Technik & CMS

Sind Passkeys sicherer als Passwörter?

5 Min. Lesezeit | 24. Juni 2026

Ja, und der Unterschied ist grundsätzlicher Natur. Ein Passwort ist ein Geheimnis, das man eintippt und das deshalb abgefangen oder erschlichen werden kann – auch ein Einmal-Code lässt sich auf einer gefälschten Seite mitabgreifen. Ein Passkey gibt kein Geheimnis preis und bleibt fest mit der echten Adresse des Dienstes verknüpft. Damit fällt die häufigste Angriffsform technisch weg.

Warum Passkeys sicherer sind

Der Sicherheitsgewinn von Passkeys liegt nicht darin, dass sie „komplexer" wären, sondern dass sie eine ganze Angriffsklasse unmöglich machen.

Das Problem am Passwort

Ein Passwort ist ein Geheimnis, das beide Seiten kennen. Wer es kennt, kann es weitergeben, wiederverwenden oder auf der falschen Seite eintippen. Auch ein zweiter Faktor per Einmal-Code beseitigt das nicht vollständig: Auf einer überzeugend nachgebauten Seite lassen sich Passwort und Code in demselben Moment abgreifen, in dem das Opfer sie eingibt, und sofort weiterverwenden. Was genau ein zweiter Faktor leistet und wo seine Grenze liegt, behandelt Brauchen wir wirklich Zwei-Faktor-Authentifizierung?.

Was der Passkey anders macht

Ein Passkey überträgt kein Geheimnis – das Gerät beweist nur den Besitz eines privaten Schlüssels, ohne ihn preiszugeben. Die technische Grundlage dazu erklärt Was sind Passkeys und wie funktionieren sie?. Zwei Eigenschaften sind entscheidend:

  • Kein eintippbares Geheimnis: Es gibt nichts, was sich in der Eile auf einer falschen Seite preisgeben ließe.
  • Bindung an die echte Adresse: Der Passkey gibt eine Unterschrift nur heraus, wenn die aufrufende Adresse exakt zur hinterlegten passt.

Der Schutz beruht nicht auf erhöhter Wachsamkeit der Nutzer, sondern darauf, dass die Technik den Fehltritt schlicht nicht mehr erlaubt. Genau das unterscheidet einen phishing-resistenten Zugang von einem nur „erschwerten".

Der Vergleich auf einen Blick

EigenschaftPasswort (+ Code)Passkey
Geheimnis wird übertragenJaNein
Auf gefälschter Seite abgreifbarJaNein
An die echte Adresse gebundenNeinJa
Wiederverwendung möglichJaNein

Wo das im Betrieb zählt

Phishing ist der meistgenutzte Türöffner zu fremden Konten, und mit Schulung allein ist das Risiko nicht vom Tisch – ein einziger unaufmerksamer Moment genügt. Wie sich das Grundproblem geteilter und schwacher Zugänge im Betrieb ordnen lässt, zeigt unser Beitrag zu geteilten Passwörtern im Betrieb.