Ein Passkey ersetzt das klassische Passwort durch ein kryptografisches Schlüsselpaar. Beim Login bestätigst du den Zugriff lokal auf deinem Gerät, etwa per Fingerabdruck, Gesicht oder PIN, statt ein geheimes Kennwort an eine Website zu übertragen. Genau das macht die Technik für Identität und Zugriff so interessant: Sie ist einfacher im Alltag und gleichzeitig deutlich robuster gegen Phishing.
Die kurze Mechanik hinter Passkeys in wenigen Punkten
- Bei der Registrierung erzeugt dein Gerät ein Schlüsselpaar: privat bleibt lokal, öffentlich geht an den Dienst.
- Beim Login sendet der Server eine Challenge, die nur der private Schlüssel lokal signieren kann.
- Fingerabdruck, Gesicht oder PIN entsperren nicht den Dienst, sondern nur den Schlüssel auf dem Gerät.
- Der Dienst prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel und lässt dich dann rein.
- Passkeys sind stark gegen Phishing, aber nur so gut wie Gerät, Browser, Recovery und Fallbacks.
Was ein Passkey technisch eigentlich ist
Aus technischer Sicht ist ein Passkey kein neu benanntes Passwort, sondern ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Der private Schlüssel bleibt auf deinem Gerät oder in deinem Passwortmanager, der öffentliche Schlüssel landet beim Dienst. Der Anbieter kann damit prüfen, ob du im Besitz des passenden Schlüssels bist, ohne jemals das Geheimnis selbst zu kennen.
Im Web läuft das meist über WebAuthn, also den Standard, mit dem Browser und Betriebssystem die Anmeldung koordinieren. Der wichtige Detailpunkt ist die Bindung an den Origin, also an die echte Herkunft der Website oder App; genau deshalb funktioniert derselbe Passkey nicht einfach auf einer Nachahmungsseite. Für mich ist das der eigentliche Bruch mit dem Passwortdenken: Nicht ein Geheimnis wird geteilt, sondern ein Beweis wird lokal erzeugt.
Der wichtigste Punkt für Identität und Zugriff ist dabei einfach: Der Dienst bekommt nur ein Ergebnis, nicht dein Geheimnis. Das klingt klein, verändert aber die gesamte Angriffsfläche.

So läuft die Anmeldung Schritt für Schritt ab
Der Ablauf wirkt im Alltag kurz, folgt aber immer derselben Logik. Ich würde ihn in sechs Schritte zerlegen:
- Du startest die Registrierung oder Anmeldung auf einer Website oder in einer App.
- Der Dienst fordert ein lokales Entsperren an, zum Beispiel per Fingerabdruck, Face ID oder PIN.
- Dein Gerät erzeugt bei der Registrierung ein neues Schlüsselpaar oder wählt beim Login den passenden bestehenden Schlüssel aus.
- Nur der öffentliche Schlüssel wird an den Dienst übertragen und mit deinem Konto verknüpft.
- Beim späteren Login sendet der Server eine zufällige Challenge an dein Gerät.
- Der private Schlüssel signiert diese Challenge lokal, und der Dienst prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel.
In der Praxis kann der Freigabeschritt je nach System auf dem Smartphone, auf dem Laptop oder über einen separaten Sicherheitsschlüssel laufen. Der Mechanismus bleibt gleich: Challenge, lokale Freigabe, Signatur, Prüfung.
Genau dieser Challenge-Response-Mechanismus ist der Grund, warum Passkeys klassische Angriffe so stark ausbremsen.
Warum Passkeys Phishing deutlich schwerer machen
Der stärkste Sicherheitsgewinn entsteht nicht durch „mehr Komplexität“, sondern durch den Verzicht auf gemeinsam genutzte Geheimnisse. Ein Passwort kann kopiert, abgefischt oder wiederverwendet werden; ein Passkey dagegen ist an den ursprünglichen Dienst gebunden und lässt sich nicht einfach in ein Formular eintippen.
| Merkmal | Passwort | Passkey |
|---|---|---|
| Geheimnis | muss gemerkt oder gespeichert werden | privater Schlüssel bleibt lokal |
| Phishing-Risiko | hoch, weil das Passwort auf Fake-Seiten eingegeben werden kann | deutlich geringer, weil der Schlüssel nur für den richtigen Ursprung freigegeben wird |
| Server-Daten | oft Passwort-Hash als wertvolles Angriffsziel | nur öffentlicher Schlüssel, der allein nicht zum Login reicht |
| Wiederverwendung | häufige Schwachstelle | technisch pro Konto und Dienst getrennt |
| Benutzeraktion | Tippen und erinnern | lokal entsperren und bestätigen |
Ich halte besonders den letzten Punkt für relevant: Der Mensch muss kein Geheimnis mehr eintippen, also gibt es auch weniger Gelegenheit, es versehentlich an die falsche Stelle zu geben. Trotzdem sind Passkeys kein Freibrief für schlampige Endgeräte oder unsaubere Browser-Umgebungen; wenn das Gerät selbst kompromittiert ist, verschiebt sich das Risiko nur auf eine andere Ebene.
