Technik & CMS

Was sind Passkeys und wie funktionieren sie?

5 Min. Lesezeit | 24. Juni 2026

Ein Passkey ist ein kryptografisches Schlüsselpaar, das ein Passwort ersetzt. Der geheime Teil verbleibt auf dem Gerät und wird per Fingerabdruck, Gesichtsscan oder Geräte-PIN entsperrt; der öffentliche liegt beim Dienst. Beim Anmelden wandert kein Geheimnis durchs Netz – und weil die Anmeldung an die echte Adresse geknüpft ist, läuft Phishing ins Leere.

Was ein Passkey ist

Ein Passkey funktioniert grundlegend anders als ein Passwort. Statt ein Geheimnis zu teilen, das beide Seiten kennen müssen, beweist das Gerät seine Identität mit einem Schlüssel, der es nie verlässt.

Das Prinzip von Schloss und Schlüssel

Bei der Einrichtung erzeugt das Gerät zwei zusammengehörige Schlüssel:

SchlüsselWo er liegtFunktion
Öffentlicher SchlüsselBeim Dienst hinterlegtDarf bekannt sein, prüft nur die Unterschrift
Privater SchlüsselBleibt auf dem GerätErzeugt die Unterschrift, wird nie übertragen

Beim Anmelden muss der private Schlüssel nie gezeigt werden. Das Gerät belegt lediglich seinen Besitz, indem es eine Aufgabe des Dienstes signiert. Die entstehende Signatur lässt sich mit dem öffentlichen Schlüssel überprüfen, jedoch nicht rückwärts auflösen.

Freigegeben per Fingerabdruck oder PIN

Der private Schlüssel ruht in einem besonders gesicherten Bereich des Geräts und wird erst freigegeben, wenn sich die Person ausweist – per Fingerabdruck, Gesichtserkennung oder Geräte-PIN. Diese Merkmale verlassen das Gerät ebenfalls nicht; sie entsperren nur lokal den Schlüssel.

Technisch fußen Passkeys auf offenen, herstellerübergreifenden Standards, die von Betriebssystemen und Browsern gemeinsam getragen werden. Dadurch funktioniert dasselbe Verfahren über Geräte- und Plattformgrenzen hinweg, ohne Bindung an einen einzelnen Anbieter. Den Hintergrund vertieft unser Blog-Beitrag zur passwortlosen Anmeldung mit Passkeys.

Warum das vor Phishing schützt

Ein Passkey hält bei der Einrichtung fest, zu welcher Web-Adresse er gehört, und rückt seine Signatur nur dann heraus, wenn die anfragende Adresse haargenau stimmt. Eine gefälschte Seite residiert unter einer abweichenden Adresse – und geht deshalb leer aus. Warum das einen echten Sicherheitssprung gegenüber dem Passwort bedeutet, behandelt die Frage Sind Passkeys sicherer als Passwörter?.

Was bei Geräteverlust passiert

Weil der Schlüssel auf dem Gerät liegt, stellt sich sofort die Frage nach dem Ersatz. Passkeys werden über mehrere Geräte synchronisiert, und für wichtige Konten gehört ein zweiter Schlüssel hinterlegt. Die Einzelheiten klärt Was passiert mit Passkeys bei Geräteverlust?.