Zurück zum Blog

Passwortlose Authentifizierung

Passkeys: die nächste Stufe der passwortlosen Authentifizierung

27. Februar 2025 · 10 Min. Lesezeit

Passkeys gehören zu den wichtigsten Veränderungen in der Nutzerauthentifizierung der letzten Jahre. Sie ersetzen gemerkte Geheimnisse durch kryptografische Anmeldedaten auf dem Gerät, die an jede Website oder App gebunden sind.

Passkeys illustration

Das mildert viele Kernprobleme von Passwörtern—Phishing, Wiederverwendung, gestohlene Datenbanken—die aus dem geteilten Geheimnis folgen. Passkeys sind eine bessere technische Basis, aber kein Zauber: UX, Wiederherstellung und Ökosysteme entscheiden, ob Menschen sie wirklich nutzen.

Was Passkeys sind

Ein Passkey basiert auf Public-Key-Kryptografie, mit WebAuthn und FIDO-Standards. Ihr Gerät behält einen privaten Schlüssel, während der Dienst nur den zugehörigen öffentlichen Schlüssel speichert.

Beim Login beweist das Gerät den Besitz des privaten Schlüssels, indem es eine Challenge signiert. Der private Schlüssel wird nicht an die Website übertragen wie ein Passwort.

Synchronisierte und gerätegebundene Passkeys

Nicht alle Passkeys verhalten sich gleich. Ein synchronisierter Passkey wird gesichert und über eine Plattform oder einen Passwortmanager verfügbar gemacht, etwa Apple Passwords, Google Password Manager, Windows oder einen kompatiblen Drittanbieter. Das erleichtert Alltag und Gerätewechsel.

Ein gerätegebundener Passkey bleibt auf einem bestimmten Authenticator, etwa einem Hardware-Sicherheitsschlüssel. Das kann für Administrator- und Unternehmensszenarien stärker sein, ist aber weniger verzeihend, wenn das Gerät verloren geht und kein zweiter Authenticator eingerichtet wurde.

Diese Unterscheidung ist für Assurance wichtig. NIST SP 800-63B-4 behandelt synchronisierbare Authenticatoren als nützlich und phishing-resistent im passenden Kontext, aber AAL3 — NISTs höchste Authentication Assurance Level für besonders sensible Zugriffe, bei denen Verifier-Impersonation und Authenticator-Kompromittierung stark abgewehrt werden müssen — verlangt einen nicht exportierbaren privaten Schlüssel. Synchronisierte Passkeys passen deshalb nicht zu jedem Hochsicherheitsfall.

Warum Passkeys besser sind als Passwörter

  • Kein gemeinsames Passwort, das aus einer Datenbank gestohlen werden kann
  • Starker Schutz vor typischem Phishing, das Sie zum Tippen auf einer falschen Seite verleitet, weil die Anmeldedaten an die echte Herkunft gebunden sind
  • Keine langen Geheimnisse zum Merken oder täglichen Eintippen
  • Weniger Druck, dieselben Zugangsdaten überall wiederzuverwenden

Typische Abläufe (was wirklich passiert)

  • Registrierung: Der Dienst bietet an, einen Passkey anzulegen (manchmal nach E-Mail-Verifizierung, manchmal in den Sicherheitseinstellungen). Telefon oder Laptop fragt Face ID, Touch ID, Windows Hello oder eine Geräte-PIN—nicht, um „Ihren Fingerabdruck in die Cloud zu schicken“, sondern um den lokalen Authenticator zu autorisieren. Der erzeugt ein frisches Schlüsselpaar für genau diesen Dienst; nur der öffentliche Schlüssel geht zum Server.
  • Wiederkehrendes Login: ggf. Kennung eingeben, der Dienst sendet eine kryptografische Challenge, Sie bestätigen die lokale Abfrage, das Gerät signiert, der Server prüft die Signatur. Kein Passwort, sofern kein Fallback vorgesehen ist.
  • Neues Gerät oder Browser: synchronisierte Passkeys können erscheinen, sobald Sie sich im Plattform-Tresor (z. B. Apple- oder Google-Passwortmanager) oder einem kompatiblen Drittanbieter anmelden. Ohne Sync braucht es oft ein zweites Gerät, Backup-Codes oder vorübergehend Passwort + MFA—hier entsteht häufig der erste Frust.
  • Fallbacks: Viele Anbieter behalten Passwort, Magic Link oder SMS. Das ist kein „Versagen“ der Passkeys, sondern spiegelt, wie schwierig kontosichere Wiederherstellung ohne neue Betrugspfad ist.

