Zum Inhalt springen
NeoGuard

Passkeys erklärt: Warum sie Passwörter ersetzen

Passkeys erklärt: Warum sie Passwörter ersetzen
Photo by panumas nikhomkhai on Pexels

TL;DR

  • Passkeys ersetzen Passwörter durch kryptografische Schlüsselpaare, die an dein Gerät gebunden sind. Du meldest dich per Fingerabdruck oder Gesichtserkennung an. Kein Passwort zum Stehlen, kein Code zum Abfangen.
  • Sie sind von Natur aus Phishing-sicher: Ein Passkey funktioniert nur auf der exakten Domain, für die er erstellt wurde. Lookalike-URLs können ihn nicht auslösen.
  • Du musst dich nicht zwischen Passkeys und einem Passwort-Manager entscheiden. Moderne Manager speichern beides und machen den Übergang nahtlos.
  • Die Verbreitung beschleunigt sich. Google, Apple, Microsoft, Amazon, PayPal und GitHub unterstützen Passkeys bereits heute.

Du setzt ein Passwort zurück, wählst etwas, das du dir merken kannst, verwendest dasselbe Passwort gleich bei drei weiteren Diensten und hast es einen Monat später vergessen. Oder du klickst auf eine Login-Seite, die exakt wie die deiner Bank aussieht. Passwörter versagen seit Jahrzehnten auf diese Weise. Die Security-Branche hat Workarounds darübergelegt: 2FA-Codes, Komplexitätsregeln, Breach-Monitoring und erzwungene Rotationen. Jede Massnahme flickt ein Symptom, ohne die Ursache zu beheben.

Passkeys sind die Lösung. Sie eliminieren das Passwort vollständig.

Was ist ein Passkey?

Ein Passkey ist ein kryptografischer Schlüssel, der auf deinem Gerät gespeichert wird. Wenn du einen Passkey für eine Website erstellst, generiert dein Gerät ein Schlüsselpaar: einen privaten Schlüssel, der dein Gerät nie verlässt, und einen öffentlichen Schlüssel, den die Website speichert. Beim Anmelden sendet die Website eine Challenge, dein Gerät signiert sie mit dem privaten Schlüssel (nachdem du dich per Fingerabdruck, Gesichtserkennung oder PIN verifiziert hast), und die Website prüft die Signatur.

Aus deiner Perspektive ist der Ablauf einfach: Du tippst auf den Fingerabdrucksensor oder schaust auf dein Smartphone, und du bist drin. Kein Passwort zum Eintippen, kein Code zum Kopieren aus einer Authenticator-App.

Warum Passkeys grundlegend besser sind

Der Unterschied ist nicht nur eine kleine Verbesserung. Passkeys eliminieren ganze Angriffskategorien.

Kein Phishing mehr

Ein Passkey ist kryptografisch an die Domain gebunden, für die er erstellt wurde. Wenn du einen Passkey für bank.example.com hast, kann eine Phishing-Seite unter bank-example.com oder bank.example.org ihn nicht anfordern. Der Browser prüft die Domain automatisch. Das ist keine Funktion, die du vergessen oder deren Prüfung du müde werden kannst. Es ist in das Protokoll eingebaut.

Vergleiche das mit Passwörtern: Selbst erfahrene Nutzende fallen auf gut gemachte Phishing-Seiten herein. Selbst Passwort-Manager mit domainbewusstem Auto-Fill bieten nur eine Verlangsamung, weil Zugangsdaten weiterhin manuell in die falsche Seite kopiert werden können.

Kein geteiltes Geheimnis

Bei Passwörtern kennen sowohl du als auch der Server das Geheimnis. Wird der Server kompromittiert (und Datenpannen passieren ständig), leakt dein Passwort. Bei Passkeys speichert der Server nur deinen öffentlichen Schlüssel. Ihn zu stehlen ist nutzlos, weil der öffentliche Schlüssel niemanden authentifizieren kann. Datenpannen auf der Serverseite gefährden deine Kontosicherheit damit nicht mehr.

