Passkeys erklärt - Das Ende der Passwörter?

So funktioniert Passkey: Einstellungen zeigen iCloud-Passwörter & Schlüsselbund. Synchronisation für dieses iPad ist aktiviert.

Geschrieben von

Rolf Fuhrmann

Veröffentlicht am

28. Apr. 2026

Inhaltsverzeichnis

Ein Passkey ersetzt das klassische Passwort durch ein kryptografisches Schlüsselpaar. Beim Login bestätigst du den Zugriff lokal auf deinem Gerät, etwa per Fingerabdruck, Gesicht oder PIN, statt ein geheimes Kennwort an eine Website zu übertragen. Genau das macht die Technik für Identität und Zugriff so interessant: Sie ist einfacher im Alltag und gleichzeitig deutlich robuster gegen Phishing.

Die kurze Mechanik hinter Passkeys in wenigen Punkten

  • Bei der Registrierung erzeugt dein Gerät ein Schlüsselpaar: privat bleibt lokal, öffentlich geht an den Dienst.
  • Beim Login sendet der Server eine Challenge, die nur der private Schlüssel lokal signieren kann.
  • Fingerabdruck, Gesicht oder PIN entsperren nicht den Dienst, sondern nur den Schlüssel auf dem Gerät.
  • Der Dienst prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel und lässt dich dann rein.
  • Passkeys sind stark gegen Phishing, aber nur so gut wie Gerät, Browser, Recovery und Fallbacks.

Was ein Passkey technisch eigentlich ist

Aus technischer Sicht ist ein Passkey kein neu benanntes Passwort, sondern ein Schlüsselpaar aus privatem und öffentlichem Schlüssel. Der private Schlüssel bleibt auf deinem Gerät oder in deinem Passwortmanager, der öffentliche Schlüssel landet beim Dienst. Der Anbieter kann damit prüfen, ob du im Besitz des passenden Schlüssels bist, ohne jemals das Geheimnis selbst zu kennen.

Im Web läuft das meist über WebAuthn, also den Standard, mit dem Browser und Betriebssystem die Anmeldung koordinieren. Der wichtige Detailpunkt ist die Bindung an den Origin, also an die echte Herkunft der Website oder App; genau deshalb funktioniert derselbe Passkey nicht einfach auf einer Nachahmungsseite. Für mich ist das der eigentliche Bruch mit dem Passwortdenken: Nicht ein Geheimnis wird geteilt, sondern ein Beweis wird lokal erzeugt.

Der wichtigste Punkt für Identität und Zugriff ist dabei einfach: Der Dienst bekommt nur ein Ergebnis, nicht dein Geheimnis. Das klingt klein, verändert aber die gesamte Angriffsfläche.

So funktioniert Passkey: Browser fordert Public Key Credential an, Frontend sendet Signatur an Server, der die Authentifizierung prüft.

So läuft die Anmeldung Schritt für Schritt ab

Der Ablauf wirkt im Alltag kurz, folgt aber immer derselben Logik. Ich würde ihn in sechs Schritte zerlegen:

  1. Du startest die Registrierung oder Anmeldung auf einer Website oder in einer App.
  2. Der Dienst fordert ein lokales Entsperren an, zum Beispiel per Fingerabdruck, Face ID oder PIN.
  3. Dein Gerät erzeugt bei der Registrierung ein neues Schlüsselpaar oder wählt beim Login den passenden bestehenden Schlüssel aus.
  4. Nur der öffentliche Schlüssel wird an den Dienst übertragen und mit deinem Konto verknüpft.
  5. Beim späteren Login sendet der Server eine zufällige Challenge an dein Gerät.
  6. Der private Schlüssel signiert diese Challenge lokal, und der Dienst prüft die Signatur mit dem gespeicherten öffentlichen Schlüssel.
Wichtig ist der zeitliche Ablauf: Der Fingerabdruck oder die PIN sind nicht der eigentliche Login an sich, sondern die lokale Freigabe, damit der private Schlüssel arbeiten darf. Sobald man das versteht, fällt auch der Mythos weg, Passkeys würden „deine Biometrie ins Netz schicken“.

In der Praxis kann der Freigabeschritt je nach System auf dem Smartphone, auf dem Laptop oder über einen separaten Sicherheitsschlüssel laufen. Der Mechanismus bleibt gleich: Challenge, lokale Freigabe, Signatur, Prüfung.

Genau dieser Challenge-Response-Mechanismus ist der Grund, warum Passkeys klassische Angriffe so stark ausbremsen.

