Passkeys als Alternative zu Passwörtern

Stand:
Ein Internet ganz ohne Passwörter und ohne Phishing. Ist das möglich? Passkey ist eine Technologie, mit der das gelingen kann. Wie sie funktioniert und wie Sie sie nutzen können, lesen Sie hier.
3D-Grafik eines Smartphones mit leuchtendem Schlüssel und Fingerabdruck auf dem Display und diversen Login-Symbolen (Schloss, Schild, Schlüssel) herum drapiert
Foto:

ArtemisDiana/AdobeStock

Das Wichtigste in Kürze:

  • Das Passkey-Verfahren gibt es seit einigen Jahren. Es wird aber erst von wenigen Online-Diensten angeboten.
  • Sie benötigen immer ein Gerät oder ein Programm, das Ihre persönlichen Passkeys speichert.
  • Bekommen Fremde Ihre Schlüssel in die Finger, können sie damit in der Regel trotzdem nicht in Ihre Online-Konten einbrechen. Auch deshalb sind Passkeys sicherer als Passwörter.
On

"Melden Sie sich an, um fortzufahren." In Online-Shops, sozialen Netzwerken, beim E-Mail-Postfach – überall brauchen Sie Anmeldedaten, damit die Dienste wissen, dass Sie es sind. Das Passwort ist in den meisten Fällen die einzige Zugangssicherung zu den Online-Accounts. Dabei gibt es mittlerweile ein Verfahren, dass in Puncto Komfort und Sicherheit dem Passwort überlegen ist. Es heißt Passkey, zu Deutsch: Hauptschlüssel. Passkeys sind lange, zufällig generierte Zeichenketten, offen und herstellerunabhängig.

Statt mit einem Passwort loggen Sie sich in Ihren Online-Account per Fingerabdruck, Gesichtsscan oder mit einer PIN ein. Im Hintergrund wird durch das Zusammenspiel mehrerer Komponenten bestätigt, dass Sie wirklich Sie sind. Davon bekommen Sie aber nichts mit. Stark vereinfacht ließe sich sagen: Seite öffnen, Finger auflegen, fertig.

Bevor es so leicht gehen kann, müssen Sie Ihre Passkeys als Login-Möglichkeit aber erst mal einrichten. Dafür muss natürlich der gewünschte Online-Dienst auf seiner Internetseite oder in seiner App das Verfahren anbieten. Eine Liste entsprechender Dienste finden Sie zum Beispiel auf der Internetseite passkeys.directory. Die dort aufgeführten Dienste ermöglichen das Anmelden komplett ohne Passwort. Bekannte Namen sind zum Beispiel Amazon, Apple, Ebay, Google, LinkedIn, Microsoft, Nintendo, PayPal und X. Darüber hinaus gibt es Dienste, die Passkeys lediglich als zusätzlichen Login-Faktor nach Eingabe des Passworts anbieten. Dazu zählen unter anderem Facebook und Instagram.

Welche Vorteile haben Passkeys gegenüber Passwörtern?

Das bisher verbreitete Verfahren zur Anmeldung bei Online-Diensten ist die Kombination aus Benutzername oder E-Mail-Adresse und Passwort. Haben Sie eine Zwei-Faktor-Authentisierung (2FA) aktiviert, benötigen Sie beim Login zusätzlich den zweiten Faktor – zum Beispiel einen Code, der per SMS an Ihr Smartphone verschickt wurde. Ohne diesen zweiten Faktor reicht es Kriminellen schon aus, Ihr Passwort zu erfahren und damit in Ihren Online-Account einzubrechen. Studien zeigen, dass noch immer zu viele Menschen in Deutschland zu schwache Passwörter oder ein und das selbe Passwort für ihre Online-Accounts verwenden. Damit steigt das Risiko für erfolgreiche Hacking-Angriffe um ein Vielfaches.

Mit Passkeys besteht diese Gefahr nicht mehr, denn ein Passwort wird dabei nicht mehr benötigt. Daher spricht man auch häufig vom passwortlosen Login.

