlinie kombinieren – technisch anspruchsvoll, aber machbar.
So richtest du einen Passkey ein – Schritt für Schritt
Wir zeigen die Einrichtung am Beispiel eines Google-Kontos. Bei anderen Diensten läuft es ähnlich ab:
Auf dem iPhone oder Android-Smartphone
- Öffne die Einstellungen deines Google-Kontos (myaccount.google.com)
- Navigiere zu "Sicherheit" → "Anmeldung bei Google"
- Wähle "Passkeys" und tippe auf "Passkey erstellen"
- Bestätige mit Face ID, Fingerabdruck oder Geräte-PIN
- Fertig! Beim nächsten Login wirst du nur noch biometrisch authentifiziert
Auf Windows oder Mac
- Chrome, Edge oder Safari öffnen (wichtig: aktueller Browser)
- Bei Google anmelden und zu Sicherheitseinstellungen gehen
- "Passkey erstellen" wählen
- Windows Hello (Fingerabdruck/PIN) oder Touch ID verwenden
- Passkey ist lokal gespeichert und funktioniert nur auf diesem Gerät
Aber Vorsicht: Wenn du nur einen Passkey auf einem Gerät einrichtest und dieses Gerät verlierst, brauchst du eine Backup-Methode. Deshalb solltest du entweder mehrere Passkeys auf verschiedenen Geräten einrichten oder eine klassische 2FA-Methode als Fallback behalten.
Werden Passkeys geräteübergreifend synchronisiert?
Das ist eine der häufigsten Fragen – und die Antwort hängt vom Betriebssystem ab:
Apple-Ökosystem (iCloud Keychain)
- Passkeys werden automatisch über iCloud synchronisiert
- Funktioniert auf iPhone, iPad und Mac mit derselben Apple ID
- Ende-zu-Ende-verschlüsselt – auch Apple kann nicht auf deine Passkeys zugreifen
- Vorteil: Einmal eingerichtet, überall nutzbar
Google-Ökosystem (Password Manager)
- Passkeys werden über Google Password Manager synchronisiert
- Funktioniert auf Android-Geräten und in Chrome (auch auf Windows/Mac)
- Ebenfalls Ende-zu-Ende-verschlüsselt
- Vorteil: Plattformübergreifend nutzbar, auch außerhalb der Google-Welt
Microsoft-Ökosystem
- Windows Hello speichert Passkeys lokal auf dem Gerät
- Keine automatische Cloud-Synchronisation (Stand 2026)
- Du musst Passkeys auf jedem Windows-Gerät neu einrichten
- Alternative: Verwendung eines Passwort-Managers wie 1Password
Hier der Trick: Passwort-Manager wie 1Password oder Bitwarden können Passkeys ebenfalls speichern und synchronisieren – auch betriebssystemübergreifend. Ideal, wenn du zwischen iOS, Android und Windows wechselst.
Was passiert, wenn du dein Gerät verlierst?
Berechtigte Sorge: Wenn der Passkey auf deinem Smartphone liegt und du es verlierst – kommst du dann noch in deine Konten?
Sicherheitsnetze bei Geräteverlust
- Mehrere Passkeys einrichten: Erstelle Passkeys auf Smartphone UND Laptop – wenn eins weg ist, hast du noch das andere
- Backup-Methode hinterlegen: Die meisten Dienste erlauben zusätzlich eine E-Mail-Verifizierung oder SMS-Code als Fallback
- Cloud-Synchronisation nutzen: Bei iCloud oder Google werden Passkeys auf neues Gerät übertragen, sobald du dich dort anmeldest
- Recovery-Codes speichern: Viele Dienste bieten Einmal-Codes zum Ausdrucken – bewahre sie sicher auf
Das Wichtigste: Bei Cloud-synchronisierten Passkeys (Apple, Google) reicht es, dich auf einem neuen Gerät mit deiner Apple ID oder deinem Google-Konto anzumelden. Die Passkeys werden automatisch wiederhergestellt – gesichert durch dein Konto-Passwort und ggf. 2FA.
