Passwortlos anmelden mit Passkeys wird 2026 vom Komfortthema zur Sicherheitsfrage für private Nutzer, Unternehmen und Betreiber digitaler Dienste. Google, Apple und Microsoft unterstützen Passkeys seit Jahren plattformübergreifend; Microsoft meldet für Entra ID unter anderem deutlich höhere Erfolgsraten beim Login und kürzere Anmeldezeiten im Vergleich zu Passwort plus klassischer Mehrfaktor-Anmeldung, berichtet techify.de.
Der Kern ist einfach: Statt ein Passwort einzugeben, entsperrt der Nutzer sein Gerät per Fingerabdruck, Gesichtserkennung, PIN oder Bildschirmsperre. Im Hintergrund arbeitet ein kryptografisches Schlüsselpaar: Der öffentliche Schlüssel liegt beim Dienst, der private Schlüssel bleibt auf dem Gerät oder im gesicherten Passwortmanager. Das macht Passkeys nicht unangreifbar, aber deutlich robuster gegen Phishing, Passwort-Leaks und SMS-Betrug als klassische Logins.
Was Passkeys technisch anders machen als Passwörter
Passkeys ersetzen das Prinzip „geheimes Wort wird an eine Website übermittelt“ durch ein asymmetrisches Verfahren. Beim Einrichten erzeugt das Gerät ein Schlüsselpaar: Der Dienst bekommt nur den öffentlichen Schlüssel, der private Schlüssel bleibt geschützt beim Nutzer. Beim Login schickt der Dienst eine kryptografische Herausforderung, die nur mit dem privaten Schlüssel signiert werden kann. Ein gefälschtes Login-Formular kann diesen privaten Schlüssel nicht einfach abgreifen, weil er nicht als Text eingegeben und nicht an die Website übertragen wird. Genau deshalb gelten Passkeys als phishingresistenter als Passwörter, selbst wenn eine Fake-Seite optisch perfekt nachgebaut ist.
Die FIDO Alliance beschreibt Passkeys als FIDO-Anmeldedaten, mit denen Nutzer sich bei Apps und Websites so anmelden können, wie sie ihr Gerät entsperren: per Biometrie, PIN oder Muster. Google formuliert es knapp: „Passkeys are an easier and more secure alternative to passwords.“ Diese Aussage ist technisch nachvollziehbar, weil ein Passwort bei jedem Login wiederverwendet wird, ein Passkey dagegen domaingebunden ist. Wird ein Server kompromittiert, liegt dort kein wiederverwendbares Passwort im Klartext. Gestohlen werden kann höchstens ein öffentlicher Schlüssel, der ohne den privaten Gegenpart für den Angreifer nicht reicht.
| Login-Methode | Was der Nutzer eingibt | Hauptproblem | Schutz gegen Phishing | Risiko bei Datenleck |
|---|---|---|---|---|
| Passwort | Passworttext | Wiederverwendung, schwache Passwörter | niedrig | hoch, wenn Hashes geknackt werden |
| Passwort + SMS | Passwort und Code | SIM-Swap, Code-Phishing | mittel | Passwort bleibt verwertbar |
| Passwort + Authenticator-App | Passwort und TOTP-Code | Echtzeit-Phishing möglich | mittel bis gut | Passwort bleibt ein Ziel |
| Passkey | Geräteentsperrung | Geräteverlust, Sync-Abhängigkeit | hoch | öffentlicher Schlüssel allein reicht nicht |
| Hardware-Sicherheitsschlüssel | Touch/PIN am Schlüssel | Verlust des Schlüssels | sehr hoch | stark begrenzt |
Der Unterschied liegt nicht im Fingerabdruck selbst, sondern darin, dass der Fingerabdruck den privaten Schlüssel lokal freigibt. Biometrische Daten werden bei sauberer Implementierung nicht an Google, Apple, Microsoft oder die Website gesendet. Sie dienen nur dazu, das Gerät oder den Passwortmanager zu entsperren. Wer Passkeys bewertet, sollte deshalb nicht fragen, ob Fingerabdrücke „im Internet gespeichert“ werden, sondern wo der private Schlüssel liegt, wie er synchronisiert wird und welche Wiederherstellung möglich ist.
