Estimated reading time: 5 Minuten
Was sind Passkeys?
Passkeys sind eine neue, sichere und benutzerfreundliche Methode, sich bei Online-Diensten anzumelden – ohne ein Passwort einzugeben.
Anstatt ein Passwort zu merken oder in einem Passwortmanager zu speichern, nutzt du einen kryptografischen Schlüssel, der an dein Gerät gebunden ist.
Ein Passkey besteht aus zwei Teilen:
- einem öffentlichen Schlüssel, der auf dem Server des Anbieters gespeichert wird, und
- einem privaten Schlüssel, der nur auf deinem Gerät liegt (z. B. Smartphone, Laptop oder Tablet).
Bei jeder Anmeldung beweist dein Gerät mit dem privaten Schlüssel, dass du der rechtmäßige Nutzer bist – ohne ihn jemals zu übertragen oder sichtbar zu machen.
Das bedeutet:
👉 Kein Passwort kann mehr gestohlen, erraten oder durch Phishing abgefangen werden.
Woher kommen Passkeys?
Die Idee der Passkeys stammt von der FIDO-Allianz (Fast IDentity Online) – einem Zusammenschluss großer Tech-Unternehmen wie Apple, Google, Microsoft, Amazon und Meta.
Ihr Ziel: Die Passwortabhängigkeit des Internets beenden.
Die zugrundeliegenden Technologien heißen FIDO2 und WebAuthn (Web Authentication API).
Diese Standards wurden gemeinsam mit dem W3C (World Wide Web Consortium) entwickelt und sorgen dafür, dass Passkeys plattformübergreifend funktionieren – also auf Windows, Android, iOS, macOS und im Browser.
FIDO2 und WebAuthn sind inzwischen offene Standards, die auch von vielen Sicherheitslösungen, Cloud-Diensten und Browserherstellern unterstützt werden.
Wie funktionieren Passkeys technisch?
Die Funktionsweise ist überraschend elegant und sicher:
1. Registrierung
- Du meldest dich einmal bei einem Dienst an (z. B. Google, Dropbox, PayPal).
- Anstatt eines Passworts wird ein Passkey-Paar erzeugt.
- Der öffentliche Schlüssel wird beim Anbieter gespeichert.
- Der private Schlüssel bleibt sicher in einem Hardware-Modul auf deinem Gerät (z. B. Secure Enclave bei Apple oder TPM bei Windows).
2. Anmeldung
- Der Dienst sendet eine Challenge – eine Art kryptografische Zufallsanfrage – an dein Gerät.
- Dein Gerät signiert diese Challenge mit deinem privaten Schlüssel.
- Die Signatur wird zurückgeschickt, und der Server überprüft sie mit dem öffentlichen Schlüssel.
- Wenn alles passt, bist du eingeloggt – ohne Passwort.
3. Authentifizierungsmethoden
Die Signatur kann über verschiedene biometrische oder lokale Methoden freigegeben werden:
- Fingerabdruck (Touch ID, Windows Hello, Android Fingerprint)
- Gesichtserkennung (Face ID, Windows Hello Face)
- PIN oder Geräte-PIN
Sicherheit durch Design
Passkeys sind von Grund auf sicherer als Passwörter.
Hier ein direkter Vergleich:
| Risiko | Klassisches Passwort | Passkey |
|---|---|---|
| Phishing | Sehr hoch | Nahezu unmöglich |
| Datenleaks | Häufig | Keine sensiblen Daten auf Server |
| Wiederverwendung | Sehr häufig | Nicht möglich |
| Bruteforce-Angriffe | Möglich | Sinnlos (kein Passwort-Hash) |
| Benutzerkomfort | Niedrig | Hoch (biometrisch, 1 Klick) |
Der entscheidende Vorteil:
Ein Passkey funktioniert nur mit der Domain, für die er erstellt wurde. Selbst wenn ein Angreifer eine täuschend echte Phishing-Seite erstellt, kann dein Gerät den Passkey nicht verwenden, da die Domain nicht übereinstimmt.
Beispiel aus der Praxis
Du meldest dich bei Google auf deinem Laptop an.
Statt dein Passwort einzugeben, erscheint ein Hinweis: „Anmeldung mit Passkey bestätigen.“
Du bestätigst die Anmeldung auf deinem Smartphone mit Fingerabdruck – fertig.
Dein Smartphone überträgt nie ein Passwort, sondern nur eine digitale Signatur.
Das funktioniert, weil dein Google-Konto mit deinem privaten Schlüssel auf dem Gerät verknüpft ist.
Geräteübergreifende Nutzung
Ein großes Thema war bisher:
„Was, wenn mein Gerät verloren geht?“
Hier kommt die Synchronisation über Cloud-Dienste ins Spiel:
- Apple nutzt den iCloud-Schlüsselbund,
- Google verwendet den Google Password Manager,
- Microsoft speichert Passkeys über das Microsoft-Konto.
So bleiben deine Passkeys verschlüsselt synchronisiert, können auf neuen Geräten wiederhergestellt und über Sicherheitsmechanismen (z. B. Zwei-Faktor-Authentifizierung) geschützt werden.
Integration in bestehende Systeme
Immer mehr Dienste und Plattformen unterstützen Passkeys:
- Apple, Google und Microsoft bieten systemweiten Login per Passkey
- PayPal, eBay, TikTok, BestBuy, GitHub und viele mehr folgen
- Passwortmanager wie 1Password, Dashlane und Bitwarden integrieren Passkey-Unterstützung
Für Entwickler gibt es APIs, SDKs und Open-Source-Projekte, um Passkeys in eigene Anwendungen einzubinden:
- WebAuthn.io – Testplattform für Passkeys
- FIDO2 Server Libraries (Python, PHP, Node.js)
- Yubico WebAuthn Starter Kits
Die Zukunft ohne Passwörter
Die Einführung von Passkeys ist kein kurzfristiger Trend, sondern eine langfristige Sicherheitsrevolution.
Während heute noch häufig beides – Passwort und Passkey – parallel angeboten wird, werden Passkeys in den kommenden Jahren zum Standard.
Sie sind:
- sicherer
- benutzerfreundlicher
- phishing-resistent
- und leicht zu integrieren
Für Unternehmen bedeutet das: weniger Supportaufwand für vergessene Passwörter, weniger Sicherheitsrisiken und ein besseres Nutzererlebnis.
Fazit
Passkeys sind die nächste Evolutionsstufe der Authentifizierung.
Sie lösen viele Probleme klassischer Passwörter, indem sie Sicherheit und Komfort vereinen.
Dank FIDO2, WebAuthn und der Unterstützung durch große Tech-Unternehmen wird das Internet bald passwortfrei – und das ist ein großer Schritt in Richtung mehr Sicherheit und Nutzerfreundlichkeit.
Kurz gesagt:
- Passkeys = öffentlich/privates Schlüsselpaar statt Passwort
- Funktioniert über biometrische oder Geräteauthentifizierung
- Plattformübergreifend (Apple, Google, Microsoft)
- Schutz vor Phishing, Leaks & Passwortdiebstahl
- Zukunft der sicheren Anmeldung im Web
Sei der Erste, der das kommentiert
Kommentare sind geschlossen, allerdings sind Trackbacks und Pingbacks möglich.