Falls Kriminelle Ihre Passkey-Verwaltung in die Finger bekommen sollten, können sie damit nichts anfangen. Denn die Schlüssel alleine funktionieren nicht ohne Ihren Fingerabdruck, Ihr Gesicht oder Ihren PIN-Code (es sei denn, dieser ist leicht zu erraten).

Damit wären künftig auch Angriffe auf Datenbanken von Online-Diensten, bei denen Kriminelle in der Vergangenheit schon Milliarden von Login-Daten gestohlen haben, künftig sinnlos: Weil eben die öffentlichen Keys alleine wertlos sind. Mehr noch: Ihre persönlichen Passkeys werden nicht bei den Dienst-Anbietern gespeichert, so wie es bei Passwörtern der Fall ist. Mehr darüber erklären wir unten im Abschnitt "Wie nutzt man Passkeys"?

Welche Nachteile haben Passkeys gegenüber Passwörtern?

Passwörter haben Sie idealerweise im Kopf. So können Sie sich zum Beispiel auch mal am Computer einer Freundin oder eines Freundes in Ihr Social-Media-Profil einloggen. Passkeys sind grundsätzlich an ein konkretes Gerät gebunden. Haben Sie diese zum Beispiel auf Ihrem Smartphone, können sie sich in der Regel nur dann auf anderen Geräten in Ihre Online-Konten einloggen, wenn Sie Ihr Smartphone dabei haben. Problem bei Verlust: Ist das Gerät mit Ihren gespeicherten Passkeys weg und haben Sie kein Backup, müssen Sie den Zugang zu jedem einzelnen Online-Dienst neu herstellen. Manchmal erhalten Sie beim Anlegen eines Passkeys so genannte Backup-Codes. Diese sollten Sie deshalb gut aufbewahren – natürlich nicht auf dem Gerät, das Ihre Passkeys enthält. Wenn Sie den Zugang zu Ihren jeweiligen Online-Accounts zusätzlich mit einem Passwort gesichert haben, kommen Sie auch über das jeweilige Passwort wieder hinein. Im schlimmsten Fall könnten Sie den Zugriff auf Ihre Accounts aber auch ganz verlieren.

Sind die Passkeys nicht auf dem Gerät sondern in der Herstellercloud gespeichert, gibt es die Möglichkeit, Ihre Schlüssel über mehrere Geräte hinweg zu synchronisieren und zu nutzen. Darüber können Sie Ihre Passkeys bei Verlust Ihres Gerätes auch wiederherstellen, sind dann aber meist an das jeweilige Betriebssystem gebunden. Wenn Sie Ihr Smartphone wechseln, müssen Sie daran denken, Ihre Passkeys aufs neue Gerät zu übertragen (sofern sie nicht in einer Cloud gespeichert sind). Sollten Sie dabei das Betriebssystem Ihres Smartphones wechseln, z.B. von Android auf iOS, könnte das Übertragen umständlich bis unmöglich werden. Sie können grundsätzlich aber auch mehrere Passkey-Geräte bei Online-Diensten registrieren (z.B. Smartphone und zusätzlich einen USB-Stick). Verlieren Sie eines der Geräte, kommen Sie mit dem anderen noch in Ihren Account. Darin sollten Sie dann das verloren gegangene Gerät deaktivieren.

Wie richtet man Passkeys ein?

Sie benötigen einen so genannten Authenticator. Das kann zum Beispiel ein FIDO2-Stick sein (ein spezielles Gerät ähnlich wie ein USB-Stick), ein Programm auf Ihrem Computer oder eine App auf Ihrem Smartphone. So ein Authenticator erstellt ein kryptografisches Schlüsselpaar aus privatem und öffentlichem Schlüssel, leitet den öffentlichen Teil an den Server des Online-Dienstes weiter und speichert den privaten Teil je nach Authenticator-Variante auf Ihrem Gerät, auf einem externen FIDO2-Stick oder in der Cloud. Damit übernimmt der Authenticator die Verwaltung Ihrer Passkeys.

Apple und Google bieten einen Authenticator in ihren Smartphone-Betriebssystemen iOS (ab Version 16) und Android (ab Version 9) an. Mehr darüber lesen Sie weiter unten. Internet-Dienste, die das Anmelden mit einem Passkey anbieten, führen Sie Schritt für Schritt durch die Einrichtung.