Warum Passkeys 2026 für Nutzer und Unternehmen relevanter werden
Der Druck auf klassische Passwörter steigt aus zwei Richtungen. Einerseits werden Phishing-Seiten, Malware und Credential-Stuffing-Angriffe professioneller. Andererseits haben Plattformen die Passkey-Unterstützung inzwischen so tief in Android, iOS, macOS, Windows, Chrome, Safari, Edge und Passwortmanager eingebaut, dass die Einrichtung für viele Nutzer kein Spezialwissen mehr braucht. Google bietet eine eigene Passkey-Seite für Konten an, Apple synchronisiert Passkeys über iCloud Keychain, Microsoft dokumentiert Passkeys als FIDO2-Methode für Entra ID und persönliche Konten.
Für Unternehmen ist der Nutzen besonders konkret: Weniger Passwort-Resets, weniger Helpdesk-Fälle, weniger Risiko durch gestohlene Zugangsdaten. Microsoft nennt für synchronisierte Passkeys in Entra ID eine erfolgreiche Registrierung bei 99 Prozent der Nutzer, eine Anmeldung in 3 Sekunden statt 69 Sekunden gegenüber Passwort plus traditioneller MFA und eine dreimal höhere Erfolgsquote beim Login im Vergleich zu Legacy-Methoden. Solche Werte sind keine Garantie für jedes Unternehmen, zeigen aber, warum große Anbieter Passkeys nicht mehr als Experiment behandeln. Für Verbraucher zählt vor allem: Der Login wird kürzer, und die gefährlichsten Passwortfehler fallen weg.
Wo Passkeys schon praktisch nutzbar sind
Passkeys funktionieren heute bei vielen großen Diensten, aber nicht überall. Google-Konten, Apple-Ökosysteme, Microsoft-Konten, GitHub, PayPal, eBay, Amazon und zahlreiche Unternehmensdienste unterstützen sie in unterschiedlichen Varianten. Manche Dienste erlauben Passkeys als komplette Passwort-Alternative. Andere nutzen sie zusätzlich zum Passwort oder verstecken die Option tief in den Sicherheitseinstellungen. Nutzer sollten deshalb nicht erwarten, dass Passkeys sofort jedes Konto ersetzen. Realistischer ist ein schrittweiser Umstieg: zuerst E-Mail, Cloud, Banking-nahe Konten, Passwortmanager, Arbeitskonto und Accounts mit Zahlungsdaten.
Eine gute Reihenfolge sieht so aus:
- Haupt-E-Mail-Konto sichern, weil darüber Passwort-Resets laufen.
- Apple-ID, Google-Konto oder Microsoft-Konto absichern, weil sie Passkey-Sync steuern.
- Passwortmanager-Konto prüfen, falls dort Passkeys gespeichert werden.
- Bank-, Zahlungs- und Shopping-Konten aktivieren, sobald verfügbar.
- Arbeitskonto nur nach IT-Vorgaben umstellen, besonders bei Entra ID, Okta oder Google Workspace.
- Alte SMS-2FA nicht sofort löschen, solange Wiederherstellung nicht getestet wurde.
Passkeys einrichten: Google, Apple, Microsoft und Passwortmanager
Die Einrichtung folgt fast immer demselben Muster: Sicherheitsbereich öffnen, Passkey erstellen, Gerät entsperren, Anmeldung testen. Bei Google führt der Weg laut offizieller Hilfe über myaccount.google.com/signinoptions/passkeys; dort wählen Nutzer „Create a passkey“ und entsperren anschließend ihr Gerät. Bei Microsoft läuft die Erstellung für persönliche Konten über die erweiterten Sicherheitsoptionen, bei Arbeits- und Schulkonten über die jeweilige Entra- oder Organisationsrichtlinie. Apple speichert Passkeys in iCloud Keychain, wo sie nach Apple-Angaben Ende-zu-Ende-verschlüsselt zwischen Geräten synchronisiert werden.
Vor der Einrichtung sollte aber die Wiederherstellung geklärt sein. Wer nur ein Smartphone besitzt und alle Passkeys ausschließlich dort speichert, kann bei Verlust, Defekt oder Sperre in Probleme laufen. Sicherer ist eine Kombination aus synchronisiertem Passkey-Speicher, zweitem Gerät und sauber gepflegten Recovery-Optionen. Nutzer sollten außerdem prüfen, ob ihr Passwortmanager Passkeys exportieren oder plattformübergreifend bereitstellen kann. Gerade beim Wechsel zwischen iPhone, Android, Windows und macOS entscheidet die Sync-Strategie darüber, ob Passkeys bequem oder nervig werden.
