Was sind Passkeys? Eine einfache Erklärung für alle
Erklärt wie für IT-Profis: Dein Gerät ist dein Anmeldedatensatz
Stell dir vor, dein Zugangsnachweis ist keine Zeichenkette, sondern ein kryptografischer Beweis, der biometrisch an dein Gerät gebunden ist. Um auf ein System zuzugreifen, authentifizierst du dich einfach auf deinem Gerät. Du kannst diesen Beweis nicht wie ein Passwort verlieren, und niemand kann ihn auf herkömmliche Weise stehlen oder kopieren. Das ist ein Passkey.
Anstelle eines Passworts, das du dir merken musst (ein „geteiltes Geheimnis“, das vergessen oder gestohlen werden kann), ist ein Passkey ein einzigartiger digitaler Nachweis, der in einem sicheren Hardware-Element deines Geräts (Smartphone, Laptop, Tablet) gespeichert ist. Um dich auf einer Website oder in einer App anzumelden, entsperrst du dein Gerät wie gewohnt – mit Gesichtserkennung, Fingerabdruck oder PIN. Dein Gerät bestätigt deine Identität lokal, und dir wird der Zugriff gewährt. Das geheime Element des Passkeys verlässt niemals dein Gerät und wird nie an den Server übermittelt.
Passkeys vs. Passwörter: Der grundlegende Unterschied
Der grundlegende Wandel besteht darin, vom Modell des „geteilten Geheimnisses“ (das Passwort, das sowohl du als auch der Server kennen) zu einem „Private-Key“-Modell überzugehen, bei dem das Geheimnis niemals dein Gerät verlässt. Diese einfache Änderung hat enorme Sicherheitsvorteile für jede Organisation.
|
Merkmal |
Traditionelle Passwörter |
Passkeys |
|
Sicherheitsmodell |
Geteiltes Geheimnis (etwas, das du weißt) |
Public-Key-Kryptografie (etwas, das du besitzt + bist/weißt) |
|
Phishing-Risiko |
Extrem hoch |
Von Natur aus immun |
|
Auswirkungen bei Datenpannen |
Katastrophal (gestohlene Passwort-Hashes) |
Minimal (geleakte öffentliche Schlüssel sind nutzlos) |
|
Stärke |
Benutzerabhängig (oft schwach, wiederverwendet) |
Immer kryptografisch stark und pro Seite einzigartig |
|
Benutzererfahrung |
Eingeben, merken, verwalten, zurücksetzen |
Gerät mit Biometrie/PIN entsperren |
|
MFA-Anforderung |
Separater Schritt (Authenticator-App, SMS) |
Standardmäßig integriert |
Wie Public-Key-Kryptografie das Ganze ermöglicht
Wenn du einen Passkey für einen Dienst erstellst, generiert dein Gerät ein einzigartiges Paar mathematisch miteinander verknüpfter Schlüssel:
Ein privater Schlüssel: Dies ist dein geheimer Nachweis. Er wird in der sicheren Hardware deines Geräts gespeichert (z. B. der Secure Enclave auf einem iPhone oder einem TPM-Chip in einem PC). Er verlässt niemals dein Gerät.
Ein öffentlicher Schlüssel: Dies ist der nicht-geheime Teil. Dein Gerät sendet ihn an den Server des Dienstes, der ihn zusammen mit deinem Benutzernamen speichert. Stell ihn dir als öffentliches Schloss vor, das nur dein privater Schlüssel öffnen kann.
Wenn du dich anmelden möchtest, sendet der Server eine einzigartige, einmalige Herausforderung an dein Gerät. Dein Gerät nutzt seinen privaten Schlüssel, um diese Herausforderung kryptografisch zu „signieren“, und sendet die Signatur zurück. Der Server verwendet deinen gespeicherten öffentlichen Schlüssel, um die Signatur zu überprüfen. Wenn sie übereinstimmt, beweist das, dass du das Gerät mit dem richtigen privaten Schlüssel besitzt – und du wirst authentifiziert. Es wird nie ein Passwort über das Internet gesendet.
Warum Passkeys ein Sicherheits-Game-Changer sind
Phishing-sicher durch Design: So stoppen sie Betrüger
Phishing-Angriffe funktionieren, indem Nutzer dazu verleitet werden, ihre Passwörter auf einer gefälschten Website einzugeben. Die Seite des Betrügers sieht identisch aus wie die deiner Bank, aber die URL ist anders. Du gibst deine Zugangsdaten ein – und sie werden kompromittiert.
Passkeys machen diesen Angriffsweg obsolet.
