Was sind Passkeys?
Passkeys sind ein passwortloser Authentifizierungsstandard, der auf dem FIDO2/WebAuthn-Protokoll basiert und Passwörter durch kryptografische Schlüsselpaare ersetzt. Statt eines Passworts erzeugt ein Passkey ein eindeutiges Paar aus privatem Schlüssel (auf dem Gerät gespeichert, verlässt es nie) und öffentlichem Schlüssel (beim Website-Anbieter gespeichert). Die Authentifizierung erfolgt durch biometrische Verifikation (Fingerabdruck, Face ID) oder Geräte-PIN – ohne dass ein Passwort eingegeben oder übertragen wird. Passkeys wurden von der FIDO Alliance und dem W3C entwickelt; Apple, Google und Microsoft unterstützen sie seit 2022/2023. Da der private Schlüssel das Gerät nie verlässt, sind Passkeys von Natur aus phishing-resistent – eine Eigenschaft, die kein Passwort bieten kann.
Passkeys lösen das Grundproblem der Passwort-Sicherheit: Es gibt kein Passwort mehr, das gestohlen, geleakt oder erraten werden kann. Der private Schlüssel verlässt das Gerät nie – eine Phishing-Seite erhält niemals einen gültigen Authentifizierungsnachweis, egal wie überzeugend sie aussieht.
Auf einen Blick – Key Facts
| Kennzahl | Wert | Quelle |
|---|---|---|
| Standard-Basis | FIDO2 / WebAuthn (W3C) | FIDO Alliance / W3C |
| Unterstützte Betriebssysteme | Windows, macOS, iOS, Android | Apple, Google, Microsoft (ab 2022/23) |
| Google: Passkey-Anmeldungen (2024) | >1 Milliarde | Google Blog 2024 |
| Passkey vs. Passwort: Anmeldezeit | ~50 % schneller | FIDO Alliance 2023 |
| Phishing-Resistenz | 100 % (origin-bound) | FIDO Alliance |
Passwort vs. Passkey – Der direkte Vergleich
| Merkmal | Passwort | Passkey |
|---|---|---|
| Was wird gespeichert? | Passwort-Hash (Server) | Öffentlicher Schlüssel (Server) |
| Was liegt beim Nutzer? | Passwort (im Kopf/Manager) | Privater Schlüssel (verschlüsselt auf Gerät) |
| Übertragung | Passwort (oder Hash) geht zum Server | Nur kryptografische Signatur geht zum Server |
| Phishing-Resistenz | Keine (Passwort kann abgefangen werden) | Vollständig (private key verlässt Gerät nie) |
| Datenleak-Risiko | Hoch (wenn Server-DB kompromittiert) | Kein Passwort zu stehlen |
| Wiederverwendung | Häufig (Sicherheitsrisiko) | Technisch nicht möglich |
| Credential Stuffing | Häufiges Angriffsziel | Nicht möglich |
| Benutzerfreundlichkeit | Mittel | Sehr hoch (Biometrie) |
Wie funktioniert ein Passkey? – Technischer Ablauf
REGISTRIERUNG:
1. Gerät generiert Schlüsselpaar (privat + öffentlich)
2. Öffentlicher Schlüssel → gespeichert beim Anbieter
3. Privater Schlüssel → verschlüsselt auf Gerät (Secure Enclave/TPM)
LOGIN:
1. Anbieter sendet Challenge (zufällige Zeichenfolge)
2. Nutzer verifiziert sich per Biometrie/PIN (lokal)
3. Gerät signiert Challenge mit privatem Schlüssel
4. Anbieter prüft Signatur mit gespeichertem öffentlichem Schlüssel
5. Zugriff gewährt – kein Passwort übertragen!
Passkey-Unterstützung bei Diensten und Plattformen
| Anbieter/Plattform | Passkey-Unterstützung | Sync-Methode |
|---|---|---|
| Ja (seit Mai 2023) | Google Password Manager | |
| Apple | Ja (seit iOS 16 / macOS Ventura) | iCloud Keychain |
| Microsoft | Ja (Windows Hello, Microsoft-Konten) | Microsoft Authenticator |
| GitHub | Ja (seit 2023) | Gerät oder Passwort-Manager |
| PayPal | Ja (USA, schrittweise global) | Geräte-Passkey |
| Amazon | Ja (seit 2024) | Amazon-interner Sync |
| Passkeys in Browsern | Chrome, Safari, Firefox, Edge | Plattform-Keychain |
Häufig gestellte Fragen (FAQ)
Was passiert mit meinen Passkeys, wenn ich mein Gerät verliere?