Wie nutzt man Passkeys?

Um sich bei einem Online-Dienst anzumelden, für den Sie bereits einen Passkey eingerichtet haben, müssen Sie nur noch Ihre Identität durch Ihren Fingerabdruck, Ihr Gesicht oder die Eingabe einer PIN bestätigen.

Passkeys verlassen ihren Speicherort nicht. Auch der Online-Dienst, bei dem Sie sich mit einem Passkey anmelden, bekommt den Schlüssel nicht zu sehen. Denn am Anmeldeprozess sind drei Ebenen beteiligt: Der Authenticator als Speicherort Ihres persönlichen Schlüssels, der Server des Online-Dienstes mit Ihrem Account und einem öffentlichen Schlüssel sowie der Client, Ihr Gerät bzw. der verwendete Browser. Der Client prüft, ob der gespeicherte Schlüssel auf Ihrem Gerät zum Schlüssel des Online-Accounts passt. Wenn Sie Ihre Identität mit Ihrem Fingerabdruck, Ihrem Gesicht oder einer PIN (je nachdem, was Sie eingerichtet haben) bestätigen, meldet der Client an den Server, dass der Sie in den Account lassen darf. Das alles geschieht in der Regel in einigen Millisekunden.

Worauf soll man bei der Auswahl eines Authenticators achten?

Wenn Sie sich dazu entscheiden, für Ihre Online-Accounts Passkeys zu nutzen, müssen Sie sich für einen Authenticator entscheiden, der Ihre Schlüssel (Passkeys) verwalten soll. Grundsätzlich gibt es drei Varianten der Schlüsselverwaltung, die sich hinsichtlich Sicherheit, Flexibilität und Komfort unterscheiden:

  • FIDO2-Sicherheitsschlüssel
  • Betriebssysteme von Apple, Google und Microsoft
  • Passwortmanager

Die Nutzung von Passkeys ist von der Betriebssystem- und Browserversion abhängig. Je nach Betriebssystem und Browser können Sie möglicherweise keine Passkeys erstellen oder nutzen. Für ein optimales Funktionieren und aus Sicherheitsaspekten sollten Sie Ihr Betriebssystem und Ihren Browser unbedingt immer auf dem neusten Stand halten.

FIDO2-Sicherheitsschlüssel

Der Klassiker unter den Passkey-Authenticatoren ist der FIDO2-Sicherheitsschlüssel, ein sog. Hardware-Token. Er sieht aus wie ein USB-Stick (daher oft auch FIDO2-Stick genannt) und lässt sich im Grunde auch ähnlich nutzen. Er wird von verschiedenen Herstellern angeboten.

Je nach Modell lässt sich ein FIDO2-Sicherheitschlüssel über eine physische Schnittstelle wie USB, aber auch kontaktlos über Bluetooth oder NFC mit Smartphones, Laptops oder Computern verbinden. Die privaten Schlüssel bzw. Passkeys werden sicher und unauslesbar im Sicherheitschip des FIDO2-Sticks gespeichert. Die Erstellung eines Passkeys bei einem Webdienst sowie die spätere Anmeldung bei diesem wird dabei per Druck auf den Knopf am FIDO2-Stick oder durch die Eingabe einer PIN freigegeben. FIDO2-Sicherheitsschlüssel können in der Regel bis zu 30 Passkeys speichern. Besitzen Sie mehr Accounts, brauchen Sie weitere Sticks.

Empfehlenswert ist es auch, zu jedem Stick einen zweiten als Backup zu haben, falls der erste verloren geht. Weil jeder Stick ein Unikat ist und nicht kopiert werden kann, müssen Backup-Sticks bei jedem Online-Dienst als eigenes vertrauenswürdiges Gerät registriert werden.

