Zum Inhalt springen
NeoGuard

Passkeys erklärt: Warum sie Passwörter ersetzen (und was Sie jetzt tun sollten)

Passkeys erklärt: Warum sie Passwörter ersetzen (und was Sie jetzt tun sollten)
Photo by panumas nikhomkhai on Pexels

TL;DR

  • Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare, die an Ihr Gerät gebunden sind. Sie melden sich per Fingerabdruck oder Gesichtserkennung an. Kein Passwort zum Stehlen, kein Code zum Abfangen.
  • Sie sind von Natur aus Phishing-sicher: Ein Passkey funktioniert nur auf der exakten Domain, für die er erstellt wurde. Lookalike-URLs können ihn nicht auslösen.
  • Sie müssen sich nicht zwischen Passkeys und einem Passwort-Manager entscheiden. Moderne Manager speichern beides und machen den Übergang nahtlos.
  • Die Verbreitung beschleunigt sich. Google, Apple, Microsoft, Amazon, PayPal und GitHub unterstützen Passkeys bereits heute.

Passwörter sind seit Jahrzehnten die Standard-Authentifizierungsmethode, und sie versagen genauso lange. Menschen verwenden sie wieder. Sie fallen auf Phishing-Seiten herein. Sie schreiben sie auf Haftnotizen. Die Security-Branche hat Workarounds darübergelegt: 2FA-Codes, Passwort-Komplexitätsregeln, Breach-Monitoring, erzwungene Rotationen. Jede Massnahme flickt ein Symptom, ohne die Ursache zu beheben.

Passkeys sind die Lösung. Sie eliminieren das Passwort vollständig.

Was ist ein Passkey?

Ein Passkey ist ein kryptografischer Nachweis, der auf Ihrem Gerät gespeichert wird. Wenn Sie einen Passkey für eine Website erstellen, generiert Ihr Gerät ein Schlüsselpaar: einen privaten Schlüssel, der Ihr Gerät nie verlässt, und einen öffentlichen Schlüssel, den die Website speichert. Beim Anmelden sendet die Website eine Challenge, Ihr Gerät signiert sie mit dem privaten Schlüssel (nachdem Sie sich per Fingerabdruck, Gesichtserkennung oder PIN verifiziert haben), und die Website prüft die Signatur.

Aus Ihrer Perspektive ist der Ablauf einfach: Sie tippen auf den Fingerabdrucksensor oder schauen auf Ihr Smartphone, und Sie sind drin. Kein Passwort zum Eintippen, kein Code zum Kopieren aus einer Authenticator-App.

Warum Passkeys grundlegend besser sind

Der Unterschied ist nicht inkrementell. Passkeys eliminieren ganze Angriffskategorien.

Kein Phishing mehr

Ein Passkey ist kryptografisch an die Domain gebunden, für die er erstellt wurde. Wenn Sie einen Passkey für bank.example.com haben, kann eine Phishing-Seite unter bank-example.com oder bank.example.org ihn nicht anfordern. Der Browser prüft die Domain automatisch. Das ist keine Funktion, die Sie vergessen oder deren Prüfung Sie müde werden können. Es ist in das Protokoll eingebaut.

Vergleichen Sie das mit Passwörtern: Selbst erfahrene Nutzer fallen auf gut gemachte Phishing-Seiten herein. Selbst Passwort-Manager mit domainbewusstem Auto-Fill bieten nur eine Verlangsamung, weil Nutzer Zugangsdaten weiterhin manuell in die falsche Seite kopieren können.

Kein geteiltes Geheimnis

Bei Passwörtern kennen sowohl Sie als auch der Server das Geheimnis. Wird der Server kompromittiert (und Datenpannen passieren ständig), leakt Ihr Passwort. Bei Passkeys speichert der Server nur Ihren öffentlichen Schlüssel. Ihn zu stehlen ist nutzlos, weil der öffentliche Schlüssel niemanden authentifizieren kann. Das macht serverseitige Datenpannen für Ihre Kontosicherheit irrelevant.