Schritt-für-Schritt: Passkey sicher einrichten
| Schritt | Handlung | Warum das wichtig ist |
| 1 | Betriebssystem und Browser aktualisieren | Alte Versionen unterstützen Passkeys oft schlechter |
| 2 | Konto-Sicherheitsbereich öffnen | Passkeys liegen fast immer unter „Sicherheit“ oder „Anmeldung“ |
| 3 | Wiederherstellungs-E-Mail und Telefonnummer prüfen | Sonst droht Lockout bei Geräteverlust |
| 4 | Passkey erstellen | Gerät per PIN, Face ID, Touch ID, Fingerabdruck oder Windows Hello entsperren |
| 5 | Abmelden und Login testen | Einrichtung ist erst abgeschlossen, wenn der Login wirklich funktioniert |
| 6 | Zweites Gerät hinzufügen | Reduziert Risiko bei Defekt oder Verlust |
| 7 | Alte 2FA nicht sofort entfernen | Erst Backup- und Recovery-Wege testen |
| 8 | Passwort stark lassen | Manche Dienste behalten das Passwort als Fallback |
Bei Android-Nutzern hängt die Alltagssicherheit nicht nur am Passkey selbst, sondern auch am Zustand des Geräts. Wer etwa schlechte Akkulaufzeit, veraltete Apps oder instabile Verbindung ignoriert, riskiert genau dann Probleme, wenn ein Login bestätigt werden muss. Eine praktische Ergänzung ist eine kurze Diagnose wie in dieser Anleitung zu Android-Akku und den wichtigsten Einstellungen, weil ein zuverlässiges Hauptgerät für passwortlose Anmeldung mehr ist als Komfort. Auch Netzwerkprobleme können den Login stören; bei WLAN-Problemen hilft eine Entscheidung zwischen 2,4 GHz und 5 GHz im Alltag, wenn QR-Code-Login, Cloud-Sync oder Gerätebestätigung hängen.
Vorteile: Warum Passkeys sicherer und schneller sind
Der wichtigste Vorteil ist die Phishing-Resistenz. Ein Passwort kann auf einer gefälschten Website eingegeben und sofort missbraucht werden. Ein Passkey ist dagegen an die echte Domain gebunden und gibt keinen wiederverwendbaren Geheimtext preis. Auch Datenlecks verlieren an Sprengkraft, weil beim Dienst nur der öffentliche Schlüssel liegt. Das schützt nicht vor jeder Form von Kontomissbrauch, reduziert aber einen der häufigsten Angriffspfade: gestohlene oder wiederverwendete Passwörter.
Der zweite Vorteil ist die Bedienbarkeit. Nutzer müssen keine 20-Zeichen-Passwörter merken, keine SMS abtippen und keine TOTP-Codes unter Zeitdruck kopieren. Der Login wird zur Geräteentsperrung. Gerade auf dem Smartphone ist das oft schneller als Passwort plus Code. In Unternehmen senkt das die Reibung bei täglichen Logins, in privaten Konten verringert es die Versuchung, schwache Passwörter mehrfach zu nutzen.
Passkeys lösen mehrere reale Probleme gleichzeitig:
- keine Passwort-Wiederverwendung über mehrere Dienste;
- keine Eingabe eines Geheimnisses auf potenziell gefälschten Seiten;
- weniger Angriffsfläche durch geleakte Passwortdatenbanken;
- weniger Risiko durch SMS-Codes und SIM-Swapping;
- schnellerer Login auf bekannten Geräten;
- bessere Nutzerführung für Menschen, die mit Passwortmanagern überfordert sind;
- klare Trennung zwischen öffentlichem Schlüssel beim Dienst und privatem Schlüssel beim Nutzer.
Für Redaktionen, kleine Unternehmen und Agenturen ist ein weiterer Punkt entscheidend: Passkeys lassen sich häufig ohne neue Hardware starten. Windows Hello, Face ID, Touch ID, Android-Bildschirmsperre und moderne Passwortmanager reichen für viele Szenarien aus. Hardware-Sicherheitsschlüssel bleiben trotzdem sinnvoll, wenn es um Admin-Konten, Finanzzugänge, Publisher-Accounts, Cloud-Infrastruktur oder hochriskante Arbeitskonten geht. Dort sollte nicht nur die Bequemlichkeit zählen, sondern die Frage, welche Konten bei Kompromittierung den größten Schaden verursachen.