Warum Passkeys Phishing deutlich schwerer machen

Der stärkste Sicherheitsgewinn entsteht nicht durch „mehr Komplexität“, sondern durch den Verzicht auf gemeinsam genutzte Geheimnisse. Ein Passwort kann kopiert, abgefischt oder wiederverwendet werden; ein Passkey dagegen ist an den ursprünglichen Dienst gebunden und lässt sich nicht einfach in ein Formular eintippen.

Merkmal Passwort Passkey
Geheimnis muss gemerkt oder gespeichert werden privater Schlüssel bleibt lokal
Phishing-Risiko hoch, weil das Passwort auf Fake-Seiten eingegeben werden kann deutlich geringer, weil der Schlüssel nur für den richtigen Ursprung freigegeben wird
Server-Daten oft Passwort-Hash als wertvolles Angriffsziel nur öffentlicher Schlüssel, der allein nicht zum Login reicht
Wiederverwendung häufige Schwachstelle technisch pro Konto und Dienst getrennt
Benutzeraktion Tippen und erinnern lokal entsperren und bestätigen

Ich halte besonders den letzten Punkt für relevant: Der Mensch muss kein Geheimnis mehr eintippen, also gibt es auch weniger Gelegenheit, es versehentlich an die falsche Stelle zu geben. Trotzdem sind Passkeys kein Freibrief für schlampige Endgeräte oder unsaubere Browser-Umgebungen; wenn das Gerät selbst kompromittiert ist, verschiebt sich das Risiko nur auf eine andere Ebene.

Genau deshalb lohnt sich im nächsten Schritt der Blick darauf, wo Passkeys tatsächlich liegen und was beim Gerätewechsel passiert.

Wo Passkeys gespeichert werden und wie Synchronisierung funktioniert

Ein häufiger Irrtum: Der Passkey „liegt in der Cloud“ und ist deshalb automatisch unsicher. Das ist zu grob. In der Praxis gibt es drei relevante Speicherformen, und der Unterschied ist für den Alltag wichtig.

Variante Wo der private Schlüssel liegt Praktischer Effekt Worauf ich achte
Gerätegebundener Passkey auf einem konkreten Gerät oder Sicherheitsschlüssel sehr klare Bindung an genau dieses Gerät ohne Ersatzgerät wird Recovery zum Thema
Synchronisierter Passkey im System- oder Passwortmanager des Ökosystems bequem auf mehreren Geräten nutzbar der Wiederherstellungsweg des Ökosystems muss sauber sein
Hardware-Sicherheitsschlüssel auf einem physischen Schlüssel, den du einsteckst oder anfasst sehr robust für sensible Konten und Admin-Zugänge Verlustschutz und Zweitschlüssel sind wichtig

Für die meisten Nutzer ist der synchronisierte Passkey die praktikabelste Variante, weil ein neues Smartphone oder Notebook den Zugang nicht sofort blockiert. Für besonders kritische Konten kann ein separater Sicherheitsschlüssel trotzdem die bessere zweite Linie sein, weil er die Kontrolle noch stärker physisch bindet.

Ich würde den Unterschied so zusammenfassen: Synchronisierung erhöht die Alltagstauglichkeit, Hardware erhöht die Trennung vom Alltagsgerät. Beides hat seinen Platz, aber man sollte den jeweiligen Kompromiss bewusst wählen.

Damit ist das technische Fundament gelegt; die eigentlichen Probleme tauchen meist erst bei Fallbacks, mehreren Geräten und nicht unterstützten Diensten auf.

Grenzen, Fallbacks und typische Stolperfallen

Passkeys lösen ein echtes Problem, aber sie lösen nicht alles. In Projekten sehe ich immer wieder dieselben Stolpersteine, und fast alle haben mit Erwartungsmanagement zu tun.

  • Nicht jeder Dienst unterstützt Passkeys gleich gut. Gerade bei älteren Systemen bleibt das Passwort vorerst als Fallback nötig.
  • Geräteverlust ist keine Kleinigkeit. Wenn nur ein Gerät den Passkey hält und es geht verloren, brauchst du Recovery über einen zweiten Faktor oder einen zweiten Passkey.
  • Der Browser bleibt Teil der Vertrauenskette. Ein kompromittiertes Gerät oder eine bösartige Erweiterung kann den Anmeldeprozess stören, auch wenn der Passkey selbst stark bleibt.
  • Geteilte Endgeräte brauchen klare Regeln. Auf gemeinsam genutzten Rechnern sollte sauber getrennt sein, welcher Benutzer welchen Passkey verwendet.
  • Die Biometrie ist nicht der Schlüssel. Fingerabdruck und Gesicht sind nur die lokale Freigabe; wer das Gerät entsperrt, kann den Passkey im Rahmen der vorhandenen Rechte nutzen.

