Web-Entwicklung

Passkey

Ein Passkey ist ein kryptografisches Schlüsselpaar, das ein Passwort vollständig ersetzt: Der geheime Teil verlässt das Gerät nie, die Anmeldung ist an die echte Adresse des Dienstes gebunden – und damit gegen Phishing unempfindlich.

Passkeys lösen das Passwort als Anmelde-Verfahren ab. Sie beruhen auf den offenen Standards WebAuthn und FIDO2 und werden von Betriebssystemen und Browsern herstellerübergreifend getragen.

In einfachen Worten

Ein Passkey funktioniert grundlegend anders als ein Passwort. Bei der Einrichtung erzeugt das Gerät zwei zusammengehörige Schlüssel: einen öffentlichen, der beim Dienst hinterlegt wird und bekannt sein darf, und einen privaten, der das Gerät nie verlässt. Beim Anmelden wird der private Schlüssel nicht gezeigt – das Gerät beweist nur, dass es ihn besitzt, indem es eine Aufgabe des Dienstes „unterschreibt". Diese Unterschrift lässt sich mit dem öffentlichen Schlüssel prüfen, aber nicht zurückrechnen. Freigegeben wird der private Schlüssel erst, wenn sich die Person am Gerät ausweist – per Fingerabdruck, Gesichtserkennung oder Geräte-PIN, die das Gerät ebenfalls nie verlassen. Es gibt damit kein eintippbares Geheimnis mehr, das abgefangen, erraten oder auf einer falschen Seite preisgegeben werden könnte. Technisch beruht das Verfahren auf den Standards hinter WebAuthn und FIDO2 und ist eng mit der Zwei-Faktor-Authentifizierung verwandt, deren Faktoren ein Passkey in einem Schritt vereint.

Wozu brauche ich das?

Passkeys eignen sich überall dort, wo ein fremder Zugriff Schaden anrichtet: E-Mail-Postfächer, Online-Banking, Buchhaltung, der Zugang zur eigenen Website und das Konto beim Domain- und Hosting-Anbieter. Bei den meisten Diensten lassen sie sich parallel zum bestehenden Passwort einrichten, sodass kein harter Schnitt nötig ist. Im Betrieb sind sie an einzelne Personen und Geräte gebunden – das passt zum Ziel, von geteilten Zugängen wegzukommen, und verträgt sich gut mit einem Passwort-Manager als zentralem Ort für Passkeys und verbleibende Passwörter.

Beispiel aus der Praxis

Statt Adresse, Passwort und Einmal-Code einzutippen, genügt eine Geste – der Blick in die Kamera oder der Finger auf dem Sensor. Die Anmeldung ist in dem Moment abgeschlossen, in dem sie früher erst begann. Für den oft genannten Sorgenfall – das verlorene Gerät – gibt es zwei Vorkehrungen: Ein Passkey wird über den verschlüsselten Schlüsselbund des Betriebssystems oder einen Passwort-Manager über mehrere Geräte synchronisiert, und bei jedem wichtigen Konto sollte ein zweiter Passkey auf einem anderen Gerät oder ein Wiederherstellungs-Weg hinterlegt sein. Entscheidend ist, diesen Ersatz vorher einzurichten, nicht im Ernstfall zu improvisieren.

Wirtschaftlicher Nutzen

Der eigentliche Gewinn ist nicht Bequemlichkeit, sondern eine Eigenschaft, die kein Passwort haben kann: die Bindung an die echte Adresse des Dienstes. Eine nachgebaute Seite läuft ins Leere, weil sie unter einer anderen Adresse liegt und der Passkey dort die Mitarbeit verweigert. Damit fällt der häufigste Einstieg in fremde Konten – das Erschleichen von Zugangsdaten – technisch weg, statt nur erschwert zu werden. Das ergänzt Schutzmaßnahmen wie die Absicherung der eigenen Absenderadresse und eine saubere Verschlüsselung über SSL/TLS und senkt zugleich die Reibung im Alltag, weil niemand mehr nach Passwörtern sucht.

Typische Fehler

  • Nur einen einzigen Passkey eingerichtet, ohne Zweitschlüssel auf einem anderen Gerät – bei Geräteverlust droht die Aussperrung.
  • Das alte, schwache Passwort nach der Umstellung nicht entfernt – die ursprüngliche Lücke bleibt offen.
  • Mit Nebensächlichem begonnen und das zentrale E-Mail-Postfach zuletzt umgestellt – der Generalschlüssel bleibt am längsten ungeschützt.
  • Keinen dokumentierten Wiederherstellungs-Weg festgelegt – der Notfall wird zur Suche statt zur Routine.
  • Versucht, einen Passkey für ein geteiltes Sammelkonto zu erzwingen – Passkeys sind auf einzelne Personen ausgelegt.

Worauf achten?

  • Bei jedem wichtigen Konto einen zweiten Passkey oder Wiederherstellungs-Weg einrichten, bevor er gebraucht wird.
  • Mit dem zentralen E-Mail-Postfach beginnen – über die „Passwort vergessen"-Funktion hängen daran viele andere Zugänge.
  • Passkeys und verbleibende Passwörter in einem betrieblichen Passwort-Manager bündeln statt verstreut zu verwalten.
  • Passkeys parallel zum bestehenden Passwort aktivieren und das Passwort erst entfernen, wenn der Geräte-Sync zuverlässig läuft.
  • Für Dienste ohne Passkey-Unterstützung übergangsweise ein langes, einmaliges Passwort mit Zwei-Faktor beibehalten.

Häufig gestellte Fragen

Was ist ein Passkey?

Ein Passkey ist ein kryptografisches Schlüsselpaar, das ein Passwort ersetzt. Der private Schlüssel bleibt auf dem Gerät und wird per Fingerabdruck, Gesicht oder Geräte-PIN freigegeben; der öffentliche liegt beim Dienst. Beim Anmelden wird kein Geheimnis übertragen.

Sind Passkeys sicherer als ein Passwort mit Zwei-Faktor?

Ja. Ein Passwort und ein Einmal-Code lassen sich auf einer gefälschten Seite in Echtzeit abgreifen. Ein Passkey überträgt kein Geheimnis und ist an die echte Adresse des Dienstes gebunden – eine nachgebaute Seite bekommt nichts Verwertbares.

Was passiert, wenn das Gerät verloren geht?

Ein Passkey wird in der Regel über den verschlüsselten Schlüsselbund oder einen Passwort-Manager über mehrere Geräte synchronisiert. Zusätzlich sollte ein zweiter Passkey auf einem anderen Gerät hinterlegt sein – vorher eingerichtet, nicht erst im Ernstfall.

Funktionieren Passkeys schon überall?

Noch nicht bei jedem Dienst, aber bei einem wachsenden Teil der wichtigen Geschäfts-Zugänge. Wo ein Dienst sie anbietet, lassen sie sich meist parallel zum Passwort einrichten. Für die übrigen bleibt vorerst ein starkes Passwort mit Zwei-Faktor.