Keine Wiederverwendung möglich

Jeder Passkey ist von Natur aus einzigartig für einen Dienst. Das Konzept von Credential Stuffing (geleakte Zugangsdaten bei vielen Diensten testen) existiert bei Passkeys nicht. Es gibt nichts zum Ausprobieren.

Eingebaute Multi-Faktor-Authentifizierung

Ein Passkey kombiniert «etwas, das Sie haben» (das Gerät mit dem privaten Schlüssel) und «etwas, das Sie sind» (Biometrie) oder «etwas, das Sie wissen» (Geräte-PIN). Er ersetzt Passwort + 2FA in einem einzigen Schritt, ohne Sicherheit einzubüssen. Tatsächlich sind Passkeys stärker als die meisten Passwort+TOTP-Kombinationen, weil TOTP-Codes bei Echtzeit-Relay-Angriffen abgefangen werden können.

Wo funktionieren Passkeys heute?

Passkeys haben 2026 eine kritische Masse an Unterstützung erreicht:

Betriebssysteme: iOS 16+, Android 14+, macOS Ventura+, Windows 11. Alle grossen Plattformen haben native Passkey-Unterstützung mit geräteübergreifender Synchronisation.

Browser: Chrome, Safari, Firefox, Edge. Der WebAuthn-Standard, den sie implementieren, ist universell.

Dienste: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp, LinkedIn, X (Twitter), Shopify, Adobe, viele Finanzinstitute. Die Liste wächst wöchentlich.

Passwort-Manager: 1Password, Bitwarden, Dashlane und Apple Passwords speichern und synchronisieren Passkeys. Das ist wichtig: Es bedeutet, dass Ihre Passkeys nicht an ein einzelnes Gerät gebunden sind.

Passkeys und Ihr Passwort-Manager

Das ist der am häufigsten missverstandene Punkt. Passkeys machen Passwort-Manager nicht überflüssig. Sie machen sie wertvoller.

Der Übergang wird Jahre dauern. Nicht jeder Dienst unterstützt Passkeys. Ihr Passwort-Manager verwaltet beides: Passkeys für Dienste, die sie unterstützen, starke einzigartige Passwörter für den Rest. Ein Tool, ein Workflow.

Geräteübergreifende Synchronisation. Gerätegebundene Passkeys (nur im Secure Enclave Ihres Smartphones gespeichert) schaffen ein Wiederherstellungsproblem: Gerät verloren, Passkeys verloren. Wenn Ihr Passwort-Manager sie stattdessen speichert, synchronisieren sie sich automatisch über Laptop, Smartphone und Tablet.

Geteilter Zugriff. Müssen Sie einen Login mit Familienmitgliedern oder Kollegen teilen? Passwort-Manager unterstützen geteilte Tresore für Passkeys, genau wie für Passwörter.

Migrationspfad. Sobald mehr Dienste Passkey-Unterstützung hinzufügen, können Sie Konto für Konto upgraden. Die Sicherheitsaudit-Tools Ihres Passwort-Managers zeigen, welche Konten noch Passwörter nutzen und welche bereits umgestellt sind.

Empfohlenes Setup

  1. Nutzen Sie 1Password oder Bitwarden als Passkey-Speicher. Beide unterstützen den kompletten Passkey-Lebenszyklus: Erstellung, Speicherung, Synchronisation und Auto-Fill.
  2. Aktivieren Sie Passkeys zuerst auf Ihren kritischsten Konten: E-Mail, Cloud-Speicher, Banking, Code-Repositories.
  3. Lassen Sie 2FA aktiv auf Konten, die Passkeys noch nicht unterstützen. Deaktivieren Sie 2FA nicht, um zu «vereinfachen».
  4. Prüfen Sie quartalsweise. Schauen Sie, welche Ihrer Konten seit der letzten Prüfung Passkey-Unterstützung hinzugefügt haben, und stellen Sie sie um.

Was ist mit Hardware-Schlüsseln?