Ein Passkey ist kryptografisch an den tatsächlichen Domainnamen der Website gebunden (z. B. `https://meinebank.de`). Wenn du dich anmelden möchtest, prüfen Browser und Betriebssystem diese Domain. Wenn du dich auf einer gefälschten Seite wie `https://meinebank-sicher-login.net` befindest, funktioniert der Passkey für `meinebank.de` einfach nicht. Der Browser bietet ihn dir gar nicht erst zur Auswahl an. Es gibt kein Geheimnis, das du eintippen musst – und somit auch nichts, das ein Betrüger stehlen könnte.
Eliminierung des Risikos durch Datenpannen
Massive Datenpannen sind eine ständige Bedrohung. Wenn die Datenbank eines Unternehmens gehackt wird, stehlen Angreifer Millionen von Benutzernamen und Passwort-Hashes. Anschließend nutzen sie leistungsstarke Computer, um diese Hashes zu entschlüsseln und die ursprünglichen Passwörter offenzulegen.
Mit Passkeys gefährdet selbst ein Servereinbruch keine Benutzeranmeldedaten. Der Server speichert nur öffentliche Schlüssel. Wenn Hacker die gesamte Datenbank mit öffentlichen Schlüsseln stehlen, haben sie nur eine nutzlose Sammlung digitaler Schlösser ohne die dazugehörigen Schlüssel. Sie können den privaten Schlüssel nicht aus dem öffentlichen Schlüssel zurückentwickeln und können ihn nicht zum Einloggen verwenden.
Das Ende schwacher und wiederverwendeter Passwörter
Die größte Schwachstelle in der digitalen Sicherheit ist das menschliche Verhalten. Benutzer wählen einfache, leicht zu merkende Passwörter wie Password123! und verwenden sie bei Dutzenden von Diensten erneut. Ein Datenleck auf einer unbedeutenden Website kann so den Zugang zu wichtigen Firmenkonten ermöglichen.
Passkeys lösen dieses Problem an der Wurzel. Da ein Passkey eine lange, komplexe kryptografische Zeichenfolge ist, die von deinem Gerät generiert wird, ist er immer extrem stark. Und da für jeden einzelnen Dienst ein neues, einzigartiges Schlüsselpaar erstellt wird, ist die Wiederverwendung von Passwörtern vollständig ausgeschlossen. Du erreichst maximale Sicherheit für jedes Konto – ganz automatisch.
Mehr als ein Passwort: Integrierte Multi-Faktor-Authentifizierung (MFA)
MFA erhöht die Sicherheit, indem es mehr als nur ein Passwort erfordert. Es basiert auf der Überprüfung mehrerer „Faktoren“ der Identität:
Etwas, das du weißt: Ein Passwort oder eine PIN.
Etwas, das du besitzt: Dein Smartphone oder ein Hardware-Schlüssel.
Etwas, das du bist: Ein Fingerabdruck oder Gesichtsscan.
Ein Passwort ist nur ein Faktor („Wissen“). Passkeys kombinieren von Natur aus mindestens zwei. Um einen Passkey zu verwenden, benötigst du das Gerät, auf dem er gespeichert ist (etwas, das du besitzt) und musst es mit deiner PIN (etwas, das du weißt) oder Biometrie (etwas, das du bist) entsperren. Jeder Login mit einem Passkey ist somit automatisch ein starker, multifaktorieller Login. Für Unternehmen sind integrierte Plattformen in diesem Zusammenhang essenziell.
Hideez, zum Beispiel, kombiniert den FIDO2-Standard mit einem zentralen Verwaltungsserver, sodass IT-Teams passwortlose, integrierte MFA unternehmensweit durchsetzen können – von Arbeitsstationen bis hin zu Cloud-Anwendungen – und somit einstmals komplexe Implementierungen vereinfachen.
So erstellen und verwenden Sie Ihren ersten Passkey
Schritt für Schritt: Einen Passkey auf einer unterstützten Seite erstellen
Einen Passkey zu erstellen ist oft einfacher als ein Passwort. So läuft es in der Regel auf Websites wie Google, PayPal oder eBay ab:
1. Navigieren Sie zu den Sicherheitseinstellungen Ihres Kontos.
2. Suchen Sie nach der Option „Passkey erstellen“ oder „Passkey hinzufügen“.
3. Die Website zeigt eine Aufforderung Ihres Betriebssystems an (z. B. Windows Hello, Apples Face ID/Touch ID oder der Sperrbildschirm von Android).
4. Authentifizieren Sie sich mit Gesicht, Fingerabdruck oder der Geräte-PIN, genau wie beim Entsperren Ihres Geräts.
5. Der Vorgang ist abgeschlossen. Ihr Gerät generiert das Schlüsselpaar, sendet den öffentlichen Schlüssel an die Website und speichert den Passkey lokal.
Nahtloses Einloggen: Anmeldung auf demselben Gerät
Hier zeigt sich der Wandel im Nutzungserlebnis. Beim nächsten Besuch der Website auf demselben Gerät:
Geben Sie Ihren Benutzernamen oder Ihre E-Mail-Adresse ein.
