Passwörter begleiten uns seit Jahrzehnten – und mit ihnen die ewig gleichen Probleme: zu kurz, zu oft wiederverwendet, zu leicht abzugreifen. Passkeys treten an, um genau das zu lösen. Statt eines Geheimnisses, das du dir merken und eintippen musst, übernimmt dein Gerät die Anmeldung kryptografisch im Hintergrund.
In diesem Artikel schauen wir uns an, wie Passkeys funktionieren, warum sie sicherer als Passwörter sind, was bei Geräteverlust passiert und welche Technik mit WebAuthn und FIDO2 dahintersteckt.
Wenn dich das größere Thema Datenschutz und digitale Selbstbestimmung interessiert, passt dazu auch der Beitrag Zwischen Komfort und Privatsphäre.
- Was sind Passkeys?
- Warum kein Passwort mehr?
- 1. Sie können abgegriffen werden
- 2. Sie werden wiederverwendet
- 3. Sie landen in Datenbanken
- 4. Passkeys lösen diese Punkte gleichzeitig
- Wie funktioniert die Anmeldung technisch?
- WebAuthn und FIDO2 – was steckt dahinter?
- FIDO2
- WebAuthn
- CTAP
- Was passiert bei Geräteverlust?
- Synchronisierte Passkeys
- Gerätegebundene Passkeys
- Sinnvolle Vorsorge
- Passkeys im Alltag einrichten
- Wo Passkeys (noch) an Grenzen stoßen
- Fazit
Was sind Passkeys?
Ein Passkey ist ein digitaler Anmeldeschlüssel, der ein klassisches Passwort vollständig ersetzt. Technisch handelt es sich um ein kryptografisches Schlüsselpaar aus privatem und öffentlichem Schlüssel.
- Der private Schlüssel bleibt sicher auf deinem Gerät.
- Der öffentliche Schlüssel wird beim Dienst hinterlegt.
Bei der Anmeldung beweist dein Gerät, dass es den passenden privaten Schlüssel besitzt – ohne diesen jemals zu übertragen. Du bestätigst den Vorgang lediglich per Fingerabdruck, Gesichtserkennung oder Geräte-PIN.
Das Prinzip ähnelt stark der Public-Key-Authentifizierung, die du vielleicht schon von SSH-Keys kennst. Auch dort beweist der private Schlüssel die Identität, ohne dass ein Geheimnis im Klartext über die Leitung geht.
Warum kein Passwort mehr?
Passwörter haben strukturelle Schwächen, die sich kaum beheben lassen:
1. Sie können abgegriffen werden
Phishing-Seiten, gefälschte Logins und abgefangene Eingaben funktionieren nur, weil ein Passwort ein übertragbares Geheimnis ist. Wer es kennt, kann sich anmelden – egal wer er ist.
2. Sie werden wiederverwendet
Die meisten Menschen nutzen dasselbe oder ein ähnliches Passwort für viele Dienste. Ein einziges Datenleck reicht dann aus, um mehrere Konten zu gefährden.
3. Sie landen in Datenbanken
Selbst gut gemeinte Dienste speichern Passwörter – im besten Fall gehasht, im schlimmsten Fall im Klartext. Jede dieser Datenbanken ist ein potenzielles Ziel.
Und nein: Ein besonders kreatives Sonderzeichen rettet dich nicht. Selbst Juristen, die das § erfunden haben und es gern in jedes Passwort packen, sind damit nicht sicherer – denn das Problem ist nicht das Zeichen, sondern das übertragbare Geheimnis an sich.
4. Passkeys lösen diese Punkte gleichzeitig
Bei Passkeys gibt es kein übertragbares Geheimnis. Der private Schlüssel verlässt das Gerät nicht, und der öffentliche Schlüssel beim Dienst ist für Angreifer wertlos. Selbst ein komplettes Datenleck auf Serverseite gibt niemandem Zugang zu deinem Konto.
Wie funktioniert die Anmeldung technisch?
Hinter Passkeys steckt ein einfaches, aber wirkungsvolles Prinzip: das Challenge-Response-Verfahren.
- Der Dienst schickt deinem Gerät eine zufällige Aufgabe (Challenge).
- Dein Gerät signiert diese Aufgabe mit dem privaten Schlüssel.
- Die Signatur geht zurück an den Dienst.
- Der Dienst prüft die Signatur mit dem hinterlegten öffentlichen Schlüssel.
Stimmt die Signatur, bist du angemeldet. Der private Schlüssel selbst wird dabei nie übertragen. Da die Challenge jedes Mal neu und zufällig ist, lässt sich eine abgefangene Antwort auch nicht wiederverwenden.
Ein wichtiger Punkt: Ein Passkey ist fest an die Domain gebunden, für die er erstellt wurde. Eine Phishing-Seite unter einer anderen Adresse erhält deshalb gar keine gültige Signatur. Damit fällt eine der häufigsten Angriffsarten praktisch komplett weg.
WebAuthn und FIDO2 – was steckt dahinter?