Apple

Apple nutzt für die Verwaltung der privaten Schlüssel die betriebssystemeigene Schlüsselverwaltung, d.h. der Passkey-Authenticator ist der bereits bekannte "iCloud-Schlüsselbund". Dafür müssen sowohl der iCloud-Schlüsselbund aktiviert als auch eine Apple-ID vorhanden sein. Die privaten Schlüssel werden nicht wie mit einem FIDO2-Stick im sicheren Hardwaremodul lokal gespeichert, sondern in der Cloud von Apple. Damit ist die Passkey-Verwaltung, wie bei Cloud-Lösungen üblich, in der Regel nicht ganz so sicher wie die Nutzung von FIDO2-Sicherheitsschlüsseln. Die Passkeys sind laut Apple aber sicher Ende-zu-Ende verschlüsselt, sodass sie vor dem Zugriff durch das Unternehmen selbst oder durch unbefugte Dritte abgesichert sind.

Darüber hinaus bringt die Schlüsselverwaltung in der Cloud zwei Vorteile mit sich: Zum einen sind Ihre Passkeys automatisch auf allen Ihren Apple-Geräten verfügbar. Neue Apple-Geräte können Sie relativ einfach mit dem iCloud-Schlüsselbund synchronisieren, sodass auch das neue Apple-Gerät auf die dort gespeicherten Passkeys zugreifen kann. Zum anderen können Sie bei Verlust Ihres iPhones, iPads oder MacBooks über die Wiederherstellungsfunktion des iCloud-Schlüsselbundes wieder an Ihre Passkeys herankommen.

Dafür benötigen Sie allerdings zwingend Ihr AppleID-Passwort, Ihren Entsperrcode und eine im Vorfeld in Ihrem Apple-Benutzerkonto hinterlegte Telefonnummer, an die beim Wiederherstellungsprozess eine SMS geschickt wird. Falls Sie Ihre Passkeys auf Geräten anderer Hersteller nutzen möchten, müssen Sie dazu einen QR-Code, der Ihnen während des Anmeldprozesses auf dem herstellerfremden Gerät angezeigt wird, mit Ihrem iPhone oder iPad scannen. Dafür müssen Sie Bluethooth am Handy und am Rechner aktiviert haben, damit eine sichere lokale Verbindung zwischen den beiden Geräten hergestellt werden kann.

Google

Bei Android-Geräten und Rechnern mit ChromeOS werden die Passkeys in Googles betriebssystemeigenen Passwortmanager verwaltet. Dabei werden die beiden kryptografischen Schlüsselpaare (privat und öffentlicher Schlüssel) auf dem Gerät generiert. Der private Schlüssel wird dann in der Herstellercloud sicher Ende-zu-Ende verschlüsselt gespeichert und kann dank der Cloud-Lösung mit anderen Android-Geräten synchronisiert werden. Damit stehen die im Google-Passwortmanager gespeicherten Passkeys allen Ihren Android-Geräten zur Verfügung, die den Google Passwortmanager verwenden. Dazu müssen Sie nur mit Ihrem entsprechenden Google-Konto angemeldet sein.

Sollten Sie Ihr Smartphone verlieren, können Sie den Zugriff auf Ihre Passkeys mit der Wiederherstellungsfunktion wiedererlangen. Das funktioniert allerdings nur, wenn Sie sich als neues Smartphone wieder ein Android-Gerät zulegen. Dazu müssen Sie sich am neuen Gerät mit Ihrem Google-Account einloggen und den Zugriff auf die Schlüssel mit dem Display-Entsperrcode des alten Gerätes freischalten.

Wie bei Apple können Sie Ihre gespeicherten Passkeys auch an fremden Rechnern nutzen, ohne Ihre Passkeys freizugeben. Dann wird Ihr Android-Smartphone sozusagen zu einem externen Authenticator, mit dem Sie den Zugriff auf Online-Accounts am fremden Rechner per Scan des QR-Codes, der Ihnen am fremden Rechner angezeigt wird, authentifizieren können. Dafür müssen Sie allerdings, wie bei Apple auch, Bluethooth sowohl am Smartphone als auch am Rechner aktiviert haben.