Häufige Missverständnisse

  • „Die Website bekommt meinen Fingerabdruck.“ Nein—Biometriedaten bleiben lokal; der Dienst sieht nur einen kryptografischen Nachweis.
  • „Passkeys machen Phishing unmöglich.“ Sie beseitigen das klassische „Passwort auf einer gefälschten Seite eingeben“ in reinen Passkey-Flows, aber nicht jeden Social-Engineering-Trick und nicht Schadsoftware auf einem kompromittierten Gerät.
  • „Ein Passkey ist nur MFA.“ Ein Passkey kann das Ziel klassischer MFA erfüllen — Nachweis eines Geräts plus lokale Nutzerverifikation — ist aber nicht dasselbe wie Passwort plus sechsstelliger Code. Die kryptografische Antwort ist an die echte Website gebunden.
  • „Ein Passkey öffnet alles.“ Jeder Anbieter erhält eigene Schlüssel gebunden an seine Origin; Bank und E-Mail teilen keine eine Super-Passkey.
  • „Passkeys sind nur Apple.“ Apple trieb die UX voran, aber Google, Microsoft und Passwortmanager setzen dieselben Standards um—Interop ist real, aber noch lückenhaft.
  • „Ich kann meinen Passkey in eine Tabelle kopieren.“ Passkeys sind keine menschenlesbaren Geheimnisse zum Weiterreichen—Absicht, aber fremd für jahrzehntelange Passwortgewohnheiten.

Portabilität wird besser

Ein berechtigter Kritikpunkt früher Passkey-Rollouts war Lock-in: Wenn Passkeys in einem Plattform-Tresor liegen, wie einfach ist der Wechsel? Die FIDO Alliance arbeitet am Credential Exchange Protocol und am Credential Exchange Format, um Credential-Transfer sicherer und interoperabler zu machen.

Das ist wichtig, aber noch nicht überall gelöst. 2026 sollten Nutzer weiterhin prüfen, wo ihre Passkeys gespeichert sind, ob ihr Passwortmanager Passkeys unterstützt und welche Export- oder Wiederherstellungswege existieren, bevor sie sich auf einen einzigen Anbieter verlassen.

Warum die Verbreitung hinter dem Hype zurückbleibt

Standards und Betriebssysteme kamen schneller als das Verständnis vieler Nutzer. Jahrzehntelang war das Passwort „das Konto“; unsichtbare Schlüssel, Cloud-Sync oder herstellerspezifische Dialoge wirken abstrakt, wenn etwas hakt.

Für Unternehmen kostet sauberes WebAuthn (Attestation, Resident Keys, Recovery, Support-Skripte) mehr als ein weiteres Passwortfeld. Kleine Teams stellen es hinten an; Konzerne verlangen oft weiter klassische MFA-Politiken.

  • Zersplitterte UX: Prompts und Formulierungen unterscheiden sich zwischen Android, iOS, Windows und Browsern—Helpdesks merken das.
  • Angst vor Geräteverlust: Ohne klare Backups wirkt „Handy weg“ beängstigender als „Passwort vergessen“, auch wenn es Wege gibt.
  • Plattform-Vertrauen: Manche Nutzer mögen die Idee nicht, dass Schlüssel über Apple, Google oder einen Manager synchronisiert werden—selbst wenn die Konstruktion private Schlüssel fernhält.
  • Halbe Rollouts: Passkey nur in der App, nicht auf der Website (oder umgekehrt)—Nutzer fallen auf Passwörter zurück und glauben, Passkeys „funktionieren nicht“.

Wo Passkeys noch Grenzen haben

  • Noch nicht jeder Dienst unterstützt sie—Nischen-Tools, Self-Hosting, manche Unternehmens-VPNs.
  • Geräteverlust und digitale Nachlassplanung sind schwieriger als ein simpler Passwort-Reset.
  • Geräteübergreifend hängt es weiter an Sync, Hardware-Token oder bewusster Neu-Einrichtung.
  • Über lange Zeit bleiben starke Passwörter auf vielen Konten nötig.

Was das heute für Nutzer bedeutet

Nutzen Sie Passkeys, wenn ein Dienst sie anbietet—vor allem bei wichtigen Konten—, weil sie typisches Passwort-Phishing stark eindämmen. Kombinieren Sie das mit einem Passwortmanager und bekannten Wiederherstellungsoptionen.

Rechnen Sie mit einer gemischten Welt über Jahre: Passkeys für manche Logins, generierte Passwörter woanders, und gelegentlich Frust bei halbfertiger Umsetzung. Diese Unebenheit erklärt die Lücke zwischen Security-Begeisterung und zurückhaltender öffentlicher Wahrnehmung.

Praktische Checkliste

  • Passkeys zuerst für E-Mail, Passwortmanager, Banking, Cloud-Speicher, Entwicklerkonten und häufig angegriffene soziale Konten einrichten.
  • Mindestens zwei Wiederherstellungswege behalten: zweites vertrauenswürdiges Gerät, Hardware-Sicherheitsschlüssel, Backup-Codes oder dokumentierter Recovery-Prozess.
  • Das Passwort nicht löschen, bevor der Dienst eindeutig passkey-only Login unterstützt und die Wiederherstellung verstanden ist.
  • Für Arbeitskonten klären, ob synchronisierte Passkeys, gerätegebundene Sicherheitsschlüssel oder beides gefordert sind.

Passwörter bleiben in der Übergangszeit wichtig

Bis Passkeys überall verfügbar sind, nutzen Sie lange einzigartige Passwörter und setzen Sie gelegentlich unseren Datenleck-Test bei wichtigen Konten ein.