Passwörter sind eine Zumutung.

Das muss man einfach mal so sagen.

Seit Jahrzehnten erzählen wir Menschen, sie sollen sich für jeden Dienst ein langes, einzigartiges, komplexes Passwort merken. Großbuchstaben, Kleinbuchstaben, Zahlen, Sonderzeichen, bitte nicht wiederverwenden, bitte regelmäßig ändern, bitte nicht aufschreiben, bitte nicht vergessen, bitte nicht Sommer2024!, bitte nicht den Namen des Hundes, bitte nicht „Passwort123“, bitte nicht verzweifeln.

Und dann wundern wir uns, dass überall dieselben drei Passwörter benutzt werden.

Überraschung.

Menschen sind keine Passwort-Tresore mit Puls.

Sie sind müde. Sie haben Arbeit, Kinder, Termine, Apps, Steuerkram, Lieferdienste, Streamingkonten, Banking, Krankenkasse, Kundenportal, Vereinsverwaltung, Newsletter, Smart-TV, WLAN-Gästezugang und irgendein Portal, das man einmal im Jahr braucht und dessen Passwort exakt in dem Moment verschwunden ist, in dem man dringend eine PDF herunterladen muss.

Passwörter waren lange das kleinere Übel.

Aber gut waren sie nie.

Jetzt kommen Passkeys.

Und Passkeys versprechen etwas, das fast zu schön klingt, um nicht direkt misstrauisch zu werden:

Einloggen ohne Passwort.

Sicherer.

Einfacher.

Phishing-resistenter.

Mit Fingerabdruck, Gesichtserkennung, PIN oder Gerätesperre.

Klingt nach Marketing.

Ist aber tatsächlich technisch spannend.

Und ausnahmsweise nicht nur alter Kram mit neuem Namen und mehr „Experience“.

Inhaltsverzeichnis

  1. Warum Passwörter nerven
  2. Was ist ein Passkey?
  3. Wie funktioniert Public-Key-Kryptografie?
  4. Was passiert beim Registrieren?
  5. Was passiert beim Einloggen?
  6. Warum Passkeys gegen Phishing helfen
  7. Passkeys und Biometrie: Wird mein Fingerabdruck verschickt?
  8. Synchronisierte und gerätegebundene Passkeys
  9. Was passiert, wenn das Handy weg ist?
  10. Passkeys vs. 2FA
  11. Wo es noch hakt
  12. Praktische Tipps für den Alltag
  13. Fazit

1. Warum Passwörter nerven

Passwörter haben ein grundsätzliches Problem:

Sie müssen gleichzeitig leicht genug sein, damit Menschen sie nutzen können, und schwer genug, damit Angreifer sie nicht erraten oder knacken können.

Das ist ein schlechter Deal.

Für alle.

Nimmt man ein einfaches Passwort, ist es unsicher.

Nimmt man ein starkes Passwort, kann es sich kein normaler Mensch merken.

Nimmt man für jeden Dienst ein eigenes starkes Passwort, braucht man einen Passwortmanager.

Nimmt man keinen Passwortmanager, landet man irgendwann bei Varianten wie:

Sommer2024!
Sommer2025!
Sommer2025!!
Sommer2025!!Neu

Sehr sicher.

Wenn der Angreifer ein Praktikant mit Augenbinde ist.

Dazu kommen Datenlecks.

Passwörter werden auf Servern gespeichert. Hoffentlich nicht im Klartext. Hoffentlich ordentlich gehasht. Hoffentlich mit Salt. Hoffentlich nicht mit irgendeinem Verfahren aus der digitalen Bronzezeit.

Hoffentlich.

Das Wort „hoffentlich“ ist in der IT immer ein Warnschild mit freundlicher Schriftart.

Wenn ein Dienst gehackt wird und Passwortdaten abfließen, können Angreifer versuchen, diese Passwörter zu knacken. Wenn Nutzer dasselbe Passwort bei mehreren Diensten verwenden, wird es richtig hässlich.

Dann wird aus einem Leak bei Dienst A plötzlich ein Problem bei Dienst B, C und D.

Weil Menschen Passwörter wiederverwenden.

Natürlich tun sie das.

Nicht weil sie dumm sind.

Sondern weil das System dumm ist.