Risiken: Wo Passkeys nicht automatisch alle Probleme lösen
Passkeys sind kein Zauberschild. Sie schützen stark gegen klassisches Phishing, aber sie ersetzen keine Gerätesicherheit, keine saubere Wiederherstellung und keine Kontrolle über aktive Sitzungen. Wenn ein Gerät entsperrt, mit Malware infiziert oder dauerhaft in fremden Händen ist, kann ein Angreifer trotzdem Schaden anrichten. Die Forschung zu FIDO2-Angriffsvektoren zeigt, dass erfolgreiche Angriffe deutlich mehr Aufwand verlangen als Passwortdiebstahl, aber nicht theoretisch unmöglich sind.
Ein Risiko liegt in der Synchronisierung. Synchronisierte Passkeys sind bequem, weil sie auf mehreren Geräten verfügbar sind. Gleichzeitig hängt ihre Sicherheit am Cloud-Konto, dem Gerätecode, der Wiederherstellung und dem Anbieter des Passwortspeichers. Apple betont für iCloud Keychain Ende-zu-Ende-Verschlüsselung und Schutz gegen Brute-Force-Angriffe auf Backend-Ebene. Das ist ein starker Schutz, ersetzt aber nicht die Pflicht, Apple-ID, Google-Konto oder Microsoft-Konto selbst besonders hart abzusichern. Wer dort schwache Recovery-Wege offenlässt, verlagert das Risiko nur.
Die wichtigsten Schwachstellen in der Praxis
| Risiko | Was passieren kann | Gegenmaßnahme |
| Geräteverlust | Nutzer kommt nicht mehr in Konten | zweites Gerät, Recovery-Codes, Hardware-Key |
| Schwache Gerätesperre | PIN wird erraten oder beobachtet | längere PIN, Biometrie, automatische Sperre |
| Kompromittiertes Hauptkonto | Sync-Umgebung wird zum Ziel | Apple-ID/Google/Microsoft besonders schützen |
| Browser- oder Session-Diebstahl | Angreifer nutzt aktive Sitzung | regelmäßig Sitzungen prüfen, Geräte entfernen |
| Schlechte Recovery-Prozesse | Support setzt Zugang unsicher zurück | Recovery-Optionen dokumentieren |
| Uneinheitliche Plattformen | Passkey ist auf falschem Gerät gespeichert | vor Umstieg plattformübergreifend testen |
| Geteilte Geräte | falsche Person bestätigt Login | eigene Profile, keine gemeinsamen Admin-Konten |
Der größte Fehler ist nicht die Nutzung von Passkeys, sondern eine Einrichtung ohne Notfallplan. Wer Passkeys aktiviert und danach das Passwort, alle 2FA-Optionen und Recovery-Codes löscht, kann sich selbst aussperren. Umgekehrt bleibt ein Konto verwundbar, wenn das Passwort als schwacher Fallback aktiv bleibt. Die sauberste Lösung ist stufenweise: Passkey aktivieren, Login testen, Backup einrichten, alte Methoden bewerten, schwache Fallbacks entfernen oder härter absichern.
Passkeys im Unternehmen: Migration braucht Regeln, nicht nur einen Schalter
In Unternehmen entscheidet nicht die technische Verfügbarkeit allein, sondern der Rollout. Admins müssen klären, welche Nutzergruppen zuerst umgestellt werden, welche Geräte erlaubt sind, ob synchronisierte Passkeys akzeptiert werden und wann Hardware-Sicherheitsschlüssel Pflicht sind. Microsoft unterscheidet in Entra ID zwischen verschiedenen Passkey-Varianten, darunter gerätegebundene und synchronisierte Passkeys; außerdem kann Attestation eine Rolle spielen, wenn Organisationen die Herkunft und Klasse eines Authenticators prüfen wollen. Ohne solche Regeln entsteht ein Flickenteppich: Einige Nutzer melden sich modern an, andere behalten SMS-Codes, Admin-Konten bleiben schwach geschützt.