Passkeys sind keine proprietäre Erfindung eines einzelnen Anbieters, sondern beruhen auf offenen Standards.
FIDO2
FIDO2 ist der übergeordnete Standard der FIDO Alliance für passwortlose Authentifizierung. Er besteht im Wesentlichen aus zwei Teilen: WebAuthn und CTAP.
WebAuthn
WebAuthn (Web Authentication) ist eine vom W3C standardisierte Browser-Schnittstelle. Sie ermöglicht es Webseiten, Schlüsselpaare zu erstellen und Anmeldungen kryptografisch durchzuführen. WebAuthn ist der Teil, der im Browser läuft.
CTAP
CTAP (Client to Authenticator Protocol) regelt die Kommunikation zwischen dem Gerät und einem Authenticator – etwa einem Hardware-Sicherheitsschlüssel oder dem Smartphone. Es sorgt dafür, dass der private Schlüssel sicher im Authenticator bleibt.
Zusammengefasst: WebAuthn spricht mit dem Browser, CTAP spricht mit dem Authenticator, und FIDO2 ist der Rahmen, der beides verbindet. Weil es offene Standards sind, funktionieren Passkeys plattform- und herstellerübergreifend.
Was passiert bei Geräteverlust?
Das ist die häufigste und berechtigte Frage: Wenn der Schlüssel auf dem Gerät liegt, bin ich dann ausgesperrt, sobald das Gerät weg ist?
In der Praxis ist das gut gelöst – über zwei Ansätze:
Synchronisierte Passkeys
Die meisten Passkeys werden heute über die Cloud des jeweiligen Ökosystems synchronisiert, etwa über den Apple-Schlüsselbund, den Google Passwortmanager oder einen unabhängigen Passwortmanager. Verlierst du dein Smartphone, sind deine Passkeys auf deinen anderen angemeldeten Geräten weiterhin verfügbar. Nach dem Einrichten eines neuen Geräts stehen sie dort ebenfalls wieder bereit.
Die Synchronisierung ist dabei Ende-zu-Ende verschlüsselt. Der Anbieter selbst kann die privaten Schlüssel nicht lesen.
Gerätegebundene Passkeys
Manche Passkeys sind bewusst an genau ein Gerät gebunden, zum Beispiel auf einem Hardware-Sicherheitsschlüssel. Diese lassen sich nicht synchronisieren. Hier ist es wichtig, von Anfang an einen zweiten Schlüssel als Backup zu hinterlegen.
Sinnvolle Vorsorge
Unabhängig vom Typ gilt:
- Mehrere Passkeys oder Geräte pro Konto hinterlegen
- Wiederherstellungsoptionen des Dienstes einrichten
- Bei kritischen Konten einen Hardware-Schlüssel als Backup verwenden
So bleibt der Verlust eines einzelnen Geräts ein lösbares Problem und keine Katastrophe.
Passkeys im Alltag einrichten
Das Einrichten ist bewusst einfach gehalten. Bei einem unterstützten Dienst läuft es meist so ab:
- In den Kontoeinstellungen die Option für Passkeys aufrufen.
- Die Erstellung bestätigen – per Fingerabdruck, Gesicht oder PIN.
- Der Passkey wird erstellt und beim Dienst hinterlegt.
Ab dann meldest du dich an, indem du den Anmeldevorgang nur noch biometrisch oder per PIN bestätigst. Kein Tippen, kein Merken, kein Passwortmanager-Copy-Paste mehr.
Viele Dienste erlauben es, Passkeys und Passwörter parallel zu nutzen. Das ist gerade in der Übergangsphase praktisch, in der noch nicht jeder Dienst Passkeys unterstützt.
Wo Passkeys (noch) an Grenzen stoßen
So sinnvoll Passkeys sind, ein paar Punkte sollte man realistisch sehen:
- Nicht jeder Dienst unterstützt sie bereits.
- Der Wechsel zwischen verschiedenen Ökosystemen ist nicht immer reibungslos.
- Gerätegebundene Passkeys erfordern bewusste Backup-Planung.
- Wer ausschließlich ein einziges Gerät nutzt, muss sich um Wiederherstellung kümmern.
Diese Punkte sind aber keine grundsätzlichen Schwächen des Konzepts, sondern eher Folgen einer Technik, die sich noch in der Verbreitung befindet.
Fazit
Passkeys sind kein kurzlebiger Trend, sondern ein durchdachter Nachfolger des Passworts. Sie beseitigen die zentralen Schwächen klassischer Anmeldungen: Es gibt kein übertragbares Geheimnis, Phishing läuft ins Leere, und ein Datenleck auf Serverseite gibt niemandem Zugang zu deinem Konto.
Der entscheidende Punkt ist einfach: Statt ein Geheimnis zu teilen, beweist dein Gerät kryptografisch, dass du es bist. Mit offenen Standards wie WebAuthn und FIDO2 funktioniert das herstellerübergreifend – und mit synchronisierten Passkeys oder einem Hardware-Backup ist selbst der Geräteverlust kein Grund mehr zur Sorge.