Keine Wiederverwendung möglich

Jeder Passkey ist von Natur aus einzigartig für einen Dienst. Das Konzept von Credential Stuffing (geleakte Zugangsdaten bei vielen Diensten testen) existiert bei Passkeys nicht. Es gibt nichts zum Ausprobieren.

Eingebaute Multi-Faktor-Authentifizierung

Ein Passkey kombiniert «etwas, das du hast» (das Gerät mit dem privaten Schlüssel) und «etwas, das du bist» (Biometrie) oder «etwas, das du weisst» (Geräte-PIN). Er ersetzt Passwort und 2FA in einem einzigen Schritt, ohne Sicherheit einzubüssen. Passkeys sind sogar stärker als die meisten Kombinationen aus Passwort und TOTP, weil TOTP-Codes bei Echtzeit-Relay-Angriffen abgefangen werden können.

Wo funktionieren Passkeys heute?

Passkeys werden 2026 breit unterstützt:

Betriebssysteme: iOS 16+, Android 9+, macOS Ventura+, Windows 11. Alle grossen Plattformen haben native Passkey-Unterstützung mit geräteübergreifender Synchronisation.

Browser: Chrome, Safari, Firefox, Edge. Der WebAuthn-Standard, den sie implementieren, ist universell.

Dienste: Google, Apple, Microsoft, Amazon, PayPal, GitHub, WhatsApp, LinkedIn, X (Twitter), Shopify, Adobe und viele Finanzinstitute. Die Liste wächst wöchentlich.

Passwort-Manager: 1Password, Bitwarden, Dashlane und Apple Passwords speichern und synchronisieren Passkeys. Das ist wichtig: Es bedeutet, dass deine Passkeys nicht an ein einzelnes Gerät gebunden sind.

Passkeys und dein Passwort-Manager

Das ist ein häufiges Missverständnis. Passkeys machen Passwort-Manager nicht überflüssig. Sie machen sie wertvoller.

Der Übergang wird Jahre dauern. Nicht jeder Dienst unterstützt Passkeys. Dein Passwort-Manager verwaltet beides: Passkeys für Dienste, die sie unterstützen, starke einzigartige Passwörter für den Rest. Ein Tool, ein Workflow.

Geräteübergreifende Synchronisation. Gerätegebundene Passkeys (nur im sicheren Hardware-Element deines Smartphones gespeichert, zum Beispiel Secure Enclave bei Apple oder StrongBox bei Android) führen zu einem Wiederherstellungsproblem: Gerät verloren, Passkeys verloren. Wenn dein Passwort-Manager sie stattdessen speichert, synchronisieren sie sich automatisch über Laptop, Smartphone und Tablet.

Geteilter Zugriff. Musst du einen Login mit Familienmitgliedern oder Kollegen teilen? Passwort-Manager unterstützen geteilte Tresore für Passkeys, genau wie für Passwörter.

Migrationspfad. Sobald mehr Dienste Passkey-Unterstützung hinzufügen, kannst du Konto für Konto upgraden. Die Sicherheitsaudit-Tools deines Passwort-Managers zeigen, welche Konten noch Passwörter nutzen und welche bereits Passkeys verwenden.

Empfohlenes Setup

  1. Nutze 1Password oder Bitwarden als Passkey-Speicher. Beide unterstützen Passkeys vollständig: Erstellung, Speicherung, Synchronisation und Auto-Fill.
  2. Aktiviere Passkeys zuerst auf deinen kritischsten Konten: E-Mail, Cloud-Speicher, Banking und Code-Repositories.
  3. Lasse 2FA aktiv auf Konten, die Passkeys noch nicht unterstützen. Deaktiviere 2FA nicht aus Vereinfachungsgründen.
  4. Prüfe quartalsweise. Schaue, welche deiner Konten seit der letzten Prüfung Passkey-Unterstützung hinzugefügt haben, und stelle sie um.

Was ist mit Hardware-Schlüsseln?