Man hat Menschen eine Aufgabe gegeben, die Menschen schlecht können, und ihnen danach erklärt, sie seien schuld, wenn es schiefgeht.

Klassiker.

2. Was ist ein Passkey?

Ein Passkey ist ein moderner Anmeldeschlüssel.

Nicht im Sinne von: Noch ein Passwort, nur hübscher.

Sondern wirklich anders.

Bei einem Passkey wird kein gemeinsames Geheimnis zwischen dir und dem Dienst ausgetauscht. Es gibt also kein Passwort, das du eintippst und das irgendwie überprüft werden muss.

Stattdessen arbeitet ein Passkey mit einem Schlüsselpaar:

  • einem privaten Schlüssel
  • einem öffentlichen Schlüssel

Der private Schlüssel bleibt bei dir.

Auf deinem Gerät.

Im sicheren Speicher.

Der öffentliche Schlüssel geht zum Dienst.

Der darf öffentlich sein. Deshalb heißt er so. Verrückt, ich weiß.

Wenn du dich einloggst, beweist dein Gerät mit dem privaten Schlüssel, dass es zu dem öffentlichen Schlüssel passt. Der private Schlüssel selbst wird dabei nicht verschickt.

Das ist der wichtige Teil.

Bei Passwörtern lautet das Prinzip:

Ich sage dir mein Geheimnis. Bitte geh gut damit um.

Bei Passkeys lautet das Prinzip:

Ich beweise dir, dass ich mein Geheimnis habe, ohne es dir zu geben.

Das ist technisch deutlich eleganter.

Und menschlich auch.

Denn Menschen müssen sich nichts merken.

Sie entsperren nur ihr Gerät.

Mit Fingerabdruck, Gesichtserkennung, PIN, Passwort oder Hardware-Sicherheitsschlüssel.

Also mit etwas, das sie ohnehin nutzen.

3. Wie funktioniert Public-Key-Kryptografie?

Public-Key-Kryptografie klingt erst mal nach Matheunterricht mit Servergeruch.

Muss aber nicht weh tun.

Stell dir ein Schloss vor.

Der öffentliche Schlüssel ist wie ein offenes Schloss, das du jedem geben kannst.

Jeder kann etwas damit verschließen.

Aber nur du hast den privaten Schlüssel, um es wieder zu öffnen.

Bei Signaturen läuft es etwas anders, aber die Idee bleibt ähnlich: Mit dem privaten Schlüssel kann dein Gerät etwas unterschreiben. Mit dem öffentlichen Schlüssel kann der Dienst prüfen, ob diese Unterschrift echt ist.

Wichtig:

Der private Schlüssel verlässt dein Gerät nicht.

Das ist der große Unterschied zum Passwort.

Ein Passwort wird irgendwann eingegeben, übertragen, verarbeitet, verglichen, gespeichert oder zumindest als Hash behandelt.

Ein privater Passkey-Schlüssel bleibt lokal.

Der Dienst bekommt nur den öffentlichen Teil.

Wenn der Dienst gehackt wird, liegt dort kein Passwort herum, das Angreifer bei anderen Diensten ausprobieren können.

Das heißt nicht, dass plötzlich alles perfekt ist.

Aber es entfernt eine riesige, seit Jahrzehnten brennende Mülltonne aus dem Login-Prozess.

Und das ist schon mal was.

4. Was passiert beim Registrieren?

Wenn du bei einem Dienst einen Passkey anlegst, passiert vereinfacht Folgendes:

Der Dienst sagt deinem Gerät:

Erstelle bitte einen neuen Schlüssel für diese Website.

Dein Gerät erzeugt ein neues Schlüsselpaar.

Der private Schlüssel bleibt auf deinem Gerät oder in deinem Passkey-Speicher.

Der öffentliche Schlüssel wird an den Dienst geschickt.

Der Dienst speichert:

  • deinen Account
  • den öffentlichen Schlüssel
  • einige technische Informationen

Was er nicht speichert:

  • dein Passwort
  • deinen privaten Schlüssel
  • deinen Fingerabdruck
  • dein Gesicht

Und das ist gut.

Beim nächsten Login fragt der Dienst nicht mehr:

Wie lautet dein Passwort?

Sondern eher:

Beweise mir, dass du den passenden privaten Schlüssel hast.