Szenario: iPhone gestohlen
- iPhone über iCloud sperren ("Wo ist?"-App)
- Neues iPhone einrichten und mit Apple ID anmelden
- Passkeys werden automatisch synchronisiert
- Login bei allen Diensten funktioniert wieder – Dieb hat keine Chance, da er Face ID oder deine PIN nicht kennt
Können Passkeys gehackt werden?
Keine Technologie ist zu 100% unknackbar – aber Passkeys setzen die Messlatte extrem hoch:
Theoretische Angriffsvektoren
- Gerät physisch gestohlen + biometrische Sperre geknackt: Möglich, aber extrem aufwändig. Geheimdienst-Niveau, nicht realistisch für normale Cyberkriminelle
- Malware auf dem Gerät: Könnte theoretisch beim Login mitlesen – setzt aber vorherige Kompromittierung voraus (durch Trojaner etc.)
- Man-in-the-Middle: Funktioniert nicht, da Passkeys die Domain prüfen und verschlüsselt kommunizieren
- Server-Hack beim Anbieter: Bringt Angreifern nichts – sie erhalten nur den nutzlosen öffentlichen Schlüssel
Aber Vorsicht: Die größte Schwachstelle bleibt der Mensch. Wenn du dein Gerät mit "1234" als PIN sicherst, hilft auch der beste Passkey wenig. Nutze starke Geräte-PINs oder biometrische Verfahren.
Laut BSI (Bundesamt für Sicherheit in der Informationstechnik) sind Passkeys "deutlich sicherer als passwortbasierte Authentifizierung" und werden als Zukunftstechnologie empfohlen [Quelle: BSI].
Passkeys vs. Passwort-Manager – was ist besser?
Viele Nutzer fragen sich: Soll ich weiter meinen Passwort-Manager nutzen oder komplett auf Passkeys umsteigen?
Direkter Vergleich
| Kriterium | Passwort-Manager | Passkey |
|---|---|---|
| Sicherheit | ✅ Hoch – bei Master-Passwort und 2FA | ✅✅ Höher – kein Passwort übertragbar |
| Komfort | ✅ Gut – Autofill in den meisten Apps | ✅✅ Besser – nur Fingerabdruck, kein Tippen |
| Verbreitung | ✅✅ Funktioniert überall | ⚠️ Noch eingeschränkt – wächst aber schnell |
| Offline-Nutzung | ✅ Meist möglich | ✅ Ja, Schlüssel lokal |
| Geräte-Wechsel | ✅✅ Einfach – Login in Manager-App | ✅ Je nach Ökosystem unterschiedlich |
Die beste Strategie 2026
Hier der Trick: Nutze beides parallel:
- Passkeys für alle unterstützten Dienste (Google, PayPal, Apple, Microsoft etc.)
- Passwort-Manager für den Rest – tausende Websites unterstützen Passkeys noch nicht
- Passwort-Manager als Passkey-Speicher – 1Password und Bitwarden können beides verwalten
So bist du optimal aufgestellt: maximale Sicherheit bei modernen Diensten, volle Kompatibilität bei älteren.
💡 Das Wichtigste auf einen Blick
- Passkeys ersetzen Passwörter durch biometrische Freigabe (Fingerabdruck, Face ID)
- Sie basieren auf kryptografischen Schlüsseln – privater Schlüssel bleibt auf deinem Gerät
- Phishing-Angriffe werden unmöglich, da Passkeys nur auf der echten Domain funktionieren
- Google, Apple, Microsoft, PayPal und viele andere unterstützen Passkeys bereits
- Bei iCloud und Google werden Passkeys automatisch zwischen Geräten synchronisiert
- Passwort-Manager wie 1Password können Passkeys ebenfalls speichern und verwalten
Häufige Fragen zu Passkeys
Kann ich Passkeys auch ohne Smartphone nutzen?