Microsoft

Bei Microsoft können Sie den Authentifizierungsdienst "Windows Hello" zur Verwaltung Ihrer Passkeys nutzen. Das dort eingebaute sichere Hardwarmodul des Rechners (sog. Trusted Plattform Modul) übernimmt die Funktion des Authenticators und speichert auch den Passkey. Geschützt ist der Schlüssel durch Biometrie oder Ihre Geräte-PIN. Anders als bei Apple und Google werden die Passkeys nicht in der Cloud des Herstellers abgelegt, was zwar mehr Sicherheit aber damit auch weniger Komfort bietet. Denn eine Synchronisation der Passkeys über mehrere Geräte hinweg ist nicht möglich, sodass die im Hardwaremodul gespeicherten Passkeys nur am jeweiligen Rechner genutzt werden können. Verlieren Sie den Zugriff auf Ihre Passkeys, etwa wenn Ihr Gerät geklaut wird oder kaputt geht, dann haben Sie keine Möglichkeit zur Wiederherstellung. Als mögliche Fallback-Lösung könnte Ihr altes Passwort beim jeweiligen Webdienst dienen. Bei manchen Webdiensten kann man allerdings auch das Passwort vom Online-Account entfernen, sodass diese Option der Wiedererlangung wegfällt. Daher sollten Sie zumindest für die Online-Accounts, bei denen Sie kein Passwort als Fallback-Lösung haben, ein weiteres Gerät als Backup nutzen, bspw. einen FIDO2-Stick.

Falls Sie mehr Flexibilität bei der Nutzung Ihrer im Windows Rechner gespeicherten Passkeys haben möchten, können Sie Ihr Smartphone ähnlich wie bei Apple und Google als externen Passkeys-Authenticator nutzen, um sich per QR-Code-Scan an fremden Geräten anzumelden.

Passwortmanager

Auch kommerzielle sowie Open-Source-Passwortmanager von Drittanbietern rüsten langsam auf und führen die Unterstützung von Passkeys ein. Wie bei Apple und Google werden bei den meisten Passwortmanagern die Passkeys verschlüsselt in der Cloud des Herstellers gespeichert. Die Nutzung selbst unterscheidet sich kaum von der Nutzung als Passwort-Verwaltung. Insofern wird sich für diejenigen, die Passwortmanager bereits zu Verwaltung ihrer Passwörter nutzen, an der Benutzbarkeit nicht viel ändern. Statt starker Passwörter werden dann Passkeys vom Passwortmanager generiert und gespeichert.

Auch in Puncto Flexibilität sind Passwortmanager weit vorne, zumindest, was die Varianten mit Cloud-Lösung betrifft. Wer Passwortmanager für die Verwaltung seiner Passkeys nutzt, kann die dort gespeicherten Passkeys nahtlos auf mehreren Geräten einsetzen. Dafür muss lediglich die jeweilige Passwortmanager-App auf dem entsprechenden Gerät installiert werden. Damit ist auch die Nutzung der Passkeys auf betriebssystemfremden Geräten möglich, sofern das jeweilige Betriebssystem von der App unterstützt wird.

Authenticator-Varianten im Vergleich

Authenticator-Variante

Authenticator-Modul

Speicherort
des privaten Schlüssels

Back-Up Möglichkeit bei Verlust (z.B. Diebstahl des Gerätes)

Synchronisation über mehrere Geräte

Auf Geräten anderer Hersteller nutzbar?

FIDO2-Sicherheitsschlüssel

 

Eigene Hardware (Sicherheitschip im FIDO2-Stick)

lokal

Zweiter FIDO2-Sicherheitsschlüssel, der bei jedem Online-Dienst registriert sein muss

Jein*

Jein*

Betriebssystem des Smartphones /  Tablets / Rechners

Apple

iCloud-Schlüsselbund

Cloud

iCloud-Schlüsselbund

Ja

Ja

Google

Google Passwortmanager

Cloud

Google Passwortmanager

Ja

Ja

Microsoft (Windows Hello)

Trusted Platform Modul (sicheres Hardwaremodul des Gerätes)

lokal

Passwort als Fallback-Lösung, FIDO2-Sicherheitsschlüssel

Nein

Ja

Passwortmanager

 

Softwaremodul im Passwortmanager

Cloud / lokal

Bei Cloud-Lösungen die Cloud des jeweiligen Herstellers

Ja (Nur bei Cloud-Lösung)

Ja

* Weil sich der FIDO2-Schlüssel je nach Variante über USB, Bluetooth oder NFC verbindet, müssen die Geräte den jeweils passenden Anschluss unterstützen.

Seit wann gibt es Passkeys?