Dein Gerät fragt dich dann lokal:

Willst du dich hier anmelden?

Du bestätigst mit Fingerabdruck, Face Unlock, PIN oder Gerätesperre.

Dein Gerät signiert eine Herausforderung.

Der Dienst prüft die Signatur mit dem öffentlichen Schlüssel.

Passt.

Du bist drin.

Kein Passwort.

Kein Eintippen.

Kein „Ihr Passwort muss mindestens ein Sonderzeichen enthalten, aber nicht dieses Sonderzeichen, weil unser System aus 2009 Angst hat“.

Schön.

Fast ungewohnt.

5. Was passiert beim Einloggen?

Beim Einloggen bekommt dein Gerät eine sogenannte Challenge.

Das ist eine zufällige Aufgabe, die nur für diesen Login gilt.

Der Server sagt also nicht:

Sag mir dein Geheimnis.

Sondern:

Signiere bitte diese zufällige Nachricht mit deinem privaten Schlüssel.

Dein Gerät macht das.

Aber nur, wenn du die Anmeldung bestätigst.

Dann schickt es die Signatur zurück.

Der Server prüft:

  • Ist die Signatur gültig?
  • Gehört sie zum gespeicherten öffentlichen Schlüssel?
  • Passt sie zur richtigen Domain?
  • Ist die Challenge frisch?

Wenn ja: Login erfolgreich.

Wenn nein: Pech.

Oder Angriff.

Oder kaputte Implementierung.

Oder wieder dieser eine Browser, der alles anders macht, weil Standardisierung offenbar nur eine lose Empfehlung ist.

Das Schöne an diesem Verfahren: Selbst wenn jemand die Kommunikation mitschneidet, kann er damit nicht einfach später einloggen. Die Challenge ist nur einmal gültig.

Und selbst wenn jemand den öffentlichen Schlüssel kennt, kann er daraus nicht den privaten Schlüssel bauen.

Das ist genau der Sinn.

6. Warum Passkeys gegen Phishing helfen

Phishing funktioniert bei Passwörtern erschreckend gut.

Ein Angreifer baut eine gefälschte Login-Seite.

Sie sieht aus wie die echte.

Du gibst dein Passwort ein.

Vielleicht auch noch deinen 2FA-Code.

Der Angreifer nimmt beides und loggt sich auf der echten Seite ein.

Das ist kein theoretisches Problem.

Das passiert jeden Tag.

Mit Passkeys wird das deutlich schwerer.

Denn Passkeys sind an die Domain gebunden.

Ein Passkey für example.com funktioniert nicht einfach auf examp1e.comexample-login.com oder bitte-hier-einloggen-wirklich-echt.net.

Der Browser und das Betriebssystem prüfen, für welche Website der Passkey gilt.

Eine Fake-Seite kann dich nicht einfach dazu bringen, deinen Passkey für die echte Seite herauszugeben.

Denn dein privater Schlüssel wird sowieso nicht herausgegeben.

Das ist der Punkt.

Bei Passwörtern kann ein Mensch ausgetrickst werden.

Bei Passkeys muss der Angreifer das Gerät und die Domainbindung austricksen.

Das ist deutlich schwieriger.

Nicht unmöglich, weil in der IT „unmöglich“ ungefähr so gefährlich ist wie „das passiert nie“.

Aber schwieriger.

Viel schwieriger.

Und das ist ein riesiger Fortschritt.

Phishing lebt davon, dass Menschen in Stress, Müdigkeit oder Routine Dinge eintippen.

Passkeys nehmen genau dieses Eintippen aus dem Spiel.

Das ist gut.

Denn der Mensch ist in Sicherheitsfragen oft nicht das Problem, weil er doof ist.

Der Mensch ist das Problem, weil Systeme ihn ständig zu Dingen zwingen, die er unter schlechten Bedingungen richtig machen soll.

Und dann ist es plötzlich seine Schuld.

Natürlich.

7. Passkeys und Biometrie: Wird mein Fingerabdruck verschickt?

Eine häufige Sorge:

Wenn ich mich mit Fingerabdruck oder Gesicht anmelde, bekommt dann der Dienst meinen Fingerabdruck oder mein Gesicht?

Nein.

Sollte er jedenfalls nicht.