Ja, das funktioniert problemlos. Passkeys kannst du auch direkt auf deinem Laptop oder PC einrichten – über Windows Hello (Fingerabdruck-Sensor, Gesichtserkennung oder PIN) oder Touch ID am Mac. Du brauchst kein Smartphone. Viele Nutzer richten Passkeys sogar auf mehreren Geräten gleichzeitig ein: Smartphone als Hauptgerät, Laptop als Backup. So bist du flexibel und abgesichert, falls ein Gerät ausfällt.
Funktionieren Passkeys auch offline?
Ja, teilweise. Der private Schlüssel liegt lokal auf deinem Gerät und die biometrische Freigabe funktioniert auch ohne Internet. Allerdings brauchst du natürlich eine Internetverbindung, um dich tatsächlich bei einem Online-Dienst anzumelden – der Server muss ja bestätigen, dass dein Schlüssel passt. Aber im Gegensatz zu SMS-Codes oder E-Mail-Verifizierungen ist der eigentliche Authentifizierungs-Prozess nicht von Cloud-Diensten abhängig. Das macht Passkeys robuster als viele andere 2FA-Methoden.
Was kostet die Nutzung von Passkeys?
Absolut nichts. Passkeys sind eine offene Technologie, die von allen großen Tech-Konzernen kostenlos bereitgestellt wird. Du brauchst keine Premium-Abos oder spezielle Apps. Die Passkey-Funktion ist in iOS, Android, Windows und macOS direkt integriert. Auch die meisten Passwort-Manager bieten Passkey-Verwaltung in ihren kostenlosen Basis-Versionen an. Einzige Voraussetzung: Dein Gerät sollte nicht älter als 3-4 Jahre sein, da ältere Betriebssysteme die FIDO2-Standards teilweise nicht unterstützen.
Können Passkeys von anderen Personen missbraucht werden?
Nein, das ist praktisch ausgeschlossen. Selbst wenn jemand dein Gerät in die Hand bekommt, braucht er deine Biometrie (Fingerabdruck, Gesicht) oder zumindest deine Geräte-PIN, um den Passkey zu nutzen. Der private Schlüssel ist zusätzlich in einem speziellen Hardware-Chip (Secure Enclave bei Apple, Trusted Platform Module bei Windows) verschlüsselt gespeichert – selbst mit physischem Zugriff auf das Gerät ist er praktisch nicht auslesbar. Weitergeben oder teilen lassen sich Passkeys technisch nicht – im Gegensatz zu Passwörtern, die du versehentlich aufschreiben oder weitergeben könntest.
Werden Passkeys meine Passwörter komplett ersetzen?
Langfristig ja, kurzfristig eher nein. Die Vision der FIDO Alliance ist eine passwortlose Zukunft – und wir sind auf dem besten Weg dorthin. Aber realistisch betrachtet dauert es noch Jahre, bis wirklich alle Websites und Apps Passkeys unterstützen. Aktuell (2026) nutzen die großen Player die Technologie, aber tausende kleinere Dienste arbeiten noch mit klassischen Passwörtern. Für die nächsten 3-5 Jahre wirst du wahrscheinlich mit einer Mischung leben: Passkeys für deine wichtigsten Konten (E-Mail, Banking, Shopping) und Passwörter für den langen Schwanz. Ein Passwort-Manager bleibt also vorerst sinnvoll – am besten einer, der beide Welten vereint.
Fazit: Passkeys sind die größte Verbesserung in der Login-Sicherheit seit Jahrzehnten. Sie machen Phishing unmöglich, Passwort-Leaks irrelevant und deinen Alltag bequemer. Die Technologie ist ausgereift, die Unterstützung wächst rasant. Wenn deine wichtigsten Dienste Passkeys anbieten – nutze sie. Richte heute noch deinen ersten Passkey ein, zum Beispiel für dein Google- oder Apple-Konto. Es dauert keine 2 Minuten und macht deine digitale Identität deutlich sicherer. Kombiniere Passkeys mit einem guten Passwort-Manager für die Übergangszeit, sichere dein Gerät mit starker PIN oder Biometrie – und du bist optimal aufgestellt für die passwortlose Zukunft.