Ein sinnvoller Rollout startet mit Konten, bei denen Passwortdiebstahl besonders teuer wäre. Dazu gehören Administratoren, Finanzabteilung, HR, Social-Media-Teams, Cloud-Entwickler, E-Mail-Administratoren und Personen mit Zugriff auf Kundendaten. Danach folgen größere Nutzergruppen. Wichtig ist eine klare Kommunikation: Passkey bedeutet nicht, dass der Fingerabdruck an den Arbeitgeber gesendet wird. Die Biometrie entsperrt lokal den privaten Schlüssel. Diese Erklärung reduziert Widerstand und verhindert falsche Datenschutzängste.
Checkliste für IT-Teams
- Inventar: Welche Dienste unterstützen Passkeys bereits?
- Richtlinie: Welche Passkey-Typen sind erlaubt — synchronisiert, gerätegebunden, Hardware-Key?
- Pilotgruppe: Admins und technisch sichere Nutzer zuerst.
- Recovery: Was passiert bei Geräteverlust, Kündigung, Rollenwechsel?
- Fallback: Welche alten Methoden bleiben vorübergehend aktiv?
- Schulung: Nutzer müssen den Unterschied zwischen Passwort, MFA und Passkey verstehen.
- Monitoring: Fehlgeschlagene Logins, neue Geräte und Recovery-Anfragen prüfen.
- Dokumentation: Einrichtung für Windows, macOS, iOS, Android getrennt beschreiben.
Für Unternehmen mit Google- oder Android-Schwerpunkt lohnt sich zusätzlich ein Blick auf kommende Plattformänderungen. Eine Einordnung rund um Google, Android, Chrome und Entwicklerwerkzeuge findet sich in dieser Vorschau zu Google I/O 2026 und den erwarteten Schwerpunkten. Wer intern viele Web-Logins, WhatsApp Web, Cloud-Dienste oder Browser-Sessions nutzt, sollte außerdem Anmeldeprobleme nicht vorschnell als „Passkey-Fehler“ bewerten; oft liegen sie an Cookies, VPN, Browserprofilen oder blockierten Sessions, wie bei typischen Problemen mit WhatsApp Web und QR-Code-Logins.
Welche Passkey-Variante für wen sinnvoll ist
Nicht jeder Nutzer braucht dieselbe Lösung. Ein privater Nutzer mit iPhone, Mac und iCloud Keychain hat andere Anforderungen als ein Admin mit Zugriff auf Kundendatenbanken. Ein Windows-Nutzer mit Microsoft Edge und Microsoft-Konto profitiert von einem anderen Sync-Modell als jemand, der zwischen Android, Chrome, iPad und Linux wechselt. Entscheidend ist, ob Passkeys nur bequem sein sollen oder ob sie ein hohes Sicherheitsniveau garantieren müssen.
| Nutzerprofil | Sinnvolle Lösung | Empfehlung |
| Privatnutzer mit iPhone und Mac | iCloud Keychain Passkeys | zusätzlich Recovery-Kontakte und Gerätesperre prüfen |
| Android- und Chrome-Nutzer | Google Password Manager / Android Passkeys | Haupt-Google-Konto besonders absichern |
| Windows-11-Nutzer | Windows Hello, Microsoft-Konto, Edge | Wiederherstellung und zweites Gerät einrichten |
| Plattform-Mix | 1Password, Bitwarden, Dashlane oder anderer Passkey-fähiger Manager | Export- und Sync-Regeln prüfen |
| Unternehmen | Entra ID, Google Workspace, Okta, Hardware-Keys | Richtlinie und Pilot-Rollout statt Sofortumstellung |
| Admins und Hochrisiko-Konten | Hardware-Sicherheitsschlüssel plus Passkey-Policy | mindestens zwei Schlüssel registrieren |
Hardware-Schlüssel sind weniger bequem, aber für Hochrisiko-Konten weiterhin stark. Sie sind meist gerätegebunden, müssen physisch vorhanden sein und eignen sich für Konten, bei denen ein Cloud-Sync nicht gewünscht ist. Der Nachteil ist klar: Schlüssel können verloren gehen, müssen beschafft, inventarisiert und ersetzt werden. Deshalb sollten immer mindestens zwei Sicherheitsschlüssel registriert werden — einer im Alltag, einer sicher verwahrt.