Biometrie entsperrt lokal dein Gerät oder deinen Passwort-/Passkey-Speicher.

Der Dienst bekommt nicht deinen Fingerabdruck.

Er bekommt nicht dein Gesicht.

Er bekommt nur die kryptografische Antwort, die beweist, dass dein Gerät den passenden privaten Schlüssel nutzen durfte.

Also:

Finger auf Sensor.

Gerät sagt lokal: passt.

Privater Schlüssel darf verwendet werden.

Signatur wird erstellt.

Dienst prüft Signatur.

Fertig.

Das ist ein wichtiger Unterschied.

Der Fingerabdruck ist nicht dein Passwort.

Er ist eher der lokale Türöffner zum Schlüssel.

Wenn jemand deinen Fingerabdruck nicht mag, kann er meist auch PIN oder Gerätesperre verwenden, je nach System.

Passkeys sind also nicht automatisch Biometriepflicht.

Biometrie ist nur eine bequeme Methode, lokal zu bestätigen:

Ja, ich bin gerade wirklich am Gerät und will mich anmelden.

Und natürlich gilt:

Gerätesicherheit bleibt wichtig.

Wenn dein Handy mit 1234 entsperrt wird, ist das kein Passkey-Problem.

Das ist ein Du-hast-deinen-digitalen-Haustürschlüssel-unter-die-Fußmatte-gelegt-Problem.

8. Synchronisierte und gerätegebundene Passkeys

Jetzt wird es etwas praktischer.

Es gibt grob zwei Arten von Passkeys:

  • synchronisierte Passkeys
  • gerätegebundene Passkeys

Synchronisierte Passkeys werden über ein Ökosystem verteilt.

Zum Beispiel über Apple iCloud Keychain, Google Password Manager oder andere Passwortmanager mit Passkey-Unterstützung (Bitwarden ftw).

Der Vorteil:

Du legst einen Passkey auf dem Handy an und kannst ihn später auch auf deinem Laptop nutzen, sofern alles sauber synchronisiert ist.

Bequem.

Sehr bequem.

Und Bequemlichkeit ist in Sicherheit immer gleichzeitig Segen und Augenbrauenheber.

Gerätegebundene Passkeys bleiben auf einem bestimmten Gerät oder Hardware-Sicherheitsschlüssel.

Zum Beispiel auf einem YubiKey oder einem anderen FIDO2-Security-Key.

Der Vorteil:

Der Schlüssel ist nicht einfach über Cloud-Sync verteilt.

Der Nachteil:

Wenn du ihn verlierst, hast du ein Problem.

Deshalb sollte man bei wichtigen Accounts mehrere Anmeldemöglichkeiten hinterlegen.

Ein Hardware-Key als Backup.

Ein zweites Gerät.

Wiederherstellungscodes.

Irgendetwas.

Denn Sicherheit ohne Wiederherstellung ist wie ein Tresor, dessen Schlüssel man in den Tresor legt.

Technisch konsequent.

Praktisch dämlich.

9. Was passiert, wenn das Handy weg ist?

Die wichtigste Alltagsfrage:

Was passiert, wenn mein Handy kaputtgeht oder verloren ist?

Gute Frage.

Und genau hier entscheidet sich, ob Passkeys im echten Leben funktionieren oder ob Menschen wieder Zettel schreiben.

Wenn deine Passkeys synchronisiert werden, kannst du sie auf einem neuen Gerät wiederherstellen, sobald du dich in dein Konto einloggst und die Sicherheitsprüfungen bestehst.

Wenn du gerätegebundene Passkeys nutzt, brauchst du Backup-Schlüssel oder andere Wiederherstellungswege.

Viele Dienste bieten zusätzlich Wiederherstellungsmethoden an:

  • Backup-Codes
  • Zweitgerät
  • E-Mail-Wiederherstellung
  • Support-Prozess
  • Hardware-Security-Key

Das ist gut.

Aber es ist auch eine Schwachstelle.

Denn was nützt ein extrem sicherer Passkey, wenn die Account-Wiederherstellung am Ende über eine E-Mail-Adresse läuft, deren Passwort Sommer2025! ist?

Genau.

Sicherheit ist immer nur so stark wie der schwächste Weg zurück ins Konto.

Account-Recovery ist der Hintereingang.