Neu ist dieses Verfahren nicht, denn der Grundstein dafür wurde bereits 2012 von der FIDO Alliance gelegt. 2018 hat der Branchenverband mit dem Industriestandard FIDO2 die für die Passwortlose Authentifizierung notwendigen Protokolle veröffentlicht. Durchgesetzt hat sich die Technologie allerdings bisher nicht. Das lag vor allem an zwei Dingen: Zum einen musste man für die passwortlose Authentifizierung eine zusätzliche Hardware in Form eines FIDO2-Sicherheitsschlüssels kaufen. Zum anderen haben nur wenige Online-Dienste FIDO2 überhaupt angeboten, sodass es insbesondere für Verbraucher:innen kaum Anwendungsfelder gab.

Erst 2022 hat sich das geändert. Aus FIDO2 wurden Passkeys (eine Erweiterung des FIDO2-Standards), für deren Nutzung nicht mehr zwingend ein FIDO2-Sicherheitsschlüssel benötigt wird. Stattdessen können jetzt auch das eigene Smartphone, Tablet oder der heimische Rechner die Aufgabe der FIDO2-Sicherheitsschlüssel übernehmen. Damit müssen Sie für die Nutzung von Passkeys nichts mehr kaufen oder herunterladen. Gleichzeitig rüsten immer mehr Online-Dienste nach und bieten die Möglichkeit, sich mit einem Passkey einzuloggen.

Die Hoffnung vieler Fachleute ist, dass Passwörter von Passkeys komplett abgelöst werden. Denn Probleme wie schwache Passwörter oder das Abgreifen sensibler Account-Informationen durch Phishing-Angriffe könnten damit vorbei sein.

Ratgeber-Tipps

Grafik von Haus mit Solardach und Sonne
Ratgeber Photovoltaik
Wer ein Stück weit unabhängig von den Preiskapriolen der Energieversorger werden will, kümmert sich um die Anschaffung…
zum Ratgeber-Shop
Titelbild des Ratgebers "Handbuch Pflege"
Handbuch Pflege
Als pflegebedürftig gelten Menschen, die wegen einer Krankheit oder Behinderung für mindestens sechs Monate Hilfe im…
zum Ratgeber-Shop

Aktuelle Meldungen

Eine lächelnde Frau blickt über ihre Schulter, während sie in einer Gruppe von drei Personen steht, die sich gegenseitig umarmen. Im Hintergrund ist eine grüne Landschaft zu sehen. Rechts im Bild befindet sich eine Grafik mit einem roten Herz aus einem Seil und dem Schriftzug: "STÄRKEN, WAS ALLE STÄRKT – VERBRAUCHERSCHUTZ" auf hellblauem Hintergrund.
Foto: vzbv unter der Verwendung von katleho Seisa / iStock

Verbraucherschutz stärkt alle: Forderungen zur Bundestagswahl 2025

Die Bundestagswahl 2025 findet in einer Zeit der Krisen statt. Der Verbraucherzentrale Bundesverband (vzbv) hat konkrete Vorschläge zusammengestellt, wie sich der Verbraucheralltag verbessern lässt. Denn: Verbraucherschutz stärkt alle.
Mehr dazu
Schmuckbild: Facebook-App
Foto: runrun2 / stock.adobe.com

Sammelklage gegen Facebook wegen Datenleck

Im Jahr 2021 veröffentlichten Hacker massenhaft Nutzer:innendaten von Facebook. Allein in Deutschland gibt es Millionen Geschädigte. Dank der Sammelklage des Verbraucherzentrale Bundesverbands (vzbv) können sie ihre Ansprüche auf Schadensersatz nun gegen Facebook geltend machen. Betroffene können sich für die Klage anmelden, sobald das Bundesamt für Justiz (BfJ) das Klageregister öffnet.
Mehr dazu
Mann vor Hintergrund mit verschiedenen grafischen Motiven

Nachwuchspreis MehrWert NRW 2025

Ideen für eine ressourcenschonende Zukunft gesucht: Bewerben Sie sich beim Nachwuchspreis MehrWert NRW!
Mehr dazu
Kontakt
Beratung
Newsletter
Social Media
Kostenlose Online-Seminare
Beratung und Service