Die Seite erkennt, dass Sie einen Passkey besitzen, und fordert Sie automatisch zur Nutzung auf.
Authentifizieren Sie sich mit Gesicht, Fingerabdruck oder PIN.
Sie sind sofort eingeloggt – ganz ohne Eingaben oder Passwort-Manager.
Mit dem Smartphone am Computer einloggen (QR-Code-Methode)
Was, wenn sich der Passkey auf Ihrem Smartphone befindet, Sie sich aber an einem Laptop anmelden möchten? Der FIDO-Standard bietet dafür eine clevere Lösung namens geräteübergreifende Authentifizierung.
Wählen Sie auf der Anmeldeseite am Computer die Option „Mit einem Passkey von einem anderen Gerät anmelden“.
Ein QR-Code erscheint auf dem Bildschirm.
Scannen Sie den QR-Code mit der Kamera Ihres Smartphones.
Ihr Smartphone fordert Sie auf, die Anmeldung per Biometrie zu bestätigen.
Nach der Bestätigung kommuniziert Ihr Smartphone über Bluetooth sicher mit dem Computer und schließt die Anmeldung ab. Ihr privater Schlüssel verlässt das Gerät dabei nie.
Wo werden Passkeys gespeichert? Verwaltung Ihrer digitalen Schlüssel
Plattforminterne Manager: iCloud-Schlüsselbund, Google und Windows Hello
Die großen Technologieunternehmen haben die Verwaltung von Passkeys direkt in ihre Ökosysteme integriert.
Apples iCloud-Schlüsselbund: Passkeys, die auf einem iPhone, iPad oder Mac erstellt werden, werden automatisch über iCloud synchronisiert und stehen auf allen vertrauenswürdigen Apple-Geräten zur Verfügung.
Google Password Manager: Passkeys, die auf Android oder in Chrome erstellt werden, werden im Google-Konto gespeichert und über alle Android-Geräte und Computer, auf denen Sie in Chrome angemeldet sind, synchronisiert.
- Windows Hello: Windows 10 und 11 ermöglichen die Erstellung von Passkeys, die mit dem Gerät verknüpft und über die Windows Hello-PIN oder biometrische Merkmale geschützt sind.
Drittanbieter-Passwortmanager für plattformübergreifende Freiheit
Für Nutzer, die sich außerhalb eines einzigen Ökosystems bewegen (z. B. iPhone mit Windows-PC), bieten Drittanbieter zunehmend Unterstützung für Passkeys. Diese Dienste ermöglichen eine konsistente, plattformunabhängige Speicherung und Synchronisierung Ihrer Passkeys auf allen Geräten.
Synchronisierte vs. gerätegebundene Passkeys: Komfort vs. maximale Sicherheit
Es gibt zwei Haupttypen von Passkeys:
Synchronisierte Passkeys (mehrere Geräte): Diese sind bei Verbrauchern am häufigsten. Sie werden von Apple, Google oder einem Passwortmanager gespeichert und über Ihre Geräte hinweg synchronisiert. Sie bieten hohen Komfort sowie integrierte Backup- und Wiederherstellungsfunktionen über Ihr Konto.
Gerätegebundene Passkeys (einzelnes Gerät): Diese sind an eine bestimmte Hardware gebunden, etwa den TPM-Chip eines PCs oder einen speziellen Sicherheitsschlüssel. Sie lassen sich weder kopieren noch übertragen und bieten das höchste Maß an Sicherheit – selbst wenn Ihr gesamtes Cloud-Konto kompromittiert wird. Dies ist der Standard in hochsicheren Unternehmensumgebungen.
Geräte- und Browserkompatibilität: Was Sie brauchen, um zu starten
Unterstützte Betriebssysteme
Passkey-Unterstützung ist in alle modernen Betriebssysteme integriert:
iOS 16 und neuer
iPadOS 16 und neuer
macOS Ventura und neuer
Android 9 und neuer
Windows 10 (1903) und neuer
Unterstützte Webbrowser
Die neuesten Versionen aller großen Browser unterstützen den für Passkeys erforderlichen WebAuthn-Standard:
Chrome
Safari
Edge
Firefox
Die Rolle von Hardware-Sicherheitsschlüsseln
Für höchste Sicherheit und Portabilität dienen Hardware-Sicherheitsschlüssel (z. B. FIDO2-kompatible Geräte) als gerätegebundene Passkeys. Sie speichern Ihre privaten Schlüssel physisch und ermöglichen phishingsichere Multi-Faktor-Authentifizierung, die auf jedem kompatiblen Computer nutzbar ist.
Welche Apps und Websites unterstützen Passkeys?