Und Hintereingänge sind in der IT traditionell die Orte, an denen später jemand sagt:

Damit haben wir nicht gerechnet.

Passkeys lösen viel.

Aber sie lösen nicht automatisch schlechte Wiederherstellungsprozesse.

Deshalb gilt:

Für wichtige Accounts mehrere sichere Wiederherstellungswege einrichten.

Nicht nur ein Gerät.

Nicht nur eine Mailadresse.

Nicht nur Hoffnung.

Hoffnung ist kein Backup.

10. Passkeys vs. 2FA

Zwei-Faktor-Authentifizierung ist gut.

Zumindest meistens.

Ein Passwort plus zweiter Faktor ist besser als nur Passwort.

Klassische Varianten:

  • SMS-Code
  • Authenticator-App
  • Push-Bestätigung
  • Hardware-Key

SMS ist besser als nichts, aber nicht ideal. SIM-Swapping, Weiterleitungen und Mobilfunk-Gedöns machen SMS nicht gerade zur Festung.

Authenticator-Apps sind besser.

Hardware-Keys sind sehr gut.

Aber Passkeys gehen einen anderen Weg.

Ein Passkey kann Passwort und zweiten Faktor in einem Verfahren ersetzen.

Warum?

Weil er zwei Dinge kombiniert:

  • Besitz: Du hast das Gerät oder den Schlüssel.
  • lokale Bestätigung: Du entsperrst es mit PIN, Fingerabdruck, Gesicht oder Gerätesperre.

Das ist stark.

Und deutlich bequemer als Passwort plus Code aus einer App, den man natürlich genau dann abtippen muss, wenn die App gerade ein Update, dein Handy wenig Akku und du wenig Geduld hast.

Passkeys sind außerdem phishing-resistenter als viele 2FA-Verfahren.

Ein 6-stelliger Code kann abgegriffen und sofort missbraucht werden.

Ein Passkey signiert für die richtige Domain.

Das ist ein großer Unterschied.

Trotzdem sollte man nicht blind alles abschalten.

Manche Dienste lassen Passkeys zusätzlich zu Passwörtern laufen.

Andere erlauben passwortlose Anmeldung.

Man muss sich pro Dienst anschauen, wie das Sicherheitsmodell aussieht.

Denn „Passkey unterstützt“ heißt nicht automatisch:

Alles perfekt, bitte Gehirn aus.

Es heißt:

Gute Grundlage. Jetzt bitte nicht den Recovery-Prozess mit Tesafilm befestigen.

11. Wo es noch hakt

Passkeys sind gut.

Aber nicht magisch.

Und schon gar nicht überall elegant umgesetzt.

Erstes Problem: Verwirrung.

Viele Nutzer verstehen nicht, wo ihr Passkey liegt.

Im Browser?

Im Betriebssystem?

Im Passwortmanager?

Auf dem Handy?

Im Google-Konto?

In der iCloud?

Auf dem Sicherheitsschlüssel?

Ja.

Vielleicht.

Kommt drauf an.

Sehr hilfreich.

Zweites Problem: Ökosysteme.

Apple, Google, Microsoft und Passwortmanager unterstützen Passkeys, aber die Benutzerführung ist nicht überall gleich. Manchmal ist es wunderbar. Manchmal wirkt es, als hätten drei Teams gleichzeitig am Login gearbeitet und danach nicht mehr miteinander gesprochen.

Drittes Problem: Firmenumgebungen.

Unternehmen lieben kontrollierte Prozesse.

Und Passkeys werfen Fragen auf:

  • Wer verwaltet die Schlüssel?
  • Was passiert bei Geräteverlust?
  • Wie läuft Offboarding?
  • Was ist mit privaten Geräten?
  • Welche Passwortmanager sind erlaubt?
  • Wie werden Hardware-Keys ausgegeben?

Das ist lösbar.

Aber nicht mit einem „Wir machen jetzt mal eben Passkeys“-Meeting und einem PDF voller guter Laune.

Viertes Problem: Fallbacks.

Solange Dienste weiterhin Passwort-Login als einfache Alternative erlauben, bleibt das Passwort ein Einfallstor.

Passkeys sind dann zwar schön, aber der alte Kellereingang steht noch offen.

Fünftes Problem: Gewohnheit.