Mein Rat ist nüchtern: Passkeys sind dann stark, wenn das Drumherum stimmt. Ohne saubere Wiederherstellung, klare Gerätestrategie und ein Minimum an Endgeräteschutz wird aus einer guten Technik schnell nur ein anderer Weg, sich zu verrennen.

Genau deshalb lohnt sich der Umstieg am meisten dort, wo Identität und Zugriff wirklich kritisch sind.

Worauf ich beim Umstieg auf Passkeys in der Praxis achte

Wenn ich Passkeys in einer Umgebung einführe oder ein persönliches Konto umstelle, gehe ich in dieser Reihenfolge vor:

  • Ich registriere mindestens zwei vertrauenswürdige Geräte oder einen zweiten Passkey, bevor ich das Passwort stark zurückdränge.
  • Ich prüfe, ob der Fallback noch sinnvoll ist oder nur als Sicherheitsloch offensteht.
  • Ich entscheide bewusst zwischen synchronisiertem Passkey und Hardware-Schlüssel, statt beides wahllos zu mischen.
  • Ich teste den Login auf Neu-Gerät, Wiederherstellung und verlorenes Gerät, nicht nur auf dem Erstgerät.
  • Ich kommuniziere intern oder im Team klar, dass Biometrie nur die lokale Freigabe ist und kein separater „Cloud-Fingerabdruck“.

Unterm Strich ist ein Passkey vor allem eine saubere Neudefinition von Identität und Zugriff: Der Dienst prüft nicht mehr, ob du ein Geheimnis kennst, sondern ob du den passenden Schlüssel lokal freigeben kannst. Genau deshalb funktioniert die Methode so gut gegen Phishing und so gut im Alltag, solange Recovery, Geräteschutz und unterstützte Fallbacks mitgedacht werden.

Häufig gestellte Fragen

Ein Passkey ist ein kryptografisches Schlüsselpaar, das Passwörter ersetzt. Beim Login bestätigst du deine Identität lokal auf deinem Gerät (z.B. per Fingerabdruck), ohne ein Geheimnis an den Dienst zu senden. Dies erhöht die Sicherheit und Benutzerfreundlichkeit.

Dein Gerät erzeugt ein Schlüsselpaar: Der private Schlüssel bleibt lokal, der öffentliche geht an den Dienst. Beim Login fordert der Dienst eine lokale Bestätigung (z.B. Biometrie), um den privaten Schlüssel freizugeben, der dann eine Challenge signiert. Der Dienst prüft diese Signatur.

Ja, Passkeys sind deutlich sicherer. Sie sind an den Origin gebunden, was Phishing erschwert, und es wird kein Geheimnis geteilt, das gestohlen werden könnte. Der Dienst erhält nur einen öffentlichen Schlüssel, der allein nicht für einen Login ausreicht.

Passkeys können gerätegebunden sein, in einem synchronisierten System- oder Passwortmanager liegen oder auf einem physischen Sicherheitsschlüssel gespeichert werden. Synchronisierte Passkeys bieten Komfort über mehrere Geräte hinweg.

Wenn du nur einen gerätegebundenen Passkey hast und das Gerät verlierst, benötigst du einen Wiederherstellungsweg (z.B. einen zweiten Passkey auf einem anderen Gerät oder einen zweiten Faktor). Es ist ratsam, immer mindestens zwei vertrauenswürdige Geräte zu registrieren.

Artikel bewerten

Bewertung: 0.00 Stimmenanzahl: 0

Tags:

wie funktioniert passkey passkey funktionsweise passkey sicherheit passkey vorteile

Beitrag teilen

Rolf Fuhrmann

Rolf Fuhrmann

Mein Name ist Rolf Fuhrmann und ich habe über 12 Jahre Erfahrung im Bereich IT-Infrastruktur, Web-Technologien und Sicherheit. Schon früh entwickelte ich eine Begeisterung für die digitale Welt und die Herausforderungen, die sie mit sich bringt. Besonders fasziniert mich die Schnittstelle zwischen Technologie und Sicherheit, da ich oft beobachte, wie wichtig ein durchdachter Umgang mit Daten und Systemen ist. In meinen Beiträgen möchte ich komplexe Themen verständlich aufbereiten und aktuelle Trends beleuchten. Dabei lege ich großen Wert auf sorgfältige Recherche und den Vergleich verschiedener Informationsquellen, um meinen Lesern präzise und nützliche Inhalte zu bieten. Ich freue mich darauf, mein Wissen und meine Perspektiven mit Ihnen zu teilen und gemeinsam die spannende Welt der IT und Sicherheit zu erkunden.

Kommentar schreiben