Große Tech-Plattformen treiben die Einführung voran
Die Akzeptanz wächst täglich, und fast alle großen Technologieunternehmen unterstützen mittlerweile Passkeys für ihre Nutzerkonten:
Google
Apple
Microsoft
PayPal & eBay
Amazon
TikTok
Und viele mehr...
Wie Sie weitere Passkey-kompatible Dienste finden
Es ist nicht leicht, den Überblick zu behalten. Ressourcen wie unsere Liste unterstützter Webdienste bieten eine aktuelle Übersicht über Websites und Apps mit Passkey-Unterstützung – ideal, um Ihre passwortlosen Optionen zu entdecken.
Häufige Fragen und Bedenken zu Passkeys (FAQ)
Was passiert, wenn ich mein Smartphone verliere? Der Wiederherstellungsprozess erklärt
Das ist eine häufige Sorge, aber die Wiederherstellung ist oft einfacher als bei Passwörtern. Da Passkeys synchronisiert werden, können Sie auf Ihre Konten auch über Ihr Tablet oder Ihren Laptop zugreifen. Wenn Sie alle Geräte verlieren, greifen Sie auf die Wiederherstellungsmethoden Ihres Cloud-Kontos (Apple-ID, Google-Konto) zurück.
In Unternehmensumgebungen ist dieser Prozess gesteuert, nicht dem Zufall überlassen. Plattformen wie Hideez stellen Administratoren ein zentrales Dashboard zur Verfügung, um sichere, richtliniengesteuerte Wiederherstellungsprozesse umzusetzen. Dadurch kann ein verlorenes Gerät schnell ersetzt werden – ohne Sicherheitsrisiken und mit kontinuierlicher Produktivität.
Kann ich mein altes Passwort weiterhin verwenden?
Ja. In absehbarer Zeit werden fast alle Dienste, die Passkeys unterstützen, weiterhin Passwörter als Rückfalloption anbieten. So ist ein schrittweiser Umstieg möglich, und Nutzer mit älteren Geräten werden nicht ausgeschlossen.
Werden meine biometrischen Daten (Gesicht/Fingerabdruck) an den Server gesendet?
Auf keinen Fall. Ihre biometrischen Daten verlassen nie Ihr Gerät. Sie werden lokal im sicheren Hardwarebereich Ihres Smartphones oder Computers verarbeitet. Ihre einzige Funktion besteht darin, Ihre Identität zu bestätigen und den privaten Schlüssel zu „entsperren“. Der Server erfährt nicht, ob Sie sich mit Gesicht, Fingerabdruck oder PIN angemeldet haben.
Kann ich Passkeys auf einem gemeinsam genutzten oder öffentlichen Computer verwenden?
Ja – und es ist viel sicherer als ein Passwort. Verwenden Sie die oben beschriebene QR-Code-Methode. Ihr Passkey bleibt auf Ihrem Smartphone gespeichert, und keine Zugangsdaten werden auf dem öffentlichen Gerät hinterlegt.
Herausforderungen und aktuelle Grenzen einer passwortlosen Welt
So revolutionär die Technologie ist – der Übergang geschieht nicht über Nacht.
Langsame, flächendeckende Einführung: Die größte Hürde ist Zeit. Millionen Websites und Anwendungen müssen ihre Systeme für den FIDO2-Standard aktualisieren. Während die großen Anbieter schon dabei sind, wird es Jahre dauern, bis alle Dienste mitziehen.
„Walled Garden“-Problem: Apple vs. Google vs. Microsoft: Die Interoperabilität hat sich deutlich verbessert, aber es gibt weiterhin Reibungspunkte zwischen den Ökosystemen. Hier schaffen Identitätslösungen für Unternehmen großen Mehrwert. Eine Plattform wie Hideez abstrahiert diese Komplexität. Durch kompatible Hardware-Schlüssel und einen zentralen Server erhalten Unternehmen eine einheitliche Lösung für alle Nutzer – unabhängig vom verwendeten Gerät oder Ökosystem.
Nutzeraufklärung und alte Gewohnheiten: Seit über 30 Jahren lernen wir, Passwörter zu erstellen, zu merken und einzutippen. Der Wandel zu einem Modell, in dem man sich kein Geheimnis mehr merken muss, ist eine Herausforderung. Die Nutzer müssen der Technologie vertrauen und lernen, mit digitalen Schlüsseln umzugehen.
Hideez bietet eine vollständige Lösung für passwortlose Sicherheit, indem es FIDO2-Hardware-Schlüssel mit einer zentralen Verwaltungsplattform kombiniert – zum Schutz Ihrer Endgeräte und zur Vereinfachung der Compliance.
Bereit, Ihr größtes Sicherheitsrisiko zu beseitigen? Vereinbaren Sie eine Demo mit unseren Experten und erfahren Sie, wie Hideez Ihren Umstieg in die passwortlose Zukunft absichert.