Hardware-Sicherheitsschlüssel (YubiKey, Titan) waren vor Passkeys der Goldstandard. Sie haben weiterhin ihre Berechtigung:

  • Unternehmensumgebungen, in denen die IT kontrollieren muss, welche Geräte sich authentifizieren können
  • Hochsicherheitskonten, bei denen ein physischer Token gewünscht ist, der nicht aus einem Gerät extrahiert werden kann
  • Compliance-Anforderungen unter der FINMA oder ähnlichen Regulatoren, die hardwaregestützte Authentifizierung vorschreiben

Für die meisten Privatpersonen und kleinen Teams bieten softwarebasierte Passkeys in einem Passwort-Manager exzellente Sicherheit bei deutlich weniger Aufwand.

Häufige Bedenken

«Was, wenn ich mein Smartphone verliere?»

Wenn Ihre Passkeys in einem Passwort-Manager (1Password, Bitwarden) oder einem Plattform-Konto (Apple, Google) gespeichert sind, synchronisieren sie sich auf Ihre anderen Geräte und in die Cloud. Ein verlorenes Gerät bedeutet nicht verlorenen Zugang.

Wenn Sie ausschliesslich auf gerätegebundene Passkeys ohne Synchronisation setzen, bedeutet der Verlust des Geräts den Verlust der Passkeys. Deshalb wird die Nutzung eines Passwort-Managers als Passkey-Speicher dringend empfohlen.

«Was, wenn der Dienst nicht erreichbar ist?»

Die Passkey-Verifizierung findet zwischen Ihrem Gerät und dem Dienst statt. Wenn der Dienst nicht erreichbar ist, können Sie sich nicht anmelden, aber dasselbe gilt für Passwörter. Die meisten Dienste bieten Backup-Authentifizierungsmethoden (Wiederherstellungscodes, E-Mail), die unabhängig funktionieren.

«Sind Passkeys privatsphärefreundlich?»

Ja. Der private Schlüssel verlässt Ihr Gerät nie. Der Dienst kann Sie nicht seitenübergreifend tracken, weil jeder Passkey für eine Domain einzigartig ist. Keine persönlichen Informationen werden bei der Authentifizierung geteilt.

Passkeys und Schweizer Compliance

Für Organisationen unter dem nDSG stellen Passkeys eine starke «angemessene technische Massnahme» dar. Ihre Phishing-Resistenz übertrifft, was Passwörter + 2FA bieten. Für FINMA-regulierte Finanzinstitute erfüllen Passkeys (besonders hardwaregestützt) die Multi-Faktor-Authentifizierungsanforderungen.

Der entscheidende Compliance-Vorteil: Passkeys eliminieren den Credential-Breach-Vektor vollständig. Keine Passwörter bedeutet keine Passwort-Leaks, kein Credential Stuffing und keine passwortbezogenen Vorfälle, die gemeldet werden müssen.

Wie fange ich am besten an?

Als Privatperson:

  1. Aktualisieren Sie Ihren Passwort-Manager auf die neueste Version (1Password 8+ und Bitwarden unterstützen beide Passkeys)
  2. Melden Sie sich bei Google, Apple oder Microsoft an und erstellen Sie einen Passkey in den Sicherheitseinstellungen
  3. Erleben Sie den Ablauf. Sie werden sich fragen, warum Sie jemals Passwörter getippt haben.
  4. Stellen Sie Ihre anderen Konten um, sobald Sie darauf stossen

Als Team oder Unternehmen:

  1. Stellen Sie sicher, dass Ihr Passwort-Manager Passkeys unterstützt und bei allen Teammitgliedern installiert ist
  2. Erstellen Sie einen Passkey für Ihre kritischsten gemeinsamen Dienste (Cloud-Infrastruktur, E-Mail, Code-Repositories)
  3. Dokumentieren Sie die Passkey-Richtlinie neben Ihren bestehenden 2FA-Anforderungen
  4. Planen Sie einen quartalsweisen Prüfzyklus, um Konten umzustellen, sobald Unterstützung hinzukommt

Die Passwort-Ära geht zu Ende. Sie müssen nicht warten, bis sie vorbei ist, um anzufangen.

Zuletzt aktualisiert: 07.04.2026