Genau deshalb lohnt sich im nächsten Schritt der Blick darauf, wo Passkeys tatsächlich liegen und was beim Gerätewechsel passiert.
Wo Passkeys gespeichert werden und wie Synchronisierung funktioniert
Ein häufiger Irrtum: Der Passkey „liegt in der Cloud“ und ist deshalb automatisch unsicher. Das ist zu grob. In der Praxis gibt es drei relevante Speicherformen, und der Unterschied ist für den Alltag wichtig.
| Variante | Wo der private Schlüssel liegt | Praktischer Effekt | Worauf ich achte |
|---|---|---|---|
| Gerätegebundener Passkey | auf einem konkreten Gerät oder Sicherheitsschlüssel | sehr klare Bindung an genau dieses Gerät | ohne Ersatzgerät wird Recovery zum Thema |
| Synchronisierter Passkey | im System- oder Passwortmanager des Ökosystems | bequem auf mehreren Geräten nutzbar | der Wiederherstellungsweg des Ökosystems muss sauber sein |
| Hardware-Sicherheitsschlüssel | auf einem physischen Schlüssel, den du einsteckst oder anfasst | sehr robust für sensible Konten und Admin-Zugänge | Verlustschutz und Zweitschlüssel sind wichtig |
Für die meisten Nutzer ist der synchronisierte Passkey die praktikabelste Variante, weil ein neues Smartphone oder Notebook den Zugang nicht sofort blockiert. Für besonders kritische Konten kann ein separater Sicherheitsschlüssel trotzdem die bessere zweite Linie sein, weil er die Kontrolle noch stärker physisch bindet.
Ich würde den Unterschied so zusammenfassen: Synchronisierung erhöht die Alltagstauglichkeit, Hardware erhöht die Trennung vom Alltagsgerät. Beides hat seinen Platz, aber man sollte den jeweiligen Kompromiss bewusst wählen.
Damit ist das technische Fundament gelegt; die eigentlichen Probleme tauchen meist erst bei Fallbacks, mehreren Geräten und nicht unterstützten Diensten auf.
Grenzen, Fallbacks und typische Stolperfallen
Passkeys lösen ein echtes Problem, aber sie lösen nicht alles. In Projekten sehe ich immer wieder dieselben Stolpersteine, und fast alle haben mit Erwartungsmanagement zu tun.
- Nicht jeder Dienst unterstützt Passkeys gleich gut. Gerade bei älteren Systemen bleibt das Passwort vorerst als Fallback nötig.
- Geräteverlust ist keine Kleinigkeit. Wenn nur ein Gerät den Passkey hält und es geht verloren, brauchst du Recovery über einen zweiten Faktor oder einen zweiten Passkey.
- Der Browser bleibt Teil der Vertrauenskette. Ein kompromittiertes Gerät oder eine bösartige Erweiterung kann den Anmeldeprozess stören, auch wenn der Passkey selbst stark bleibt.
- Geteilte Endgeräte brauchen klare Regeln. Auf gemeinsam genutzten Rechnern sollte sauber getrennt sein, welcher Benutzer welchen Passkey verwendet.
- Die Biometrie ist nicht der Schlüssel. Fingerabdruck und Gesicht sind nur die lokale Freigabe; wer das Gerät entsperrt, kann den Passkey im Rahmen der vorhandenen Rechte nutzen.
Mein Rat ist nüchtern: Passkeys sind dann stark, wenn das Drumherum stimmt. Ohne saubere Wiederherstellung, klare Gerätestrategie und ein Minimum an Endgeräteschutz wird aus einer guten Technik schnell nur ein anderer Weg, sich zu verrennen.
Genau deshalb lohnt sich der Umstieg am meisten dort, wo Identität und Zugriff wirklich kritisch sind.
Worauf ich beim Umstieg auf Passkeys in der Praxis achte
Wenn ich Passkeys in einer Umgebung einführe oder ein persönliches Konto umstelle, gehe ich in dieser Reihenfolge vor:
- Ich registriere mindestens zwei vertrauenswürdige Geräte oder einen zweiten Passkey, bevor ich das Passwort stark zurückdränge.
- Ich prüfe, ob der Fallback noch sinnvoll ist oder nur als Sicherheitsloch offensteht.
- Ich entscheide bewusst zwischen synchronisiertem Passkey und Hardware-Schlüssel, statt beides wahllos zu mischen.
- Ich teste den Login auf Neu-Gerät, Wiederherstellung und verlorenes Gerät, nicht nur auf dem Erstgerät.
- Ich kommuniziere intern oder im Team klar, dass Biometrie nur die lokale Freigabe ist und kein separater „Cloud-Fingerabdruck“.
Unterm Strich ist ein Passkey vor allem eine saubere Neudefinition von Identität und Zugriff: Der Dienst prüft nicht mehr, ob du ein Geheimnis kennst, sondern ob du den passenden Schlüssel lokal freigeben kannst. Genau deshalb funktioniert die Methode so gut gegen Phishing und so gut im Alltag, solange Recovery, Geräteschutz und unterstützte Fallbacks mitgedacht werden.