Hardware-Sicherheitsschlüssel (YubiKey, Titan) waren lange der beste verfügbare Standard. Sie haben weiterhin ihre Berechtigung:

  • Unternehmensumgebungen, in denen die IT kontrollieren muss, welche Geräte sich authentifizieren können
  • Hochsicherheitskonten, wo ein physischer Hardware-Token sicherer ist, weil er nicht aus einem Gerät extrahiert werden kann
  • Compliance-Anforderungen unter der FINMA oder ähnlichen Regulatoren, die hardwaregestützte Authentifizierung vorschreiben

Für die meisten Privatpersonen und kleinen Teams sind softwarebasierte Passkeys im Passwort-Manager ausreichend sicher und deutlich praktischer.

Häufige Bedenken

«Was, wenn ich mein Smartphone verliere?»

Wenn deine Passkeys in einem Passwort-Manager (1Password, Bitwarden) oder einem Plattform-Konto (Apple, Google) gespeichert sind, werden sie automatisch mit deinen anderen Geräten und der Cloud synchronisiert. Ein verlorenes Gerät bedeutet nicht verlorenen Zugang.

Wenn du ausschliesslich auf gerätegebundene Passkeys ohne Synchronisation setzt, bedeutet der Verlust des Geräts den Verlust der Passkeys. Deshalb solltest du unbedingt einen Passwort-Manager als Passkey-Speicher nutzen.

«Was, wenn der Dienst nicht erreichbar ist?»

Die Passkey-Verifizierung findet zwischen deinem Gerät und dem Dienst statt. Wenn der Dienst nicht erreichbar ist, kannst du dich nicht anmelden, aber das gilt genauso für Passwörter. Die meisten Dienste bieten Backup-Authentifizierungsmethoden (Wiederherstellungscodes, E-Mail), die unabhängig funktionieren.

«Sind Passkeys privatsphärefreundlich?»

Ja. Der private Schlüssel verlässt dein Gerät nie. Der Dienst kann dich nicht über mehrere Websites hinweg nachverfolgen, weil jeder Passkey für eine Domain einzigartig ist. Bei der Authentifizierung werden keine persönlichen Informationen übertragen.

Passkeys und Schweizer Compliance

Für Organisationen unter dem nDSG sind Passkeys eine wirksame «angemessene technische Massnahme». Ihre Phishing-Resistenz übertrifft das, was Passwörter und 2FA bieten. Für FINMA-regulierte Finanzinstitute erfüllen Passkeys (besonders hardwaregestützt) die Multi-Faktor-Authentifizierungsanforderungen.

Der wichtigste Vorteil für die Compliance: Passkeys beseitigen das Risiko von Passwort-Lecks vollständig. Keine Passwörter bedeutet keine Passwort-Leaks, kein Missbrauch gestohlener Zugangsdaten und keine passwortbezogenen Vorfälle, die gemeldet werden müssen.

Wie fange ich am besten an?

Als Privatperson:

  1. Aktualisiere deinen Passwort-Manager auf die neueste Version (1Password 8+ und Bitwarden unterstützen beide Passkeys).
  2. Melde dich bei Google, Apple oder Microsoft an und erstelle einen Passkey in den Sicherheitseinstellungen.
  3. Erlebe den Ablauf. Du wirst dich fragen, warum du jemals Passwörter getippt hast.
  4. Stelle deine anderen Konten um, sobald du darauf stösst.

Als Team oder Unternehmen:

  1. Stelle sicher, dass dein Passwort-Manager Passkeys unterstützt und bei allen Teammitgliedern installiert ist.
  2. Erstelle einen Passkey für deine kritischsten gemeinsamen Dienste (Cloud-Infrastruktur, E-Mail, Code-Repositories).
  3. Dokumentiere die Passkey-Richtlinie neben deinen bestehenden 2FA-Anforderungen.
  4. Plane einen quartalsweisen Prüfzyklus, um Konten umzustellen, sobald Unterstützung hinzukommt.

Die Passwort-Ära geht zu Ende. Du musst nicht warten, bis sie vorbei ist, um anzufangen.

Zuletzt aktualisiert: 11.04.2026