So vermeiden Nutzer Lockouts und Fehlkonfigurationen
Der häufigste praktische Fehler ist eine zu schnelle Bereinigung alter Login-Methoden. Viele Nutzer aktivieren einen Passkey, löschen das Passwort aus dem Passwortmanager, entfernen alte 2FA-Methoden und merken erst beim neuen Smartphone, dass der Zugang nicht sauber wiederherstellbar ist. Sicherer ist ein Testplan. Nach der Einrichtung sollte man sich auf allen Geräten abmelden, den Login mit Passkey prüfen, ein zweites Gerät hinzufügen und Recovery-Codes speichern. Erst danach wird entschieden, welche alten Methoden entfernt werden.
Ein zweiter Fehler ist eine schwache Gerätesperre. Wenn der Passkey über eine vierstellige PIN freigegeben wird, die jemand beim Entsperren beobachten kann, sinkt der Schutz im Alltag. Besser sind längere Gerätecodes, Biometrie mit starkem Gerätepasscode und automatische Sperre nach kurzer Inaktivität. Auf geteilten Computern sollten eigene Benutzerprofile Pflicht sein. Passkeys auf Familien- oder Bürogeräten ohne getrennte Profile sind ein unnötiges Risiko.
Praktische Regeln für den Alltag:
- Passkeys zuerst bei Hauptkonten aktivieren, nicht wahllos bei jedem Nebenaccount.
- Nie nur ein einziges Gerät als Zugang behalten.
- Recovery-Codes offline speichern, nicht im selben Konto.
- Geräte-PIN verlängern und nicht sichtbar eingeben.
- Alte SMS-2FA kritisch prüfen, aber nicht ohne Ersatz löschen.
- Aktive Sitzungen regelmäßig kontrollieren.
- Bei Geräteverkauf Passkeys und Konten sauber entfernen.
- Für Admin-Konten Hardware-Key als zusätzliche Absicherung nutzen.
- Passwortmanager nur mit starkem Master-Passwort und 2FA verwenden.
- Bei Arbeitskonten keine privaten Workarounds ohne IT-Freigabe.
Wo Nutzer in Deutschland, Österreich, der Schweiz und Polen Hilfe finden
Bei privaten Konten ist der erste Anlaufpunkt der offizielle Support des jeweiligen Dienstes. Für Google-Konten gibt es die Passkey-Hilfe und die Sicherheitsprüfung im Google-Konto. Für Apple-Geräte sind iCloud Keychain, Apple-ID-Wiederherstellung und Geräteverwaltung entscheidend. Für Microsoft-Konten führen die erweiterten Sicherheitsoptionen und die Microsoft-Supportseiten weiter. Bei Arbeitskonten sollte immer die interne IT oder der Managed-Service-Provider zuständig sein, weil falsche Recovery-Schritte Sicherheitsrichtlinien verletzen können.
In Polen sollten Nutzer bei Betrugsverdacht zusätzlich offizielle Stellen kennen. Verdächtige SMS, Phishing-Seiten und Cybervorfälle können an CERT Polska gemeldet werden. Bei Bankbetrug zählt Zeit: Bank-Hotline, Kartensperre, Anzeige bei der Polizei und Dokumentation der Login-Historie sind wichtiger als lange Eigenrecherche. Unternehmen mit Sitz in Polen sollten Vorfälle außerdem im Kontext von Datenschutz und Meldepflichten bewerten. Wer Passkeys nach einem Angriff einführt, sollte vorher kompromittierte Sitzungen beenden, Passwörter ändern, Recovery-Optionen prüfen und unbekannte Geräte entfernen.
| Situation | Wer hilft |
| Google-Konto gesperrt | Google-Kontowiederherstellung und Sicherheitscheck |
| Apple-ID oder iCloud-Keychain-Problem | Apple Support und Gerätewiederherstellung |
| Microsoft-Konto / Windows Hello | Microsoft-Support und Sicherheitsoptionen |
| Arbeitskonto | interne IT, Administrator, Managed-Service-Provider |
| Phishing in Polen | CERT Polska |
| Bankkonto betroffen | Bank-Hotline, Kartensperre, Polizei |
| Datenschutzvorfall im Unternehmen | Datenschutzbeauftragter, Rechtsberatung, zuständige Behörde |
Fazit: Passkeys sind der richtige Schritt, aber nur mit Backup-Plan
Passkeys machen Logins sicherer, weil sie das zentrale Problem klassischer Passwörter entschärfen: wiederverwendbare Geheimnisse, die Nutzer eintippen und Angreifer abfangen können. Sie sind besonders stark gegen Phishing, reduzieren die Folgen von Passwort-Leaks und machen die Anmeldung auf modernen Geräten schneller. Die Technik ist 2026 breit genug verfügbar, um Hauptkonten schrittweise umzustellen.