Menschen sind an Passwörter gewöhnt.

Nicht weil sie gut sind.

Sondern weil Schmerz auch eine Form von Routine werden kann.

12. Praktische Tipps für den Alltag

Wer Passkeys nutzen will, sollte nicht planlos klicken und hoffen, dass die Zukunft schon irgendwie synchronisiert.

Ein paar einfache Regeln helfen.

Erstens: Nutze einen guten Passwortmanager, der Passkeys unterstützt.

Auch wenn Passkeys Passwörter ersetzen können, bleibt ein Passwortmanager nützlich. Für alte Accounts. Für Recovery-Codes. Für Notizen. Für alles, was noch nicht in der Zukunft angekommen ist.

Zweitens: Richte bei wichtigen Accounts mehr als einen Zugang ein.

Also nicht nur ein einziges Handy.

Nutze ein zweites Gerät oder einen Hardware-Sicherheitsschlüssel als Backup.

Drittens: Sichere Recovery-Codes.

Nicht als Screenshot in der Galerie zwischen Urlaubsfotos und Memes.

Nicht in einer Textdatei namens passwoerter_neu_final.txt auf dem Desktop.

Sicher ablegen.

Viertens: Prüfe, welche Fallbacks aktiv sind.

Wenn Passwort-Login weiterhin möglich ist, sollte das Passwort stark und einzigartig bleiben.

Ja, nervig.

Willkommen in der Übergangszeit.

Fünftens: Lass dich nicht von Begriffen blenden.

„Passkey“ auf einer Website kann unterschiedlich umgesetzt sein. Schau dir an, ob du Passwörter deaktivieren kannst, welche Wiederherstellungsmöglichkeiten existieren und ob mehrere Passkeys hinterlegt werden können.

Sechstens: Für sehr wichtige Accounts Hardware-Keys überlegen.

E-Mail, Passwortmanager, Banking, Admin-Zugänge, Cloud-Konten.

Alles, was richtig weh tut, wenn es weg ist.

Denn am Ende hängt an deinem E-Mail-Konto oft dein halbes digitales Leben.

Wer deine Mail kontrolliert, kontrolliert oft deine Passwort-Resets.

Das ist nicht schön.

Aber wahr.

13. Fazit

Passwörter waren nie gut.

Sie waren nur lange das, was wir hatten.

Ein Notbehelf, der zur Gewohnheit wurde.

Ein Sicherheitskonzept, das Menschen zu kleinen Passwortverwaltungsmaschinen machen wollte und sich dann wunderte, dass Menschen lieber Sommer2025! nehmen.

Passkeys sind ein echter Fortschritt.

Nicht, weil sie perfekt sind.

Nicht, weil plötzlich alles sicher ist.

Nicht, weil Big Tech aus reiner Menschenliebe Login-Probleme löst.

Sondern weil sie ein altes Grundproblem entschärfen:

Du musst kein Geheimnis mehr an einen Dienst schicken.

Du musst dir nichts mehr merken.

Du kannst dich anmelden, ohne ein Passwort einzutippen.

Und Phishing wird deutlich schwieriger.

Das ist gut.

Sehr gut sogar.

Natürlich wird es Übergangsprobleme geben.

Natürlich werden manche Dienste es schlecht umsetzen.

Natürlich wird irgendwo ein Portal Passkeys anbieten und daneben einen Recovery-Prozess haben, der aussieht wie ein Gartentor mit Pappschloss.

Natürlich.

Es ist immer noch das Internet.

Aber die Richtung stimmt.

Weg vom Passwort.

Weg vom Eintippen.

Weg von „Bitte wählen Sie ein Passwort mit mindestens acht Zeichen, einem Sonderzeichen, einer Rune und dem Blut eines Systemadministrators“.

Hin zu kryptografischen Schlüsseln, Domainbindung und lokaler Bestätigung.

Das klingt trocken.

Ist aber ziemlich gut.

Passkeys sind vielleicht nicht sexy.

Aber Passwörter sind auch nicht sexy.

Passwörter sind kleine digitale Haftnotizen mit Trauma.

Und wenn wir die endlich loswerden, darf man ruhig kurz dankbar sein.

Nicht euphorisch.

Das wäre verdächtig.

Aber dankbar.

Mit Backup.

Immer mit Backup.