Passkeys werden plattformübergreifend synchronisiert: Apple synchronisiert via iCloud Keychain (alle Apple-Geräte), Google via Google Password Manager (Android + Chrome), Microsoft via Microsoft Authenticator. Bei Geräteverlust kann man sich über ein synchronisiertes Zweitgerät anmelden. Als Fallback bieten Anbieter immer alternative Login-Methoden (E-Mail-Bestätigung, SMS). Wichtig: Passkeys auf nicht synchronisierten Plattformen (z. B. Einzel-Gerät ohne Cloud-Sync) erfordern eine separate Backup-Strategie.
Können Passkeys gehackt werden?
Passkeys sind erheblich schwerer anzugreifen als Passwörter: Der private Schlüssel liegt verschlüsselt in der Secure Enclave (Apple) oder dem TPM (Windows) – Hardware, die selbst physisch ausgelesen zu werden ausgelegt ist. Kein Server speichert ein zu stehlendes Passwort. Phishing ist unmöglich (origin-bound). Theoretische Angriffe erfordern physischen Gerätezugriff plus Biometrie/PIN-Überlistung – ein deutlich höherer Angriffs-Aufwand als Passwort-Diebstahl.
Ersetzen Passkeys auch MFA (Multi-Faktor-Authentifizierung)?
Ja – ein Passkey erfüllt technisch zwei Faktoren gleichzeitig: Besitz (das Gerät mit dem privaten Schlüssel) und entweder Biometrie oder PIN. FIDO Alliance und NIST stufen Passkeys damit als MFA-equivalent ein. Für die meisten Anwendungsfälle ersetzt ein Passkey die klassische Passwort-plus-OTP-Kombination. In höchsten Sicherheitsanforderungen (z. B. Banken, Government) können zusätzliche Faktoren weiterhin gefordert werden.
Warum setzen noch nicht alle Websites auf Passkeys?
Die Implementierung erfordert Entwicklungsaufwand für die WebAuthn-API-Integration und eine UX-Überarbeitung des Login-Flows. Außerdem müssen Fallback-Optionen (für ältere Geräte ohne Passkey-Unterstützung) bereitgehalten werden. Der Rollout läuft: Große Plattformen (Google, Apple, Microsoft, GitHub, PayPal) sind bereits dabei; kleinere Dienste folgen schrittweise. Passwort-Manager wie 1Password, Bitwarden und Dashlane unterstützen Passkeys, was die Verbreitung weiter beschleunigt.
Funktionieren Passkeys auch plattformübergreifend (z. B. iPhone zu Windows)?
Ja – über Proximity-basierte Authentifizierung (Cross-Device Authentication, CDA): Ein Windows-Computer zeigt einen QR-Code an; das iPhone scannt ihn, verifiziert die Identität per Face ID und sendet den signierten Authentifizierungsnachweis per Bluetooth/NFC. Diese Methode ist als „Hybrid Transport" in der WebAuthn-Spezifikation standardisiert. Langfristig werden plattformübergreifende Passkey-Synchronisierungslösungen (z. B. durch Passwort-Manager) den Wechsel zwischen Ökosystemen vereinfachen.
Fazit
Passkeys sind kein Sicherheits-Feature der Zukunft – sie sind jetzt verfügbar und werden von Google, Apple, Microsoft und den meisten großen Plattformen unterstützt. Mit über einer Milliarde Passkey-Anmeldungen bei Google allein (2024) hat die passwortlose Ära begonnen. Passkeys sind schneller, benutzerfreundlicher und fundamentell sicherer als Passwörter – phishing-resistent, nicht wiederverwendbar und ohne Server-seitiges Passwort-Diebstahl-Risiko.
Erstellt vom IT-Expertenteam der You Logic AG
Die You Logic AG ist ein IT-Dienstleister aus Wiesbaden mit über 13 Jahren Erfahrung und mehr als 2.500 verwalteten Arbeitsplätzen im Rhein-Main-Gebiet. Unser Qualitätsmanagement ist an den Grundsätzen der ISO 9001:2015 ausgerichtet.
LinkedIn