Der Umstieg sollte aber nicht blind passieren. Wer Passkeys nutzt, muss Geräte absichern, Wiederherstellung testen, mindestens ein zweites Gerät oder einen Hardware-Key registrieren und schwache Fallbacks kontrollieren. Für private Nutzer reicht oft ein sauber eingerichteter Plattform-Passkey mit guter Recovery. Für Unternehmen braucht es Richtlinien, Pilotgruppen und klare Regeln für Admin-Konten. Passwortlos anmelden ist kein einzelner Klick, sondern ein Sicherheitswechsel: weniger Passwort, mehr Verantwortung für Gerät, Sync und Wiederherstellung.
FAQ: Passwortlos anmelden mit Passkeys
Sind Passkeys sicherer als Passwörter?
Ja, in den meisten Alltagsszenarien sind Passkeys sicherer als Passwörter. Sie werden nicht als Text eingegeben, sind an die echte Website oder App gebunden und geben keinen wiederverwendbaren Geheimwert an den Server weiter. Das reduziert Phishing, Credential-Stuffing und Schäden durch Passwort-Leaks deutlich. Unsicher werden Passkeys vor allem dann, wenn das Gerät schlecht geschützt ist oder die Wiederherstellung falsch eingerichtet wurde.
Wird mein Fingerabdruck an Google, Apple oder Microsoft gesendet?
Nein, bei sauberer Implementierung entsperrt der Fingerabdruck nur lokal das Gerät oder den Passwortmanager. Der Dienst erhält keine biometrischen Daten. Für den Login wird eine kryptografische Signatur erzeugt. Entscheidend ist also nicht der Fingerabdruck im Internet, sondern der private Schlüssel auf dem Gerät oder im verschlüsselten Passkey-Speicher.
Was passiert, wenn ich mein Smartphone verliere?
Dann hängt alles von der Vorbereitung ab. Wer Passkeys auf mehreren Geräten synchronisiert oder einen zweiten Passkey beziehungsweise Hardware-Sicherheitsschlüssel registriert hat, kann weiter zugreifen. Wer nur ein einziges Gerät nutzt und keine Recovery-Optionen gepflegt hat, riskiert eine Kontosperre. Deshalb sollte nach jeder Passkey-Einrichtung sofort ein zweiter Zugang getestet werden.
Soll ich mein Passwort nach dem Einrichten eines Passkeys löschen?
Nicht sofort. Erst sollte der Passkey-Login auf allen wichtigen Geräten funktionieren, die Wiederherstellung geprüft und ein zweiter Zugang eingerichtet sein. Danach kann man entscheiden, ob das Passwort als Fallback bleibt, durch ein starkes Zufallspasswort ersetzt oder bei unterstützten Diensten deaktiviert wird. Bei Arbeitskonten entscheidet darüber die IT-Richtlinie.
Sind synchronisierte Passkeys unsicherer als Hardware-Schlüssel?
Sie sind bequemer, aber anders zu bewerten. Synchronisierte Passkeys hängen stärker am Schutz des Cloud- oder Passwortmanager-Kontos. Hardware-Schlüssel sind für Hochrisiko-Konten oft robuster, weil sie physisch vorhanden sein müssen und nicht einfach über mehrere Geräte synchronisiert werden. Für normale Nutzer sind synchronisierte Passkeys meist ein guter Sicherheitsgewinn, für Admins und kritische Konten bleiben Hardware-Keys sinnvoll.
Warum unterstützen manche Websites noch keine Passkeys?
Passkey-Integration braucht technische Anpassungen, saubere Nutzerführung, Recovery-Prozesse und Support-Schulung. Manche Dienste bieten Passkeys deshalb zuerst nur optional an oder verstecken die Funktion in den Sicherheitseinstellungen. Außerdem ist die Umsetzung je nach Browser, Betriebssystem und Passwortmanager nicht völlig einheitlich. Der Trend geht aber klar zur breiteren Unterstützung, weil große Plattformen und Standards wie FIDO2/WebAuthn inzwischen etabliert sind.
Sie können dies und weitere nützliche Informationen auf unserer Website nachlesen. Wir empfehlen Ihnen außerdem die Lektüre folgender Artikel: Google-Konto verdächtige Aktivität: was jetzt wichtig ist